Produktionsleiter.today Produktionsleiter.today
  • Top Themen
  • Fertigung
  • Industrie 4.0
  • Industrieservice
  • Whitepaper
  • Logistyx Content Hub
    On-Demand-Webinar: Wie Sie in Krisenzeiten die Risiken für die Supply Chain mindern

    On-Demand-Webinar: Wie Sie in Krisenzeiten die Risiken für die Supply Chain mindern

    Markenhersteller impfen ihre Lieferketten gegen das Coronavirus

    Markenhersteller impfen ihre Lieferketten gegen das Coronavirus

    Logistik Trends 2020 – die radikalen Veränderungen im Industriesektor

    Logistik Trends 2020 – die radikalen Veränderungen im Industriesektor

    Ist Ihr Omni-Channel-Fulfillment dem Weihnachtsgeschäft gewachsen?

    Ist Ihr Omni-Channel-Fulfillment dem Weihnachtsgeschäft gewachsen?

  • Veranstaltungen
Go to...

    7 klassische Denkfehler beim Thema Web Application Security

    Laura LangerLaura Langer
    August 23, 2016

    Obwohl inzwischen weitgehend bekannt ist, dass Webapplikationen ein beliebtes Einfallstor für Hacker sind, halten sich selbst unter erfahrenen Administratoren hartnäckig einige Fehleinschätzungen. Airlock gibt Tipps, in welchen Bereichen ein Umdenken zu Gunsten der Sicherheit dringend nötig ist.

    Annahme 1: Über unsere Webanwendungen erhält man keinen Zugang zu unseren Systemen.

    Gerade Webapplikationen bieten Hackern vielfältige Ansatzpunkte zum Datendiebstahl und gehören daher heute zu ihren bevorzugten Angriffszielen. Das ist kein Wunder, da diese Anwendungen per Definition eine elektronische Schnittstelle zu Daten und Transaktionen darstellen. Eines der größten Missverständnisse hierbei ist, dass bei einem erfolgreichen Angriff nur die Daten der Webapplikation selber in Gefahr sind. Allerdings sind alle an die Anwendung angeschlossenen Systeme und Schnittstellen potenziell ebenfalls betroffen. Wirksamen Schutz gegen unerlaubte Datenzugriffe bieten Web Application Firewalls (WAFs) zwischen Anwender und Webanwendung, die nur gültige URLs zulassen und somit Backend-Systeme vor illegalem Zugriff schützen.

    Annahme 2: Die Sicherheit von Webanwendungen muss schon bei der Entwicklung sichergestellt werden.

    Natürlich lassen Applikationsentwickler Sicherheitsaspekte in die Entwicklung einfließen. Im späteren Einsatz ist die Anwendung ein Bestandteil einer komplexeren IT-Landschaft, auf die der Entwickler keinen Einfluss mehr hat. Hinzu kommt, dass Entwickler auch nur die Risiken berücksichtigen können, die zum Zeitpunkt der Entwicklung bekannt sind.

    Annahme 3: Wir verschlüsseln den gesamten Datenverkehr mit SSL (HTTPS) und das reicht.

    Das SSL-Netzwerkprotokoll gewährleistet den sicheren Datenverkehr zwischen dem Anwender beziehungsweise Webbrowser und dem Server, nicht die Absicherung des Servers selbst. Auch Hacker nutzen diesen Schutz. So gelangen ihre Angriffe über diesen Weg „sicher“ und verschlüsselt bis zum Firmen-Webserver. Um diese Attacken früh genug zu erkennen, müssen SSL-verschlüsselte Verbindungen spätestens an den Unternehmensgrenzen enden – leistungsfähige WAFs verschaffen an diesem Punkt die nötige Kontrolle.

    Annahme 4: Unsere Systeme sind immer aktuell gepatcht und wir lassen regelmäßig einen automatischen Scanner laufen, da ist alles auf Grün.

    Automatische Scanner liefern einen Überblick über Schwachstellen in einer Unternehmens-IT – die meisten Angriffe auf Webapplikationen erkennen sie jedoch nicht. Trotz eines positiven Scan-Ergebnisses können Hacker unbemerkt in die Webapplikation eingedrungen sein. Um gezielten Datendiebstahl aufzudecken, empfiehlt es sich daher, einen professionellen Penetrationstest durchzuführen.

    Annahme 5: Unsere Webapplikationen sind sicher, bei uns ist noch nie etwas passiert.

    Laut Gartner sind drei von vier Webanwendungen angreifbar, wobei drei Viertel aller Angriffe sogar direkt auf Webapplikationen zielen. Dabei hinterlassen Hackerzugriffe auf Webanwendungen oft keine Spuren und werden nicht entdeckt, weil die Daten nicht verschwinden oder verändert werden – alle Anwendungen funktionieren normal weiter und es werden auch keine Systemzugriffe verzeichnet. Um auch gegen diese Angriffe gewappnet zu sein, ist ein dynamischer Schutz nötig, der sich an der konkreten Applikation orientiert und nicht an Tausenden (reaktiver, häufig sogar veralteter) Signaturen.

    Annahme 6: Bei uns gab es Angriffe, aber es sind keine Daten gestohlen worden.

    Das Problem ist, dass elektronischer Datendiebstahl meist nicht von normalen Anwendungszugriffen zu unterscheiden ist. Somit kann das Unternehmen nicht wissen, ob und wie lange schon jemand Daten über eine Schwachstelle elektronisch kopiert hat – diese Art des Angriffs hinterlässt schließlich keinerlei Spuren. Am wirksamsten ist daher der proaktive Schutz der Systeme mit Security-Lösungen mit mehreren Sicherheitsstufen. Der wichtigste Filter ist die Authentisierungsabfrage an den Benutzer, die den Anwendungen vorgelagert ist. Sie stellt sicher, dass nur Befugte Zugang erhalten und überhaupt mit dem Applikationsserver interagieren dürfen.

    Annahme 7: Wir nutzen bereits einen Reverse-Proxy-Server und setzen die besten und teuersten Firewalls ein, sogar zwei verschiedene hintereinander.

    Netzwerk-Firewalls prüfen möglichst in Echtzeit den Datenverkehr zum Webserver beziehungsweise die Signaturen und Protokolle der Nutzeranfragen an den Server. Die Firewall erkennt hauptsächlich einfache Angriffe mit vordefinierten Signaturen. Um die meist getarnten Hackerangriffe zu identifizieren, müsste eine Firewall mindestens zusätzlich auf den verschlüsselten Datenverkehr zugreifen können. Dies ist meist nicht der Fall.

    Die 1984 gegründete Ergon Informatik AG ist führend in der Herstellung von individuellen Softwarelösungen und Softwareprodukten. Die Basis für den Erfolg: 240 hoch qualifizierte IT-Spezialisten, die dank herausragendem Know-how neue Technologietrends antizipieren und mit innovativen Lösungen Wettbewerbsvorteile sicherstellen. Ergon realisiert hauptsächlich Großprojekte im B2B-Bereich.

    Die Airlock Suite kombiniert die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die in punkto Usability und Services Maßstäbe setzt. Das Security-Produkt Airlock ist seit dem Jahr 2002 am Markt und heute bei über 350 Kunden weltweit im Einsatz. Weitere Informationen unter www.airlock.com

    Firmenkontakt
    Ergon Informatik AG (PR-Agentur)
    Sven Kersten-Reichherzer
    Sendlinger Straße 42 A
    80331 München
    +49 (0) 89 211 871 36
    [email protected]
    https://www.airlock.com/de/home/

    Pressekontakt
    Schwartz Public Relations
    Sven Kersten-Reichherzer
    Sendlinger Straße 42 A
    80331 München
    +49 (0) 89 211 871 36
    [email protected]
    http://www.schwartzpr.de

    Tags : Airlock, Hacker, security, Sicherheit, Webanwendung
    Laura Langer

    Laura Langer

    Laura ist als Junior Marketing Manager bei Business Today Network tätig. Zuletzt machte Sie Ihren Master-Abschluss in BWL mit Schwerpunkt Marketing.

    Industrie 4.0

    • Die neue Lobby: Kontaktlose Eingangsoptionen in der Gebäudeplanung nach der Pandemie
      Die neue Lobby: Kontaktlose Eingangsoptionen in der Gebäudeplanung nach der Pandemie
    • Digitale Zwillinge: Unterstützung von Maschinenbauern bei virtuellen Fabrikabnahmetests
      Digitale Zwillinge: Unterstützung von Maschinenbauern bei virtuellen Fabrikabnahmetests
    • Die Implementierung eines Energiemanagementsystems in 3 Schritten
      Die Implementierung eines Energiemanagementsystems in 3 Schritten
    • Carrypicker und die transport logistic 2021: Digitalisierung, Nachhaltigkeit, Potenziale der Künstlichen Intelligenz
      Carrypicker und die transport logistic 2021: Digitalisierung, Nachhaltigkeit, Potenziale der Künstlichen Intelligenz

    Fertigung

    • Zwei von drei Betrieben erlebten 2021 Liquiditätsengpässe durch Zahlungsausfall und -verzug
    • Die Vorteile von modernen ERP-Systemen in der Fertigungsindustrie
      Die Vorteile von modernen ERP-Systemen in der Fertigungsindustrie
    • Hochdynamische Produktions- und Prozessoptimierung: Leadec ist zertifizierter COPA-DATA Bronze Partner
      Hochdynamische Produktions- und Prozessoptimierung: Leadec ist zertifizierter COPA-DATA Bronze Partner
    • Die Zukunft der Fertigung gestalten: Leadec tritt der Open Manufacturing Platform bei
      Die Zukunft der Fertigung gestalten: Leadec tritt der Open Manufacturing Platform bei

    Industrieservice

    • „Sicher gegen Corona“ – Toyota Material Handling erhält Qualitätssiegel des TÜV Hessen
      „Sicher gegen Corona“ – Toyota Material Handling erhält Qualitätssiegel des TÜV Hessen
    • 70% Zeitersparnis durch den Einsatz von IBM Cognos Analytics
      70% Zeitersparnis durch den Einsatz von IBM Cognos Analytics
    • Zerspanungswerkzeuge bequem online bestellen
      Zerspanungswerkzeuge bequem online bestellen
    • Steigende Werkzeugpreise in der zweiten Jahreshälfte 2020
      Steigende Werkzeugpreise in der zweiten Jahreshälfte 2020

    Newsletter abonnieren

    • Alle wichtigen News aus der Businesswelt

    • Kompakt & aktuell

    • Völlig kostenfrei

    • Abmeldung ist jederzeit möglich.


    • Melden Sie sich jetzt an:

      Vielen Dank für Ihre Registrierung! Bitte prüfen Sie Ihren Posteingang oder Spam-Ordner, um das Abonnement zu bestätigen.

    Whitepaper Downloads

    • Hochstapler erwünscht – Eine Handlungsempfehlung für die Logistik
      Hochstapler erwünscht - Eine Handlungsempfehlung für die Logistik
    • Die neue Lobby: Kontaktlose Eingangsoptionen in der Gebäudeplanung nach der Pandemie
      Die neue Lobby: Kontaktlose Eingangsoptionen in der Gebäudeplanung nach der Pandemie
    • Digitale Zwillinge: Unterstützung von Maschinenbauern bei virtuellen Fabrikabnahmetests
      Digitale Zwillinge: Unterstützung von Maschinenbauern bei virtuellen Fabrikabnahmetests
    • Die Implementierung eines Energiemanagementsystems in 3 Schritten
      Die Implementierung eines Energiemanagementsystems in 3 Schritten

    Menü

    • Home
    • Fertigung
    • Industrie 4.0
    • Industrieservice
    • Whitepaper
    • Veranstaltungen

    Information

    • Mediadaten
    • Newsletter abonnieren
    • Newsletter abmelden
    • Impressum
    • Datenschutz
    • AGB

    Weitere BTN Portale

    • IT-Management.today
    • Marketingleiter.today
    • Personalleiter.today
    • Netzwerk.today

    Eine Marke von

    BTN Logo
    © 2020 Produktionsleiter.today | All Rights Reserved