Interview mit Christian Wenz

Web Security: „Die Angriffsfläche für Microservice-Architekturen ist rechnerisch größer“

Hartmut Schlosser

Christian Wenz

Es vergeht kaum eine Woche, ohne dass ein erfolgreicher Angriff gegen eine bekannte Website oder Applikation bekannt wird. Doch woran liegt es eigentlich, dass die Sicherheit von Anwendungen so prekär ist? Wir haben uns mit Christian Wenz, Security-Berater bei Arrabiata Solutions und Sprecher auf dem Microservices Summit, auf Spurensuche begeben.

JAXenter: In deiner Session „Web Security – Lektion gelernt?!“ nimmst du dir auf dem Microservices Summit typische Angriffsmuster auf Webanwendungen vor. Du sprichst dabei einerseits von alten Verwundbarkeiten, die immer noch existieren, andererseits von neuen Methoden, die erst seit kurzem zu beobachten sind. Kannst du für beides einmal Beispiele nennen?

Christian Wenz: Laut OWASP Top Ten sind die häufigsten drei Risiken SQL Injection, Zustandshaltung und Cross-Site Scripting (XSS). Ich würde auf jeden Fall noch Platz 8 der Liste, Cross-Site Request Forgery, mit aufnehmen, das sehe ich im Audit-Alltag sehr häufig.

Cross-Site Scripting ist ein sehr alter Angriff, den gibt es schon seit fast 20 Jahren. Und trotzdem ist er immer noch in den Top 3. Das ist erschreckend, und auch nicht tot zu kriegen. SQL Injection, Platz 1 der OWASP Top Ten, tritt in modernen Anwendungen deutlich seltener auf, da Frameworks wie Hibernate Entwickler davor bewahren, SQL zu schreiben. Trotzdem ist der Angriff auf Platz 1, weil so viele alte Anwendungen hier noch verwundbar sind.

Neue Browser bieten neue JavaScript-Möglichkeiten, die unter Umständen von alten Filtern noch nicht antizipiert worden sind. Und in der Tat gab es in den letzten Jahren immer mal wieder neuartige Angriffe. Zur Zeit wieder populär ist „Clickjacking“: Das Opfer klickt auf einen harmlos aussehenden Link, in Wirklichkeit postet es dadurch aber einen Kommentar auf Facebook, weil das zugehörige Formular quasi „unter“ dem Link liegt.

DevOpsCon Whitepaper 2018

Free: BRAND NEW DevOps Whitepaper 2018

Learn about Containers,Continuous Delivery, DevOps Culture, Cloud Platforms & Security with articles by experts like Michiel Rook, Christoph Engelbert, Scott Sanders and many more.

JAXenter: Welches sind aus deiner Sicht die wichtigsten Gegenmaßnahmen?

Christian Wenz: Ganz allgemein gesprochen: Eingaben prüfen, Ausgaben entwerten. Moderne Web-Frameworks nehmen einem hier viel ab, was zu Nachlässigkeit verleitet. Jede Form von Eingabe kann manipuliert worden sein – zu viele, zu wenige oder schlicht „falsche“ Daten.

JAXenter: „Sicherheit ist in vielen Fällen einfach zu teuer“, lautete eine Aussage auf der letzten JAX. D.h. man kümmert sich nur um ein gewisses Level an Sicherheit und nimmt Angriffe in Kauf, da eine Entschädigung der Kunden günstiger ist. Würdest du dem zustimmen?

Christian Wenz: Ich halte das schlicht für Risikomanagement: Ein Sicherheitsvorfall zieht Kosten nach sich (nicht einfach zu schätzen) und hat eine Eintrittswahrscheinlichkeit (noch schwerer zu schätzen). Die Multiplikation ergeben dann ganz grob die Kosten. Große Konzerne haben häufig einen fixen Prozentsatz, der bereits bei der Projektplanung für das Thema Sicherheit angesetzt wird. Damit ist es von Anfang an Teil der Kalkulation.

In der Information weiß man, dass das Beheben eines Defekts je teurer wird, desto später das passiert (siehe u.a. https://www.isixsigma.com/industries/software-it/defect-prevention-reducing-costs-and-enhancing-quality/). Insofern sollte das Thema Web Security von Anfang an mit eingeplant werden.

JAXenter: Welche besonderen Anforderungen an die Sicherheit stellen Microservice-Architekturen? Gibt es hier Unterschiede zu „klassischen“, monolithischen Anwendungen?

Bei jedem Microservice muss jede Eingabe hinterfragt werden.

Christian Wenz: Gemäß dem Mantra „Eingaben prüfen, Ausgaben entwerten“ muss bei jedem Dienst jede Eingabe hinterfragt werden. Insofern ist die Angriffsfläche zumindest rechnerisch größer. Freilich habe ich schon viele Architekturen gesehen, die sich „Microservice“ nennen, aber im Wesentlichen ein Monolith aus vielen Bestandteilen sind. Dort gibt es keine signifikanten Änderungen hinsichtlich der Security.

JAXenter: Was ist die Kernaussage deiner Session, die jeder Teilnehmer mit nach Hause nehmen sollte?   

Christian Wenz: Es ist eine Night Session, also geht es vor allem um einen interessanten, aber auch amüsanten Ausklang des ersten Konferenztages. Ich würde sagen: Auch bei großen Websites kann etwas schief gehen, und mit etwas zeitlichem Abstand kann man sogar darüber lachen.

JAXenter: Vielen Dank für dieses Interview!

wenz_christian_500x350Christian Wenz ist Berater, Trainer und Autor für Webtechnologien. Als Teilhaber der Arrabiata Solutions GmbH (http://www.arrabiata.de/) sorgt er für schnellere und sicherere Webanwendungen. Er ist ASP.NET MVP und ASPInsider, Contributor mehrerer Open-Source-Projekte und spricht regelmäßig auf Entwicklerkonferenzen rund um den Globus.
Geschrieben von
Hartmut Schlosser
Hartmut Schlosser
Content-Stratege, IT-Redakteur, Storyteller – als Online-Teamlead bei S&S Media ist Hartmut Schlosser immer auf der Suche nach der Geschichte hinter der News. SEO und KPIs isst er zum Frühstück. Satt machen ihn kreative Aktionen, die den Leser bewegen. @hschlosser
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: