?>
Sicherheitsrisiko Web-Apps
Author
Maren Keller, Fr, 13. Okt. 2023
 in IT-Sicherheit

Sicherheitsrisiko Web-Apps

Schutz von Web-Applikationen oft nicht ausreichend

Web-Apps sind beliebt, bergen aber auch ein großes Sicherheitsrisiko. Das hat eine CyCognito-Studie ergeben. Demnach sind Web-Anwendungen für Angreifer ein leicht auszunutzendes Ziel.

Was Web-Apps genau sind und wie Sie sich vor Angriffen schützen, erfahren Sie hier.

Was sind Web-Apps?

Web-Apps steht als Abkürzung für Web-Anwendung, und kommt ursprünglich aus dem Englischen (web application). Eine Web-App basiert in der Regel auf HTML, JavaScript oder CSS-Code und benötigt keine Installation im herkömmlichen Sinne, da sie vom Webserver geladen und im Webbrowser ausgeführt werden. Dennoch ist es möglich, für eine Web-Anwendung eine Verknüpfung auf dem Desktop eines Rechners anzulegen

Das Spektrum von Web-Anwendungen ist groß. Es reicht von kleinen Tools bis hin zu Web-App-Ablegern bekannter Programme, wie beispielsweise WhatsApp-Web, Office-Pakete, oder auch Grafiksoftware und Browserspiele.

Web-Anwendungen haben den großen Vorteil, dass sie auf allen Betriebssystemen und Geräten funktionieren, wenn ein Webbrowser unterstützt wird. Im Idealfall reicht also eine einzige Anwendung aus, um alle Plattformen abzudecken. Nachteil: Nicht immer ist es möglich, die Anwendung für alle Browser optimal anzupassen.

Ein weiterer Vorteil der Web-Applikationen liegt darin, dass Sicherheitsupdates direkt in die Software integriert sind. Benutzer greifen also automatisch auf die sicherste Version zu. Sie sind zudem kostengünstig und schnell in der Entwicklung.

Web-Apps: Personen in einem Büro am Computer. Bild: Unsplash/Arlington Research (https://unsplash.com/de/fotos/Kz8nHVg_tGI)

Wer am PC oder Laptop arbeitet, verwendet häufig auch Web-Apps. Bild: Unsplash/Arlington Research

Beispiele für Web-Applikationen

Mittlerweile gibt es zahlreiche Web-Apps. So gehören beispielsweise verschiedenste Google-Dienste wie Maps, Gmail oder auch die Google-Suchmaschine in die Kategorie der Webapplikationen. Aber auch Angebote wie Amazon und eBay zählen dazu. Diese Beispiele zeigen, dass die Grenze zwischen einer konventionellen Website und einer Webapplikation oft fließend ist.

Eindeutiger ist der Unterschied zwischen Web-Applikation und Website am Beispiel Microsoft Office Online. Die Web-Anwendung bietet die Programme des Microsoft-Office-Pakets (Word, Excel, Outlook etc.) für den Browser an. Die Funktionsweise der einzelnen Anwendungen ist identisch mit der installierten Version des Office-Pakets.

Web-Apps als Angriffsfläche

Für Unternehmen stellen Web-Apps laut CyCognito eine große Gefahr dar – und sind dennoch oftmals nicht ausreichend geschützt. Das ist das Ergebnis des State of External Exposure Management Report von CyCognito (Link zum Report siehe unten).

Für die Studie wurden zwischen Juni 2022 und Mai 2023 insgesamt 3,5 Millionen über das Internet erreichbare Assets wie Zertifikate, Domänen, Webserver, API-Endpunkte und Web-Apps auf Schwachstellen untersucht. Das Ergebnis ist erschreckend.

70 Prozent der erreichbaren Assets wiesen eklatante Sicherheitslücken auf. Knapp drei Viertel der Anwendungen, die persönliche Informationen wie Klarnamen, E-Mail-Adresse, Kontodaten oder Passnummern verarbeiten, waren mindestens einer gefährlichen und öffentlich bekannten Schwachstelle ausgesetzt. Und zehn Prozent der untersuchten Web-Apps enthielten eine für Angreifer leicht auszunutzende Lücke.

Web-Apps: Personen am Arbeitsplatz am Computer. Bild: Unsplash/Proxyclick Visitor Management System (https://unsplash.com/de/fotos/l90zRbWvCoE)

Nicht jede Sicherheitslücke ist für jedes Unternehmen gleich gefährlich. Her hilft ein Risikomanagement. Bild: Unsplash/Proxyclick Visitor Management System

CyCognito empfiehlt Risikomanagement

CyCognito empfiehlt deshalb ein konsequentes Risikomanagement. Sich allein auf Bewertungssysteme wie das Common Vulnerability Scoring System (CVSS) zu verlassen, sei nicht sinnvoll. Der Grund: Nicht jede Sicherheitslücke birgt für jedes Unternehmen die gleiche Gefahr.

Laut CyCognito-Bericht machen Web-Anwendungen 22 Prozent der typischen externen Cyber-Angriffsfläche aus, wovon mindestens 30 Prozent Sicherheitslücken aufweisen. Diese Web-Anwendungen sind oft das Ziel von Cyber-Angriffen, da sie wertvolle personenbezogene Daten verarbeiten. „Web-App werden oft zur Kommunikation mit Endkunden genutzt und stellen somit ein lohnendes Ziel für Cyber-Angriffe dar“, so CyCognito. Sie seien zudem anfällig für Fehlkonfigurationen sowie Zero-Day-Exploits.

Die Ergebnisse des Berichts zeigen, dass das Risiko, das von diesen Anwendungen ausgeht, oft unterschätzt wird. Ein Drittel der untersuchten Web-Anwendungen verwendet kein HTTPS-Protokoll, 70 Prozent haben keine Web Application Firewall (WAF) und 25 Prozent verwenden weder HTTPS noch eine WAF.

Cyber-Angriffsfläche schwer zu überblicken

Die äußere Cyber-Angriffsfläche eines Unternehmens ist dynamisch und unterliegt ständigen Veränderungen. Hinzu kommt eine große Fluktuation aktiver und genutzter Assets von etwa zehn Prozent im Monat. All das erschwert es Unternehmen, den Überblick zu behalten und die Bedrohungslage realistisch einzuschätzen. So ging beispielsweise ein Unternehmen von einem jährlichen Wachstum seiner äußeren Cyber-Angriffsfläche von drei Prozent aus, tatsächlich waren es 20 Prozent.

Unternehmen müssen das Ziel haben, das Risikomanagement der externen Cyber-Angriffsfläche auch unter komplexen Voraussetzungen möglichst effizient zu betrieben. Damit das gelingt, gibt gibt die Studie Empfehlungen an die Hand: Security-Teams sollten besonders gefährdete Web-Applikationen priorisieren und außerdem untersuchen, welche bekannten Sicherheitslücken im unternehmenseigenen Kontext möglicherweise gar nicht so schwer wiegen – und die betroffenen Assets depriorisieren.

Web-Apps: Gruppe von personen in einem Besprechungsraum schauen auf einen Laptop. Bild: Unsplash/Cherrydeck (https://unsplash.com/de/fotos/rMILC1PIwM0)

IT-Teams haben die Aufgabe, verwendete Web-Apps zu priorisieren. Bild: Unsplash/Cherrydeck

Web-Apps priorisieren

Der CyCognito-Report zeigt: Von den Web-Apps, die in einen Kontext gesetzt wurden, der unter anderem auch Verhaltensmuster von Angreifern berücksichtigt, konnten 35 Prozent trotz eines hohen CVSS-Scores als weniger kritisch eingestuft werden. Das bedeutet, dass eine klare Priorisierung Unternehmen hilft, mit ihren begrenzten IT-Sicherheitsressourcen hauszuhalten und ihre individuell bedeutendsten Schwachstellen zuerst schließen zu können.

„Die externe Angriffsfläche eines Unternehmens verändert sich ständig, und diese Fluktuationen machen ein effektives Risikomanagement zu einer enormen Herausforderung“, sagt Dr. Georg Hess, Regional Sales Director bei CyCognito. „Vor allem Web-Apps sind für Angreifer ein lohnendes und oftmals einfach auszunutzendes Ziel. Um zu verhindern, dass sie zum Einfallstor werden können, sollten Organisationen neben regelmäßigen Tests auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen für die eigenen IT-Systeme vornehmen – idealweise unterstützt von einer zentralen Plattform, die mit umfassenden Automatisierungskapazitäten Risiken aufdeckt und konsequent priorisiert.“

Wenn Sie Unterstützung bei der Verbesserung Ihrer IT-Sicherheit benötigen, wenden Sie sich gern an PC-SPEZIALIST in Ihrer Nähe. Wir sorgen beispielsweise mit dem IT-Basisschutz dafür, dass Ihre Daten sicher und zuverlässig vor Hackerangriffen geschützt sind.

_______________________________________________

Quellen: CyCognito, Datensicherheit, Ionos, Unsplash/Arlington Research (Headerbild)

,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren