Für die Unterstützung von Online-Geschäftsprozessen greifen transaktionale Webanwendungen in der Regel auf interne Unternehmensdaten zu. Zum Schutz der Geschäftsdaten werden diese Daten mit bekannten Authentisierungsmechanismen (Benutzername, Passwort) geschützt.

Das sog. „Phishing“ dieser Authentisierungsinformationen ist eine reale und bekannte Gefahr, die es den Übeltätern ermöglicht, Unternehmensinterna und -informationen auszuspähen. Imageschäden oder gar strafrechtliche Konsequenzen können die Folge sein.

Bei der Absicherung von Online-Anwendungen verwenden wir für die Sicherung der Datenübertragung sog. https-Protokolle. Diese stellen eine verschlüsselte Datenübertragung sicher und prüfen, dass zum Zeitpunkt der Übertragung Anfragen an ein internes IT-System auch wirklich nur von der dafür vorgesehenen URL gestellt werden können.

Eine noch größere Gefahr stellen direkte Angriffe auf gespeicherte Unternehmensdaten dar; identifizierte Sicherheitslücken („Zero Day Exploits“) werden sogar auf einem regelrechten Schwarzmarkt gehandelt. Die relativ einfachen Methoden wie Cross-Site-Scripting oder SQL-Insertion können große Schäden erzeugen und unsere Analysen zeigen, dass erstaunlich viele Unternehmen bisher keine effektiven Maßnahmen zur Verteidigung ergriffen haben.

Um auch gespeicherte Daten zu sichern, müssen u. U. Maßnahmen direkt in der technischen Qualitätssicherung ergriffen werden. Dies ist notwendig, da Sicherheitslücken bei jedem neuen Release wieder auftreten können. Wir haben daher automatisierte Scans und simulierte Angriffe in unsere QS-Prozesse integriert, um auch bei hohem Zeitdruck vor Fertigstellung eines Releases Fehler zu vermeiden.