Neue Sicherheitskonzepte erforderlich

Business-Software: Der Schutzzaun bekommt Löcher

23.09.2013
Von Alexander Sturz
Alexander Sturz ist Senior Security Consultant bei Atos Deutschland.

Frage nach Relevanz der Daten

Zu Beginn müssen sich die Verantwortlichen die Frage nach der Relevanz der Informationen stellen: Das tatsächliche Gefährdungspotenzial der Web-Frontend-Schwachstellen hängt stark von verarbeiteten Daten innerhalb der Business-Software ab. Ein unberechtigter Zugriff auf öffentliche Daten ist dabei tendenziell eher unkritisch. Ganz anders ist jedoch der unbefugte Zugriff auf interne Geschäftsunterlagen, Daten von Geschäftspartnern oder personenbezogene Daten zu bewerten.

Sensibilität wächst: Der Schutz der Daten wird wichtiger, sagen neun von zehn IT-Verantwortlichen. Angaben in Prozent;
Sensibilität wächst: Der Schutz der Daten wird wichtiger, sagen neun von zehn IT-Verantwortlichen. Angaben in Prozent;
Foto: Ernst & Young

Das Schadenspotenzial bei Veröffentlichung von internen Geschäftszahlen, der Abfluss von vertraulichen produktionsnahen Daten - Stichwort Industriespionage - kann dabei nur von der betroffenen Organisation selbst beziffert werden. Gehen jedoch Geschäftspartnerdaten oder personenbezogene Daten verloren, greift in Deutschland das Bundesdatenschutzgesetz (BDSG), das im Strafmaß bis zur Haftung der Geschäftsführung reichen kann.

Um diesen wirtschaftlichen und rechtlichen Gefahren zu begegnen, gilt es im nächsten Schritt, zusätzlich zu Infrastruktur-Vulnerability-Scans speziell auf Web-Applikationen zugeschnittene Penetrationstests zu initiieren. Der klassische Vulnerabiltiy Scan endet meist an der Web-Server-Oberkante und kann nur bedingt Websites mit aktiven Inhalten überprüfen. Web-Applikationen selbst lassen sich mit spezialisierten Scannern nur eingeschränkt auf ihre Sicherheit prüfen.

Diese Scanner sind zwar in der Lage, Schwachstellen wie zum Beispiel SQL- Injection oder Cross-Site-Scripting aufzuspüren, können aber keine Mängel im Rollen- und Rechte-Management der Applikation entdecken. Auch können sie nicht bewerten, wie kritisch die erreichbaren Daten sind. Unter Einbeziehung automatisierter Web-Applikations-Scanner lassen sich fundiertere Einblicke gewinnen, welche Schwachstellen vorhanden sind.

Ein ganz neues Gefährdungspotenzial tritt ein, wenn die Business-Software in Cloud-Umgebungen betrieben wird. Die eigenen Daten sind in diesem Fall nicht mehr komplett im eigenen Zugriff. Die Schafe stehen dann also nicht einmal mehr auf der eigenen Weide und werden von fremden Hirten betreut, die man nur bedingt im Blick hat.

Beim Cloud-Betrieb der Software trägt der Cloud-Provider einen nicht zu unterschätzenden Anteil an der Absicherung der Daten. Der Eigentümer der Daten hat nur noch begrenzte Möglichkeiten, die Sicherheit der zugrunde liegenden Infrastruktur zu bestimmen. Selbst Verschlüsselungstechniken lassen sich in der Cloud häufig nur eingeschränkt hochsicher umsetzen, da das dafür notwendige Schlüssel-Management ebenfalls auf den Systemen der Cloud-Provider abgewickelt wird. Für deutsche wie europäische Firmen kann das US-amerikanische Recht beim Cloud-Einsatz zum Problem werden, besonders wenn die Datenverarbeitung in den Vereinigten Staaten oder durch US-Firmen erfolgt. In diesem Fall können US-Behörden auf Basis des Patriot Act rechtlich legimitiert den Zugriff auf Systeme und Daten fordern.

Zur Startseite