Mehr Sicherheit für Webanwendungen
Mit der Sicherheit in Webanwendungen steht es nach Aussagen unterschiedlicher Quellen nicht zum Besten. Das gilt leider auch für Angebote aus dem Finanzdienstleistungssektor. Diesen Mangel weist jetzt ein Sicherheitscheck von Online-Finanzseiten von IBM und Watchfire nach. Die Untersuchung The State of Online Financial Services sah sich die Homepages von 242 internationalen Finanzinstituten und deren Links genauer an - die Ergebnisse sind geradezu erschütternd:
Über die Hälfte aller Online-Finanzangebote sind nicht sicher. Noch mehr der untersuchten Anbieter - nämlich zwei Drittel - können für die Daten ihrer Kunden keine zuverlässige Sicherheit garantieren. Und richtig schlimm sieht das Ergebnis dieser Untersuchung in puncto Verschlüsselungsstandards aus. 91% halten sich nicht (!) an die empfohlenen Mindestanforderungen von 128-Bit-Verschlüsselungen für ihre Transfers. 30% gebrauchen lustig Cookies - ohne das die Kunden davon wissen. Und der aus Konsumentensicht mehr als fragwürdige Einsatz von Web bugs (oder Zählpixel - eine Art Tarnkappe, um ungebeten das Kundenverhalten zu beobachten) wird munter von 55% der Anbieter betrieben. Und noch immer benutzen 18% der Finanzdienstleister Webserver, die mit der veralteten SSL-Version 2.0 laufen.
Die Etablierung effektiver Sicherheitsprozesse und die Schulung der Mitarbeiter über Datenschutzaspekte gehören ganz offensichtlich zu den Hausaufgaben der Finanzbranche.
Als wäre das noch nicht genug, wird der Finanzsektor immer häufiger Ziel von Hack-Attacken via E-Mail, berichtet MessageLabs. Der Anbieter von integrierter Messaging- und Web Security-Service berichtet, dass die Angriffe vorrangig auf Einzelpersonen in führenden Finanzunternehmen und aus verschiedenen geographischen Räumen, einschließlich Nordamerika, Europa, Mittelost und Asien-Pazifik abzielten.
Und weil in Finanzinstituten Menschen arbeiten wie überall auch, betrifft auch diese Unternehmen die Gefahr, dass Mitarbeiter Webanwendungen einsetzen, die sich weniger gravierend auf dem heimischen PC auswirken, denn sie werden als Einfallstor von Hackern, Pishern etc. genutzt. Die Sicherheitsexperten von Bit9 raten eindringlich, konsequent Webanwendungen aus den Unternehmen auszusperren. Sie haben eine Liste der zehn gefährdetsten Webanwendungen unter Windows zusammengestellt (Originalbeitrag) - und das liest sich einigermassen wie das Who-is-Who auf unserem Rechner. Kritieren der Auswahl waren vor allem lauffähig unter Windows, Bekanntheitsgrad, von Admins angenommene Ungefährlichkeit der Anwendungen.
1. Yahoo Messenger, 8.1.0.239 und früher
2. Apple QuickTime 7.2
3. Mozilla Firefox 2.0.0.6
4. Microsoft Windows Live (MSN) Messenger 7.0, 8.0
5. VMware Player (und andere Produkte) 2.0, 1.0.4
6. Apple iTunes 7.3.2
7. Intuit QuickBooks Online Edition, 9 und
8. Sun Java Runtime Environment (JRE) 1.6.0_X
9. Yahoo Widgets 4.0.5 und früher
10. Ask.com Toolbar 4.0.2.53 und früher
Auf diese beliebten Anwendungen haben sich Hacker inzwischen in einer Weise kapriziert, dass Unternehmen sträflich unvorsichtig sind, die es erlauben, diese Web-Applikationen einzusetzen. Dieser Einschätzung von Bit9 schliessen sich namhafte, amerikanische Institute und Einrichtungen für Sicherheitsfragen in Anwendung an. Nach Bit9 geht die Gefahr nicht eigentlich von den Applikationen selbst aus, sondern davon, dass sie es den Anwendern freistellen, ob sie Sicherheitsupdates etc. installieren oder nicht - und im letzten Falle dem Unternehmen Tür und Tor für Angriffen öffnen.
All diese Dinge und noch mehr gemahnen zum Handeln. Der Entwicklung von Vorgaben für eine sicherheitsbewusste Programmierung von Webanwendungen hat sich jetzt eine Expertengruppe verschrieben. Hinter dieser Gruppe - dem Secure Programming Council - steht das SANS Institut. Diese Woche wurde das erste Dokument veröffentlicht und steht 60 Tage lang zur Diskussion bereit.
Es geht um die Suche und Beurteilung von Fähigkeiten, über die Entwickler von Java und JavaEE-Applikation verfügen müssen/sollten. Programmcode soll künftig frei von Fehlern sein, den Angreifer für ihre Ziele ausnutzen können. Die Richtlinien verstehen sich als Ergänzung und gehen auf die langjährigen Erfahrungen des SANS Institutes zurück. Allan Paller, Forschungsleiter im SANS Institute fasst seine Hoffnungen für diese neuen Standards so zusammen:
“This is the first standard you need to know if you’re going to write secure code for Java. There will be other standards but this is the first because Java is what most applications are written in and applications are what the attackers are targeting most right now.”
Dieses erste Dokument richtet sich an Java- und JavaEE-Entwickler, Standards für Perl, PHP, .Net, C and C++ werden ebenfalls entwickelt.
Quellen: silicon.de,
Web Bugs bei Heise.de,
ePolicy Best Practices von MessageLabs (kostenloser Leitfaden zur richtigen Nutzung von E-Mail und Internet),
MessageLabs Intelligence: September Report und Analyse des 3. Quartals 2007 (pdf, 1.3 Mb),
Essential Skills for Secure Programming Using Java/J2EE (pdf, 68 kb)
