Bundesamt für Sicherheit in der Informationstechnik

M 4.396 Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Entwickler, Administrator

Eine Webanwendung wird gewöhnlich von Menschen genutzt und erfordert somit keine automatisierte Nutzung ( z. B. durch Skripte). Brute-Force-Angriffe (z. B. Erraten von Zugangsdaten) und Enumeration-Angriffe (z. B. automatisiertes Ermitteln von gültigen Login-Namen) beruhen hingegen auf der automatisierten Steuerung einer Webanwendung (Automation). Bei diesen Angriffen wird zumeist versucht, vertrauliche Daten durch wiederholende, leicht variierende Abfragen (z. B. geänderte Benutzernamen) zu sammeln.

Zur Verhinderung von Automation und der Abwehr damit einhergehender Angriffe muss die Webanwendung automatisierte von manuellen Zugriffen unterscheiden können. Automatisierte Angriffe zeichnen sich durch eine hohe Zahl an Zugriffsversuchen innerhalb einer kurzen Zeitspanne aus, die das übliche Maß deutlich übersteigt.

Daher kann eine Toleranzschwelle für wiederholt abgerufene Ressourcen derartige Angriffe erschweren (Teergrube). Werden Grenzwerte gegen automatisierte Anfragen festgelegt, ist darauf zu achten, dass legitime Benutzer in der Funktionalität und der Bedienung der Webanwendung möglichst wenig eingeschränkt werden. Falls Grenzwerte für elementare Funktionen der Webanwendung zu eng bemessen sind, können Angreifer dies auf Webanwendungs-Ebene für Denial-of-Service-Angriffe missbrauchen. Werden beispielsweise Benutzerkonten nach einer festgelegten Anzahl an erfolglosen Anmeldeversuchen für ein gewisses Zeitintervall gesperrt, können gezielte Falscheingaben zu einer längerfristigen Sperrung vieler Benutzerkonten führen. Demzufolge können sich legitime Benutzer in diesem Zeitraum nicht mehr an der Webanwendung anmelden.

Darüber hinaus ist die Effizienz automatisierter Angriffe in der Regel stark abhängig vom Detailgrad der Informationen in den Rückantworten der Webanwendung (siehe M 4.400 Restriktive Herausgabe sicherheitsrelevanter Informationen bei Webanwendungen und Web-Services ).

Folgende Beispiele geben Hinweise auf mögliche Schutzmechanismen:

  • Eine künstliche Verzögerung zwischen der Eingabe der Zugangsdaten bei der Benutzer-Authentisierung und der Meldung über einen fehlgeschlagenen Anmeldeversuch kann Brute-Force-Angriffe aufgrund des erhöhten Zeitbedarfs erschweren. Die Wirksamkeit dieser Methode kann durch ein progressives Ansteigen der Verzögerung nach jedem gescheiterten Versuch erhöht werden.
  • Werden Eingaben zurückgewiesen, sollten Informationen über die Ursache generisch verfasst sein. Einem Angreifer darf es beispielsweise nicht möglich sein aufgrund von Meldungen, wie "Passwort ungültig" anstelle von "Zugangsdaten ungültig", auf ein gültiges Benutzerkonto zu schließen (siehe auch M 4.395 Fehlerbehandlung durch Webanwendungen und Web-Services ).
  • Angriffsversuche sind häufig gekennzeichnet durch vielfache Fehlversuche bei der Durchführung einer Aktion. Daher sollte eine vorhandene Sitzung beendet werden, wenn eine ungewöhnlich hohe Anzahl von Fehlversuchen identifiziert wird, und anschließend eine Neuanmeldung erforderlich sein.
  • Automatisierte Angriffe können durch eine temporäre Sperrung der IP-Adresse bei Verdacht auf einen Angriff abgewehrt werden. Es sollte hierbei bedacht werden, dass durch diese Maßnahme gegebenenfalls Unbeteiligte ebenfalls von der Sperrung betroffen sind (z. B. wenn mehrere Benutzer denselben Proxy verwenden).
  • Häufig werden sogenannte CAPTCHAs (Completely Automated Public Turing Test To Tell Computers and Humans Apart) zur Unterscheidung automatisierter und manueller Zugriffe eingesetzt. Hierbei müssen vom Benutzer der Webanwendung Aufgaben gelöst werden (z. B. die Zeichen in einem Bild müssen erkannt und abgetippt oder Rätselfragen beantwortet werden), was für ein Computerprogramm nicht ohne Weiteres möglich ist. Abhängig von der verwendeten Technik und Aufgabenstellung ist die Webanwendung dadurch gegebenenfalls nur eingeschränkt für Menschen mit Behinderung nutzbar. So sollte z. B. alternativ zum Einblenden der Aufgabe, diese auch akustisch zur Verfügung gestellt werden, um Menschen mit Sehbehinderung die Nutzung der Webanwendung zu ermöglichen. Es ist zu beachten, dass der Einsatz von CAPTCHAs aus Gründen der Diskriminierung in vielen Ländern gesetzlich geregelt oder verboten ist. In Deutschland ist die Bundesverwaltung verpflichtet ihre öffentlich zugänglichen Internet- und Intranet-Angebote nach der Barrierefreien Informationstechnik-Verordnung (BITV) zu gestalten.

Prüffragen:

  • Erkennt die Webanwendung automatisierte Zugriffe und werden geeignete Maßnahmen getroffen, die eine automatisierte Nutzung erschweren oder unterbinden?

  • Werden bei der Festlegung von Grenzwerten bei Webanwendungen mögliche Auswirkungen berücksichtigt (z. B. Anfälligkeit für Denial-of-Service-Angriffe)?

  • Wird eine restriktive Informationspolitik von der Webanwendung umgesetzt?

  • Werden die rechtlichen Rahmenbedingungen vor dem Einsatz von Schutzmaßnahmen geprüft, die die Nutzung der Webanwendung auf bestimmte Anwenderkreise einschränken und somit diskriminieren könnten (z. B. CAPTCHA)?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK