Cybersecurity von Webanwendungen

6 Empfehlungen von NTT für mehr Sicherheit

cybersecurity ntt
NTT Security hat sechs Ratschläge parat, wie Unternehmen ihre Web Applications besser gegen Eindringlinge absichern Bild: anyaberkut/stock.adobe.com
Anzeige

Webanwendungen von Unternehmen sind häufig schlecht gegen Cyberkriminelle geschützt. Dabei haben Hackerangriffe auf sensible Daten weitreichende Folgen. Die Security Division von NTT hat sechs Ratschläge parat, wie Unternehmen ihre Web Applications besser gegen Eindringlinge absichern.

Inhaltsverzeichnis

1. Angriffe durch eingeschleuste SQL-Befehle
2. 6 Empfehlungen für mehr Cybersecurity
3. Anzahl der offenen und nicht gefixten Schwachstellen in Web-Applikationen ist hoch

Wenn es darum geht, wertvolle Kundendaten von Unternehmen abzugreifen und in Backend-Systeme vorzudringen, sind Webanwendungen nach wie vor das beliebteste Einfallstor. Dabei nutzen die Angreifer Schwachstellen in der Anwendung selbst oder der Plattform, auf der sie laufen, aus, um Zugang zu den Daten zu erhalten. Im vergangenen Jahr machten Angriffe auf Web Applications weltweit 32 % aller feindlichen Aktivitäten aus, wie der Global Threat Intelligence Report 2019 zeigt. Fünf Industriezweige sind besonders betroffen: Finanzen, Business- und Professional-Services, Gesundheitswesen, Retail sowie Fertigung. Mit 85 % belegt dabei die Retail-Branche in der EMEA-Region einen Spitzenplatz. Eine stärkere Internetpräsenz durch Webshops oder Kundenportale in Kombination mit sensiblen Kundendaten bedeutet in diesem Fall eine größere Angriffsfläche und viel „Futter“ für die Cyberkriminellen.

Angriffe durch eingeschleuste SQL-Befehle

Gehackt werden Webanwendungen in den meisten Fällen durch das Einschleusen von SQL-Befehlen. Daneben sind eine falsche oder fehlerhafte Verschlüsselung, fehlende Authentifizierungsverfahren und Cross-Site-Scripting (XSS) ein Problem: Bei XSS nutzen Angreifer Schwachstellen aus, um ein Skript einzuschmuggeln, das dann im Browser des Nutzers ausgeführt wird. Da Hacker den Weg des geringsten Widerstands gehen, suchen sie nach nicht gepatchten Schwachstellen oder fehlerhaft konfigurierten Systemen. Oftmals sind es gar nicht die neuen Zero-Day-Exploits, die den Unternehmen zum Verhängnis werden, sondern Schwachstellen, für die es längst einen Patch gibt. Auch der Trend zu Microservices, die häufig in Node.js und Spring Boot erstellt sind, verschärft das Problem.

6 Empfehlungen für mehr Cybersecurity

Mit folgenden Empfehlungen verteidigen Unternehmen ihre Webanwendungen und ihr Netzwerk gegen potenzielle Angreifer:

  • Patchen, Patchen, Patchen: Ein gutes Patch-Management für Betriebssysteme und Anwendungen hat oberste Priorität. Auf keinen Fall sollte man weniger kritische Systeme im Netzwerk vergessen, sie können bei fehlenden Patches zum Einfallstor für Hacker werden.
  • Strenges Access Management: Zugriffsberechtigungen sollten genau geprüft und soweit wie möglich eingeschränkt werden. Wo immer möglich, sollten Passwörter durch eine starke Authentifizierung ersetzt werden.
  • Segmentierung der Netzwerkumgebung: Unternehmen sollten Anwendungen und Infrastruktur in Segmente unterteilen, so dass Bedrohungen eingedämmt und deren Ausbreitung auf andere Bereiche verhindert werden kann.
  • Security by Design: Das Thema Sicherheit sollte bei der internen Softwareentwicklung und der System- und Netzwerkkonfiguration von Anfang an mitgedacht werden. Zudem sollten nur Anwendungen und Tools von Drittanbietern mit entsprechendem Nachweis genutzt werden.
  • Implementierung einer Web Application Firewall (WAF): Eine WAF schützt Webanwendungen, indem sie den Datenverkehr zwischen Webservern und Clients auf Anwendungsebene kontrolliert. Sie filtert, analysiert und überwacht den HTTP-Verkehr.
  • Regelmäßige Schwachstellen-Überprüfung: Unternehmen sollten in regelmäßigen Abständen ihre Unternehmens-IT auf Schwachstellen hin untersuchen, die Scan-Ergebnisse entsprechend priorisieren und gegebenenfalls eine Anpassung der internen Prozesse und Kontrollen vornehmen.

Anzahl der offenen und nicht gefixten Schwachstellen in Web-Applikationen ist hoch

„Das Thema Sicherheit von Webapplikationen wird in vielen Unternehmen noch sehr stiefmütterlich behandelt. Die meisten machen einen Penetrationstest, wenn die Webseite live geht, und dann passiert nichts mehr. Das NTT-Tochterunternehmen Whitehead Security gibt einen jährlichen Report heraus über die Anzahl der offenen und nicht gefixten Schwachstellen in Webapplikationen, die sie über ihre Penetrationstests finden. Das Ergebnis ist erschreckend: Der durchschnittliche Wert lag in den letzten Jahren immer etwa bei 380 bis 390 Tagen von offenen, nicht gefixten Vulnerabilities in Webapplikationen. Es variiert etwas von Branche zu Branche“, erklärt René Bader, Manager for Critical Applications and Big Data bei der Security Division von NTT Ltd. „Unternehmen können bei dem Thema nicht einfach wegschauen. Auch angesichts der Tatsache, dass immer mehr Organisationen und Entwickler einen DevOps-Ansatz verfolgen, was zwar eine schnellere Entwicklung und Bereitstellung von Applikationen verspricht, gleichzeitig aber das Sicherheitsbedürfnis etwa durch eine fehlende Testautomatisierung erhöht.“ jg

Kontakt:

NTT Security (Switzerland) AG
Riedhofstrasse 11
8804 Au/Zürich, Schweiz
Tel. +41 43 4777010
Fax: +41 43 4777012
ch-info@nttsecurity.com/ch
www.nttsecurity.com/ch

Anzeige

Emerson: Pneumatik 4.0

Smartenance

Pneumatik 4.0 bei Emerson im Überblick

Video aktuell

Die Zimmer Group präsentiert auf der Motek 2019 Neuheiten für die Mensch-Roboter-Kollaboration: Darunter Erweiterungen im Portfolio der mechatronischen Greifer sowie unterschiedliche Möglichkeiten der Ansteuerung der End-of-Arm-Tools.

Aktuelle Ausgabe

Titelbild KEM Konstruktion Entwicklung Management 12
Ausgabe
12.2019
LESEN
ARCHIV
ABO

Newsletter

Jetzt unseren Newsletter abonnieren

Top-Thema Spannvorrichtungen

Spannvorrichtungen

Alles über Spannvorrichtungen und welches Einsparungspotenzial sie bieten

Top-Thema Schaltschränke

Alle Infos über den Schaltschrankbau mit seinen Komponenten, Geräten und deren Verdrahtung

Kalender

Aktuelle Termine für Konstrukteure

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Anzeige
Anzeige

Industrie.de Infoservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de