Früher war die Welt noch in Ordnung. Die klassische Business-Software war "fat" auf den Clients installiert und an die entsprechenden Server angebunden. Alles spielte sich im Intranet ab. Da die Administratoren wussten, welcher Client zugriffsberechtigt war, konnten sie ihre Back-end-Systeme durch Firewalls wirksam von der restlichen Infrastruktur abschotten. Natürlich hatte auch diese Architektur Schwachstellen, beispielsweise durch mangelndes Rollen- und Rechte-Management oder direkte Datenbankzugriffe unter Umgehung des Client-GUI.
Diese Risiken waren jedoch begrenzt, da es sich um die eigenen Mitarbeiter und die bekannten Client-Rechner innerhalb einer kontrollierten Netzinfrastruktur handelte. Mit anderen Worten: Die Schafe - also die Anwendungen - waren gesichert. Die Weide - also die Infrastruktur - war mit einem Zaun geschützt. Im schlimmsten Fall missbrauchte ein falscher Hirte seine Zugriffsrechte, oder jemand vergaß, das Gatter abzuschließen.
Fokus verlagert sich auf Usability
Das Aufkommen von Web-Techniken riss erste Lücken in diesen Zaun: Um die Betriebskosten der bestehenden Client-Server- Infrastruktur zu verringern, stellten viele IT-Verantwortliche ihre Business-Software teilweise oder vollständig auf Web um. Dabei lag der Fokus meist auf der Usability des Frontends. Eine möglichst einfache Nutzung über einen Web-Browser als Ersatz für den Fat Client war die treibende Kraft in der Softwareentwicklung. Eventuelle unberechtigte Zugriffsmöglichkeiten auf das Frontend wurden meist nicht geprüft, da die Umstellung auf Web-Technik noch immer im geschützten Raum des kontrollierten Intranets stattfand.
Der aktuelle Trend zur Mobilität in Kombination mit einer möglichst unkomplizierten Anbindung von internen und externen Partnern löst nun allerdings die Web-Architektur endgültig aus dem geschützten Raum des Intranets. Viele Unternehmen versprechen sich - durchaus zurecht - Effizienzgewinne durch die Einbindung von Smartphones und Tablets. Das funktioniert heute immer häufiger über das Internet und nicht mehr über das Intranet. Die im Unternehmen eingesetzten Softwaresysteme agieren demnach quasi in aller Öffentlichkeit. Die Spannweite erstreckt sich von einer Verlagerung der Web-Frontends in eine kontrollierte entmilitarisierte Zone der eigenen Firewall-Infrastruktur bis zur kompletten Systemmigration zu einem externen Cloud-Service-Anbieter.
Neue Risiken durch Web-Frontend
Die Web-Frontends sind nun öffentlich und permanent verfügbar, was ganz neue Risiken für die Software mit sich bringt: Ein Angriff auf diese Systeme ist jetzt nicht mehr ausschließlich einem Mitarbeiter im internen Netz möglich, sondern designbedingt jedem Internet-Teilnehmer - vom "Script-Kiddie" über versierte Hacker bis zu Industriespionage durch Geschäftspartner oder professionelle Organisationen. Der Zaun hat nun riesige Löcher, und die Hirten wissen im Zweifel nicht einmal, welcher Wolf bereits ein Schaf geholt hat.
Wie viele unterschiedliche Möglichkeiten von Angriffen auf das Web-Frontend es gibt, ist öffentlich und allgemein bekannt: Das Open Web Application Security Project (OWASP) zeigt beispielsweise seit vielen Jahren die kritischsten Schwachstellen in Web-Applikationen in den veröffentlichten OWASP Top 10 auf. Unter diesen Rahmenbedingungen müssen Unternehmen die Sicherheit ihrer Business-Software ganz neu konzipieren: Um nun den nötigen Schutz zu gewährleisten, gilt es, jedes Schaf einzeln zu prüfen und zu sichern.
Frage nach Relevanz der Daten
Zu Beginn müssen sich die Verantwortlichen die Frage nach der Relevanz der Informationen stellen: Das tatsächliche Gefährdungspotenzial der Web-Frontend-Schwachstellen hängt stark von verarbeiteten Daten innerhalb der Business-Software ab. Ein unberechtigter Zugriff auf öffentliche Daten ist dabei tendenziell eher unkritisch. Ganz anders ist jedoch der unbefugte Zugriff auf interne Geschäftsunterlagen, Daten von Geschäftspartnern oder personenbezogene Daten zu bewerten.
Das Schadenspotenzial bei Veröffentlichung von internen Geschäftszahlen, der Abfluss von vertraulichen produktionsnahen Daten - Stichwort Industriespionage - kann dabei nur von der betroffenen Organisation selbst beziffert werden. Gehen jedoch Geschäftspartnerdaten oder personenbezogene Daten verloren, greift in Deutschland das Bundesdatenschutzgesetz (BDSG), das im Strafmaß bis zur Haftung der Geschäftsführung reichen kann.
Um diesen wirtschaftlichen und rechtlichen Gefahren zu begegnen, gilt es im nächsten Schritt, zusätzlich zu Infrastruktur-Vulnerability-Scans speziell auf Web-Applikationen zugeschnittene Penetrationstests zu initiieren. Der klassische Vulnerabiltiy Scan endet meist an der Web-Server-Oberkante und kann nur bedingt Websites mit aktiven Inhalten überprüfen. Web-Applikationen selbst lassen sich mit spezialisierten Scannern nur eingeschränkt auf ihre Sicherheit prüfen.
Diese Scanner sind zwar in der Lage, Schwachstellen wie zum Beispiel SQL- Injection oder Cross-Site-Scripting aufzuspüren, können aber keine Mängel im Rollen- und Rechte-Management der Applikation entdecken. Auch können sie nicht bewerten, wie kritisch die erreichbaren Daten sind. Unter Einbeziehung automatisierter Web-Applikations-Scanner lassen sich fundiertere Einblicke gewinnen, welche Schwachstellen vorhanden sind.
Ein ganz neues Gefährdungspotenzial tritt ein, wenn die Business-Software in Cloud-Umgebungen betrieben wird. Die eigenen Daten sind in diesem Fall nicht mehr komplett im eigenen Zugriff. Die Schafe stehen dann also nicht einmal mehr auf der eigenen Weide und werden von fremden Hirten betreut, die man nur bedingt im Blick hat.
Beim Cloud-Betrieb der Software trägt der Cloud-Provider einen nicht zu unterschätzenden Anteil an der Absicherung der Daten. Der Eigentümer der Daten hat nur noch begrenzte Möglichkeiten, die Sicherheit der zugrunde liegenden Infrastruktur zu bestimmen. Selbst Verschlüsselungstechniken lassen sich in der Cloud häufig nur eingeschränkt hochsicher umsetzen, da das dafür notwendige Schlüssel-Management ebenfalls auf den Systemen der Cloud-Provider abgewickelt wird. Für deutsche wie europäische Firmen kann das US-amerikanische Recht beim Cloud-Einsatz zum Problem werden, besonders wenn die Datenverarbeitung in den Vereinigten Staaten oder durch US-Firmen erfolgt. In diesem Fall können US-Behörden auf Basis des Patriot Act rechtlich legimitiert den Zugriff auf Systeme und Daten fordern.
Cloud-Security im Vertrag fixieren
Um ein angemessenes Sicherheitsniveau in der Cloud zu erreichen, muss der Provider grundlegende Sicherheitsmaßnahmen treffen. Diese müssen vertraglich klar festgelegt sein. Zu den wichtigsten Punkten gehören unter anderem eine strikte Mandantentrennung innerhalb der Cloud sowie die Isolierung der Cloud-Anwendungen. Bei besonders schützenswerten Informationen empfiehlt sich die Verschlüsselung der Daten und eine starke Zwei-Faktor-Authentifikation. Um die Portierung der Cloud-Inhalte bei einem Wechsel des Providers zu ermöglichen, sollten standardisierte und offene Schnittstellen und Formate verwendet werden.
Mittlerweile gibt es zur Sicherheit in Clouds als Orientierungshilfe und Entscheidungsvorlagen einige internationale Standards wie zum Beispiel von der Cloud Security Alliance und von der European Network and Information Security Agency (Enisa). Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat angekündigt, seine IT-Grundschutz-Kataloge um die Aspekte des Cloud Computings zu erweitern.
Der Schutz der Business-Software unter den aktuellen organisatorisch-technischen Rahmenbedingungen - Cloud, Mobile Access, permanente Verfügbarkeit - ist also mit einigem Aufwand verbunden. Wenn ein Unternehmen die Trends nutzen will, dann muss es ein neues Sicherheitsverständnis und eine neue Sicherheitsorganisation entwickeln. Sonst drohen im Fall eines Datenmissbrauchs rechtliche Konsequenzen und Reputationsverlust.