Von Dr. Georg Heß, CEO von Art Of Defence. Sein Unternehmen entwickelt und vertreibt Software-Produkte zum Schutz von Web-Anwendungen und Datenbanken vor Hacker-Angriffen und Würmern.
Wer denkt, seine Web-Anwendung und die dahinter liegenden Datenbanken seien sicher, irrt fast immer. Die E-Business-Unternehmen haben zwar Spezialisten für das Thema Sicherheit: IT-Security-Verantwortliche kümmern sich um die Netzwerk-Sicherheit, Systemadministratoren um den Betrieb - und Entwickler um die Bereitstellung der geforderten Funktionalitäten einer Applikation. Die Sicherheit der Web-Applikation wird nur allzu oft vergessen.
Es entsteht ein "Bermudadreieck" der Zuständigkeiten zwischen den Abteilungen. Und das Fatalste daran: Den Entscheidern ist das nicht einmal bewusst. Ihre Sicherheitsbeauftragten melden, ihr jeweiliger Bereich sei sicher - und haben Recht damit. Nur wird dabei übersehen: Die installierte Alarmanlage sichert das Erdgeschoss und den ersten Stock, das Dachfenster hingegen ist offen. Analog schützen die klassischen Schutzschilde wie Firewalls, Reverse Proxys oder Intrusion-Detection-Systeme die unteren Transportschichten einer Web-Anfrage.
Die höher liegende "Anwendungsschicht" aber, mit ihren speziellen Charakteristika wie dem verwendeten Web-Framework, der speziellen Anwendungslogik und allen notwendigen Nutzereingaben, wird nicht geprüft.
Hackerangriffe auf Webanwendungen
Dabei gäbe es dafür allen Grund: Aktuellste Studien wie der Forrester Research zur IT-Security in Europa 2007 warnen, dass der größte Teil aller Angriffe im Netz Web-Anwendungen betrifft. Eine Gefahr, der sich die Unternehmen oftmals gar nicht bewusst sind. Haften muss die Geschäftsleitung: Das Ausspionieren von kritischen Kunden- und Mitarbeiterdaten wie Preisstrategien, Bezugswege, Produktgeheimnisse oder Vertragsdaten kann richtig teuer werden.
In Deutschland verlangen das Datenschutzgesetz, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und Basel II in vielen Fällen sogar eine persönliche Haftung des Managements.
Wichtig zu wissen: Der Anbieter einer Webanwendung trägt nicht nur Verantwortung für eigene Systeme, sondern auch für alle Nutzer der Webanwendung. Wenn Mitte 2008 der Payment Card Industry Standard (PCI) verbindlich wird, so wird die Luft für Unternehmen des E-Business noch dünner.
Denn die Initiative PCI, soll das unberechtigte Abgreifen von Karteninhaberdaten verhindern, indem sie die Sicherheitsvorgaben für die verschiedenen Kartenanbieter auf einen gemeinsamen, verpflichtenden Standard setzt. So werden viele Online-Händler, die Kreditkartendaten erfassen oder speichern, zum Handeln gezwungen. (aro)