Besuchen Sie uns auf der it-sa in Nürnberg vom 7. bis 9. Oktober. Jetzt kostenloses Ticket sichern!
Home>
Web Application Firewall (WAF)
03
Eine Web Application Firewall (WAF) schützt Webanwendungen vor Datendiebstahl, Kontenübernahme, schädlicher Manipulation und Sabotage. Organisationen können sich mit einer WAF vor diesen Angriffsmustern schützen:
Cross-Site-Scripting (XSS)
Bei einem Angriff mittels Cross-Site-Scripting injizieren Cyberkriminelle durch das Ausnutzen von Sicherheitslücken schädlichen Code in Webanwendungen, um etwa sensible Informationen wie Login-Daten zu stehlen. Besonders interaktive Webseiten und -anwendungen sind hierfür anfällig. Als vorgelagerter Schutzwall verhindert eine Web Application Firewall solche schädlichen Zugriffe.
SQL-Injection
Bei einer SQL-Injection-Attacke nutzen Cyberkriminelle gezielt Sicherheitslücken aus, um etwa über Eingabemasken manipulierte Befehle oder Schadcode einzuschleusen. Dedizierte Regelsätze erlauben WAF-Lösungen, Injection-Attacken zuverlässig zu erkennen und zu vereiteln.
OWASP Top 10
Die Non-Profit-Organisation Open Web Application Security Project (OWASP) erstellt in regelmäßigen Abständen eine Liste der 10 größten Sicherheitsprobleme von Webapplikationen. Viele der darin enthaltenen Bedrohungen können durch eine Web Applikation Firewall adressiert werden.
Zero-Day Exploits
Bei Zero-Day Exploits nutzen Cyberkriminelle neu entdeckte Software-Schwachstellen wie Log4Shell oder Confluence OGNL umgehend für ihre Angriffe aus. Angepasste WAF-Regeln bieten in einer solchen akuten Bedrohungslage sofortigen Schutz, bis Patches für die anfällige Software verfügbar und eingespielt sind.
Unternehmen, die eine Web Application Firewall auf ihrer Website nutzen, haben folgende Vorteile:
In Kombination mit weiteren Sicherheitsmaßnahmen bietet eine Application Level Firewall eine zusätzliche Schutzebene vor fremdem und unbefugtem Zugriff.
Webmaster können eine WAF vor mehrere Anwendungen gleichzeitig zwischenschalten. Diese Vorgehensweise ermöglicht es, bestehende Sicherheitslücken zu schließen.
Software, die schon lange genutzt wird und nicht intern entwickelt wurde, kann oft Sicherheitslücken aufweisen. Eine WAF bietet hier zusätzliche Sicherheit.
05
Es gibt drei Arten, eine WAF-Architektur aufzubauen:
Zentralisiert: Netzwerk-basiert, als Hardware-Appliance oder virtuelle Appliance.
Host-basiert: Direkt auf dem Webserver.
Cloud-SaaS-Lösung: Als Service über einen Dienstleister bereitgestellt.
Die Funktionalität und der Aufwand unterscheiden sich je nach Art und Bereitstellung erheblich.
Diese Web Application Firewalls sind als Hardware- oder virtuelle Appliance in das Netzwerk integriert. Sie stehen vor oder hinter den Webservern, um Web-Apps zu schützen. Die Lösungen bieten hohe Skalierbarkeit und Leistung. Sie benötigen jedoch mehr Bandbreite und eine leistungsstarke Infrastruktur.
Host-basierte Web Application Firewalls sind als Software oder Modul auf dem Server installiert, der die Webanwendung hostet. Sie bieten hohe Integration und Kontrolle. Allerdings benötigen sie mehr Ressourcen und erfordern viel Wartung.
Zahlreiche Anbieter von Web Application Firewalls bieten Software-as-a-Service-Lösungen an. Diese werden in der Cloud gehostet. Sie reduzieren den internen Aufwand für Unternehmen und bieten hohe Flexibilität und Kosteneffizienz. Besonders bei einer Managed WAF kümmert sich der Provider um Konfiguration, Wartung und Betrieb der Cloud Web Application Firewall.
08
Web Application Firewalls (WAFs) sind in verschiedenen Anwendungsbereichen einsetzbar, um Webanwendungen vor Cyberangriffen und Sicherheitslücken zu schützen. Einige der wichtigsten Anwendungsbereiche von WAFs sind:
E-Commerce-Websites sind oft Ziele von Cyberangriffen. Sie verarbeiten viele sensible Daten, wie Kreditkarteninformationen und persönliche Kundendaten. Eine WAF hilft, diese Daten zu schützen. Sie blockiert schädliche Anfragen und minimiert so das Risiko von Datendiebstahl und Betrug.
Software-as-a-Service (SaaS)-Anwendungen bieten Unternehmen flexible und skalierbare Lösungen, sind jedoch auch anfällig für Cyberbedrohungen. Durch die Implementierung einer WAF können SaaS-Anbieter sicherstellen, dass ihre Anwendungen gegen häufige Angriffe wie SQL-Injection und Cross-Site-Scripting (XSS) geschützt sind.
Viele Branchen unterliegen strengen Datenschutz- und Sicherheitsvorschriften. Eine WAF hilft Unternehmen, Cyberbedrohungen effektiv abzuwehren. So bleibt die Datenintegrität gesichert.
Viele Unternehmen nutzen Webportale, um Informationen auszutauschen und mit Kunden und Partnern zu interagieren. Eine WAF bietet zusätzlichen Schutz. Sie sichert die Portale vor unbefugtem Zugriff und Manipulation.
APIs (Application Programming Interfaces) sind entscheidend für die Kommunikation zwischen verschiedenen Systemen und Anwendungen. Eine W.A.F. kann den API-Verkehr überwachen und schädliche Anfragen blockieren, um die Integrität und Verfügbarkeit der Dienste zu gewährleisten.
WAF Security hilft Unternehmen, schnell auf neue Software-Schwachstellen zu reagieren. Mit speziellen Regelsätzen können solche Vorfälle sofort behoben oder ihre Auswirkungen gemildert werden. Das erfolgt, ohne auf einen offiziellen Patch des Anbieters warten zu müssen.
09
Eine Web Application Firewall ist nur so gut, wie ihre Filter und ihre Konfiguration. Wer hier einen Fehler macht oder zu restriktiv vorgeht, muss mit Problemen rechnen. Die Verwaltung einer WAF braucht IT-Sicherheitsprofis. Sie müssen die Ressourcen haben, um die Firewall zu betreuen. Unternehmen, die das intern nicht schaffen, nutzen SaaS-Lösungen von externen Anbietern. Diese Anbieter übernehmen dann die Verwaltung.
Der Inhouse-Betrieb einer WAF (Web App Firewall) ist aufwendig. Je nach Art können hohe Kosten für Hardware, Software und Betrieb anfallen. Fachpersonal mit tiefen Kenntnissen in Informationssicherheit ist oft schwer zu finden.
IT-Sicherheitsdienstleister bieten hier Lösungen als Service an. Diese Dienstleister haben die nötige Branchenerfahrung, um den WAF-Betrieb effizient zu gestalten. Die Regelsätze in der WAF müssen zu den digitalen Geschäftsprozessen der Organisation passen. Andernfalls drohen Ausfälle und Leistungseinbußen. Eine maßgeschneiderte Konfiguration durch den WAF-Anbieter ist daher wichtig.
Außerdem sind Compliance-Vorgaben bei der Wahl des Dienstleisters zu beachten. Diese ergeben sich aus Gesetzen wie der Datenschutz-Grundverordnung (DSGVO), der NIS-2-Richtlinie oder dem IT-Sicherheitsgesetz. In der Regel sind hochzertifizierte Anbieter im Europäischen Wirtschaftsraum (EWR) aus Compliance-Sicht zu bevorzugen.
Eine falsch konfigurierte WAF (auch Cloud WAF oder WAF Firewall genannt) hat einige Nachteile. Eine fehlerhafte Implementierung kann die Leistung von Webanwendungen beeinträchtigen. Sie verursacht zusätzliche Latenz oder Overhead. Zudem können False Positives oder False Negatives die Funktionalität und Sicherheit von Webanwendungen gefährden. Legitime Nutzeranfragen werden blockiert, während schädliche Angriffe durchgelassen werden. Das führt zu höheren Kosten für Rekonfiguration, Wartung und mögliche Ausfälle. Eine Web Application Firewall muss kontinuierlich überwacht und optimiert werden. So bleibt sie mit neuen Bedrohungen Schritt und behebt mögliche Fehler oder Schwachstellen. Zudem müssen neue Sicherheitsrichtlinien adressiert werden. Bei der Nutzung einer WAF ist die Zusammenarbeit mit einem erfahrenen Servicepartner meist die beste Wahl. So sichern Sie sowohl die Sicherheit als auch die Performance von Webanwendungen.
Eine WAF (Web Application Firewall) ist wichtig, aber nicht genug für die Webanwendungssicherheit. Sie sollte andere Sicherheits- und Leistungstools ergänzen, nicht ersetzen. Erst in Kombination mit DDoS-Schutz, Bot Management und Load Balancing zeigt eine WAF ihre volle Stärke. So trägt sie zu einem umfassenden Schutz von kritischen Geschäftsprozessen im Web bei.
Björn Greif
Senior Editor
Björn Greif startete seine Redakteurskarriere 2006 beim IT-Nachrichtenportal ZDNet. 10 Jahre und exakt 12.693 Artikel später engagierte er sich beim deutschen Start-up Cliqz für mehr Privatsphäre und Datenschutz im Web. Vom Datenschutz zur IT-Sicherheit war es dann nur noch ein kleiner Schritt: Seit 2020 schreibt Björn bei Myra über die neusten Trends und Entwicklungen in der Welt der Cybersecurity.