Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Webanwendungen

Einführung

Webanwendungen sind über den Browser aufrufbare Dienste, die sowohl im B2B- als auch im B2C-Bereich Anwendung finden. Neben Webanwendungen, die zum Beispiel nur firmenintern über das Intranet bereitgestellt werden, finden sich im Internet häufig auch kostenpflichtige Anwendungen, deren Verfügbarkeit für den Anbieter von existenzieller Bedeutung ist. Anbieter, die diese kostenpflichtigen Dienste bereitstellen, müssen umfassende Sicherheitsmaßnahmen ergreifen, um das Risiko eines Umsatzausfalls zu minimieren. Gleichzeitig verarbeiten und speichern viele Webanwendungen sensible Daten von Nutzern oder ganzen Institutionen. Teilweise handelt es sich bei Web Applikationen auch um sicherheitskritische Schnittstellen vom Internet in Unternehmensnetzwerke.

Aufgrund dessen sind Webanwendungen ein attraktives Ziel für Cyber-Kriminelle. Immer wieder kommt es zu Angriffen, bei denen es den Tätern gelingt, Informationen abzugreifen, Anbieter durch DDoS-Attacken zu erpressen oder durch Kompromittierung der Anwendung in das Unternehmensnetz einzudringen. Die Angreifer arbeiten dabei mit verschiedenen Methoden. Das Open Web Application Security Project analysiert regelmäßig die Angriffsarten und veröffentlicht die größten Schwachstellen in den OWASP Top 10.

Sicherheitshinweise für Entwickler

Die Sicherheit eines jeden Webangebots resultiert – wie grundsätzlich bei Software – besonders aus der Sorgfalt bei sicherheitsspezifischen Anforderungen im Rahmen der Entwicklung. Hier sind zum einen die Entwickler selbst gefragt, zum anderen sollten Auftraggeber im Rahmen des Projekts besonderen Wert auf die Einhaltung von Sicherheitskriterien legen. Eine Übersicht hat das BSI in zwei Leitfäden zur Entwicklung sicherer Webanwendungen zusammengestellt:

Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an die Auftragnehmer
Leitfaden zur Entwicklung sicherer Webanwendungen. Empfehlungen und Anforderungen an Auftraggeber aus der öffentlichen Verwaltung (Zielgruppe öffentliche Verwaltung, viele Aspekte lassen sich jedoch auch auf Unternehmen übertragen)

Projektleiter und Entwickler finden außerdem im Dokument Sicherheit von Webanwendungen: Maßnahmenkatalog und Best Practices weitere Best Practices.

Auch die Allianz für Cyber-Sicherheit hat zu diesem Thema bereits Empfehlungen veröffentlicht, u.a.:

Entwicklung sicherer Webanwendungen v2.0 für Techniker und
Schützen Sie sich vor professionellen gezielten Cyber-Angriffen v2.0 für Manager.

Neben der Datensicherheit während der Verarbeitung und Speicherung der Daten in der Webanwendung muss auch sichergestellt werden, dass die Daten auf dem Transportweg nicht ausgespäht oder manipuliert werden. Aufgrund dessen empfiehlt sich stets der Einsatz von Transportverschlüsselung. Hinweise liefert zum einen die Cyber-Sicherheits-Veröffentlichung „ TLS/SSL Best Practice v2.0“ sowie die technische Richtlinie des BSI.

Auch Anbieter sind in der Pflicht

Anbieter von Webanwendungen müssen die Sicherheit ihres Dienstes besonders hoch priorisieren, schließlich können Kompromittierungen zu gravierenden Umsatzausfällen und Imageschäden führen.

Die Allianz für Cyber-Sicherheit hat in der Empfehlung „ Bereitstellung von Webangeboten v2.0“ umfangreiche Hinweise und Tipps zum Thema aufgeführt.

Zu den dort genannten Sicherheitsmaßnahmen zählen besonders ein ausreichendes Schwachstellen- bzw. Patchmanagement. Tipps zu diesem Themenbereich gibt die Cyber-Sicherheits-Veröffentlichung „ Management von Schwachstellen und Sicherheitsupdates - Empfehlungen für kleine Unternehmen und Selbstständige v2.0“. In diesem Zusammenhang sind auch die eingesetzten Komponenten regelmäßig auf aktuelle Sicherheitslücken zu prüfen.

Ein umfassendes Maßnahmenpaket finden Interessierte außerdem im IT-Grundschutz des BSI, wo im Baustein APP.3.1 Webanwendungen“ vielfältige Gefahrenquellen erläutert sind.

Zur Überprüfung dieser Maßnahmen bieten sich Webchecks und Penetrationstests an.

Sicherheitsmaßnahmen für Internet Service Provider

Dienstleister, deren Geschäftsmodell darauf beruht, anderen (shared) Server für das Hosting von Webangeboten bereitzustellen, tragen bei der Abwehr von Cyber-Angriffen besonders große Verantwortung – schließlich müssen sie die Dienste und Daten ihrer Kunden schützen. Adäquate Maßnahmen sind daher unabdingbar.

Auf der Webseite der Allianz für Cyber-Sicherheit stehen daher unterschiedliche Cyber-Sicherheits-Veröffentlichungen für Internet Service Provider (ISP) zur Verfügung. Informationen zu technischen und organisatorischen Aspekten finden Hosting-Anbieter in der Veröffentlichung „ Sicheres Webhosting v2.0“.

Des weiteren sollte die Umsetzung grundlegender technischer Maßnahmen selbstverständlich sein. Hierzu zählt zum Beispiel der Einsatz von Firewalls sowie entsprechender DDoS-Mitigation-Maßnahmen.

Weitere Informationen zur Absicherung eines Servers finden Interessierte außerdem in der ISi-Reihe des BSI.

Weitere Publikationen des BSI

Zusätzliche Informationen für registrierte Teilnehmer der ACS

Weitere Informationen

Zurück zu Cyber-Sicherheitsempfehlungen nach Angriffszielen

Kurz-URL:
https://www.bsi.bund.de/dok/7766922