4. Patchen und Scannen reichen
Automatische Scanner geben einen grundlegenden Überblick über Schwachstellen in der Unternehmens-IT - die meisten der heutigen Angriffe auf Web-Applikationen erkennen sie jedoch nicht. Trotz unauffälligem Scan-Ergebnis können Hacker unbemerkt in die Web-Applikation eingedrungen sein. Um gezielten Datendiebstahl aufzudecken, empfiehlt es sich daher, einen professionellen Penetration-Test einzusetzen. Er misst den Sicherheits-Level der Applikationsumgebung, sollte aber immer auch die Prüfung manueller Angriffe umfassen, die auf Reverse Engineering (dem Ausnutzen der Kenntnis interner Systemstrukturen) basieren und ein bis zwei Mal pro Jahr vorgenommen werden. Automatische Security Scanner und Penetration-Tests prüfen den aktuellen Zustand einer Systemarchitektur und sind immer nur eine Momentaufnahme, das heißt, sie bieten keinen proaktiven Schutz. Da auch entsprechende Updates und System-Patches nicht sofort zur Verfügung stehen, sollte daher gleichzeitig eine WAF eingesetzt werden, welche die Systeme permanent von außen gegen illegale Server-Zugriffe abschirmt.