Tipps, wie Unternehmen SQL Injections verhindern
Immer das große Ganze im Auge behandeln
Cyber-Kriminelle verbessern ihre Taktiken unermüdlich und in schneller Abfolge. Dabei suchen sie immer nach dem Weg, der den geringsten Widerstand verspricht und werden zum Beispiel durch Schwachstellen wie SQL Injections fündig. Deshalb müssen Unternehmen kontinuierlich alle ihre Web-Anwendungen überprüfen - egal ob diese In-House oder extern entwickelt wurden, egal ob Anwendungen geschäftskritisch sind oder nicht und sowohl vor als auch nachdem sie eingesetzt werden. Vollständige Transparenz aller Perimeter von Web-Anwendungen ist eine wichtige Voraussetzung, um den Diebstahl von vertraulichen Kunden- und Unternehmensdaten zu verhindern.
Was umständlich klingt, muss nicht zwangsläufig eine mühsame Aufgabe sein, für die Unternehmen teure Berater engagieren und ihre Entwicklungszyklen verlangsamen müssen. Es gibt bereits automatisierte, SaaS-Assessment-Lösungen, die sich über Schnittstellen direkt in agile Entwicklungsprozesse integrieren lassen. Zudem können Unternehmen auf parallel-laufende, automatisch skalierende Cloud-Infrastrukturen zurückgreifen, um Tausende von Produktions-Webseiten gleichzeitig zu analysieren. Stationäre Server, die nur eine Handvoll Applikationen gleichzeitig scannen, gehören damit der Vergangenheit an. Um schnell unbekannte Seiten zu identifizieren, die sich außerhalb der Unternehmens-IP-Bandbreite befinden, lassen sich außerdem verschiedene Techniken kombinieren: DNS Keyword-Suchen, produktionssicheres Crawling, Analysen von Page Redirects und maschinelles Lernen. So werden in der Praxis durchschnittlich etwa 40 Prozent mehr Webseiten gefunden, als die, derer sich Unternehmen bewusst sind.
Kontinuierlich überwachen und testen
Nur wenn ein Unternehmen die komplette Bandbreite seiner Web-Perimeter kennt, lässt sich schnell erkennen, welche der Web-Anwendungen Schwachstellen für Angriffe wie SQLi und Cross-Site Scripting bieten. Aber: Alljährliche einmalige Ad-Hoc-Tests reichen da nicht aus. Vielmehr sollten Unternehmen auf automatisierte Cloud-basierte Lösungen zurückgreifen, um ihre Anwendungen kontinuierlich zu überprüfen. Nur so lassen sich Angriffe auf Anwendungsebene verhindern - auch gegen Angriffswellen wie Heartbleed und Shellshock.
Pragmatisch schonungslos sein
Natürlich können Unternehmen ihr Sicherheitsrisiko ganz schnell reduzieren, wenn sie "vergessene" oder ungepatchte Seiten, die nicht länger gebraucht werden, einfach abschalten - ein Quick Win. So rabiat müssen sie aber gar nicht sein, wenn sie die Intelligenz von automatisierten Sicherheits-Assessments in ihre Web Application Firewalls integrieren - sozusagen als "virtuellen Patch", der das Unternehmen so lange schützt bis etwaige Schwachstellen im Anwendungscode selbst behoben worden sind.
- Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ... - Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert. - Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll. - Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen. - Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden. - Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht. - Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle. - Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift. - Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!
Fazit
Cyber-Kriminalität wird immer komplexer - es ist unmöglich, eine Unternehmensinfrastruktur aufzubauen, die komplett undurchdringbar ist. Dennoch haben Unternehmen die Möglichkeit und auch die Verantwortlichkeit, Risiken soweit wie möglich einzudämmen. Auf Anwendungsebene hilft das kontinuierliche Monitoring aller Applikationen mit skalierbaren und automatisierten Cloud-basierten Lösungen. (hal)