Web-Anwendungen benötigen speziellen Schutz. Angriffe auf Web-Anwendungen wie z.B. Phishing, Cross Site Scripting, SQL Injection und weitere haben sich in den letzten Monaten zu einem Kernthema im Bereich IT-Sicherheit entwickelt.
Herkömmliche IT-Sicherheitslösungen wie Firewalls oder IDS/IPS bieten keinen ausreichenden Schutz gegen derartige Angriffe. Das Web, speziell das HTTP-Protokoll, wurde nicht konzipiert für komplexe Anwendungen, die heute aber im e-Business aus wirtschaftlichen Gründen eine Notwendigkeit geworden sind.
Die daraus resultierenden Schwachstellen von Web-Anwendungen werden noch verstärkt durch die hohe Komplexität, verursacht von der Vielzahl von Web-Scripts, Frameworks und Webtechnologien. Letztlich erfordert deshalb jede Web-Anwendung ein eigenes, auf ihre jeweilige Logik zugeschnittenes Schutzprofil. Genau dieses bieten die Produkte von art of defence.
Früher mussten Angreifer in das interne Firmennetzwerk eindringen, um an die Unternehmensgeheimnisse in den Backend-Systemen zu gelangen. Heute werden viele dieser vertraulichen Daten firmenintern zusammengeführt und für E-Business-Zwecke Web-Anwendungen anvertraut.
Diese haben oft sogar direkten Zugriff auf die Backend-Systeme wie SAP. Und sind durch manipulierte Abfragen angreifbar!
Für E-Business-Geschäftsmodelle ist das Vertrauen der Anwender in die Sicherheit der zugrunde liegenden Systeme unabdingbare Geschäftsgrundlage. Dieses Vertrauen wird derzeit durch eine zunehmende Zahl erfolgreicher Einbrüche, die nur z.T. auch in der Öffentlichkeit bekannt werden, empfindlich gestört.
Die rein finanziellen Verluste erscheinen, gerade für Großunternehmen, noch überschaubar, aber das Vertrauen der Kunden muss oft teuer wiedergewonnen werden.
In Deutschland sind u.a. das Datenschutzgesetz, das Gesetz zur Kontrolle und Transparenz (KonTraG) und Basel II zu nennen, die insbesondere geeignete Maßnahmen zur Risikovorsorge verlangen und ggfs. sogar mit einer persönlichen Haftung des Managements verbunden sind. Zudem sind Industrie-Standards einzuhalten, beispielsweise MasterCards Payment Card Industry (PCI) Data Security Standard oder VISAs Cardholder Information Security Program (CISP), deren Nicht-Einhaltung mit z.T. sehr hohen Strafen verbunden ist.