Web Application Firewall (WAF)

Was ist eine Web Application Firewall (WAF)?

Q: Den passenden Web Application Firewall Anbieter finden

Der Inhouse-Betrieb einer WAF (Web App Firewall) ist aufwendig. Je nach Art können hohe Kosten für Hardware, Software und Betrieb anfallen. Fachpersonal mit tiefen Kenntnissen in Informationssicherheit ist oft schwer zu finden. IT-Sicherheitsdienstleister bieten hier Lösungen als Service an. Diese Dienstleister haben die nötige Branchenerfahrung, um den WAF-Betrieb effizient zu gestalten. Die Regelsätze in der WAF müssen zu den digitalen Geschäftsprozessen der Organisation passen. Andernfalls drohen Ausfälle und Leistungseinbußen. Eine maßgeschneiderte Konfiguration durch den WAF-Anbieter ist daher wichtig. Außerdem sind Compliance-Vorgaben bei der Wahl des Dienstleisters zu beachten. Diese ergeben sich aus Gesetzen wie der Datenschutz-Grundverordnung (DSGVO), der NIS-2-Richtlinie oder dem IT-Sicherheitsgesetz. In der Regel sind hochzertifizierte Anbieter im Europäischen Wirtschaftsraum (EWR) aus Compliance-Sicht zu bevorzugen.

Q: Deshalb ist Expertise beim WAF-Einsatz entscheidend

Eine falsch konfigurierte WAF (auch Cloud WAF oder WAF Firewall genannt) hat einige Nachteile. Eine fehlerhafte Implementierung kann die Leistung von Webanwendungen beeinträchtigen. Sie verursacht zusätzliche Latenz oder Overhead. Zudem können False Positives oder False Negatives die Funktionalität und Sicherheit von Webanwendungen gefährden. Legitime Nutzeranfragen werden blockiert, während schädliche Angriffe durchgelassen werden. Das führt zu höheren Kosten für Rekonfiguration, Wartung und mögliche Ausfälle. Eine Web Application Firewall muss kontinuierlich überwacht und optimiert werden. So bleibt sie mit neuen Bedrohungen Schritt und behebt mögliche Fehler oder Schwachstellen. Zudem müssen neue Sicherheitsrichtlinien adressiert werden. Bei der Nutzung einer WAF ist die Zusammenarbeit mit einem erfahrenen Servicepartner meist die beste Wahl. So sichern Sie sowohl die Sicherheit als auch die Performance von Webanwendungen.

Q: Weshalb eine WAF keine All-in-One-Lösung ist

Eine WAF (Web Application Firewall) ist wichtig, aber nicht genug für die Webanwendungssicherheit. Sie sollte andere Sicherheits- und Leistungstools ergänzen, nicht ersetzen. Erst in Kombination mit DDoS-Schutz, Bot Management und Load Balancing zeigt eine WAF ihre volle Stärke. So trägt sie zu einem umfassenden Schutz von kritischen Geschäftsprozessen im Web bei.

Eine Web Application Firewall (WAF) ist eine Sicherheitslösung, die den HTTP- und HTTPS-Datenverkehr zu und von einer Webanwendung filtert, überwacht und blockiert. Dies schützt vor einer Vielzahl von Cyberangriffen auf der Anwendungsebene – darunter SQL Injection, Cross-Site Scripting und vieles mehr.

Jetzt mit der Myra WAF absichern

Auf einen Blick

1. Web Application Firewall (WAF): eine Definition
2. Wie funktioniert eine Web Application Firewall (WAF)?
3. Vor welchen Gefahren schützt eine Web Application Firewall (WAF)?
4. Welche Vorteile bringt der Einsatz von WAF Security?
5. Welche Arten von WAFs gibt es?
6. Wovor kann eine Application Level Firewall nicht schützen?
7. Welche Unternehmen benötigen eine WAF?
8. Anwendungsbereiche von Web App Firewalls
9. Was müssen Unternehmen beim Einsatz einer WAF beachten?
10. Web Application Firewall (WAF): Das müssen Sie wissen

01

Web Application Firewall (WAF): eine Definition

Eine Web Application Firewall (WAF) steht vor Websites und Anwendungen. Sie prüft alle ein- und ausgehenden Daten. Sie blockiert gefährlichen Datenverkehr, wie Hackerangriffe. So erreichen nur sichere Anfragen die Webanwendung. WAFs nutzen Regeln, um Angriffe wie Cross-Site Scripting und SQL Injection zu erkennen. Dadurch bleibt die Sicherheit der Webanwendungen gewährleistet.

WAFs können als Software, Hardware oder verwaltete Cloud-Dienste eingerichtet werden. Ihre Regeln werden regelmäßig aktualisiert, um neuen Bedrohungen voraus zu sein. Sie helfen Unternehmen, Sicherheitsstandards einzuhalten und Daten vor Diebstahl zu schützen.

02

Wie funktioniert eine Web Application Firewall (WAF)?

Eine WAF gehört zu einem Sicherheitskonzept für Webanwendungen. Sie schützt vor Cyber-Angriffen wie Cross-Site Scripting und SQL Injection. Sie bildet eine Schutzwand zwischen der Web Application und dem Internet. Clients, die den Webserver erreichen wollen, müssen zunächst die Web Application Firewall passieren.

Bei der Datenanalyse hält sich die WAF an festgelegte Regeln, sogenannte Policies. Sie dienen dem Herausfiltern von schädlichem Traffic. Diese Policies werden laufend aktualisiert, um auf verschiedene Formen von Cyberattacken reagieren zu können. Grundsätzlich gibt es Blocklist- und Allowlist-WAFs:

Blocklist-WAFs basieren auf einem negativen Sicherheitsmodell und schützen vor bereits bekannten Angriffen. Die Firewall erkennt diese Attacken und wendet sie ab.
Allowlist-WAFs hingegen verfolgen ein positives Sicherheitsmodell. Sie lassen ausschließlich im Vorfeld genehmigten Traffic durch.

Viele WAFs nutzen einen hybriden Ansatz. Sie kombinieren Blocklisten und Allowlisten. So erreichen sie eine optimale Sicherheitsleistung.

Erfahren Sie mehr über flexible und skalierbare WAF-Schutzlösungen für Ihre Webseiten → DSGVO-konform & Made in Germany

Myra WAF erkunden

03

Vor welchen Gefahren schützt eine Web Application Firewall (WAF)?

Eine Web Application Firewall (WAF) schützt Webanwendungen vor Datendiebstahl, Kontenübernahme, schädlicher Manipulation und Sabotage. Organisationen können sich mit einer WAF vor diesen Angriffsmustern schützen:

Cross-Site-Scripting (XSS)

Bei einem Angriff mittels Cross-Site-Scripting injizieren Cyberkriminelle durch das Ausnutzen von Sicherheitslücken schädlichen Code in Webanwendungen, um etwa sensible Informationen wie Login-Daten zu stehlen. Besonders interaktive Webseiten und -anwendungen sind hierfür anfällig. Als vorgelagerter Schutzwall verhindert eine Web Application Firewall solche schädlichen Zugriffe.

SQL-Injection

Bei einer SQL-Injection-Attacke nutzen Cyberkriminelle gezielt Sicherheitslücken aus, um etwa über Eingabemasken manipulierte Befehle oder Schadcode einzuschleusen. Dedizierte Regelsätze erlauben WAF-Lösungen, Injection-Attacken zuverlässig zu erkennen und zu vereiteln.

OWASP Top 10

Die Non-Profit-Organisation Open Web Application Security Project (OWASP) erstellt in regelmäßigen Abständen eine Liste der 10 größten Sicherheitsprobleme von Webapplikationen. Viele der darin enthaltenen Bedrohungen können durch eine Web Applikation Firewall adressiert werden.

Zero-Day Exploits

Bei Zero-Day Exploits nutzen Cyberkriminelle neu entdeckte Software-Schwachstellen wie Log4Shell oder Confluence OGNL umgehend für ihre Angriffe aus. Angepasste WAF-Regeln bieten in einer solchen akuten Bedrohungslage sofortigen Schutz, bis Patches für die anfällige Software verfügbar und eingespielt sind.

Welche Vorteile bringt der Einsatz von WAF Security?

Unternehmen, die eine Web Application Firewall auf ihrer Website nutzen, haben folgende Vorteile:

Zusätzliche Sicherheitsebene für Webanwendungen

In Kombination mit weiteren Sicherheitsmaßnahmen bietet eine Application Level Firewall eine zusätzliche Schutzebene vor fremdem und unbefugtem Zugriff.

Schließen von Sicherheitslücken bei mehreren Anwendungen

Webmaster können eine WAF vor mehrere Anwendungen gleichzeitig zwischenschalten. Diese Vorgehensweise ermöglicht es, bestehende Sicherheitslücken zu schließen.

Schutz von Legacy-Systemen und Anwendungen

Software, die schon lange genutzt wird und nicht intern entwickelt wurde, kann oft Sicherheitslücken aufweisen. Eine WAF bietet hier zusätzliche Sicherheit.

05

Welche Arten von WAFs gibt es?

Es gibt drei Arten, eine WAF-Architektur aufzubauen:

Zentralisiert: Netzwerk-basiert, als Hardware-Appliance oder virtuelle Appliance.
Host-basiert: Direkt auf dem Webserver.
Cloud-SaaS-Lösung: Als Service über einen Dienstleister bereitgestellt.

Die Funktionalität und der Aufwand unterscheiden sich je nach Art und Bereitstellung erheblich.

Netzwerk-basierte WAF

Diese Web Application Firewalls sind als Hardware- oder virtuelle Appliance in das Netzwerk integriert. Sie stehen vor oder hinter den Webservern, um Web-Apps zu schützen. Die Lösungen bieten hohe Skalierbarkeit und Leistung. Sie benötigen jedoch mehr Bandbreite und eine leistungsstarke Infrastruktur.

Host-basierende WAF

Host-basierte Web Application Firewalls sind als Software oder Modul auf dem Server installiert, der die Webanwendung hostet. Sie bieten hohe Integration und Kontrolle. Allerdings benötigen sie mehr Ressourcen und erfordern viel Wartung.

Cloud-SaaS-WAF

Zahlreiche Anbieter von Web Application Firewalls bieten Software-as-a-Service-Lösungen an. Diese werden in der Cloud gehostet. Sie reduzieren den internen Aufwand für Unternehmen und bieten hohe Flexibilität und Kosteneffizienz. Besonders bei einer Managed WAF kümmert sich der Provider um Konfiguration, Wartung und Betrieb der Cloud Web Application Firewall.

Überzeugen Sie sich selbst von unseren maßgestalteten Security-as-a-Service-Lösungen für IT-Infrastrukturen und Webapplikationen.

Jetzt kostenlose Demo anfordern

06

Wovor kann eine Application Level Firewall nicht schützen?

Eine WAF Firewall schützt nicht vollständig. Sie muss Teil eines größeren Sicherheitskonzepts sein. Folgende Bedrohungen lassen sich nicht durch eine Application Level Firewall abwehren:

Angriffe über Protokolle außerhalb der Anwendungsebene, wie DNS, SMTP, Telnet, RDP, SSH oder FTP, kann eine WAF-Lösung nicht erkennen.
DDoS-Attacken, die mit schädlichem Traffic darauf abzielen, Webanwendungen und die dahinterliegende Webinfrastruktur zu überlasten, können nur teilweise von einer WAF abgefangen werden. Zuverlässigen Schutz bieten hier hingegen dedizierte DDoS-Protection-Lösungen auf Netzwerk-, Protokoll- und Applikationsebene.
Fehler in Webanwendungen können unerwünschte Reaktionen hervorrufen. Cyberkriminelle nutzen diese Schwächen oft aus. Solche konzeptionellen Programmierfehler erkennt eine Application Level Firewall nicht.

07

Welche Unternehmen benötigen eine WAF?

Unternehmen in allen Branchen profitieren von einer Cloud WAF. Diese ist wichtig für geschäftskritische Webseiten, Onlineportale und Web-APIs. Firmen, die Kreditkartenzahlungen nach PCI-DSS-Standard anbieten, müssen eine WAF nutzen. Das betrifft viele E-Commerce-Händler. Auch andere Vorschriften, wie die NIS-2-Richtlinie, verlangen, dass Unternehmen ihre Systeme nach dem neuesten Stand der Technik sichern. Oft beinhaltet das auch eine WAF für kritische Onlineanwendungen.

Zudem nutzen viele Organisationen, die agile Entwicklungsmethoden anwenden, WAF-Schutz. So werden Fehler in der Entwicklung durch die Firewall abgesichert.

08

Anwendungsbereiche von Web App Firewalls

Web Application Firewalls (WAFs) sind in verschiedenen Anwendungsbereichen einsetzbar, um Webanwendungen vor Cyberangriffen und Sicherheitslücken zu schützen. Einige der wichtigsten Anwendungsbereiche von WAFs sind:

Schutz von E-Commerce-Plattformen

E-Commerce-Websites sind oft Ziele von Cyberangriffen. Sie verarbeiten viele sensible Daten, wie Kreditkarteninformationen und persönliche Kundendaten. Eine WAF hilft, diese Daten zu schützen. Sie blockiert schädliche Anfragen und minimiert so das Risiko von Datendiebstahl und Betrug.

Absicherung von SaaS-Diensten

Software-as-a-Service (SaaS)-Anwendungen bieten Unternehmen flexible und skalierbare Lösungen, sind jedoch auch anfällig für Cyberbedrohungen. Durch die Implementierung einer WAF können SaaS-Anbieter sicherstellen, dass ihre Anwendungen gegen häufige Angriffe wie SQL-Injection und Cross-Site-Scripting (XSS) geschützt sind.

Erfüllung von Compliance-Anforderungen

Viele Branchen unterliegen strengen Datenschutz- und Sicherheitsvorschriften. Eine WAF hilft Unternehmen, Cyberbedrohungen effektiv abzuwehren. So bleibt die Datenintegrität gesichert.

Schutz von Unternehmensportalen

Viele Unternehmen nutzen Webportale, um Informationen auszutauschen und mit Kunden und Partnern zu interagieren. Eine WAF bietet zusätzlichen Schutz. Sie sichert die Portale vor unbefugtem Zugriff und Manipulation.

Absicherung von APIs

APIs (Application Programming Interfaces) sind entscheidend für die Kommunikation zwischen verschiedenen Systemen und Anwendungen. Eine W.A.F. kann den API-Verkehr überwachen und schädliche Anfragen blockieren, um die Integrität und Verfügbarkeit der Dienste zu gewährleisten.

Schnelle Reaktion auf Zero-Day-Schwachstellen

WAF Security hilft Unternehmen, schnell auf neue Software-Schwachstellen zu reagieren. Mit speziellen Regelsätzen können solche Vorfälle sofort behoben oder ihre Auswirkungen gemildert werden. Das erfolgt, ohne auf einen offiziellen Patch des Anbieters warten zu müssen.

09

Was müssen Unternehmen beim Einsatz einer WAF beachten?

Eine Web Application Firewall ist nur so gut, wie ihre Filter und ihre Konfiguration. Wer hier einen Fehler macht oder zu restriktiv vorgeht, muss mit Problemen rechnen. Die Verwaltung einer WAF braucht IT-Sicherheitsprofis. Sie müssen die Ressourcen haben, um die Firewall zu betreuen. Unternehmen, die das intern nicht schaffen, nutzen SaaS-Lösungen von externen Anbietern. Diese Anbieter übernehmen dann die Verwaltung.

10

Web Application Firewall (WAF): Das müssen Sie wissen

Eine Web App Firewall ist ein wichtiger Faktor eines umfassenden Sicherheitskonzepts für die Unternehmenswebsite, geschäftskritische Onlineportale und APIs. Die Sicherheitslösung überwacht den Traffic direkt auf der Anwendungsebene. Dabei prüft die Lösung eingehende Anfragen und Antworten des Webservers auf verdächtige Muster. Als schädlich klassifizierte Anfragen werden von der WAF blockiert – so kann ein Schutz der Anwendungen sichergestellt werden, ohne dass hierfür Anpassungen an der Anwendung selbst erforderlich sind.

WAF Security schützt Webseiten vor Attacken, die über das Hypertext Transfer Protocol (HTTP/S) erfolgen. Hierzu zählen etwa Risiken aus den OWASP Top 10, Zero-Day-Exploits, SQL Injection, oder auch Cross-Site Scripting (XSS).

Für einen reibungslosen Einsatz muss der Web Application Firewall Anbieter die Sicherheitslösung auf die vorhandenen Webanwendungen anpassen. Nur so lassen sich Performance- oder Sicherheitsprobleme sowie Komplettausfälle im Vorfeld ausschließen.

Die Myra WAF schützt Ihre Inhalte und Anwendungen und fügt sich nahtlos in Ihre bestehende IT-Infrastruktur ein.

Jetzt mehr über die Myra WAF erfahren

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich

Deep Dive WAF IT-Security

Den passenden Web Application Firewall Anbieter finden

Deshalb ist Expertise beim WAF-Einsatz entscheidend

Weshalb eine WAF keine All-in-One-Lösung ist

Über den Autor

Björn Greif

Senior Editor

Über den Autor

Björn Greif startete seine Redakteurskarriere 2006 beim IT-Nachrichtenportal ZDNet. 10 Jahre und exakt 12.693 Artikel später engagierte er sich beim deutschen Start-up Cliqz für mehr Privatsphäre und Datenschutz im Web. Vom Datenschutz zur IT-Sicherheit war es dann nur noch ein kleiner Schritt: Seit 2020 schreibt Björn bei Myra über die neusten Trends und Entwicklungen in der Welt der Cybersecurity.