Dunkel Pressemitteilung vom 26. Januar 2010

Sofortschutz für Webanwendungen mit und ohne Cloud

Dunkel schützt Webanwendungen unabhängig von ihrem Hosting Standort mit einem installationsfreien Managed Service und der Web Application Firewall Technologie von Imperva.

In Kooperation mit Imperva, dem führenden Anbieter von Web- und Datenbank Sicherheitslösungen, bietet die Dunkel GmbH ab sofort einen Web Application Firewall Service an, der Webanwendungen vor Angriffen schützt, ohne dass Firmen dafür Hardware oder Software installieren müssen. Der individuell konfigurierbare Sicherheitsservice bewahrt Websysteme und Applikationen davor, dass ihnen Sicherheitslücken zum Verhängnis werden und ist auch für cloud-basierte Anwendungen interessant. Der Service funktioniert unabhängig vom Hosting Standort und kann auch von Firmen genutzt werden, die ihre Anwendungen nicht auf der VMware- und SAN-Infrastruktur des Providers hosten lassen. Mit dem neuen Security Service baut Dunkel seine Position als innovativer Lösungsanbieter für sichere und hochverfügbare virtuelle Infrastrukturen und Cloud Hosting Services weiter aus.

Mit der zunehmenden Verbreitung von Webanwendungen wächst auch deren Attraktivität für Hackerangriffe. Was nicht im gleichen Maße mitwächst sind die Sicherheitseigenschaften der meisten Anwendungen. So zeigte der jüngste Website Security Statistics Report von WhiteHat Security, dass von 1.500 analysierten Webseiten 83 Prozent mindestens eine kritische Sicherheitslücke aufwiesen. Über 40 Prozent der gefunden Schwachstellen waren auch bei einer erneuten Überprüfung noch nicht geschlossen. Wer hierfür nur Nachlässigkeit verantwortlich macht, greift zu kurz. So weist Axel Dunkel, Geschäftsführer der Dunkel GmbH, darauf hin, dass viele Entwickler unter Termindruck stehen und für ausgiebige Sicherheitstests oft nicht genug Zeit bleibt. „Außerdem werden täglich neue Sicherheitslücken bekannt und dadurch vormals sichere Anwendungen plötzlich angreifbar“, ergänzt der Sicherheitsspezialist. Selbst wenn die Betreiber vorhandene Schwachstellen kennen, können sie geschäftlich relevante Anwendungen nicht einfach abschalten und Sicherheitslücken sofort schließen. „Mit unserem Web Application Security Service müssen Firmen nicht zwischen Geschäft oder Sicherheit wählen, sondern können sich sofort und ohne viel Aufwand davor schützen, dass Hacker Sicherheitslücken in ihren Webanwendungen ausnutzen“, beschreibt Axel Dunkel die Vorteile seines neuen Angebotes.

Die meisten Unternehmen haben bereits Netzwerkfirewall und Intrusion Prevention Systeme im Einsatz und fragen sich, warum sie ihre Anwendungen zusätzlich noch mit einer Web Application Firewall (WAF) schützen sollen. „Klassische Firewalls blockieren Ports und Adressen und überwachen den Zugriff auf bestimmte Services, schützen aber nicht vor Gefahren im erlaubten Datenverkehr“, erklärt Dietmar Kenzle, Regional Sales Director DACH & Eastern Europe bei Imperva. „Auch Intrusion Prevention Systeme können die meisten http(s)-basierten Angriffe nicht aufhalten. Web Application Firewalls überprüfen den Datenverkehr auf der Anwendungsebene und können durch inhaltliche Analysen der Client-Anfragen erlaubte von verbotenen Aktionen unterscheiden. Deshalb bieten sie einen wirkungsvollen Schutz vor den häufigsten Angriffen auf Webanwendungen wie SQL Injection oder Cross Site Scripting, aber auch vor weniger bekannten Angriffstechniken.“

Nicht ohne Grund fordert die Kreditkartenindustrie den Einsatz von Web Application Firewalls für Unternehmen, die im größeren Umfang Kreditkartendaten verarbeiten (PCI-DSS 6.6). Aber auch ohne Kreditkartendaten sollten sich Firmen nicht darauf verlassen, dass sie kein attraktives Angriffsziel sind oder ihre Webseite nicht zur Verbreitung von Schadcode missbraucht wird. Für Axel Dunkel gehört jede Webanwendung mit wichtigen Firmen- oder Personendaten hinter eine Web Application Firewall. „Hacker scannen nach Sicherheitslücken und sammeln alles, was sie bekommen und eventuell zu Geld machen können, unabhängig von der Größe oder dem Bekanntheitsgrad des Webseiteninhabers.“ Deshalb reicht es nicht länger aus, Hosting Infrastrukturen nur auf der Netzwerkebene abzusichern. So hat der Sicherheitsspezialist bereits in der Vergangenheit Applikationen mit der freien WAF-Software ModSecurity geschützt. „ModSecurity zeigt aber Schwächen bei bestimmten Angriffstechniken und lässt sich nur bedingt und mit sehr viel Aufwand an die individuellen Besonderheiten vieler Anwendungen anpassen“, begründet Axel Dunkel seine Entscheidung, eine kommerzielle Web Application Firewall für seinen Managed Service einzusetzen. „Wir haben Systeme diverser Hersteller getestet und uns schließlich für Imperva entschieden, weil wir mit der SecureSphere einen optimalen Schutz für eine große Bandbreite unterschiedlichster Anwendungen realisieren können.“

Der Web Application Security Service von Dunkel ist ab sofort verfügbar und erfordert keinerlei Installationen oder Änderungen in den Anwendungen. Nach Aktivierung wird der Datenverkehr zwischen Client (Browser) und Webserver über die Web Application Firewall im Rechenzentrum von Dunkel geleitet und überprüft. Die Firewall „lernt“ zunächst das normale Anwendungs- und Benutzerverhalten. Anhand dieser „Baseline“ können anschließend Sicherheitsverletzungen zuverlässig erkannt und Fehlentscheidungen vermieden werden. Für Anwendungen an verteilten Standorten muss der Service nur einmal aktiviert werden, um die Anwendung als Ganzes und nicht nur einzelne Sessions zu schützen. Die Web Application Firewall kann Zehntausende Transaktionen pro Sekunde analysieren. Mit Latenzen im Sub-Millisekundenbereich verursacht der Sicherheitsservice beim Anwender keine spürbaren Verzögerungen. Auf Kundenwunsch führt Dunkel vorab ein Web Security Assessment durch, das Sicherheitslücken in den Anwendungen findet. Der direkte Vergleich mit einem Schwachstellen-Scan nach Aktivierung des Firewallschutzes macht dessen Wirksamkeit sofort sichtbar.

Dem Vorhaben der Dunkel GmbH, als erster Provider einen Managed Service mit der SecureSphere Web Application Firewall anzubieten, stand Imperva von Anfang an aufgeschlossen gegenüber. „Wir hoffen, dass der Security Service auch solche Firmen erreicht, denen die Möglichkeiten einer Web Application Firewall zum Schutz ihrer Anwendungen und Daten bislang noch unbekannt waren oder denen die Ressourcen zum Betrieb einer eigenen Lösung fehlen“, sagt Dietmar Kenzle von Imperva. 

Über Imperva

Imperva ist der führende Anbieter von Systemen für die Sicherheit von Anwendungsdaten und Compliance-Richtlinien. Große Unternehmen und Verwaltungsorganisationen vertrauen weltweit auf Imperva, um Datendiebstahl sowie Missbrauch zu verhindern und Datenintegrität sicherzustellen. Die SecureSphere-Produkte des Unternehmens ermöglichen Kontrolle und Schutz von Anwendungsdaten durch die Überwachung, die Prüfung und die Sicherung von Geschäftsapplikationen und Datenbanken.

Weitere Informationen finden Sie unter www.Imperva.com

Über Dunkel

Mit cloudbasierten Infrastruktur-, Hosting- und Security-Services unterstützt die Dunkel GmbH Unternehmen jeder Größe dabei, moderne Informationstechnologie sicher für den Geschäftserfolg zu nutzen. Dunkel bietet mit dem Virtual Data Center einen äußerst flexiblen Managed Cloud Service mit umfangreichen Sicherheits- und Kontrollfunktionen in deutschen Rechenzentren. Ergänzend dazu profitieren Kunden von einem breiten Spektrum an Storage, Disaster Recovery und Secure Communication Services.

Das Unternehmen ist bereits seit 1993 als Spezialist für sichere und hochverfügbare IT-Dienstleistungen etabliert und bekam 2011 als erster deutscher Anbieter die VMware vCloud®-Powered Validierung für seine Virtual Data Center Services. Zum Kundenstamm gehören Rundfunkanstalten, kommunale Dienstleister und Unternehmen zahlreicher Branchen.

Erfahren Sie mehr unter www.dunkel.de und folgen Sie uns @dunkelgmbh