Web Application Firewalls (WAF), erklärt

Die meisten Websites stehen offen im Internet und sind für jedermann zugänglich, einschließlich automatischer Tools, die ständig nach Schwachstellen suchen. Eine Web Application Firewall, fast immer als WAF abgekürzt, ist eine Schutzschicht, die vor Ihrer Website sitzt und den eingehenden Datenverkehr überprüft, bevor er Ihre Anwendung erreicht. Ihre Aufgabe ist es, bösartige Anfragen zu erkennen – jene, die versuchen, Ihre Website zu knacken oder lahmzulegen – und sie abzuwehren, während echte Besucher ungestört passieren können.

Für einen Geschäftsinhaber kann eine WAF wie eine dieser technischen Anschaffungen wirken, die schwer zu beurteilen sind. Dieser Leitfaden erklärt, was eine WAF tatsächlich leistet, welche spezifischen Angriffe sie abwehrt, wie sie sich von der Ihnen vielleicht bereits bekannten Netzwerk-Firewall unterscheidet und wie Sie entscheiden können, ob Ihre Website eine benötigt. Ziel ist es, Sie in die Lage zu versetzen, eine fundierte Entscheidung zu treffen, anstatt sich auf das Wort eines Anbieters zu verlassen.

Was eine Web Application Firewall leistet

Stellen Sie sich Ihre Website wie ein Geschäft vor und die WAF als Wachmann am Eingang. Jede Person, die versucht einzutreten, passiert zuerst den Wachmann. Die meisten sind gewöhnliche Kunden und werden sofort durchgewunken. Aber der Wachmann ist darauf trainiert, diejenigen zu erkennen, die Werkzeuge dabei haben, um Schlösser aufzubrechen oder Ärger zu machen, und weist sie ab, bevor sie hineingelangen. Eine WAF macht dasselbe mit Web-Traffic: Sie überprüft jede Anfrage anhand eines Satzes von Regeln und Mustern, lässt legitime Anfragen zu und blockiert solche, die bekannten Angriffssignaturen entsprechen oder sich verdächtig verhalten.

Entscheidend ist, dass eine WAF auf der Ebene der Website-Anwendung selbst arbeitet und die Anfragen von Besuchern an Ihre Seiten und Formulare versteht. Dadurch kann sie Angriffe abfangen, die auf die Funktionsweise von Websites abzielen, wie z.B. Versuche, bösartigen Code in ein Suchfeld oder Anmeldeformular einzuschleusen. Dies geschieht, ohne dass Sie den Code Ihrer Website ändern müssen, was einen Teil ihrer Attraktivität ausmacht: Sie fügt eine Verteidigungsschicht vor eine Anwendung hinzu, die Sie möglicherweise selbst nicht einfach ändern können.

Wie sich eine WAF von einer Netzwerk-Firewall unterscheidet

Sie haben vielleicht schon von einer Firewall gehört, und es lohnt sich, den Unterschied zu klären. Eine herkömmliche Netzwerk-Firewall steuert, welche Verbindungen basierend auf Adressen und Ports ein- und ausgehen dürfen; sie arbeitet auf der Ebene der Netzwerkinfrastruktur und versteht den Inhalt von Webanfragen nicht. Eine Web Application Firewall arbeitet eine Ebene höher und überprüft den tatsächlichen Inhalt der Anfragen an Ihre Website. Die beiden ergänzen sich, sind aber nicht austauschbar: Die Netzwerk-Firewall bewacht den Gebäudebereich, während die WAF überprüft, was jeder Besucher zu tun versucht, sobald er die Tür Ihrer spezifischen Anwendung erreicht.

Die Angriffe, gegen die eine WAF schützt

WAFs sind darauf ausgelegt, die gängigsten Angriffsmethoden auf Websites abzuwehren. Ein grobes Verständnis dieser hilft Ihnen, den Schutz, den Sie erhalten, zu würdigen. Viele dieser Angriffstypen erscheinen auf weithin zitierten Sicherheitslisten, gerade weil sie so häufig gegen gewöhnliche Geschäftsseiten versucht werden.

Injection- und Skripting-Angriffe

Zwei der hartnäckigsten Bedrohungen sind Injection und Cross-Site-Scripting. Bei einem Injection-Angriff tippt ein Angreifer speziell präparierten Text in ein Formular, in der Hoffnung, dass Ihre Website ihn für einen Befehl hält und ausführt, wodurch möglicherweise Ihre Datenbank offengelegt oder verändert wird. Beim Cross-Site-Scripting schleust der Angreifer bösartigen Code in eine Seite ein, sodass dieser in den Browsern Ihrer Besucher ausgeführt wird, was deren Informationen stehlen oder ihre Sitzungen kapern kann. Eine WAF erkennt die verräterischen Muster dieser Versuche und blockiert die schädlichen Anfragen, bevor Schaden angerichtet wird.

Automatisierter Missbrauch und Traffic-Fluten

Nicht jeder Angriff versucht einzudringen; einige versuchen, Sie zu zermürben. Bots können Ihre Anmeldeseite mit gestohlenen Anmeldeinformationen bombardieren, Ihre Inhalte massenhaft abgreifen oder Ihre Website mit so vielen Anfragen überfluten, dass sie für echte Kunden langsamer wird oder abstürzt – ein Denial-of-Service-Angriff. Viele WAFs beinhalten Ratenbegrenzung und Bot-Management, die diese abnormalen Muster erkennen und drosseln oder blockieren, wodurch Ihre Website für die wichtigen Personen verfügbar bleibt. Diese Art des automatisierten Missbrauchs ist konstant und wahllos, weshalb selbst bescheidene Websites davon betroffen sind.

Brauchen Sie wirklich eine WAF?

Eine WAF ist wertvoll, aber nicht für jede Website gleichermaßen unerlässlich. Wenn Sie eine einfache "Broschüren"-Website ohne Anmeldungen, Formulare oder gespeicherte Kundendaten betreiben, ist Ihr Risiko geringer, und die in einer seriösen Hosting-Plattform integrierten Schutzmaßnahmen können ausreichen. Wenn Ihre Website Kundenkonten verwaltet, Zahlungen verarbeitet, persönliche Daten speichert oder benutzerdefinierte Funktionen ausführt, spricht viel für eine WAF, da Sie mehr zu verlieren und mehr Angriffsziele haben.

Die gute Nachricht ist, dass eine WAF zunehmend einfacher zu beschaffen ist. Viele Hosting-Anbieter und Content Delivery Networks bieten sie als Funktion an, die Sie einschalten können, oft als Teil eines Plans, für den Sie bereits bezahlen, anstatt etwas, das Sie selbst aufbauen und betreiben müssen. Dieser verwaltete Ansatz passt gut zu den meisten kleinen Unternehmen: Die Regeln werden vom Anbieter gepflegt und aktualisiert, sodass Sie von aktuellem Schutz profitieren, ohne selbst ein Sicherheitsingenieur werden zu müssen. Bevor Sie etwas Eigenständiges kaufen, prüfen Sie, ob Ihre aktuelle Einrichtung bereits eine WAF beinhaltet, die Sie noch nicht aktiviert haben.

Eine WAF ist eine Schicht, kein Allheilmittel

Es ist wichtig, die Erwartungen realistisch zu halten. Eine WAF reduziert das Risiko erheblich, ersetzt aber andere gute Gewohnheiten nicht. Sie wird Software nicht reparieren, die Sie nicht aktualisiert haben, Daten nicht wiederherstellen, die Sie nie gesichert haben, oder Schäden durch ein gestohlenes Administratorpasswort rückgängig machen. Betrachten Sie sie als eine starke Schicht in einer umfassenderen Routine, die auch Updates, sinnvolle Passwörter, Zwei-Faktor-Authentifizierung und Backups umfasst. Unser Leitfaden zu Website-Sicherheitsgrundlagen skizziert dieses umfassendere Bild, und der Begleitartikel zur Zwei-Faktor-Authentifizierung behandelt eine Schicht, die speziell Ihre Anmeldungen schützt.

Zusammen eingesetzt machen diese Abwehrmaßnahmen Ihre Website zu einem wesentlich schwierigeren und weniger attraktiven Ziel. Wenn Sie verstehen möchten, wie eine WAF in das Gesamtbild passt, fasst unser Leitfaden zur Website-Wartung die Routine zusammen, und da eine WAF auch bei der Erkennung von Manipulationen hilft, ist unser Hinweis zum Erkennen von Website-Malware eine nützliche Ergänzung. Eine gut geschützte, schnelle und zuverlässige Website unterstützt auch Ihre Sichtbarkeit, ein Thema, das wir in den Grundlagen der technischen SEO untersuchen.

Häufig gestellte Fragen

Referenzen

1. Cloudflare Learning Center, Was ist eine WAF?, cloudflare.com/learning
2. OWASP, Web Application Firewall, owasp.org

Eine Web Application Firewall platziert einen kundigen Wächter vor Ihrer Website, der die automatisierten Angriffe blockiert, die täglich auf Websites abzielen. Für viele Unternehmen ist dies heute eine einfache Option innerhalb ihrer bestehenden Hosting- oder Content-Delivery-Einrichtung. Wenn Sie Hilfe bei der Bewertung Ihres Schutzes und dem Aufbau einer Sicherheitsroutine wünschen, sehen Sie sich unsere Website-Wartungsdienste an oder kontaktieren Sie uns.