141 VIEWS

Security in Webanwendungen Teil 1: Design von sicheren Webapplikationen

23.01.2014

Security in Webanwendungen Teil 1: Design von sicheren WebapplikationenWir alle nutzen in unserem täglichen Leben eine Vielzahl verschiedenster Webapplikationen und vertrauen ihnen unsere Daten an. Eben dieses Vertrauen in die Systeme ist eine essentielle Grundlage für „das Leben im Internet“. Wird dieses Vertrauen durch einen Sicherheitsvorfall enttäuscht, kann das erhebliche Auswirkungen auf das Image des Betreibers der Webapplikation haben. Sinkende Nutzerzahlen und Verkäufe können die Folge sein. Des Weiteren drohen möglicherweise hohe Entschädigungszahlungen für verlorengegangene Daten. Als logische Konsequenz dieser immensen negativen Auswirkungen sollte jede Webapplikation abgesichert werden, um Kriminellen einen erfolgreichen Angriff auf das System so schwer wie möglich zu machen. Eine 100%ige Sicherheit gibt es zwar nie, dennoch gibt es Mittel und Wege, Webanwendungen sicherer zu gestalten. Diese dreiteilige Blogserie beschäftigt sich mit dem Design, der Programmierung und der sicheren Benutzung von Webapplikationen.

Der Schlüssel zu mehr Sicherheit

Bereits beim Design von Webapplikationen lassen sich Sicherheitsmechanismen berücksichtigen. Gehen wir beispielsweise einmal davon aus, wir sollten ein System entwerfen, welches die Serviceanfragen von Bankkunden entgegen nimmt. Für eine Bank ist es unerlässlich, dass sie als vertrauenswürdig wahrgenommen wird. Sollte diese Vertrauenswürdigkeit in irgendeiner Form in Frage gestellt werden, droht der Bank ein hoher finanzieller Schaden, da möglicherweise weniger potentielle Kunden mit ihr zusammen arbeiten möchten. Somit müssen auch die Serviceanfragen in einer sicheren Form für die spätere Verarbeitung gespeichert werden. Es wäre vorstellbar, das zukünftige System so zu strukturieren, dass die Serviceanfragen von einer öffentlichen Webseite entgegen genommen und die Bearbeitung der Serviceanfragen in einer weiteren Webapplikation im internen Netz der Bank vorgenommen werden. Hier könnte ein asymmetrisches Verschlüsselungsverfahren zum Einsatz kommen. Die öffentliche Webseite würde die Serviceanfragen mit dem öffentlichen Schüssel der Webapplikation zum Bearbeiten der Anfragen verschlüsseln und in einer gemeinsamen Datenbank ablegen. Die interne Webapplikation für den Servicemitarbeiter, die im internen Netz der Bank betrieben wird, entschlüsselt dann die Daten mit ihrem privaten Schlüssel. Diese Variante macht es einem Angreifer, der nur im Besitz des öffentlichen Schlüssels ist, unmöglich, die Serviceanfragen zu lesen und somit wertvolle Informationen zu erlangen.

Die Absicherung von Webapplikationen unerlässlich. Schon beim Design einer solchen Applikation kann durch eine asymmetrische Verschlüsselung ein höherer Sicherheitsstandard gewährleistet werden.

Lesen Sie im nächsten Teil unserer Serie, wie man sichere Webapplikationen programmiert.

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*Pflichtfelder

*