Internet Retailing sprach mit Richard Wieneke, Head of Sales bei Art of Defence, einem deutschen Anbieter spezieller Schutzsoftware für Webinstallationen.
Internet Retailing: Welche Gefahren drohen einem Online-Shop und dessen Infrastruktur aus dem Internet?
Richard Wieneke, Head of Sales bei Art of Defence
Wieneke: Es gibt sehr viele verschiedene Angriffe auf Online-Shops, sie aufzuzählen, ist kaum möglich. Die beiden Risiken, die am schwersten wiegen, sind Cross-Site-Scripting- und Injection-Angriffe: Bei einem Cross-Site-Scripting-Angriff, auch XSS-Angriff genannt, kann ein Angreifer beispielsweise den Preis oder die Produktbeschreibung von Shop-Artikeln ändern. Eine Injection-Attacke zielt dagegen auf die Kontrolle über den Server oder das Ausspähen von Daten in der Datenbank – zum Beispiel von Kontoinformationen oder Kundenadressen.
Wichtig für Shop-Betreiber ist Folgendes: Es kommen immer neue Gefahren – Angriffsarten – hinzu, deswegen ist die Absicherung des Online-Shops eine ständige Aufgabe. Wer sich auf dem Laufenden halten möchte, kann sich bei Vereinigungen wie der OWASP (www.owasp.org) informieren.
Internet Retailing: Welche Rolle kann eine Web Application Firewall (WAF) spielen, um einige dieser Gefahren abzuwehren? Und wie?
Die drei Kernmodule einer Web Application Firewall.
Wieneke: Web Application Firewalls (WAFs) prüfen die Kommunikation zwischen dem Browser des Nutzers und der Web-Anwendung “Online-Shop”. Im Unterschied zu einer Netzwerk-Firewall „verstehen“ WAFs die Anfragen an Web-Anwendungen und können entscheiden, ob sie legitim sind oder ein Angriffsversuch, den sie abblocken.
Internet Retailing: Welche Vorteile bietet die WAF von art of defence im Unterschied zu anderen WAF-Lösungen?
Wieneke: Unsere WAF hyperguard ist derzeit die flexibelste im Deployment: Es gibt sie als Software-Plug-in für unterschiedliche Infrastrukturkomponenten, als Hardware-Appliance, als Virtual Appliance oder als verteilte dWAF. Zur Erklärung: dWAF steht für „distributed WAF“; sie ist von Vorteil, wenn der Web-Shop teilweise selbst und teilweise extern gehostet wird – zum Beispiel, um Traffic-Spitzen zu bestimmten Uhrzeiten abzufangen.
Die DeciderCloud entscheidet schnell, was als Schädling und was als gutartig im Traffic gilt. Dank Decider-Cloud entsteht auch bei großen Shops und Lastspitzen kein Flaschenhals.
Außerdem ist hyperguard besonders schnell in der Verarbeitung, deshalb verursacht die WAF auch bei großen Web-Shops mit vielen Anfragen keine Engpässe. Ein dritter Punkt: hyperguard ist die einzige WAF „made in Germany“. Wir, der Hersteller art of defence aus Regensburg, sind nah dran an unseren Kunden und den gesetzlichen Vorschriften, die für sie gelten.
Internet Retailing: Wie kann ein Shop-Betreiber die WAF besorgen und deployen?
Wieneke: Wie oben schon angesprochen, hat der Nutzer bei hyperguard freie Wahl, wie die WAF installiert wird – als zusätzliche Software auf einem einzelnen Webserver oder mit vielen Instanzen in einer virtualisierten Umgebung.
Der hyperguard-Vertrieb erfolgt über den Channel, also über Distributoren und Systemhäuser oder Reseller. Sie setzen die WAF auch auf und sind erste Anlaufstelle für Fragen, die bei der Pflege der WAF auftauchen können.
Flexibles Deployment: hyperguard kann auf vielen verschiedenen Web-Infrastrukturkomponenten betrieben werden.
Internet Retailing: Eignet sich eine WAF für jede Größe eines Online-Shop-Unternehmens? Was gilt es zu beachten?
Wieneke: hyperguard eignet sich für jede Shop-Größe. Für sehr große Shops mit vielen Anfragen oder besonderen Lastspitzen entsteht, wie gesagt, auch kein Flaschenhals durch hyperguard, da sie mit einer sogenannten „Decider-Cloud“ arbeiten kann. Dazu muss man wissen, dass der sogenannte Decider – das ist der Teil von hyperguard, der die rechenintensiven Aufgaben übernimmt – unabhängig von den anderen WAF-Komponenten installiert sein kann.
Wenn der Traffic ansteigt, können weitere Decider hinzugeschaltet werden. Die WAF verhält sich also gewissermaßen „virtualisiert“. Das ist übrigens auch finanziell attraktiv, weil der Betreiber keine zweite Appliance-WAF braucht, um Lastspitzen abzudecken, oder um Online-Shop wie Web-Infrastruktur auszubauen, weil das Geschäft gut läuft.
Internet Retailing: Mit welcher Anfangsinvestition beziehungsweise Mietgebühr muss ein Shop-Betreiber rechnen?
Wieneke: Es kommt darauf an, wie komplex das IT-System ist. Als Hausnummer: Ein mittelgroßer Shop kann schon mit einer Investition von unter 10.000 Euro starten, hinzu kommen die monatlichen Lizenzgebühren abhängig von der Anzahl der Instanzen.
