Neue Sicherheitskonzepte erforderlich

Business-Software: Der Schutzzaun bekommt Löcher

23. September 2013
Alexander Sturz ist Senior Security Consultant bei Atos Deutschland.
Mit neuen Web-Techniken und Cloud Computing verliert der Schutzzaun, den die Unternehmen rund um ihre Business-Software gezogen haben, seine Wirkung. Neue Security-Konzepte sind gefordert.

Früher war die Welt noch in Ordnung. Die klassische Business-Software war "fat" auf den Clients installiert und an die entsprechenden ServerServer angebunden. Alles spielte sich im Intranet ab. Da die Administratoren wussten, welcher Client zugriffsberechtigt war, konnten sie ihre Back-end-Systeme durch Firewalls wirksam von der restlichen Infrastruktur abschotten. Natürlich hatte auch diese Architektur Schwachstellen, beispielsweise durch mangelndes Rollen- und Rechte-Management oder direkte Datenbankzugriffe unter Umgehung des Client-GUI. Alles zu Server auf CIO.de

Diese Risiken waren jedoch begrenzt, da es sich um die eigenen Mitarbeiter und die bekannten Client-Rechner innerhalb einer kontrollierten Netzinfrastruktur handelte. Mit anderen Worten: Die Schafe - also die Anwendungen - waren gesichert. Die Weide - also die Infrastruktur - war mit einem Zaun geschützt. Im schlimmsten Fall missbrauchte ein falscher Hirte seine Zugriffsrechte, oder jemand vergaß, das Gatter abzuschließen.

Fokus verlagert sich auf Usability

Das Aufkommen von Web-Techniken riss erste Lücken in diesen Zaun: Um die Betriebskosten der bestehenden Client-Server- Infrastruktur zu verringern, stellten viele IT-Verantwortliche ihre Business-Software teilweise oder vollständig auf Web um. Dabei lag der Fokus meist auf der Usability des Frontends. Eine möglichst einfache Nutzung über einen Web-Browser als Ersatz für den Fat Client war die treibende Kraft in der Softwareentwicklung. Eventuelle unberechtigte Zugriffsmöglichkeiten auf das Frontend wurden meist nicht geprüft, da die Umstellung auf Web-Technik noch immer im geschützten Raum des kontrollierten Intranets stattfand.

Der aktuelle Trend zur Mobilität in Kombination mit einer möglichst unkomplizierten Anbindung von internen und externen Partnern löst nun allerdings die Web-Architektur endgültig aus dem geschützten Raum des Intranets. Viele Unternehmen versprechen sich - durchaus zurecht - Effizienzgewinne durch die Einbindung von SmartphonesSmartphones und TabletsTablets. Das funktioniert heute immer häufiger über das Internet und nicht mehr über das Intranet. Die im Unternehmen eingesetzten Softwaresysteme agieren demnach quasi in aller Öffentlichkeit. Die Spannweite erstreckt sich von einer Verlagerung der Web-Frontends in eine kontrollierte entmilitarisierte Zone der eigenen Firewall-Infrastruktur bis zur kompletten Systemmigration zu einem externen Cloud-Service-Anbieter. Alles zu Smartphones auf CIO.de Alles zu Tablets auf CIO.de

Neue Risiken durch Web-Frontend

Die Web-Frontends sind nun öffentlich und permanent verfügbar, was ganz neue Risiken für die Software mit sich bringt: Ein Angriff auf diese Systeme ist jetzt nicht mehr ausschließlich einem Mitarbeiter im internen Netz möglich, sondern designbedingt jedem Internet-Teilnehmer - vom "Script-Kiddie" über versierte Hacker bis zu Industriespionage durch Geschäftspartner oder professionelle Organisationen. Der Zaun hat nun riesige Löcher, und die Hirten wissen im Zweifel nicht einmal, welcher Wolf bereits ein Schaf geholt hat.

Wie viele unterschiedliche Möglichkeiten von Angriffen auf das Web-Frontend es gibt, ist öffentlich und allgemein bekannt: Das Open Web Application SecuritySecurity Project (OWASP) zeigt beispielsweise seit vielen Jahren die kritischsten Schwachstellen in Web-Applikationen in den veröffentlichten OWASP Top 10 auf. Unter diesen Rahmenbedingungen müssen Unternehmen die Sicherheit ihrer Business-Software ganz neu konzipieren: Um nun den nötigen Schutz zu gewährleisten, gilt es, jedes Schaf einzeln zu prüfen und zu sichern. Alles zu Security auf CIO.de