Webapplikationen bergen neue Risiken

Sicherheitslücken in Webapplikationen - automatische Scanner reichen nicht

Sicherheitslücken in Webapplikationen können nicht zuverlässig mit automatisierten Werkzeugen gefunden werden, so dass es weiterhin unverzichtbar ist, derartige Anwendungen von Menschen testen zu lassen. Das ist das Fazit einer Untersuchung, die Markus Schumacher auf der Konferenz Datenschutz und Datensicherheit in Berlin vorgestellt hat. Rupert Vogel, Honorarprofessor für Informationstechnologierecht an der Universität Mannheim, stellte vor, wie das Recht helfen kann, die Sicherheit von Software zu verbessern.

"Ohne über Prozesse nachzudenken, haben sie keine Chance, Webapplikationen sicher zu machen", so das Fazit von Schuhmacher, Geschäftsführer der Virtual Forge GmbH aus Mannheim. Immer mehr Unternehmensprozesse werden mit webbasierten Anwendungen kontrolliert, so Schumacher. Doch Unternehmen wiegen sich in falscher Sicherheit, wenn sie glauben, dass Firewalls oder Verschlüsselungstechnologien helfen, darin enthaltene Fehler aufzuspüren oder zu beseitigen. Denn viele Fehler entstünden auf logischer Ebene in der Architektur der Anwendungen, im Design oder Umsetzung.

Automatisierte Testwerkzeuge helfen nur begrenzt, so das Ergebnis des Tests mit sieben Sicherheits-Scannern, die im August 2006 auf dem aktuellen Stand der Technik waren. Diese Scanner wurden auf eine mit 85 Sicherheitslücken präparierte Webapplikation angesetzt, die auf einem so genannten "gehärteten" Webserver liefen, so dass die Tester davon ausgehen, dass sie keine Fehler des Webservers anzeigen. Dann wurde für jede Lücke protokolliert, ob der Angriffscode, den der Scanner sendet, die Lücke erfolgreich ausnutzt oder nicht.

Das Ergebnis war ernüchternd. Zwar können Scanner schnell arbeiten und auch automatisiert außerhalb der Bürozeiten eingesetzt werden, was sehr hilfreich sein kann, wenn oft umfangreiche Tests geachtet werden müssen. Viele der einfachen Testfälle seien von den Scannern gut erkannt worden. Außerdem eignen sie sich gut, um zu überprüfen, ob die von den Scannern in einem ersten Schritt gefundenen Fehler ausgebessert worden sind. Sehr schlechte Ergebnisse zeigten manche Scanner dann aber schon dabei, überhaupt Seiten zu finden, die getestet werden müssen. Das erreichen sie durch Spidering, also indem sie Links auf den Seiten zu anderen Seiten folgen. Einer der Scanner konnte keinen einzigen der Spidering-Fälle lösen. Auch die übrigen Scanner konnten maximal die Hälfte der Fälle aufdecken. Insgesamt lag die Erkennungsrate korrekt identifizierter Schwachstellen im Test im Schnitt bei 8 von 85 Fehlern, der beste Scanner fand 14, der schlechteste 4 Fehler.