Sicherheit im Web 2.0 – fünf Fragen an den Technischen Botschafter

Sicherheit im Web 2.0 – fünf Fragen an den Technischen Botschafter

Das Internet hat sich in den letzten Jahren stark verändert: Statische Seiten sind Portalen gewichen, die eine Interaktion von Website-Besuchern oder die Abwicklung ganzer Geschäftsprozesse erlauben. Dahinter verbirgt sich eine Menge Technik und damit ein erhebliches Gefahrenpotenzial – immer wieder werden Sicherheitslücken ausgenutzt. Zu den Herausforderungen, die sich daraus für die Anbieter von IT-Sicherheitslösungen ergeben, befragten wir den Technischen Botschafter Alexander von Gernler, der bei genua für Kontakte zu Forschungseinrichtungen zuständig ist.

Alexander von Gernler: Es ist richtig. Die Softwarewelt da draußen wird immer komplexer. Der Quellcode des Browsers Mozilla-Firefox hat in der Größe oder in der Anzahl an Codezeilen etwa den Quellcode des Linux-Kernels locker hinter sich gelassen. Und der Linux-Kernel ist nicht etwa klein – es ist der Quellcode eines ganzen Betriebssystemkerns. Dass sich bei wachsender Komplexität auch immer mehr Sicherheitslücken einschleichen, liegt leider auf der Hand.

Was Firewalls betrifft: Seit Web 2.0 wird das HTTP-Protokoll zu oft nur noch als Transportprotokoll benutzt, einfach deswegen, weil jede Firewall es durchlässt. Die eigentliche Unterscheidung, ob ein transferierter Inhalt gut oder böse, erwünscht oder nicht erwünscht ist, kann also nicht mehr auf einer reinen Paketfilterebene getroffen werden, sondern es muss in höhere Schichten der Protokolle hineingeschaut werden. Klassische Paketfilterfirewalls greifen hier also nicht mehr. Glück für uns, denn genua setzt bei der Firewall genugate seit fast 20 Jahren auf die so genannte Application Level Inspection. Den neuen Trend "Deep Data Inspection", der jetzt als Reaktion auf die Sicherheitsprobleme des Web 2.0 aufkommt, haben wir gewissermaßen längst vorweggenommen.

Einfallstore schließen und Datenströme prüfen

Wir lesen in Statistiken, dass Unternehmen, die Web 2.0 als einen Kanal zur Kommunikation mit Marktpartnern verstärkt nutzen, eine höhere Produktivität und Profitabilität erreichen. Web 2.0-Plattformen können unter anderem die TTM (time to market) verkürzen, Customer Support-Kosten verringern und Einkaufs- und Absatzprozesse verschlanken. Wie können Unternehmen diese Vorteile für sich nutzen, ohne unüberschaubare Risiken einzugehen?

Alexander von Gernler: Wenn man als Unternehmen selbst eine Web 2.0-Plattform zur Kommunikation mit Kunden betreibt, kann ich nur dazu raten, die verwendeten Technologien und Softwarepakete einem ernsthaften Security-Audit zu unterziehen. Dieser Audit sollte erfolgen, bevor die Plattform online geht, und regelmäßig wiederholt werden. Praktisch alle verwendeten Skriptsprachen wie PHP, Ruby etc., und praktisch alle damit gebauten CMS-, Blog- oder Wiki-Systeme hatten schon einmal ihre Sicherheitslücken. Viel kann man durch eine gute Betreuung der Site und regelmäßige Updates in den Griff bekommen. Und jemand sollte ein Auge auf das Gesamtsystem werfen: Wurden Betriebssystem, Datenbank und Frontend richtig zusammengesteckt, klaffen noch irgendwo Lücken oder sind Standard-Passwörter gesetzt? Gegen den nächsten "Zero-Day" ist man natürlich immer machtlos. Kaum etwas ist aber so peinlich wie eine aufgehackte Web-Präsenz, das gilt für Web 2.0 ganz genau wie für die Firmenhomepage. genua ist ja auch mit dem firmeneigenen Blog auf einer Typo3-Plattform unterwegs. Dem ging aber eine lange Testphase sowie sogar eine Beratung durch eine externe Firma voraus, die sich mit der Suite gut auskennt. Genau aus den oben genannten Gründen.

Unter dem Projektnamen "Padiofire" forscht genua zusammen mit verschiedenen Universitäten und gefördert vom Bundesministerium für Bildung und Forschung mit dem Ziel, eine Web 2.0 Firewall anbieten zu können. Vor welchen Gefahren wird diese Lösung Schutz bieten? Wie ist der momentane Stand?

Alexander von Gernler: Das Forschungsprojekt "Padiofire" läuft seit Mitte 2011 und wird im dritten Quartal dieses Jahres abgeschlossen sein. Durch die Zusammenarbeit mit zwei Universitäten haben wir Einblicke bekommen, die wir sonst als Unternehmen der freien Wirtschaft nur schwer hätten bekommen können. Zu den bisherigen Ergebnissen kann ich sagen, dass wir auf der Ebene der Application Level Gateways durchaus Möglichkeiten haben, Web 2.0-Applikationen gegen bestimmte Teile der heute bekannten Angriffe abzusichern. Je nachdem, ob ich die Firewall vor dem Webserver oder dem Client aufstelle, kann ich hier unterschiedliche Ergebnisse erreichen. Es muss heute jedenfalls nicht mehr sein, dass beispielsweise alle Arten von Cross Site Scripting (XSS) oder CSRF (Cross Site Request Forgery) einfach so durch kommen. Es gibt natürlich noch viel mehr dieser Angriffe, und einige sind mit diesen Mitteln auch nicht zu verhindern. Viele Angriffe arbeiten jedenfalls mit JavaScript-Schadcode. Dadurch, dass JavaScript aber ein praktisch unverzichtbarer Bestandteil fast aller Web 2.0-Technologien ist, kann man es nicht einfach komplett blocken – es muss aufwändig inspiziert und gefiltert werden.

Dennoch: Ein Application Level Gateway, das in der Mitte den Datenverkehr leicht verändert, macht es dem Angreifer schon deutlich schwerer. Früher wurde solche Funktionalität auch mit dem Begriff "Web Application Firewall" beworben – vielleicht erinnert sich der eine oder andere noch daran.

Wir sind jedenfalls dabei, darüber hinaus die Ergebnisse aus dem Forschungsprojekt Schritt für Schritt zur Verbesserung unserer Firewall genugate zu verwerten und uns für die neuen Bedrohungen, die mit Web 2.0 einhergehen, fit zu machen.

Wie viel Sicherheit ist im Web 2.0 machbar?

Einige Anbieter bieten schon heute "Firewalls der nächsten Generation" an. Diese Produkte werden aktuell zwischen den Herstellern zum Teil sogar in Form vergleichender Werbung in Bezug auf die Sicherheitsleistung kontrovers diskutiert. Wie sind die eingesetzten Filtertechnologien einzuschätzen?

Alexander von Gernler: Im Dezember letzten Jahres konnte man in den Fachmedien sowie auf deren Homepages einen regelrechten Schlagabtausch zweier Firewall-Hersteller beobachten. Einer der Kontrahenten war Palo Alto Networks, eine 2005 in Kalifornien gegründete Firma, die für sich in Anspruch nimmt, eine so genannte "Next Generation Firewall" zu produzieren. Der andere war Check Point – ein israelischer Hersteller, der bereits lange im Geschäft ist. Delikater wird die Sache übrigens dadurch, dass Palo Alto Networks angeblich eine Neugründung von einer Reihe ehemaliger Check Point-Mitarbeiter sein soll. Diese Auseinandersetzung kann also auch durch eine alte Rivalität begründet sein.

Zum Buzzword "Next Generation Firewalls" jedenfalls generell: Es ist nicht besonders scharf umrissen, was sich dahinter genau verbergen soll. Das hat es mit dem Begriff "Web 2.0" gemeinsam. Wenn man es mal auf die eingesetzten Technologien reduziert, sieht man hier frühere Paketfilter-Firewalls, die jetzt auch damit beginnen, in den Inhalt der transportieren Pakete, die so genannten Payload, hineinzuschauen. Das Schlagwort hier lautet "Deep Packet Inspection". Wenn man allerdings aus Performance-Gründen die Kontrolle zu lax handhabt, ergeben sich dadurch wieder Sicherheitslücken. Genau von einer solchen Lücke bei Palo Alto Networks war im Dezember auch die Rede, als der Disput mit Check Point lief.

Produktbild: zweistufige Firewall genugateDie zweistufige Firewall genugate bietet hohe Sicherheit dank Application Level Inspection


Für uns sind diese Schlagwörter eigentlich nichts Neues wir machen derartige Inspektionen mit der Firewall genugate schon lange. Allerdings halt gründlicher und deshalb vielleicht nicht ganz so performant wie die Mitbewerber: Wir setzen den Datenstrom komplett zusammen Schlagwort "Deep Data Inspection" und begnügen uns nicht damit, nur den Anfang einer Verbindung zu kontrollieren und den Rest immer durchzulassen. Aber unseren Kunden ist hohe Sicherheit auch wichtiger als Performance.

Das Web 2.0 mit seinen großen Plattformen wie Facebook, Twitter und Google+, aber auch vielen kleineren Business-Portalen entwickelt sich rasend schnell weiter. Dagegen braucht die Entwicklung von IT-Sicherheitslösungen Zeit, da es sich natürlich um ausgereifte Produkte handeln muss. Ist es unter diesen Umständen realistisch, die Gefahren der Web 2.0-Technologien in den Griff zu bekommen oder gleicht dieses Bemühen eher dem Hase-und-Igel-Spiel?

Alexander von Gernler: Da bin ich inzwischen vielleicht durch unsere Forschungsprojekte einigermaßen pessimistisch: Das bereits erwähnte Wachstum der Komplexität wird auf jeden Fall weitergehen, und mit ihm die Zahl ständig auftauchender neuer Sicherheitslücken in Webbrowsern, Middleware, Webframeworks und Serverdiensten. Aber selbst ohne dieses Wachstum hat die Web 2.0-Technologie ein ganz grundlegendes Problem: Sie erlaubt im Prinzip jemand Fremdem, beliebigen Quellcode auf dem Rechner des Nutzers auszuführen. Denn nichts anderes ist das übermittelte JavaScript, das für Web 2.0 fast immer benötigt wird. Google Maps, Facebook, Twitter und Konsorten reagieren deshalb so schnell auf Eingaben, weil die Verarbeitung nicht mehr alleine auf dem entfernten Webserver passiert, sondern auf dem eigenen Rechner. Klar, das ganze ist irgendwie geschützt durch spezielle Ablaufumgebungen, aber auch die haben immer wieder Lücken. Hätte man damals, in der guten alten Zeit von Windows 3.1, einfach eine .EXE-Datei unbekannter Herkunft auf dem eigenen Rechner ausgeführt? Man sieht, die Zeiten haben sich geändert, Komfort ist den Benutzern heute sehr wichtig. Da treten Sicherheits- oder Datenschutzbedenken auch gerne mal in den Hintergrund.

Mein Fazit ist jedenfalls: Web 2.0 ist nur ein neuer Schauplatz des altbekannten Hase-und-Igel-Spiels, und das wird wie immer ablaufen: Neue Angriffe, neue Verteidigungen. Und wer absolute Sicherheit verspricht, ist (wie immer) ein Lügner.

 

Bildquelle: © thingamajiggs / Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.