Aktuelles

Dr. Haffa & Partner Expert Call: Mehrheit sieht Smart Homes noch skeptisch

München, 19. Februar 2014 ---- Die Mehrheit sieht den Nutzen von Smart Homes noch skeptisch

[... weiter]

Dr. Haffa & Partner Expert Call: Season's Greetings – nein danke!

München, 3. Dezember 2013 ---- Traditionelle Weihnachtskarten sind in Deutschland nach wie vor aktuell. Unabhängig von der Diskussion um politisch korrekte Kommunikation schickt die Mehrzahl der deutschen Unternehmen immer noch Weihnachtsgrüße

[... weiter]

Dr. Haffa & Partner Expert Call: Business-Cloud-Nutzung nimmt kaum Schaden durch Prism und Tempora

München, 1. August 2013 ---- Überwachungsprogramme wie PRISM und Tempora werden die Business-Cloud-Nutzung in Deutschland kaum einschränken.

[...weiter]
.

Dr. Georg Heß, Gründer und CEO von art of defence, zur Entwicklung auf dem WAF-Markt: „Web Application Firewalls (WAFs) etablieren sich zunehmend als eigenständiger Sicherheitsmechanismus“

Regensburg, 30. September 2010 ---- Dr. Georg Heß, Gründer und CEO von art of defence, zieht nach fünf Jahren Aufbauarbeit im deutschen Markt für Web-Anwendungssicherheit eine positive Bilanz: „Die Sicherheit von Web-Anwendungen ist zu einem zentralen Thema der IT-Sicherheit geworden. Dabei etablieren sich insbesondere Web Application Firewalls (WAFs) zunehmend im Markt: Kürzlich hat sich eine Autorin des BSI (Bundesamt für Sicherheit in der Informationstechnik) für ihren Einsatz ausgesprochen. Compliance-Vorgaben wie der PCI DSS für Datensicherheit bei Kreditkartendaten sehen WAFs ebenso als festen Bestandteil der IT- oder Web-Infrastruktur wie Best Practices von Experten-Initiativen wie OWASP - die Experten-Initiative für Web-Applikationssicherheit - oder Cloud Security Alliance. Besonders hervorzuheben ist, dass die Vorteile einer flexiblen, softwarebasierten WAF-Technologie gerade für den Einsatz in verteilten, internen oder externen Web- und Cloud-Infrastrukturen zunehmend geschätzt werden."

WAFs blockieren insbesondere Angriffe auf Web-Anwendungen, bis ein Patch der Schwachstelle vorliegt und im Produktsystem eingespielt ist. Der PCI-Standard, der Sicherheitsstandard der Kreditkartenindustrie, nennt WAFs deswegen als eine von zwei Möglichkeiten, Web-Applikationen abzusichern - und empfiehlt explizit, beide einzusetzen.

Auch die BSI-Expertin hat den WAF-Einsatz kürzlich im BSI-Forum befürwortet: „Da es in der Natur der Dinge liegt, dass komplexe Systeme fehlerbehaftet sind, sollten zusätzlich auch immer mehrere Schutzwälle existieren. Bei einem Webauftritt empfiehlt es sich daher, neben der guten Absicherung der Webanwendung selber noch eine Web Application Firewall einzusetzen, die gängige ‚bösartige' Eingabemuster herausfiltert."

Dazu muss man wissen: Schwachstellen in Web-Anwendungen werden nicht immer zeitnah behoben, wie der IBM-X-Force-Trendbericht immer wieder zeigt. Bei eigenentwickelten Web-Anwendungen kann das daran liegen, dass die Entwicklungsabteilung andere Projekte priorisieren muss. Bei gekauften Lösungen haben Betreiber von Web-Anwendungen keinen Zugriff auf den Anwendungscode, sie müssen auf den Patch des Herstellers warten. In beiden Fällen sind WAFs die einzige Schutzmöglichkeit, solange die Web-Anwendung verwundbar ist.

Ein gutes Beispiel dafür ist eine Schwachstelle, die erst kürzlich bekannt geworden ist: Sie betrifft Web-Anwendungen, die auf Microsofts ASP.NET-Framework basieren. Dr. Georg Heß erklärt: „Durch einen Fehler im Framework können Sitzungsdaten in verschlüsselten Cookies kompromittiert werden. Unsere WAF hyperguard schützt vor solchen Angriffen, da sie die originären Sitzungsdaten gegen eigene austauscht; die sensiblen Daten verlassen damit den Server gar nicht."

circa 2.500 Zeichen

Nachweise und Links zum Thema:



.
.

xxnoxx_zaehler