OEM&Lieferant Ausgabe 1/2019

40 IT und Automotive Sicherheitsrisiko Webanwendungen Im Visier der Hacker: die deutsche Autobranche Von Daniel Heck, Vice President Marketing bei Rohde & Schwarz Cybersecurity 68 Prozent aller deutschen Automotive-Unternehmen wurden laut einer aktuellen BITKOM-Studie in den ver- gangenen zwei Jahren Opfer von Cyberattacken. Die Folgen für die Unternehmen sind dramatisch: Spionage, Sabotage, Datendiebstahl und Image-Schäden. Dabei haben die Hacker leichtes Spiel. Durch die zunehmende Nutzung von Webapplikationen steht die Daten-Heckklappe der Branche weit offen. Die deutsche Autoindustrie ist internatio- nal weit verzweigt. Dies erfordert eine um- fassende digitale Vernetzung, nicht zuletzt durch das „Internet der Dinge“. Dabei setzt die Branche zunehmend auf sogenannte Weban- wendungen. Dazu zählen u.a. SAP, SharePoint, Outlook Web Access oder CRM-Anwendun- gen wie z. B. Microsoft Dynamics. Solche Applikationen basieren auf der Datenüber- tragung mittels der Datenprotokolle HTTP und HTTPS. Das Internet und diese Protokolle wurden aber gar nicht für solch komplexe An- wendungen konzipiert. Die Folge: gravierende Sicherheitslücken, die immer wieder von Cyberkriminellen genutzt werden. Netzwerk-Firewall ist machtlos Trotz dieser Bedrohungslage setzen viele Automotive-Unternehmen zum Schutz ihrer Webserver lediglich auf herkömmliche Netz- werk-Firewalls. Diese allein sind der Bedro- hung jedoch nicht gewachsen. Wer Angriffe aufWebanwendungen abwehrenwill, braucht zusätzlich eine sogenannte „Web Application Firewall“ (WAF). Nur diese kann Daten über- prüfen, die im HTTP- bzw. HTTPS-Protokoll auf der Anwendungsebene von Webappli- kationen verkehren. Werden bestimmte In- halte als verdächtig eingestuft, verhindert die WAF sofort den Zugriff. Damit bietet sie auch Schutz vor Angriffen, die bspw. durch soge- nannte Injektionsangriffe („SQL-Injection“), „Cross Site Scripting“ (XSS), „Session-Hija- cking“ und andere Arten von Webattacken ausgeführt werden. Entscheidend für die Qualität und Wirksam- keit des Schutzes ist die Art undWeise, wie die WAF bösartige Eindringlinge erkennt. Verbrei- tet sind Listenmodelle: Whitelisting blockiert jeden Datenverkehr, außer den ausdrücklich zugelassenen. Das Blacklisting lässt hingegen alle Daten durch, die nicht ausdrücklich verbo- ten sind. Allerdings führen Listenmodelle sehr häufig zu sogenannten „False-Positive“-Mel- dungen. Bei unpräzisenMethoden summieren sich diese Falschmeldungen schnell auf über mehrere Hundert pro Tag, was einen erheb- lichen Zusatzaufwand mit sich bringt. Unkompliziert, aber effektiv Der deutsche IT-Sicherheitsexperte Rohde & Schwarz Cybersecurity hat daher neue Methoden für seine R&S ® Web Applica- tion Firewall entwickelt. Ein Beispiel ist das Workflow-Konzept: Dabei werden Internet- bedrohungen anhand ihrer Aktivitäten und spezifischen Verhaltensweisen identifiziert. Aufwändige Voreinstellungen durch den IT-Administrator entfallen dadurch. Zudem präzisiert das Scoring-Modell das Auffinden von Angreifern erheblich: Verschiedene Ele- mente eines Datensatzes werden dabei unter- schiedlich gewichtet. Wenn ein Datensatz bei der Webanwendung ankommt, gleicht die Firewall die Summe der Gewichtungmit einem definierten Schwellenwert ab. Sobald dieser erreicht wird, stuft die WAF den Datenver- kehr als schädlich ein und blockiert ihn. Solche Scoring-Modelle sind besonders wirksam bei „Denial of Service“-Angriffen (DoS). Zudem ist die R&S ® Web Application Firewall in der Lage, neben dem Inhalt auch Identitäten zu prüfen. Nur so kann sie nicht-autorisierten Personen den Zugriff auf Anwendungen verwehren. Fazit: Das Sicherheitsniveau mit Web Application Firewalls erhöhen Eine Web Application Firewall in Kombina- tion mit einer Netzwerk-Firewall steigert das Sicherheitsniveau von Automotive-Unter- nehmen enorm. WAFs mit neuen Konfi- gurationsmethoden reduzieren zudem False-Positives erheblich und sind zugleich anwenderfreundlich. Deutsche Hersteller bie- ten einenweiteren Vorteil: Sie unterliegen den europäischen Datenschutzrichtlinien. Dadurch ist ausgeschlossen, dass Daten von Behörden ausgelesen oder an diese ausgehändigt wer- den müssen. Rohde & Schwarz Cybersecurity www.rohde-schwarz.com/ cybersecurity Webseite Bild: © Rohde & Schwarz