(PM) Regensburg, 30.09.2010 - Dr. Georg Heß, Gründer und CEO von art of defence, zieht nach fünf Jahren Aufbauarbeit im deutschen Markt für Web-Anwendungssicherheit eine positive Bilanz: "Die Sicherheit von Web-Anwendungen ist zu einem zentralen Thema der IT-Sicherheit geworden. Dabei etablieren sich insbesondere Web Application Firewalls (WAFs) zunehmend im Markt: Kürzlich hat sich eine Autorin des BSI (Bundesamt für Sicherheit in der Informationstechnik) für ihren Einsatz ausgesprochen. Compliance-Vorgaben wie der PCI DSS für Datensicherheit bei Kreditkartendaten sehen WAFs ebenso als festen Bestandteil der IT- oder Web-Infrastruktur wie Best Practices von Experten-Initiativen wie OWASP – die Experten-Initiative für Web-Applikationssicherheit – oder Cloud Security Alliance. Besonders hervorzuheben ist, dass die Vorteile einer flexiblen, softwarebasierten WAF-Technologie gerade für den Einsatz in verteilten, internen oder externen Web- und Cloud-Infrastrukturen zunehmend geschätzt werden." WAFs blockieren insbesondere Angriffe auf Web-Anwendungen, bis ein Patch der Schwachstelle vorliegt und im Produktsystem eingespielt ist. Der PCI-Standard, der Sicherheitsstandard der Kreditkartenindustrie, nennt WAFs deswegen als eine von zwei Möglichkeiten, Web-Applikationen abzusichern – und empfiehlt explizit, beide einzusetzen. Auch die BSI-Expertin hat den WAF-Einsatz kürzlich im BSI-Forum befürwortet: "Da es in der Natur der Dinge liegt, dass komplexe Systeme fehlerbehaftet sind, sollten zusätzlich auch immer mehrere Schutzwälle existieren. Bei einem Webauftritt empfiehlt es sich daher, neben der guten Absicherung der Webanwendung selber noch eine Web Application Firewall einzusetzen, die gängige 'bösartige' Eingabemuster herausfiltert."Dazu muss man wissen: Schwachstellen in Web-Anwendungen werden nicht immer zeitnah behoben, wie der IBM-X-Force-Trendbericht immer wieder zeigt. Bei eigenentwickelten Web-Anwendungen kann das daran liegen, dass die Entwicklungsabteilung andere Projekte priorisieren muss. Bei gekauften Lösungen haben Betreiber von Web-Anwendungen keinen Zugriff auf den Anwendungscode, sie müssen auf den Patch des Herstellers warten. In beiden Fällen sind WAFs die einzige Schutzmöglichkeit, solange die Web-Anwendung verwundbar ist. Ein gutes Beispiel dafür ist eine Schwachstelle, die erst kürzlich bekannt geworden ist: Sie betrifft Web-Anwendungen, die auf Microsofts ASP.NET-Framework basieren. Dr. Georg Heß erklärt: "Durch einen Fehler im Framework können Sitzungsdaten in verschlüsselten Cookies kompromittiert werden. Unsere WAF hyperguard schützt vor solchen Angriffen, da sie die originären Sitzungsdaten gegen eigene austauscht; die sensiblen Daten verlassen damit den Server gar nicht."circa 2.500 ZeichenNachweise und Links zum Thema: - PCI DSS: www.pcisecuritystandards.org/- IBM X-Force Report 2010: blogs.iss.net/archive/midyear2010chartupda.html- Cloud Security Alliance Domain 10: Guidance for Application Security V2.1 als pdf (www.cloudsecurityalliance.org/guidance/csaguide-dom10-v2.10.pdf)- Beitrag "IT-Penetrationstests in Behörden in BSI-Forum 3-2010" abrufbar als pdf (www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/KES/kes0310_pdf.pdf?__blob=publicationFile)- Hintergrundinformation zu kompromittierbaren Cookies in ASP.NET und WAF-Schutz mit hyperguard (www.artofdefence.com/en/about-us/press-releases/asp.net-vulnerability-issue-mitigated-with-art-of-defence-hyperguard.html)



art of defence GmbH
Herr Dr. Georg Heß
Bruderwöhrdstraße 15b
93055 Regensburg
+49-941-604889-58
georg.hess@artofdefence.com
www.artofdefence.com

Dr. Haffa & Partner
Frau Petra Meyer
Burgauerstr. 117
81929 München
+49-89-993191-0
artofdefence@haffapartner.de
www.haffapartner.de



Die art of defence GmbH ist auf Web-Anwendungssicherheit spezialisiert. Die Produkte des Unternehmens schützen Web-Anwendungen während des gesamten Applikationslebenszyklus vor Angriffen aus dem Internet. art of defence hilft so seinen Kunden, Compliance-Vorschriften oder Industriestandards wie die Sicherheitsrichtlinien der Kreditkartenindustrie (PCI DSS) einzuhalten. Das Regensburger Unternehmen ist über eine Niederlassung und Distributionspartner auch im US-Markt präsent. Flaggschiff-Produkt von art of defence ist die Web Application Firewall (WAF) hyperguard; diese WAF-Lösung wird als einzige am Markt vollständig in Deutschland entwickelt. Die Enterprise Web Application Firewall hyperguard von art of defence ist als Software-Plug-in, als Hardware und Virtual Appliance sowie als distributed dWAF für sehr große Infrastrukturen verfügbar. Führende deutsche Banken, Payment Provider und E-Tailer setzen beim Schutz ihrer internen und externen Web-Anwendungen auf art of defence; in den USA zählt das Unternehmen namhafte Cloud-Provider zu seinen Kunden. Weitere Informationen finden Sie unter www.artofdefence.com.