Web Applikationen Sicherheitsrisiko aufgedeckt

Web Anwendungen sind unaufhaltsam auf dem Vormarsch, nicht nur im Vertriebsbereich (POS) sondern auch im Backoffice von Banken und Leasinggesellschaften. Der Vorteil, nur mit einem Webbrowser ohne Clientinstallation alles zu steuern bedeutet gleichzeitig ein höheres Risiko als bei jeder anderen Anwendung. Angriffe von aussen, sind dabei ein Teil des Risikos das die Anbieter noch relativ sicher im Griff haben. Was ist aber, wenn ein normaler User, sich mit ein paar zusätzlichen Klicks selbst Admin-Rechte vergeben kann und den gesamten Datenbestand oder sogar den gesamten Bestand auf einem Server einsehen kann. In diesen Fällen genügt es nicht, das Sicherheitsloch zu beseitigen, sondern es liegt ein Kontruktionsfehler in der Software selbst vor und es muss in der Regel eine komplette Neuentwicklung gestartet werden. Alles andere bleibt ein Sicherheitsrisiko das keine Bank oder Leasinggesellschaft eingehen sollte.

Ein schwerer Fehler in solchen Softwarelösungen ist gegeben, wenn das Rechte-Management ausgehebelt werden kann. Dabei werden die Berechtigungen auf Seiten und Funktionsaufrufe nicht serverseitig geprüft. Beim rendern der Ansicht (Seitenaufbau durch den Server), werden bestimmte Navigationspunkte angezeigt obgleich der Anwender nicht über die Rechte verfügt. Problematisch wird das ganze dadurch, dass die Kenntnis des URL Routings (Aufruf bestimmter Seiten über Komponente und ID) es jedem erlaubt auf die nicht erlaubten Seiten und Funktionen zu gelangen. In einer modernen Webanwendung sollte immer serverseitig geprüft werden, ob der jeweilige Benutzer das Recht hat eine bestimmte Seite aufzurufen. Bei solchen Softwarelösungen sind in der Regel auch XSS-Attacken möglich.

Im Ergebnis bedeutet dies, wenn eine Bank eine solche Software einsetzt um Konditionen an die Kunden weiterzugeben immer das Risiko eingeht, das ein Anwender die Konditionen zu seinem Vorteil ändern kann oder die Konditionen der anderen Kunden einsehen kann (Refinanzierungskonditionen oder sogar Refinanzierungsverträge). Das gleiche Problem hat eine Leasinggesellschaft die eine solche Software für Vertriebspartner öffnet. Es wäre fatal wenn plötzlich Konditionentabellen geändert wären oder ein Vertriebspartner die Adressen und Angebote der Mitbewerber einsehen könnte.

Daher ist ein Sicherheitscheck der Software nicht nur für Zugriffe von aussen, sondern von innen oft viel wichtiger. Denn hier kann ein User selbst ohne große EDV-Kenntnisse nachhaltigen Schaden anrichten den zunächst niemand bemerkt. Wer wissen möchten, bei welchen Softwarelösungen dieses Risiko besteht oder wer seine Software prüfen möchte kann sich an uns wenden. Für diesen Zweck haben wir ein Testprogramm "FLF-Testmanager" entwickelt, das generell Implementierungen und Updates nach den MaRisk Regeln und darüber hinaus prüfen kann.

Weitere Informationen unter: http://www.kraft-partner.com/flf-testmanager