Webapplikationen: Einfallstor für Spione
Artikel erschienen in Swiss IT Magazine 2006/21
Vielfalt und Häufigkeit von Attacken auf Webapplikationen steigen kontinuierlich und nehmen bedrohliche Ausmasse an; mittlerweile finden rund 75 Prozent aller Angriffe auf Applikationsebene statt. Immer raffinierter werdende Methoden der Hacker erhöhen dabei das Schadenspotential enorm. Mit verblüffender Leichtigkeit gelangen Angreifer an vertrauliche Benutzerdaten, lösen betrügerische Transaktionen aus, legen ganze Systeme lahm, verunstalten Webseiten oder betreiben ganz gezielt Wirtschaftsspionage. Beunruhigend ist insbesondere, dass von den Opfern in den meisten Fällen höchstens dilettantische Fehlversuche registriert werden – erfolgreiche Attacken bleiben meist im Dunkeln verborgen und werden nicht erkannt.
Ein wichtiger Grund für die deutliche Zunahme der Angriffe
auf Anwendungsebene ist deren gestiegener Stellenwert in zahlreichen Unternehmen. Immer mehr Firmen setzen auf den Einsatz von webbasierten Applikationen, um so beispielsweise neue Kunden zu gewinnen, die Kosteneffizienz zu verbessern, die Geschwindigkeit zu steigern oder einen Wettbewerbsvorteil zu erzielen. Die Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit der Informationen ist dadurch zu einer essentiellen Voraussetzungen für den geschäftlichen Erfolg geworden. Durch eine Verletzung dieser Grundbedingungen kann sehr schnell grosser materieller Schaden oder auch Image- und Vertrauensverlust entstehen.
Damit Webapplikationen effektiv und effizient eingesetzt werden können, müssen sie bequem zugänglich sein. Dadurch exponiert sich jedes Unternehmen und wird entsprechend verwundbar. Weil Webserver stets elektronische Schnittstellen zu internen Ressourcen wie zum Beispiel Datenbanken mit unternehmenskritischen Informationen sind, bieten sie für Hacker eine äusserst attraktive Angriffsplattform – und stellen immer ein potentielles Risiko dar.
Genau diesen Umstand machen sich die kriminellen Elemente zunutze. Längst greifen sie deshalb nicht mehr die besser geschützten Netzwerke an, denn Attacken auf der Anwendungsebene sind um ein Vielfaches einfacher und erst noch wirkungsvoller. Auch wenn heute die meisten Anwendungen bereits im Umfeld einer mehr oder weniger sicheren Infrastruktur laufen, die Applikationsebene als solche steht dennoch meist völlig offen. Dies erspart dem Eindringling die Zeit und die Mühe, etwa zunächst ein Firewall-System lahmlegen zu müssen. Vielmehr kann er sich als anonymer Benutzer ausgeben, sämtliche Systeme wie vorgesehen verwenden und sich von seinem Browser aus bis zur Applikationsserver-Datenbank verbinden lassen. Dort kann er mögliche Schwachstellen in aller Ruhe auskundschaften und für seine Zwecke nutzen.
Dabei tarnen professionelle Hacker ihre Einbrüche so gekonnt, dass diese oft nicht erkannt werden und sensitive Daten ohne übermässigen Aufwand extrahiert werden können; auf diese Weise werden beispielsweise zum Zwecke der Industriespionage still und unbemerkt komplette Datenbestände mit vertraulichen Kunden- und Wirtschaftsdaten oder Passwörtern aus einem System abgezogen. Und weil sich die Angriffe für die betroffene Applikation meist nicht von gültigen Anfragen unterscheiden, hinterlassen sie auch keine nachvollziehbaren Spuren. Das System funktioniert weiter – als ob nicht das Geringste geschehen wäre.
Dies vermittelt vielen Unternehmen ein vermeintliches Gefühl von Sicherheit und lässt sie annehmen, dass ihre Webapplikationen vor Angriffen geschützt seien. Diese Vermutung ist – wie bereits dargelegt – gerade bei versteckten applikatorischen Angriffen aber äusserst fragwürdig, weil erfolgreiche Angriffe eben gar nicht erst festgestellt werden. Dementsprechend geht auch der Trend bei der Entwicklung von Malware eindeutig in Richtung Qualität statt Quantität, um so spezifische Systeme mit einem klar definierten Ziel direkt anzugreifen.
Der Angreifer hat dabei sämtliche Vorteile auf seiner Seite: Er muss lediglich eine einzelne Schwachstelle im anvisierten System ausfindig machen, um erfolgreich zu sein. Das betroffene Unternehmen jedoch muss jede nur theoretisch denkbare Variante voraussehen, um die Anwendung wirksam zu schützen. Zudem muss diese laufend auf dem neusten Sicherheitsstand gehalten werden. Die Praxis hingegen zeigt, dass Webapplikationen nach der funktionalen Fertigstellung im besten Fall diejenigen Angriffsmethoden ansatzweise verhindern, die den Programmierern zum Zeitpunkt der Entwicklung bekannt waren. Beim aktuellen Bedrohungsszenario reicht das allerdings bei weitem nicht aus. Denn die kriminellen Innovationen in der Hackerszene können nicht treffsicher prognostiziert werden. Und damit verfügt der Eindringling immer über einen Informationsvorsprung.
Aber nicht nur die Methoden der Hacker haben sich gewandelt, sondern auch ihre Motive. Ging es früher oft darum, die Fähigkeit, in fremde Systeme eindringen zu können, unter Beweis zu stellen, stehen heute handfeste finanzielle Interessen oder das gezielte Ausspionieren im Vordergrund.
Zu diesem Schluss gelangt auch der letzte Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI: www.melani.admin.ch). Unter anderem wird dort festgehalten, dass Fälle von Industriespionage markant zugenommen haben. Abgesehen von kritischen nationalen Infrastrukturen oder Militärsystemen, ist vermehrt auch die Privatwirtschaft ins Visier der Cyber-Kriminellen gerückt. Mit ausschliesslich für den jeweiligen Angriff entwickelten trojanischen Pferden und unter Einsatz ausgeklügelter Social-Engineering-Methoden werden so systematisch ökonomisch oder strategisch wertvolle Informationen gestohlen. Entsprechend wurden rund drei Viertel der in letzter Zeit entdeckten Malware zur Sammlung vertraulicher Daten entwickelt.
Bezüglich organisierter Kriminalität bilden, auch das bestätigt der MELANI-Bericht, die immer grösser werdenden Botnetze einen weiteren Schwerpunkt. Von ihnen geht mittlerweile die grösste Gefahr aus. Mit teilweise mehr als einer Million Zombie-Rechnern unter ihrer Kontrolle verdienen organisierte Banden viel Geld mit cyberkriminellen Aktivitäten: Spam-Versand, illegale Installation von Adware, Diebstahl von Login-, Kreditkarten- und E-Banking-Daten oder Erpressung mit der Verschlüsselung von Dateien sind nur einige davon.
Die Bekämpfung dieser Botnetze stellt ein grosses Problem dar,
da einerseits Computer ahnungsloser Heimanwender, aber auch Firmen-, Universitäts- und Regierungssysteme infiziert sind. Diese lassen sich ohne grossen Aufwand nicht so einfach identifizieren und benachrichtigen. Andererseits finden Botnetzbetreiber stets neue Mittel und Wege, um ihre kriminellen Machenschaften raffiniert zu tarnen und sich so unerkannt im Internet hinter einer Fassade der Anonymität zu verbergen. Zudem können mit minimalen Investitionen schnelle Erfolge erzielt werden – das macht die ganze Sache noch lukrativer. Und das Risiko, dabei aufgespürt und juristisch belangt zu werden, ist äusserst gering, weil den Strafverfolgungsbehörden oft – speziell in der länderübergreifenden Zusammenarbeit – die notwendigen rechtlichen Instrumente sowie die personellen Ressourcen fehlen.
Welches Fazit kann aus der beschriebenen aktuellen Situation gezogen werden? Tatsache ist, dass sich der Fokus – unabhängig davon, ob es sich nun um Wirtschaftsspionage oder organisierte Kriminalität handelt – in beiden Fällen weg von der Suche nach Verwundbarkeiten des Betriebssystems hin zum Aufspüren und Ausnutzen von Sicherheitslücken bei Webapplikationen verlagert. Einerseits hat sich die Bedrohungslage durch die Professionalisierung der Hacker und den damit einhergehenden neuen Angriffsformen auf Applikationsebene fundamental gewandelt. Andererseits werden die Gefahren von Wirtschaftsspionage und organisiertem Verbrechen von vielen Firmen nach wie vor unterschätzt oder verharmlost.
Die Realität macht aber einen wirksamen und umfassenden Schutz von Webapplikationen unabdingbar – dessen sollte sich jedes Unternehmen bewusst werden und die erforderlichen Schritte in die Wege leiten. Durch die Kombination von vorgelagerten Sicherheitsfunktionen in einem Application Security Gateway und geeigneten Massnahmen in der Applikationsentwicklung können die Risiken für Angriffe so tief wie nur möglich gehalten werden.
Die angestrebte Informationssicherheit darf dabei allerdings nicht ohne Einbezug von Prozessen, den betroffenen Menschen sowie der übergeordneten Geschäftsziele betrachtet werden. Letztlich bilden die technologischen Lösungen nur einen Teil der gesamten Sicherheit. Ebenso entscheidend ist es, eine Sicherheitskultur innerhalb der Organisation zu etablieren, die von den Mitarbeitern, den IT-Verantwortlichen und der Geschäftsleitung gleichsam mitgetragen wird.
· Die Gefahr der Wirtschaftsspionage via Webapplikationen ist noch nicht ausreichend im Bewusstsein verankert und erleichtert den Angreifern die Arbeit.
· 75 Prozent sämtlicher Angriffe auf die IT-Infrastruktur finden heute auf Applikationsebene statt.
· Die Hackerszene agiert zunehmend professioneller und wird mittlerweile mehrheitlich von finanziellen Motiven geleitet.
· Gezielte Spionageangriffe gegen Privatanwender, Unternehmen und staatliche Institutionen haben erheblich zugenommen.
· Rund drei Viertel der aktuell entdeckten Malware wird zur Sammlung vertraulicher Informationen entwickelt und eingesetzt.
· Die Kombination von vorgelagerten Sicherheitsfunktionen und geeignete Massnahmen in der Applikationsentwicklung können die Risiken für Angriffe minimieren.
Roland Heer ist CEO der
Visonys AG.