Webanwendungen, Part 2: Die Sache mit der Sicherheit
Teil 2 unserer Reihe zu Webanwendungen. Hier erfahren Sie, welche Sicherheitsprobleme auftreten können, und was Sie dagegen machen können - sowohl als Anwender, als auch als Host.
Vor wenigen Wochen haben wir in einem Blogpost, der in Anlehnung an unsere Neustrukturierung geschrieben wurde, über das Thema Webanwendungen gesprochen. Darin haben wir geklärt, was Webanwendungen sind, wie sie heute allgegenwärtig wurden, und welche Vorteile sie mitbringen. Schnell wurde uns dabei klar, dass Webanwendungen aus der modernen IT nicht mehr wegzudenken sind: sie sind zentralisiert, weitgehend unabhängig von der Plattform, und dank modernen Internetprotokollen und Breitbandanschlüssen schnell und effektiv.
Wäre da nicht die Sache mit der Sicherheit. Es wirkt wie eine Binsenweisheit. Sobald man mit dem Internet verbunden ist, wird man für eine ganze Reihe an Angriffen und Ausspähversuchen verwundbar. Eine Webanwendung ist wie eine Tür in Ihr Unternehmen: unabdingbar für den Alltag, aber gleichzeitig eine Öffnung, durch die Einbrecher in Ihr Haus kommen können.
Auf Webanwendungen verzichten?
Für manche Unternehmen könnte es der erste Instinkt sein, einfach ganz auf Webanwendungen zu verzichten. Warum eine Sicherheitslücke offen lassen, wenn man seine Textverarbeitung auch einfach weiter in Word machen kann?
Erstens kann man im Alltag ohnehin nicht auf Webanwendungen verzichten. Gerade sehr sensible Unternehmensbereiche wie Banking oder ERP werden inzwischen fast nur noch via Web-App gemacht. Ein wichtiger Grund dafür ist, dass Web-Apps auch Sicherheitsvorteile mitbringen: die zentrale Steuerung garantiert, dass Updates gleichermaßen eingespielt werden, und sie erlaubt dem Besitzer der Anwendung, die volle Kontrolle über Sicherheitsaspekte zu behalten.
Sie sehen also: gerade bei fremdgesteuerten Webanwendungen wie Onlinebanking kommen Sie um die Sicherheitsfrage gar nicht herum. In gewissen Aspekten sind Sie da der Integrität Ihres Partners ausgeliefert. Risiken können dennoch minimiert werden. Es gibt aber noch einen zweiten Fall. Der wird dann relevant, wenn die Webanwendung bei Ihnen selbst läuft, oder wenn Sie zumindest für die Daten verantwortlich sind. Dann gibt es mehr Vektoren zu beachten.
Nur bedingt empfehlenswert: Emails als Webanwendung.
Webanwendungen als User
Wenn Sie eine Webanwendung eines anderen Unternehmens nutzen – zum Beispiel wenn Sie über Ihre Bank im Browser Onlinebanking betreiben, oder wenn Sie Ihren Email-Verkehr über eine Plattform wie Google Mail abwickeln – dann sind Ihre Eingriffsmöglichkeiten in Sachen Sicherheit naturgemäß beschränkt.
Bei empfindlichen Kanälen sollte es deshalb oberste Devise sein, so viel wie möglich selbst zu hosten. Das ist natürlich nicht immer möglich. Ihre Bank wird wohl kaum Ihr Onlinebanking auf Ihrem Haussystem laufen lassen. Gerade Email- und andere Kommunikationssysteme kann man aber relativ einfach in-house hosten (z.B. via einem eigenen Matrix-Server anstatt per Telegram oder Whatsapp, oder mit einer Firmenmail anstatt Google).
Bei zentral gesteuerten Web-Apps hat man es immerhin in der Hand, die bestehenden Angriffsvektoren durch Human Engineering zu klein wie möglich zu halten. Nutzen Sie immer sichere Passwörter, fallen Sie nicht auf Phishing herein, und steuern Sie vor allem Webanwendungen nur mit einem upgedatetem Browser an.
Web-Apps auf Seiten des Hosts
Wenn Sie eine Webanwendung selbst hosten, dann haben Sie viel mehr Möglichkeiten, einen Durchbruch entweder zu verhindern, oder seine Auswirkungen einzugrenzen. Für letzteres ist es zunächst wichtig, sein System sicher einzurichten und mit mehrstufigen Privilegien auszustatten. Das bedeutet, dass nicht jeder User Zugriff auf alle Teile des Systems hat. Ist also ein Account kompromittiert, dann kann er nur begrenzt Daten einsehen und stehlen.
Es ist aber auch möglich, Webanwendungen zu attackieren, ohne sich vorher anzumelden. Anwendungen aller Art beinhalten in der Regel die Möglichkeit, dass User Textinformationen an das System senden können – zum Beispiel in Form einer Suchanfrage oder einer Adresseneingabe. Hacker können diese Eingabe benutzen, um Codebefehle an den Servercomputer zu schicken. Darum ist es wichtig, solche Eingaben vorher von ausführbarem Code zu bereinigen.
Findige Hacker können sich auch auf Schnittstellen stürzen, also auf die empfindlichen Punkte, an denen sich das User-System mit dem Host-System verbindet. Wir haben an anderer Stelle schon mehr zu Schnittstellen bzw. APIs geschrieben. Ganz besonders fortgeschritten sind Hijacking-Angriffe; hier fährt ein Angreifer quasi schwarz mit einem Anwender mit, um Zugriff zum Host-System zu bekommen.
Profis bei der Arbeit: Amateure können ihr System nur bedingt schützen.
Hier sind Experten gefragt
Wie kann man sich gegen solche Angriffe schützen? Zum einen ist es wichtig, seine Host-Software immer auf den neuesten Stand zu halten. Updates schließen Sicherheitslücken und sind das beste Schild gegen unwillkommene Gäste. Es ist außerdem wichtig, bei möglichen Durchbrüchen einzelne Bereiche abschotten zu können. Das haben wir schon oben angesprochen. Drittens sollten die Kommunikationskanäle als Schutz gegen Hijacking- und Schnittstellenangriffe zumindest rudimentär verschlüsselt werden. Https ist Pflicht!
Bei wirklich komplexen und empfindlichen System empfehlen wir, dafür und für weitere Sicherheitsmaßnahmen einen Profi zuzuziehen. Nicht nur, weil es in unserem kommerziellen Interesse ist. Sicherheitsfragen sind immer ein Katz- und Mausspiel. Man benötigt eine ordentliche Menge an Zeit und Erfahrung, um da immer einen Schritt voraus zu sein.
Mit diesen Worten möchten wir unseren Artikel zu Webanwendungen beschließen. Wir hoffen, dass Sie etwas Neues und Interessantes mitnehmen konnten. Bei weiteren Fragen zum Thema zögern Sie nicht, mit uns Kontakt aufzunehmen. Wenn Sie an dem Hosting von Systemen interessiert sind, schauen Sie doch mal auf der Webseite unseres Systemhauses vorbei. Wenn Sie schließlich Interesse an einem ERP-System haben, dann sehen Sie sich unsere ERPNext-Landingpage an.
Beitrag vom 05.12.2022