Sicherheitsschloss

Was ist eine Web Application Firewall (WAF)?

Eine Web Application Firewall (WAF) schützt Webanwendungen vor Cyberattacken und Angriffen auf Sicherheitslücken. Die Schutzlösung überwacht den Verkehr zwischen Clients und Webservern und blockiert bösartige Zugriffe, bevor diese den Server erreichen.

 

Durch den Einsatz einer Web Application Firewall schützen sich Organisationen vor Datendiebstahl, Kontenübernahme und Sabotage. Außerdem lassen sich durch eine WAF Legacy-Systeme absichern und akute Schwachstellen adressieren.

 

Jetzt mehr über WAF-Schutzlösungen von Myra erfahren
Funktionsweise WAF

01

Web Application Firewall (WAF): eine Definition

Die Web Application Firewall ist eine Form der Application Level Firewall (ALF). Ihre Besonderheit ist die Tatsache, dass sie im Gegensatz zu einer herkömmlichen Firewall nicht auf Netz- und Protokollebene agiert, sondern direkt auf der Anwendungsebene HTTP-Daten analysiert, filtert und blockiert.

Webmaster setzen oft eine WAF in Kombination mit einer herkömmlichen Firewall ein. Die beiden Firewalls übernehmen dann nacheinander die Analyse der Kommunikation zwischen Client und Webserver. Neben HTML- und HTTPS-Paketen kann eine WAF auch XML-, RPC- und SOAP-Daten analysieren. Die Realisierung einer WAF kann Software- oder Hardware-basiert erfolgen.

02

Wie funktioniert eine Web Application Firewall (WAF)?

Eine WAF ist Teil eines umfassenden Sicherheitskonzepts für Webanwendungen und schützt vor bestimmten Cyber-Angriffen, unter anderem Cross-Site Forgery und SQL Injection . Sie bildet eine Schutzwand zwischen der Web Application und dem Internet. Clients, die den Webserver erreichen wollen, müssen zunächst die Web Application Firewall passieren.

Bei der Datenanalyse hält sich die WAF an festgelegte Regeln, sogenannte Policies. Sie dienen dem Herausfiltern von schädlichem Traffic. Diese Policies werden laufend aktualisiert, um auf verschiedene Formen von Cyber-Attacken reagieren zu können. Grundsätzlich gibt es Blocklist- und Allowlist-WAFs:

  • Blocklist-WAFs basieren auf einem negativen Sicherheitsmodell und schützen vor bereits bekannten Angriffen. Die Firewall erkennt diese Attacken und wendet sie ab.

  • Allowlist-WAFs hingegen verfolgen ein positives Sicherheitsmodell. Sie lassen ausschließlich im Vorfeld genehmigten Traffic durch.


In der Praxis verfolgen sehr viele WAFs einen hybriden Ansatz aus Blocklist und Allowlist für eine optimale Sicherheits-Performance.

03

Vor welchen Gefahren schützt eine Web Application Firewall (WAF)?

Eine Web Application Firewall schützt Webanwendungen vor Datendiebstahl, Kontenübernahme, schädliche Manipulation und Sabotage. Unter anderem können sich Organisationen durch den Einsatz einer WAF vor folgenden Angriffsmustern schützen:

Cross-Site Request Forgery

Angreifer bringen bei einer Cross-Site Request Forgery den Browser der Nutzer:innen dazu, manipulierte HTTP-Requests an eine Website oder Webapplikation zu schicken, um unerwünschte Aktionen auszulösen.

Cross-Site-Scripting (XSS)

Bei einem Angriff mittels Cross-Site-Scripting injizieren Cyberkriminelle durch das Ausnutzen von Sicherheitslücken schädlichen Code in Webanwendungen, um etwa sensible Informationen wie Login-Daten zu stehlen. Besonders interaktive Webseiten und -anwendungen sind hierfür anfällig. Als vorgelagerter Schutzwall verhindert eine Web Application Firewall solche schädlichen Zugriffe.

SQL-Injection

Bei einer SQL-Injection-Attacke nutzen Cyberkriminelle gezielt Sicherheitslücken aus, um etwa über Eingabemasken manipulierte Befehle oder Schadcode einzuschleusen. Dedizierte Regelsätze erlauben WAF-Lösungen, Injection-Attacken zuverlässig zu erkennen und zu vereiteln.

OWASP Top 10

Die Non-Profit-Organisation Open Web Application Security Project (OWASP) erstellt in regelmäßigen Abständen eine Liste der 10 größten Sicherheitsprobleme von Webapplikationen. Viele der darin enthaltenen Bedrohungen können durch eine Web Applikation Firewall adressiert werden.

Zero-Day Exploits

Bei Zero-Day Exploits nutzen Cyberkriminelle neu entdeckte Software-Schwachstellen wie Log4Shell oder Confluence OGNL umgehend für ihre Angriffe aus. Angepasste WAF-Regeln bieten in einer solchen akuten Bedrohungslage sofortigen Schutz, bis Patches für die anfällige Software verfügbar und eingespielt sind.

04 - Welche Vorteile bringt der Einsatz von WAF Security?

Unternehmen, die auf ihrer Website eine Web Application Firewall einsetzen, profitieren von den folgenden Vorteilen:

Zusätzliche Sicherheitsebene für Webanwendungen

In Kombination mit weiteren Sicherheitsmaßnahmen bietet eine Application Level Firewall eine zusätzliche Schutzebene vor fremdem und unbefugtem Zugriff.

Schließen von Sicherheitslücken bei mehreren Anwendungen

Webmaster können eine WAF vor mehrere Anwendungen gleichzeitig zwischenschalten. Diese Vorgehensweise ermöglicht es, bestehende Sicherheitslücken zu schließen.

Schutz von Legacy-Systemen und Anwendungen

Gerade bei Software, die bereits lange im Einsatz ist und nicht intern programmiert wurde, können Sicherheitslücken lange bestehen bleiben. Eine WAF bietet hier zusätzliche Sicherheit.

05

Welche Arten von WAFs gibt es?

Es gibt drei Arten, eine WAF-Architektur aufzubauen: Zentralisiert als Netzwerk-basiert als Hardware-Appliance oder virtuelle Appliance, Host-basiert direkt auf dem Webserver, oder ein Unternehmen nutzt eine Cloud-SaaS-Lösung. Je nach Art und Bereitstellung unterscheiden sich Funktionalität sowie zusammenhängender Aufwand immens voneinander.

Netzwerk-basierte WAF

Diese Web Application Firewalls sind als Hardware-Appliance oder virtuelle Appliance vor oder hinter den Webservern in das Netzwerk eingebunden. Die Lösungen bieten eine hohe Skalierbarkeit und Leistung, erfordern aber auch mehr Bandbreite und entsprechend performant ausgebaute Infrastruktur.

Host-basierende WAF

Host-basierende Web Application Firewals sind als Software oder Modul direkt auf demselben Server installiert, auf dem auch die Webanwendung gehostet wird. Sie bieten eine hohe Integration und Kontrollmöglichkeiten, erfordern aber auch mehr Ressourcen und hohen Wartungsaufwand.

Cloud-SaaS-WAF

Zahlreiche Anbieter haben Software-as-a-Service-Lösungen für den WAF-Einsatz entwickelt, welche in der Cloud gehostet werden und für Unternehmen einen geringeren internen Aufwand bei gleichzeitig hoher Flexibilität und Kosteneffizienz mit sich bringen. Konfiguration, Wartung und Betrieb einer Cloud Web Application Firewall erfolgen über den Provider.

Tastatur

06

Wovor kann eine Application Level Firewall nicht schützen?

Eine WAF bietet keinen Rundum-Schutz, sondern sollte immer Teil eines umfassenden Sicherheitskonzepts sein. Folgende Bedrohungen lassen sich nicht durch eine Application Level Firewall abwehren:

  • Angriffen über Protokolle abseits der Anwendungsebene wie etwa über DNS, SMTP, Telnet, RDP, SSH oder FTP sind für eine WAF-Lösung nicht identifizierbar.

  • DDoS-Attacken, die mit schädlichem Traffic darauf abzielen, Webanwendungen und die dahinterliegende Webinfrastruktur zu überlasten, können nur teilweise von einer WAF abgefangen werden. Zuverlässigen Schutz bieten hier hingegen dedizierte DDoS-Protection-Lösungen auf Netzwerk-, Protokoll- und Applikationsebene.

  • Logikfehler in den Webapplikationen selbst können zu unerwünschten Reaktionen führen und sich von Cyberkriminellen ausnutzen lassen. Solche konzeptionellen Programmierfehler erkennt eine Application Level Firewall nicht.

Code auf einem Bildschirm

07

Welche Unternehmen benötigen eine WAF?

Prinzipiell profitieren Unternehmen aller Branchen vom Einsatz einer Cloud WAF, die über geschäftskritische Webseiten, Onlineportale oder Web-APIs verfügen. Darüber hinaus ist der WAF-Einsatz verpflichtend für Unternehmen, welche auf ihrer Website die Möglichkeit der Kreditkartenzahlung nach PCI-DSS-Standard anbieten. Dies gilt beispielsweise für viele E-Commerce-Händler. Des Weiteren fordern auch andere regulatorische Regelwerke wie die NIS-2-Richtlinie von Unternehmen eine Absicherung Ihrer Systeme nach dem Stand der Technik – dies dürfte in vielen Fällen auch eine WAF zur Absicherung kritischer Onlineanwendungen umfassen.

Ferner setzen viele Organisationen, welche agile Entwicklungsmethoden einsetzen, auf WAFs, denn etwaige Fehler in der Entwicklung werden so durch den Schutz der Firewall abgemildert.

08

Was müssen Unternehmen beim Einsatz einer WAF beachten?

Eine Web Application Firewall ist nur so gut, wie ihre Filter und ihre Konfiguration. Wer hier einen Fehler macht oder zu restriktiv vorgeht, muss mit Problemen rechnen. Daher erfordert die Verwaltung einer WAF entsprechende IT-Sicherheitsfachleute, welche die Ressourcen zur Verfügung haben, die laufende Verwaltung der Firewall zu übernehmen. Unternehmen, die dies intern nicht gewährleisten können, greifen auf SaaS-Lösungen externer Provider zurück, welche den Verwaltungsaufwand übernehmen.

Code auf einem Laptop Bildschirm

09

Web Application Firewall (WAF): Das müssen Sie wissen

Eine Web Application Firewall ist ein wichtiger Faktor eines umfassenden Sicherheitskonzepts für die Unternehmenswebsite, geschäftskritische Onlineportale und APIs. Die Sicherheitslösung überwacht den Traffic direkt auf der Anwendungsebene. Dabei prüft die Lösung eingehende Anfragen und Antworten des Webservers auf verdächtige Muster. Als schädlich klassifizierte Anfragen werden von der WAF blockiert – so kann ein Schutz der Anwendungen sichergestellt werden, ohne dass hierfür Anpassungen an der Anwendung selbst erforderlich sind.

Die Web Application Firewall schützt Webseiten vor Attacken, die über das Hypertext Transfer Protocol (HTTP/S) erfolgen. Hierzu zählen etwa Risiken aus den OWASP Top 10, Zero-Day-Exploits, SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), File Inclusion oder Directory Traversal.

Für einen reibungslosen Einsatz muss der WAF-Anbieter die Sicherheitslösung auf die vorhandenen Webanwendungen anpassen. Nur so lassen sich Performance- oder Sicherheitsprobleme sowie Komplettausfälle im Vorfeld ausschließen.

Die Myra Hyperscale WAF schützt Ihre Inhalte und Anwendungen und fügt sich nahtlos in Ihre bestehende IT-Infrastruktur ein.

Jetzt mehr über die Myra Hyperscale WAF erfahren

Deep Dive WAF IT-Security