tadamichi - Fotolia

Risikofaktor: Unsichere Accounts von Webanwendungen

Unsichere Web-Logins für Firmenanwendungen können Angreifern eine große Angriffsfläche bieten. Entsprechend sorgfältig sollten Unternehmen diese Schwachstellen untersuchen.

Längst sind webbasierte Anwendungen in vielen Bereichen des Unternehmens Standard und entscheidend für zahlreiche Geschäftsprozesse. Die Bandbreite reicht von ERP-Systemen oder anderen kaufmännischen Anwendungen bis hin zum Online-Banking. In nahezu jedem Unternehmen existiert mindestens eine sehr geschäftskritische Anwendung, die in der Cloud gehostet wird. Und selbstredend sind viele der Logins an das Unternehmenseigene Single Sign-On angebunden, mit dem Active Directory synchronisiert und unterliegen allen Sicherheitsmechanismen, die auch für internen Anwendungen gelten. Aber eben nicht alle, und genau diese können für das Unternehmen ein erhebliches Sicherheitsrisiko darstellen.

Natürlich sind Webapplikationen manchmal anfällig für Angriffe per Cross Site Scripting oder SQL Injection. Aber diese Schwachstellen werden meist regelmäßig entdeckt und dementsprechend auch geschlossen. Ein wesentlicher Faktor, der beim Scannen auf Schwachstellen häufig übersehen wird, ist der Zugang zu diesen Anwendungen. Obwohl es eigentlich selbstverständlich sein sollte, entspricht der Login-Mechanismus für webbasierte Anwendungen keineswegs immer den Sicherheitsstandards, die für andere Applikationen angewendet werden. Da Fachabteilungen inzwischen häufig auch selbsttätig Cloud-Dienste buchen, ist das in diesen Fällen für die IT oft nicht nachvollziehbar.

Risiken bei Web-Accounts

Nachfolgend haben wir ein paar typische Schwachstellen im Zusammenhang mit Webanwendungen und der verbundenen Login-Sicherheit zusammengefasst. Dies sollten Unternehmen bei der Betrachtung ihrer Gesamtsicherheit berücksichtigen.

Mangelnder Account-Schutz vor Angriffen: Hierdurch wird es Angreifern ermöglich, Passwörter automatisiert oder manuell mit einer beliebigen Anzahl von Versuchen zu ermitteln. Es erfolgt keine automatische Sperre des Accounts, noch ist ein anderer Sicherheitsmechanismus implementiert. Meist wird hier als Gegenargument angeführt, dass es sehr aufwendig sei, wenn der eigentliche Benutzer ausgesperrt würde. Hier existieren längst Mittel und Wege, dies technisch unterschiedlich zu regeln, und sei es nur über ein automatisiertes Zurücksetzen des Passwortes. Apropos Passwort-Reset, einige Anwendungen erfordern hier immer noch eine Benutzerinteraktion mit dem Help Desk, womöglich telefonisch. Das ist alles andere als zeitgemäß, ebenso wie bestimmte Reset-Fragen, die der Endanwender beantworten muss.

Beschreibende Fehlermeldungen: Erfolgt eine Anmeldung mit falschen Benutzerinformationen, geben manche Systeme erklärende Fehlermeldungen aus. In Verbindung mit der mangelnden Account-Sperre machen es Anwendungen den Angreifern zudem leichter, wenn konkrete Fehlermeldungen ausgegeben werden, wie „Sie haben für dieses Konto das falsche Passwort angegeben“, oder auch „Der Benutzername wurde falsch eingegeben“.

Zu geringe Anforderungen an das Kennwort: Sind die Anforderungen an das Passwort zu schwach, haben es Angreifer ebenso einfacher. Immer noch erlauben einige Webanwendungen Kennwörter wie 111111 oder abc123. Jedes Jahr wiederholen sich die Studien und Statistiken zu gängigen Passwörter und deren Verwendung und es scheint sich kaum etwas daran zu ändern.

Zu schwache Passwörter gehören nach wie vor zu den Spitzenreitern bei Sicherheitsvorfällen. Häufig wird für diesbezüglich zu geringe Anforderungen die Benutzerakzeptanz als Argument genannt. Zu strenge Vorgaben würden hier für ein Problem sorgen. Das ist durchaus diskutabel, denn es existieren auch Untersuchungen, dass zu strenge Anforderungen keineswegs die Sicherheit erhöhen. Dies ist aber kein Grund, sehr einfache Kennwörter zuzulassen. Trotz aller Bemühungen, dies zu ändern, wird uns die Kombination aus Nutzername und Kennwort vermutlich noch lange Zeit als gängiger Zugangsweg begleiten.

Daher sollten zumindest ausreichend starke Passwörter für die entsprechenden Zugänge verpflichtend sein. Insbesondere auch dann, wenn die Cloud-Dienste gemeinsam mit Kunden und Lieferanten genutzt werden. Und es ist ein Unterschied, ob die Verwendung entsprechender Passwörter als Richtlinie ausgegeben wird, oder dies technisch umgesetzt wird. Manche Webanwendungen erfordern dies auch nur bei der Ersteinrichtung, sind aber bei späterem Wechsel weniger konsequent. Es sollte sichergestellt werden, dass entsprechende Richtlinien ordnungsgemäß implementiert werden. Erfahrungsgemäß wählen Anwender den Weg des geringsten Widerstandes. Und Angreifer natürlich auch.

Unverschlüsselte Logins: Sie sollten eigentlich nicht mehr existieren, denn eine der riskantesten anwendungsbezogenen Schwachstellen sind unverschlüsselte Webanwendungssitzungen. Es ist schlimm genug, wenn veraltete SSL- oder TLS-Versionen mit bekannten Schwachstellen für Man-in-the-middle-Angriffe im Einsatz sind. Und alleine ein verschlüsselter Zugang darf einen auch nicht in Sicherheit wiegen.

Aber Logins zu Content-Management-Systemen oder anderen Unternehmensanwendungen ohne Verschlüsselung, offenbaren einen erheblichen Mangel an Sorgfalt. Meldet sich ein Anwender an so ein System beispielsweise über ein öffentliches WLAN an, sind die entsprechenden Anmeldeinformationen schnell kompromittiert. Und hat ein Angreifer erst einmal diese Zugangsdaten und damit den Fuß irgendwie im Unternehmensnetzwerk, ist es meist ein leichtes sich seitwärts zu bewegen. Und dies dann häufig auch noch ohne von den Sicherheitssystemen bemerkt zu werden.

Webschwachstellen aufspüren

Single Sign-On und Multifaktor-Authentifizierung werden oftmals als Auswege aus diesem Dilemma genannt – und dies völlig gerechtfertigt. Aber so lange sich nicht alle genutzten Webanwendungen entsprechend anbinden oder einrichten lassen, sollte man sich deren Sicherheitsrisiken zumindest bewusst sein. So ist denn auch die Identifizierung entsprechender Anwendungen und Schwachstellen ein wichtiger Faktor in Sachen Security.

Es muss sichergestellt sein, dass alle Webanwendungen diesbezüglich richtig getestet werden. Dedizierte Webschwachstellenscanner können da vieles aufspüren, was bei traditionellen Netzwerkuntersuchungen außen vor bleibt. Exemplarisch seien hier einmal Lösungen wie Netsparker oder Acunetix Web Vulnerability Scanner erwähnt. Ganz traditionelle Methoden wie ein HTTP-Proxy und Browser mit ihren integrierten Tools können beim manuellen Aufspüren entsprechender Schwachstellen ebenfalls gute Dienste leisten.

Daher sollte der Login-Vorgang, einschließlich des ersten Benutzer-Setups und der Möglichkeiten hinsichtlich Kennwortänderungen, genau auf den Prüfstand gestellt werden. Auch Schwächen in Bezug auf das Management der Anwendungs-Sessions sollten dabei berücksichtigt werden.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die Sicherheit von Webanwendungen verbessern

Schwachstellen in Webanwendungen aufspüren

Es erfolgen vermehrt Angriffe auf Cloud-Konten

 

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungsangriffe (Cross-Site Scripting, Buffer Overflows)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close