Produktionsleiter.today Produktionsleiter.today
  • Top Themen
  • Fertigung
  • Industrie 4.0
  • Industrieservice
  • Whitepaper
  • Logistyx Content Hub
    On-Demand-Webinar: Wie Sie in Krisenzeiten die Risiken für die Supply Chain mindern

    On-Demand-Webinar: Wie Sie in Krisenzeiten die Risiken für die Supply Chain mindern

    Logistik Trends 2023 – die radikalen Veränderungen im Industriesektor

    Logistik Trends 2023 – die radikalen Veränderungen im Industriesektor

    Markenhersteller impfen ihre Lieferketten gegen das Coronavirus

    Markenhersteller impfen ihre Lieferketten gegen das Coronavirus

    Ist Ihr Omni-Channel-Fulfillment dem Weihnachtsgeschäft gewachsen?

    Ist Ihr Omni-Channel-Fulfillment dem Weihnachtsgeschäft gewachsen?

  • Veranstaltungen
Go to...

    7 klassische Denkfehler beim Thema Web Application Security

    Laura LangerLaura Langer
    August 23, 2016

    Obwohl inzwischen weitgehend bekannt ist, dass Webapplikationen ein beliebtes Einfallstor für Hacker sind, halten sich selbst unter erfahrenen Administratoren hartnäckig einige Fehleinschätzungen. Airlock gibt Tipps, in welchen Bereichen ein Umdenken zu Gunsten der Sicherheit dringend nötig ist.

    Annahme 1: Über unsere Webanwendungen erhält man keinen Zugang zu unseren Systemen.

    Gerade Webapplikationen bieten Hackern vielfältige Ansatzpunkte zum Datendiebstahl und gehören daher heute zu ihren bevorzugten Angriffszielen. Das ist kein Wunder, da diese Anwendungen per Definition eine elektronische Schnittstelle zu Daten und Transaktionen darstellen. Eines der größten Missverständnisse hierbei ist, dass bei einem erfolgreichen Angriff nur die Daten der Webapplikation selber in Gefahr sind. Allerdings sind alle an die Anwendung angeschlossenen Systeme und Schnittstellen potenziell ebenfalls betroffen. Wirksamen Schutz gegen unerlaubte Datenzugriffe bieten Web Application Firewalls (WAFs) zwischen Anwender und Webanwendung, die nur gültige URLs zulassen und somit Backend-Systeme vor illegalem Zugriff schützen.

    Annahme 2: Die Sicherheit von Webanwendungen muss schon bei der Entwicklung sichergestellt werden.

    Natürlich lassen Applikationsentwickler Sicherheitsaspekte in die Entwicklung einfließen. Im späteren Einsatz ist die Anwendung ein Bestandteil einer komplexeren IT-Landschaft, auf die der Entwickler keinen Einfluss mehr hat. Hinzu kommt, dass Entwickler auch nur die Risiken berücksichtigen können, die zum Zeitpunkt der Entwicklung bekannt sind.

    Annahme 3: Wir verschlüsseln den gesamten Datenverkehr mit SSL (HTTPS) und das reicht.

    Das SSL-Netzwerkprotokoll gewährleistet den sicheren Datenverkehr zwischen dem Anwender beziehungsweise Webbrowser und dem Server, nicht die Absicherung des Servers selbst. Auch Hacker nutzen diesen Schutz. So gelangen ihre Angriffe über diesen Weg „sicher“ und verschlüsselt bis zum Firmen-Webserver. Um diese Attacken früh genug zu erkennen, müssen SSL-verschlüsselte Verbindungen spätestens an den Unternehmensgrenzen enden – leistungsfähige WAFs verschaffen an diesem Punkt die nötige Kontrolle.

    Annahme 4: Unsere Systeme sind immer aktuell gepatcht und wir lassen regelmäßig einen automatischen Scanner laufen, da ist alles auf Grün.

    Automatische Scanner liefern einen Überblick über Schwachstellen in einer Unternehmens-IT – die meisten Angriffe auf Webapplikationen erkennen sie jedoch nicht. Trotz eines positiven Scan-Ergebnisses können Hacker unbemerkt in die Webapplikation eingedrungen sein. Um gezielten Datendiebstahl aufzudecken, empfiehlt es sich daher, einen professionellen Penetrationstest durchzuführen.

    Annahme 5: Unsere Webapplikationen sind sicher, bei uns ist noch nie etwas passiert.

    Laut Gartner sind drei von vier Webanwendungen angreifbar, wobei drei Viertel aller Angriffe sogar direkt auf Webapplikationen zielen. Dabei hinterlassen Hackerzugriffe auf Webanwendungen oft keine Spuren und werden nicht entdeckt, weil die Daten nicht verschwinden oder verändert werden – alle Anwendungen funktionieren normal weiter und es werden auch keine Systemzugriffe verzeichnet. Um auch gegen diese Angriffe gewappnet zu sein, ist ein dynamischer Schutz nötig, der sich an der konkreten Applikation orientiert und nicht an Tausenden (reaktiver, häufig sogar veralteter) Signaturen.

    Annahme 6: Bei uns gab es Angriffe, aber es sind keine Daten gestohlen worden.

    Das Problem ist, dass elektronischer Datendiebstahl meist nicht von normalen Anwendungszugriffen zu unterscheiden ist. Somit kann das Unternehmen nicht wissen, ob und wie lange schon jemand Daten über eine Schwachstelle elektronisch kopiert hat – diese Art des Angriffs hinterlässt schließlich keinerlei Spuren. Am wirksamsten ist daher der proaktive Schutz der Systeme mit Security-Lösungen mit mehreren Sicherheitsstufen. Der wichtigste Filter ist die Authentisierungsabfrage an den Benutzer, die den Anwendungen vorgelagert ist. Sie stellt sicher, dass nur Befugte Zugang erhalten und überhaupt mit dem Applikationsserver interagieren dürfen.

    Annahme 7: Wir nutzen bereits einen Reverse-Proxy-Server und setzen die besten und teuersten Firewalls ein, sogar zwei verschiedene hintereinander.

    Netzwerk-Firewalls prüfen möglichst in Echtzeit den Datenverkehr zum Webserver beziehungsweise die Signaturen und Protokolle der Nutzeranfragen an den Server. Die Firewall erkennt hauptsächlich einfache Angriffe mit vordefinierten Signaturen. Um die meist getarnten Hackerangriffe zu identifizieren, müsste eine Firewall mindestens zusätzlich auf den verschlüsselten Datenverkehr zugreifen können. Dies ist meist nicht der Fall.

    Die 1984 gegründete Ergon Informatik AG ist führend in der Herstellung von individuellen Softwarelösungen und Softwareprodukten. Die Basis für den Erfolg: 240 hoch qualifizierte IT-Spezialisten, die dank herausragendem Know-how neue Technologietrends antizipieren und mit innovativen Lösungen Wettbewerbsvorteile sicherstellen. Ergon realisiert hauptsächlich Großprojekte im B2B-Bereich.

    Die Airlock Suite kombiniert die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die in punkto Usability und Services Maßstäbe setzt. Das Security-Produkt Airlock ist seit dem Jahr 2002 am Markt und heute bei über 350 Kunden weltweit im Einsatz. Weitere Informationen unter www.airlock.com

    Firmenkontakt
    Ergon Informatik AG (PR-Agentur)
    Sven Kersten-Reichherzer
    Sendlinger Straße 42 A
    80331 München
    +49 (0) 89 211 871 36
    [email protected]
    https://www.airlock.com/de/home/

    Pressekontakt
    Schwartz Public Relations
    Sven Kersten-Reichherzer
    Sendlinger Straße 42 A
    80331 München
    +49 (0) 89 211 871 36
    [email protected]
    http://www.schwartzpr.de

    Tags : Airlock, Hacker, security, Sicherheit, Webanwendung
    Laura Langer

    Laura Langer

    Laura ist als Junior Marketing Manager bei Business Today Network tätig. Zuletzt machte Sie Ihren Master-Abschluss in BWL mit Schwerpunkt Marketing.

    Industrie 4.0

    • Samsara entscheidet sich für e2open zur Automatisierung und Vernetzung der Wertschöpfungskette
      Samsara entscheidet sich für e2open zur Automatisierung und Vernetzung der Wertschöpfungskette
    • Protolabs erweitert Auswahlmöglichkeiten der Oberflächenqualität für noch bessere Ergebnisse im 3D-Druck
      Protolabs erweitert Auswahlmöglichkeiten der Oberflächenqualität für noch bessere Ergebnisse im 3D-Druck
    • Internationale Fertigung bei Cleanfix
      Internationale Fertigung bei Cleanfix
    • Fokus auf Intralogistik: VAHLE präsentiert neueste Weiterentwicklungen des Produktportfolios
      Fokus auf Intralogistik: VAHLE präsentiert neueste Weiterentwicklungen des Produktportfolios

    Fertigung

    • Protolabs erweitert Auswahlmöglichkeiten der Oberflächenqualität für noch bessere Ergebnisse im 3D-Druck
      Protolabs erweitert Auswahlmöglichkeiten der Oberflächenqualität für noch bessere Ergebnisse im 3D-Druck
    • Anwendungen von Elektromagneten in der Industrie
      Anwendungen von Elektromagneten in der Industrie
    • Internationale Fertigung bei Cleanfix
      Internationale Fertigung bei Cleanfix
    • InterSystems präsentiert neuen Ansatz zur datengetriebenen Prozessautomatisierung
      InterSystems präsentiert neuen Ansatz zur datengetriebenen Prozessautomatisierung

    Industrieservice

    • parts2clean 2022: Bauteilreinigung zukunftsfähig ausrichten
      parts2clean 2022: Bauteilreinigung zukunftsfähig ausrichten
    • Für effiziente Prozesse in der Intralogistik – Aufbauten für AMR einfach online konfigurieren
      Für effiziente Prozesse in der Intralogistik - Aufbauten für AMR einfach online konfigurieren
    • Lufthansa Technik nutzt 3D-Drucker von Formlabs in der Komponentenfertigung für den Flugzeugbau
      Lufthansa Technik nutzt 3D-Drucker von Formlabs in der Komponentenfertigung für den Flugzeugbau
    • „Sicher gegen Corona“ – Toyota Material Handling erhält Qualitätssiegel des TÜV Hessen
      „Sicher gegen Corona“ – Toyota Material Handling erhält Qualitätssiegel des TÜV Hessen

    Newsletter abonnieren

    • Alle wichtigen News aus der Businesswelt

    • Kompakt & aktuell

    • Völlig kostenfrei

    • Abmeldung ist jederzeit möglich.


    • Melden Sie sich jetzt an:

      Vielen Dank für Ihre Registrierung! Bitte prüfen Sie Ihren Posteingang oder Spam-Ordner, um das Abonnement zu bestätigen.

    Whitepaper Downloads

    • Hochstapler erwünscht – Eine Handlungsempfehlung für die Logistik
      Hochstapler erwünscht - Eine Handlungsempfehlung für die Logistik
    • Die neue Lobby: Kontaktlose Eingangsoptionen in der Gebäudeplanung nach der Pandemie
      Die neue Lobby: Kontaktlose Eingangsoptionen in der Gebäudeplanung nach der Pandemie
    • Logistik Trends 2023 – die radikalen Veränderungen im Industriesektor
      Logistik Trends 2023 - die radikalen Veränderungen im Industriesektor
    • Digitale Zwillinge: Unterstützung von Maschinenbauern bei virtuellen Fabrikabnahmetests
      Digitale Zwillinge: Unterstützung von Maschinenbauern bei virtuellen Fabrikabnahmetests

    Menü

    • Home
    • Fertigung
    • Industrie 4.0
    • Industrieservice
    • Whitepaper
    • Veranstaltungen

    Information

    • Mediadaten
    • Newsletter abonnieren
    • Newsletter abmelden
    • Impressum
    • Datenschutz
    • AGB

    Weitere BTN Portale

    • IT-Management.today
    • Marketingleiter.today
    • Personalleiter.today
    • Netzwerk.today

    Eine Marke von

    BTN Logo
    © 2020 Produktionsleiter.today | All Rights Reserved