Jede relevante Webanwendung steht ständig im Feuer der Angreifer: Besonders häufig sind dabei „Distributed Denial of Service Attacks“, die darauf abzielen, die Web-Anwendung zu überlasten und damit die Verfügbarkeit schädigen. Daneben gibt es eine Vielzahl anderer Angriffsarten, die auch alle anderen Schutzziele gefährden.
Eine Web Application Firewall (WAF) untersucht alle Daten-Abrufe und Seiten-Aufrufe, die an einen Web-Server gesandt werden und blockiert die potenziell gefährlichen. Dazu analysiert sie den Inhalt dieser Abrufe unter anderem auf ungültige Daten, bekannte Angriffs-Muster, gefährliche Befehle und Schadsoftware. Deshalb funktioniert eine WAF nur, wenn sie den gesamten Datenverkehr des Servers unverschlüsselt analysieren kann.
Selbst-Optimierung
Da bekannte Angriffe so gut blockiert werden, arbeiten die Angreifer ständig an neuen. Daher ist ein wesentliches Qualitätsmerkmal einer WAF die Schnelligkeit, mit der das System neuartige Angriffe blockieren kann. Hacker starten ihre Attacken in Wellen, um Verzögerungen bei dieser Reaktion auszunutzen.
Daher analysieren die Anbieter von WAFs ständig, was im Internet vor sich geht. Dazu ziehen sie ständig zufällige Stichproben aus dem gesamten Datenverkehr, den ihre Firewalls bearbeiten. Diese Proben werden in Labors teilweise automatisch und teilweise von Sicherheits-Experten ausgewertet, um daraus neue Blockier-Regeln für die WAFs abzuleiten. Das läuft meist mit unter dem Begriff „Threat Intelligence“.
Das ist Stand der Technik zum Schutze der Web-Anwendungen hinter den WAFs. Doch gleichzeitig entstehen hier zwei massive Datenschutz-Probleme. Denn die zufällige Auswahl bedeutet, dass wahrscheinlich auch personenbezogene Daten in der Stichprobe landen. Und die meisten großen WAF-Anbieter filtern den Datenverkehr zwar in Deutschland, betreiben ihre Labors jedoch in den USA – Datenexport, Drittland, Schrems II!
Maßnahmen-Möglichkeiten
Diese Probleme lassen sich kaum ausschließen: Eine WAF ohne ständige Optimierung schützt weniger gut. Und die Anbieter bestehen in der Regel auf einem Recht zum Ziehen von Stichproben, beruht doch die Qualität des Schutzes gerade darauf, möglichst viele Daten auszuwerten. Und das zusätzliche Schrems-II-Problem ist derzeit vertraglich kaum befriedigend zu lösen.
Somit entsteht ein „Risiko für die Rechte von Betroffenen“, wie es die DSGVO heißt. Wer eine WAF einsetzen möchte, kommt also nicht darum herum, dieses Risiko gegen das berechtigtes Interesse am Schutz seiner Web-Anwendung abzuwägen.
Für die WAF spricht dabei der zusätzliche Schutz der personenbezogenen Daten in der Anwendung. Zudem ist die Eintrittswahrscheinlichkeit für Risiken auf diesem Wege sehr gering, sofern man bei der Auswahl des WAF-Dienstleisters oder -Lieferanten auf dessen Sicherheit achtet (etwa auf Zertifikate).
Außerdem sind die Stichproben kein lohnendes Ziel für die Ausspähung, da sie wegen der zufälligen Auswahl nicht gezielt ausgewertet werden können – Daten einer bestimmten Zielperson könnten darin enthalten sein, doch es ist extrem unwahrscheinlich.
Neben der Eintrittswahrscheinlichkeit bestimmt die Höhe des Schadens die Größe des Risikos für die Betroffenen. An dieser Stelle endet jede allgemeine Betrachtung; jeder Verantwortliche muss analysieren, welche Daten-Arten eine WAF vor seiner Web-Anwendung passieren könnten. Beispielsweise können personenbezogene Daten aus den besonderen Kategorien (Artikel 9 der DSGVO) so heikel sein, dass man sich gegen die WAF entscheiden muss.
Fazit
Web Application Firewalls können die Sicherheit von Web-Anwendungen erhöhen. Ob sie wirklich etwas bringen, hängt vom konkreten Einsatz-Szenario ab. Hinzu kommen die Datenschutz-Fragen, die den Einsatz einer WAF nicht generell ausschließen, aber im Einzelfall bewertet werden müssen – oft in Form einer Datenschutzfolgeabschätzung.