Web-Anwendungen und Mobilgeräte-Apps sind bevorzugte Vektoren für Angriffe auf Daten. Deshalb muss die Anwendungssicherheit unbedingt Teil der Pläne zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) sein, die im Mai verbindlich wird, betont Rémi Le Mer, Security Solution Architect bei Qualys, im folgenden Gastkommentar.

Die DSGVO gilt weltweit für alle Unternehmen, die Daten von EU-Bürgern besitzen und verarbeiten, deren Schutz die DSGVO gewährleisten will. Doch sie gibt nur vage Hinweise, welche technischen Mittel erforderlich sind, um die Bestimmungen einzuhalten. Unternehmen müssen deshalb alles tun, um versehentlich oder bewusst herbeigeführte Vorfälle zu verhindern.

In einem Unternehmen sind Hunderte oder Tausende von Web-Anwendungen im Einsatz. Viele davon weisen gefährliche Sicherheitslücken und falsche Konfigurationen auf. Verizon stellte in seinem Data Breach Investigation Report 2016 fest, dass Angriffe auf Web-Anwendungen im Vergleich zu anderen Angriffsformen mit der höchsten Wahrscheinlichkeit zu Verletzungen des Datenschutzes führen.

Hilfreich zur Einschätzung der Risiken sind zwei Veröffentlichungen des gemeinnützigen Open Web Application Security Projects (OWASP): die OWASP Top Ten Privacy Risks und die OWASP Top Ten Application Security Risks.

Die größten Datenschutzrisiken
Schwachstellen in Web-Anwendungen führen die Liste der Datenschutzrisiken an. Wie das OWASP erläutert: „Bestehen Fehler im Design oder in der Implementierung der Applikation und werden Probleme nicht entdeckt oder Sicherheits-Patches nicht sofort eingespielt, führt dies mit sehr wahrscheinlich zu einer Verletzung von Persönlichkeiten.“

Injection-Schwachstellen können Angreifer in die Lage versetzen, Daten zu kopieren oder zu manipulieren. Zu den weiteren Problemen zählen der Verlust sensibler Daten, die Verwendung unsicherer direkter Objektbezüge, die Nutzung von Softwarekomponenten mit bekannten Schwachstellen sowie Fehlkonfigurationen. Das OWASP empfiehlt hier, häufig Penetrationstests durchzuführen, regelmäßig Updates und Patches zu installieren, Problembehebungen nachzuverfolgen und sichere Entwicklungspraktiken einzuhalten.

Auf Platz 2 der Liste folgt das „Abfließen von Daten auf Betreiberseite“, vom OWASP beschrieben als „unerwünschte Preisgabe personenbezogener oder personenbeziehbarer Daten an nicht autorisierte Personen, die nicht wirksam verhindert wird und deshalb zu einem Verlust an Datenvertraulichkeit führt”. Zu den Ursachen zählen vorsätzliche Sicherheitsverletzungen oder Fehler wie „unzureichendes Zugriffs-Management, unsichere Datenablage, Datendopplung oder fehlendes Problembewusstsein (Awareness)”. Zu empfehlen sind hier ein geeignetes Identity- und Access-Management, starke Verschlüsselung für alle gespeicherten personenbezogenen Daten und das Maskieren personenbezogener Daten durch Anonymisierung und Pseudonymisierung.

Des Weiteren sind folgende Punkte für IT-Sicherheitsteams relevant, wenn sie auf DSGVO-Compliance hinarbeiten:

Unzureichende Reaktion bei Datenpannen: Gegen Datenverluste empfiehlt das OWASP vorbeugende Schritte, darunter die durchgehende Überwachung auf Datenlecks und Verluste personenbezogener Daten. Wenn sich eine Datenschutzverletzung ereignet hat oder der Verdacht besteht, muss das Unternehmen die betroffenen Personen informieren, die Ursache für die Datenschutzverletzung beseitigen und die Datenlecks minimieren.

Unzureichende Löschung personenbezogener Daten: Best Practices sind hier die Befolgung von Richtlinien für Datenhaltung, -archivierung und -löschung, die Verifizierung der Löschungen, die Beschränkung von Zugriffen auf Daten, die nicht gelöscht werden können, die Ermittlung historischer Daten, die in älteren Cloud-Snapshots gespeichert sind, sowie die Berücksichtigung von Backup-Daten und Daten, die an Dritte übermittelt wurden.

Weitergabe von Daten an Dritte: Die DSGVO besagt, dass „Dateneigentümer“ haften, wenn Drittparteien die Bestimmungen nicht einhalten. Unternehmen sollten jetzt die rechtlichen Grundlagen legen und Verträge anpassen, um sicherzustellen, dass sie Nachweise entweder automatisch durch Web-Anwendungsscans oder durch Fragebögen zur Sicherheitsbewertung einholen können.

Veraltete personenbezogene Daten: Unternehmen können im Hinblick auf die DSGVO in Schwierigkeiten geraten, wenn sie veraltete oder falsche Kundendaten verwenden. Das OWASP schlägt vor, mit Kontrollen sicherzustellen, dass die Daten noch korrekt sind, sowie die Möglichkeiten zur Aktualisierung personenbezogener Daten in Web-Anwendungen zu prüfen.

Fehlendes oder unzureichendes Session-Ende: Beendet eine Web-Anwendung die Sessions nicht richtig, können Angreifer das Konto und die Daten eines Nutzers missbrauchen oder Nutzerdaten ohne Einverständnis des Nutzers sammeln. Hier sind Logout-Schaltflächen anzubringen und automatische Session-Timeouts einzurichten.

Unsichere Datenübertragung: Bei der Datenübermittlung sind die Daten zu schützen, damit sie nicht kompromittiert werden. Das OWASP empfiehlt, bei der Übertragung personenbezogener Daten sichere Protokolle zu nutzen, personenbezogene Daten in URLs zu vermeiden, HTTPS für die gesamte Web-Anwendungssitzung zu erzwingen, TLS/DTLS (Transport Layer Security/Datagram TLS) statt SSL v3 zu unterstützen und ECDHE- (Elliptic Curve Diffie-Hellman) und GCM-Cipher-Suiten (Galois/Counter Mode) statt eines statischen RSA-Schlüsselaustauschs und CBC-basierter (Cipher Block Chaining) Cipher-Suiten zu verwenden.

Scans von Web-Applikationen verdeutlichen DSGVO-relevante Risiken. Bild: Qualys

Scans von Web-Applikationen verdeutlichen DSGVO-relevante Risiken. Bild: Qualys

Risiken für die Applikationssicherheit laut OWASP
Die OWASP-Liste der Top Ten Application Security Risks überschneidet sich mit der Liste der Datenschutzrisiken, ist aber technischer orientiert und nicht unbedingt auf Datenschutzfragen ausgerichtet. Die zehn größten Risiken sind hier:

* Injection-Schwachstellen, wie beispielsweise SQL-, NoSQL-, OS- und LDAP-Injection, die es einem Angreifer ermöglichen, Kommandos auszuführen oder unautorisiert auf Daten zuzugreifen,

* Fehler bei der Authentifizierung und beim Session-Management, die es Angreifern erlauben, Passwörter, Schlüssel oder Session-Tokens zu kompromittieren und Konten zu übernehmen,

* Verlust der Vertraulichkeit sensibler Daten – Daten werden bei der Speicherung oder Übertragung nicht gut geschützt, zum Beispiel durch Verschlüsselung,

* XML External Entities, die sich ausnutzen lassen, um interne Dateien preiszugeben und Remote Code auszuführen, wenn der XML-Prozessor älter oder schlecht konfiguriert ist,

* Fehler bei der Zugriffskontrolle – Beschränkungen für die Aktionen authentifizierter Benutzer werden nicht richtig durchgesetzt,

* sicherheitsrelevante Fehlkonfigurationen, darunter Probleme wie unsichere Standardkonfigurationen, Speicherung in offenen Clouds, falsch konfigurierte HTTP-Header und unnötig umfangreiche Fehlermeldungen,

* Cross-Site Scripting, das es Angreifern ermöglicht, Skript-Code in Browsern auszuführen, Benutzersessions zu übernehmen, Seiteninhalte zu verändern oder Benutzer auf bösartige Websites umzuleiten,

*  unsichere Deserialisierung, was ebenfalls die Ausführung von Remote Code ermöglichen kann,

* Nutzung von Komponenten mit bekannten Schwachstellen, sodass Bugs in die Anwendung gelangen, die erfolgreiche Angriffe ermöglichen, sowie

* unzureichendes Logging und Monitoring, sodass IT-Sicherheitsteams laufende Angriffe nicht bemerken.

Eine WAF verschafft den Überblick über die Bedrohungslage auf Anwendungsebene. Bild: Qualys

Eine WAF verschafft den Überblick über die Bedrohungslage auf Anwendungsebene. Bild: Qualys

Erforderlich sind hier Scans von Web-Anwendungen mit einer Web Application Firewall (WAF), um eine skalierbare Web-Sicherheit zu gewährleisten. Von Nutzen ist dabei eine WAF mit einheitlichem Interface, sodass die IT-Organisation alle Schwachstellen und Fehlkonfigurationen in Web-Anwendungen in allen Clouds ermitteln, verwalten und beseitigen kann. Bei der Inventarisierung neuer und unbekannter Anwendungen sollten sich die Anwendungen kennzeichnen lassen, die unter die DSGVO fallen.

Weitere Informationen finden sich unter www.qualys.com.

Rémi Le Mer, Security Solution Architect bei Qualys.