security-zone-News
 

Digitalisierung – aber sicher!




Dr. Martin Burkhart, Senior Security Consultant, Ergon Informatik AG

Die Digitalisierung erleichtert flexible Arbeit und Kommunikation. Zugriff auf Daten wird von überall und zu jeder Zeit möglich, egal ob über das eigenen Netzwerk oder Cloud-Lösungen. Dies erfordert aber auch eine zentrale, flexible Sicherheitsstrategie.

Mehr zum Thema sichere Digitalisierung? Registrieren Sie sich für der Breakout-Session von Urs Zurbuchen am 24. September an der 12. security-zone in der Börse Zürich Details und Anmeldung >>

Webapplikationen sind im Geschäftsumfeld nicht mehr wegzudenken. Angriffe setzen heute allerdings nicht mehr auf der Netzwerkebene an wo herkömmliche Firewalls operieren. Vielmehr zielen Techniken wie SQL Injection oder Cross-Site Scripting direkt auf die Applikationen und die dahinter liegenden Geschäftsdaten. Eine kombinierte Lösung mit vorgelagerter Filterung und Zugriffskontrolle wird unerlässlich. Zugleich reduzieren sich die Betriebskosten und die Flexibilität für zukünftige Anforderungen wird erhöht.

Megatrend hin zu Webapplikationen

Der Megatrend weg von Rich-Clients hin zu Webapplikationen ist ungebrochen und erhält durch vielfältige Cloud-Lösungen neuen Schub. Egal ob es Mitarbeiter sind, die mobil auf alle Daten zugreifen wollen, Lieferanten, die Online direkt in das Bestellwesen eingreifen oder Kunden, die über E-Banking, E-Commerce oder Kundenplattformen hochvertrauliche Daten in Kundensystemen erfassen. Nahezu jedes Unternehmen verwendet Microsoft Exchange und SharePoint oder ähnliche Systeme, um Mitarbeiter mobil zu machen. ERP und CMS Lösungen bieten über das Web ihre Informationen auch online an. Die nächste Welle des Trends hin zu Webapplikationen ist mit dem „Internet der Dinge“ (IoT) bereits absehbar: TV Geräte, Kühlschränke, Heizungen, Autos - nahezu für jedes technische Gerät ist bereits eine Internet Anbindung via App verfügbar. Der Benutzerkomfort steigt, das Leben wird einfacher.

Schöne neue Welt?

Eine schöne neue Welt also. Doch gilt dies für alle? Mit den vielen Vorteilen entstehen leider auch neue Risiken, welche durch die integrierte Sicherheit der Webapplikationen und die üblichen Security Strategien meist nur unzureichend abgedeckt sind. Ebenso steigen Instandhaltungs- und Betriebskosten für Anbieter und Unternehmen. Webapplikation müssen unterschiedlichste Benutzerverzeichnisse anbinden, zwischen verschiedenen Zugriffsstufen unterscheiden und diverse Anmeldetechnologien unterstützen.

Und wie sieht es auf der Angriffsseite aus? Nirgends sind Angreifer so nah am gewünschten Ziel wie bei Web-Applikationen. Besonders schützenswerte Daten gelangen über das Standardprotokoll HTTP oft bis an die Aussengrenze der „Defenseline“. Deshalb sind Webapplikationen heute das attraktivste Ziel für elektronische Angriffe mit kriminellem Hintergrund. Heartbleed, Shellshock, Dragonfly, SoakSoak oder Ebury zeigen eindrücklich, dass aktuelle Security Konzepte nicht ausreichend sind und sensitive Informationen schnell in falsche Hände gelangen können.

Die Konsequenzen einer Attacke können weitreichend sein, wie zahlreiche Medienberichte bestätigen: Imageverlust durch negative Presse, Erpressbarkeit, rechtliche Konsequenzen beispielsweise wegen unzureichendem Schutz vertraulicher Daten, Schadenersatzforderungen oder Verlust vertraulicher Informationen, um nur einige zu nennen. Die finanziellen Schäden können dabei so weitreichend sein, dass sogar die Unternehmensfortführung gefährdet werden kann. Deshalb sind proaktive Schutzmassnahmen unerlässlich geworden.