6. August 2009 - PCI DSS

Mehr Datensicherheit per Web Application Firewall

Der Standard für Kreditkartenzahlungen (PCI DSS) fordert für die Datensicherheit unter anderem die Web Application Firewall. Auch für andere Bereiche der Datensicherheit könnte eine Web Application Firewall sinnvoll sein – doch nur, wenn sie halten kann, was ihre Bezeichnung verspricht. Prüfen Sie deshalb die Einsatzmöglichkeiten für Ihr Datensicherheits-Konzept, aber auch die angebotenen Funktionen.

mehr-datensicherheit-per-web-application-firewall.jpeg
Eine Web Application Firewall erhöht die Datensicherheit (Bild: Thinkstock)

Der Payment Card Industry Data Security Standard (PCI DSS) ist eine zentrale Vorgabe für die Datensicherheit bei der Abwicklung von Kreditkartenzahlungen. Er wird von zahlreichen Kreditkartenanbietern unterstützt und eingefordert.

Neue Informationspflichten beachten – Datensicherheit erhöhen

Die BDSG-Novelle II führt zudem eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten, insbesondere auch von Bank- und Kreditkartenkonten, ein.

Es gilt also, die Datensicherheit für sensible Daten zu steigern!

Auch wenn für das Geschäftsmodell Ihres Unternehmens Kreditkartenzahlungen keine Rolle spielen, sollten Sie sich mit dem Thema Web Application Firewall (WAF) auseinander setzen, um Ihre Datensicherheit zu verbessern.

Eine WAF ergänzt die „normale“ Firewall

Eine Web Application Firewall ist nicht mit einer herkömmlichen Netzwerk-Firewall zu verwechseln. Vielmehr ergänzt eine WAF das Leistungsspektrum einer herkömmlichen Firewall um wichtige Funktionen. Denn auf Applikationsebene bietet eine einfache Netzwerk-Firewall keine spezielle Überwachungsfunktion an.

Das leistet eine Web Application Firewall

Die Funktion einer WAF können Sie sich als zusätzliche Sicherheitsüberprüfung bei Zugriffen auf eine Web-Applikation vorstellen.

Die Web Application Firewall sitzt zwischen Webserver und den auf den Webserver zugreifenden Web-Clients, also insbesondere den Webbrowsern. Dabei versucht die WAF zu unterscheiden zwischen berechtigten Nutzerzugriffen auf eine Web-Applikation und bösartigen Angriffen.

Ein wesentlicher Vorteil des Einsatzes einer Web Application Firewall ist die nachträgliche Absicherung bereits bestehender Web-Applikationen, die keinen ausreichenden eigenen Schutz gegen Web-Attacken aufweisen. Sie sollte jedoch nicht missverstanden werden als Ersatz für die Beseitigung von Schwachstellen in den selbst betriebenen Web-Applikationen.

Web-Applikationen sind großes Datenrisiko

Tatsächlich gibt es eine Vielzahl von Web-Attacken, die personenbezogene Daten bedrohen:

  • Mit Web-Applikationen können schädliche Dateien übertragen werden (zum Beispiel durch das Hochladen von Dateien durch Internetnutzer),
  • Web-Applikationen können aber auch für heimliche Datenübertragungen durch Malware ausgenutzt werden,
  • sie können auch andere Anwendungen und Datenbanken aufrufen und für Unbefugte zugänglich machen.

Die WAF versucht, diese Risiken zu minimieren

Mit einer Web Application Firewall lassen sich zahlreiche verschiedene Web-Applikationen hinsichtlich erlaubter Eingaben, Ausgaben und Funktionen überwachen, also spezifische Applikations-Sicherheitsrichtlinien umsetzen.

Prüfen Sie die Angebote für Web Application Firewalls

Die Funktionen der einzelnen WAF können recht unterschiedlich sein. Achten Sie deshalb darauf, dass die folgenden Punkte nach Möglichkeit abgebildet wurden:

Prüfansätze Ja Nein
Unterstützt die WAF neben http auch https, sowie vorzugsweise weitere Protokolle wie ftp, VoIP und P2P?
Sucht die WAF nicht nur nach Signaturen schädlicher Programme, sondern analysiert sie auch das Verhalten der Zugriffe auf Applikationsebene (nicht Benutzerebene oder Protokollebene)?
Hat die WAF bereits umfassende Voreinstellungen für Standard-Applikationen?
Können bestimmte Applikationen gesperrt oder erlaubt werden (Black List, White List)?
Hat die WAF einen Selbstlern-Modus, kann sie also aus den nachträglichen Einstufungen des gemeldeten Risikos durch den Administrator lernen?
Können neue Gefahrentypen selbst konfiguriert werden?
Lassen sich die internen Sicherheitsrichtlinien mit der WAF wirklich umsetzen?
Ist die Anzahl der Falschmeldungen (unbegründeten Warnmeldungen) gering?
Ist die WAF gegen unerlaubte Konfigurationen von außen geschützt?
Erfolgen mögliche Protokolle in der WAF datenschutzkonform (Datensparsamkeit)?

Hier geht’s zum Download der Checkliste Web Application Firewall

Web Application Firewalls sind keine Selbstläufer

So vorteilhaft eine WAF auch sein kann, setzen Sie kein falsches Vertrauen in eine Web Application Firewall. Ohne individuelle Konfiguration und Umsetzung der eigenen Sicherheitsrichtlinien in der WAF kann sie nicht den gewünschten Schutz auf breiter Fläche bieten.

Eine einfache Installation reicht also auf keinen Fall für eine echte Steigerung der Datensicherheit.

Setzen Sie Prioritäten

Zudem scheitern so manche Einführungsprojekte an der Fülle von Web-Applikationen und Richtlinien. Erstellen Sie deshalb zusammen mit dem IT-Sicherheitsverantwortlichen und den Fachabteilungen eine Prioritätsliste der wichtigsten Web-Applikationen und lassen Sie die Richtlinien dann Stück für Stück in der WAF umsetzen.

Das reduziert die Komplexität bei der Einführung und erhöht schrittweise die Datensicherheit bei Web-Applikationen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln