Aktueller Channel Fokus:

Server & Hyperkonvergenz

Web Application Security

SQL Injection und Cross Site Scripting lehren IT-Kräfte weiter das Fürchten

10.02.2011 | Redakteur: Stephan Augsten

Firmen nehmen die Sicherheit ihrer Web-Anwendungen ungern selbst in die Hand.
Firmen nehmen die Sicherheit ihrer Web-Anwendungen ungern selbst in die Hand.

Viele Unternehmen fürchten Angriffe auf die Firmenwebseite und dahinter liegende Strukturen, so eine Studie des Ponemon-Instituts. Die Sicherheitsbedenken sind den Umfrageergebnissen zufolge durchaus berechtigt: fast drei Viertel der Unternehmen sind in den vergangenen zwei Jahren auf diesem Weg angegriffen worden.

Im Auftrag von Barracuda Networks und Cenzic hat das Ponemon Institute knapp 640 IT- und IT-Security-Fachleute zu ihrer Sicht auf Web Application Security befragt. Immerhin drei Viertel der Studienteilnehmer räumen diesem Thema im Vergleich zu anderen Sicherheitsbereichen eine gleichwertige oder höhere Priorität ein.

Nur ein gutes Drittel der Befragten glaubt, dass Unternehmensführung (Governance) und Richtlinien (Policies) die Nutzung von Webanwendungen angemessen regulieren. Für Nachholbedarf spricht auch, dass 73 Prozent der Unternehmen innerhalb der vergangenen 24 Monate mindestens einen Angriff auf ihre Webanwendungen zu verzeichnen hatten.

Das ist kein Wunder, schließlich reduzieren automatisierte Toolkits den Aufwand, um anfällige Schwachstellen innerhalb einer Website ausfindig zu machen und auszunutzen. Die Angriffsflächen sind in der Regel reichhaltig, da selbst bewährte Standards und Empfehlungen zur sicheren Entwicklung von Webanwendungen gerne unberücksichtigt bleiben.

Warum auf Altbewährtes verzichten?

Man sollte beispielsweise meinen, dass sich Web-Programmierer mittlerweile der Gefahr von SQL-Injection-Anfälligkeiten bewusst sind. Nichtsdestotrotz werden entsprechende Fehler noch immer am häufigsten von den Cyber-Kriminellen ausgenutzt. Ähnlich beliebt sind Angriffe auf XSS-Schwachstellen (Cross Site Scripting) und auf fehlerhafte Eingabeprüfungen.

Um sich selbst etwas aus der Verantwortung zu nehmen, verlassen sich 53 Prozent der Unternehmen auf einen Web-Hosting-Anbieter. Fast ebenso viele der Firmen sichern sich zusätzlich ab, indem sie einen Schwachstellen-Scan beauftragen oder selbst durchführen. Diese Tests beschränken sich jedoch meist auf die Entwicklungsphase; gerade einmal 13 Prozent der Befragten geben an, dass ihr Arbeitgeber Web-Anwendungen auch unter realen Bedingungen testet.

Alles in allem liegen Website-Attacken der Studie zufolge auf Platz eins der gefürchtetsten Sicherheitsrisiken, der durchschnittlich geschätzte Schaden einer Web-Application-Attacke beläuft sich auf 255.000 US-Dollar. Dicht darauf folgen Angriffe auf Netzwerk-Ebene und der Versuch, mithilfe gekaperter Endgeräte das Netzwerk zu infiltrieren.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2049706 / Markt & Trends)