Eine Web Application Firewall (WAF) schützt Unternehmen vor Angriffen auf ihre Web-Anwendungen. Ohne eine WAF-Lösung könnten Cyberkriminelle über Schwachstellen in das gesamte Unternehmensnetzwerk eindringen. Erfahren Sie hier, was moderne WAFs alles können und warum Sie auch Ihre Web-Apps in die Sicherheitsstrategie mit einbeziehen müssen.
Unternehmen nutzen eine Vielzahl webbasierter Anwendungen, also interaktive Online-Dienste, die über den Browser abrufbar sind. Web-Apps sind sehr praktisch: Sie sind überall zugänglich und funktionieren plattformunabhängig auf vielen Geräten. Gleichzeitig sind Web-Anwendungen aber auch ein beliebtes Ziel von Hackern.
Ganz gleich, ob Sie als Unternehmen Ihre Webanwendungen nur im Intranet oder über öffentlich zugängliche Websites nutzen, sollten Sie den Webdatenverkehr kontinuierlich auf Bedrohungen überwachen. Web Application Firewalls wehren Internetbedrohungen ab und bieten in einigen Fällen auch KI, Automatisierung und Machine-Learning-Funktionen, um den sich ständig ändernden Angriffsmethoden noch effizienter zu begegnen.
Das Wichtigste zu Web Application Firewalls in Kürze
Eine Web Application Firewall (WAF) schützt Ihre Webanwendungen vor Angriffen aus dem Internet.
Eine WAF wird meist als Ergänzung zu herkömmlichen Firewalls verwendet.
Webapplikations-Firewalls setzen direkt auf der Anwendungsebene an und analysieren, filtern und blockieren böswillige HTTP-Daten.
Je nach Einsatzgebiet stehen Ihnen netzwerkbasierte, hostbasierte und cloudbasierte WAFs zur Auswahl.
Web Application Firewalls erkennen und verhindern SQL-Injections, Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery, Zero-Day-Exploits und Pufferüberlauf-Angriffe (Buffer Overflows).
WAFs reduzieren die Risiken durch Cyberkriminalität, verringern Ausfallzeiten und sorgen so dafür, dass Sie sich ganz auf Ihr Business konzentrieren können.
Eine Web Application Firewall (WAF) gehört zu den sogenannten Application Level Firewalls (ALFs). WAFs analysieren, filtern und blockieren böswillige HTTP-Daten, bevor sie in eine Anwendung gelangen. Zusätzlich zu HTML- bzw. HTTP(S)-Paketen kann eine Webanwendungs-Firewall auch weiteren Schadcode erkennen:
Innerhalb von Beschreibungssprachen (abseits von HTML auch XML, SOAP)
Innerhalb von Prozeduraufrufen im Web (RPC, Remote Procedure Calls)
Dafür analysiert sie unter anderem XML-, RPC- und SOAP-Daten. Die grundlegende Funktion von WAFs besteht darin, Webangriffe wie SQL-Injections, Zero-Day-Exploits und Cross-Site-Scripting (XSS) zu erkennen und zu blockieren. Um dies zu erreichen, agieren Web-App-Firewalls nicht wie herkömmliche Firewalls auf der Netzwerk- und Protokollebene, sondern direkt auf der Anwendungsebene (Level 7 im OSI-Modell, mehr dazu unten).
Unternehmen können eine WAF verwenden zum Schutz von Anwendungen
In der Public Cloud
On-Premises
In Multi-Cloud-Umgebungen
Dabei sind Web Application Firewalls vor allem ein ergänzender Schutzschild: Webmaster:innen setzen sie in der Regel in Kombination mit herkömmlichen Firewalls ein.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät ausdrücklich zum Einsatz von Web Application Firewalls. Sie gelten als wirksamer Schutz gegen den Verlust sensibler Daten, unbefugten Zugriff auf oder die Manipulation von Websites.
Während die ersten WAFs der 1990er- und frühen 2000er-Jahre teils Bedenken hinsichtlich ihrer Implementierung ausgelöst hatten, führte ihre technologische Weiterentwicklung zur breiten Akzeptanz.
Frühere zustandslose (stateless) Web Application Firewalls nutzten zunächst nur statische Regeln zur Analyse von potenziellen Bedrohungen. Mit vielen erweiterten Funktionalitäten gehen die zustandslosen Webanwendungs-Firewalls der dritten Generation heute weit darüber hinaus: Sie prüfen unterschiedlichste Verhaltensmetriken in minimaler Zeit und wehren selbst problematische und neue Angriffsmethoden wirksam ab.
Erkennen und Nachverfolgen von Cyberangriffen
Neben dem Filtern und Blockieren von bösartigem Datenverkehr können Unternehmen ihre Web Application Firewall(s) auch dazu nutzen, laufende Angriffe zu beobachten. WAFs liefern Protokolle und versenden Warnungen, wenn sie Aktivitäten ermitteln, die gegen vorher festgelegte Richtlinien verstoßen. So können Sicherheitsteams auch von einer WAF lernen und weitere Skills entwickeln, um sich gegen aktuelle Angriffsformen bestmöglich zu schützen.
Lookout for Small Business
Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.
Integrieren Sie Lookout in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-out in Ihrer mobilen Flotte.
Neu: Jetzt mit Vodafone Managed Endpoint Security Service. Wir überwachen für Sie die Cyber-Sicherheit Ihres Unternehmens rund um die Uhr.
Es gibt drei Möglichkeiten, eine WAF einzurichten: netzwerkbasiert, hostbasiert oder cloudbasiert. Je nach Art und Einsatz unterscheiden sie sich in ihrer Funktionalität, beim Implementierungsaufwand und der Verwaltung.
Vor der Auswahl einer Webanwendungs-Firewall sollten Sie ermitteln, welche spezifischen Anforderungen Ihr Unternehmen hat, welche Anwendungen geschützt werden sollen und wie sich die Firewall in Ihre bestehende Netzwerkarchitektur einfügt.
Es gibt drei grundlegende Arten von WAFs:
Netzwerkbasierte WAF: Die netzwerkbasierte Web Application Firewall ist normalerweise eine Hardware-Lösung. Sie wird vor oder hinter dem Webserver in das Netzwerk eingebunden und punktet durch geringe Latenzzeiten. Diese Lösung erfordert jedoch eine hohe Netzwerk-Bandbreite und eine performant ausgebaute Infrastruktur.
Hostbasierte WAF: Die hostbasierte Webanwendungs-Firewall wird als Software oder Modul auf dem Webserver installiert, auf dem auch die Anwendungen laufen. Sie ist flexibel, lässt sich einfach und kostengünstig anpassen, bringt aber oft längere Entwicklungszeiten und mehr Aufwand für die Wartung mit sich.
Cloudbasierte WAF: Eine cloudbasierte WAF wird in einer Cloud gehostet. Betrieb, Aktualisierung und Wartung erfolgen über den Provider. Sie lässt sich mit nur wenigen Handgriffen implementieren und anpassen. Dies gewährleistet minimale Vorlaufzeiten, geringen internen Aufwand und eine ständige Aktualisierung. Allerdings geben Unternehmen bei dieser WAF-Lösung die Verantwortung für ihre eigene Web-App-Sicherheit zumindest in Teilen aus der Hand.
Ganz gleich, für welche Art von WAF Sie sich entscheiden: Alle drei oben genannten Varianten bieten eine durchgehende Überwachung und verringern bestehende Risiken erheblich.
Damit vermeiden Sie mögliche Ausfallzeiten, schützen die Marke Ihres Unternehmens und gewährleisten, dass Ihre IT-Mitarbeitenden sich auf ihre Aufgaben konzentrieren können. All dies kann sich positiv auf den Geschäftserfolg auswirken.
Als verwaltete Services bieten die cloudbasierten WAFs in der Regel einen besonders hohen Grad an Sicherheit für Webanwendungen – und die Kosten sind durch Abonnementmodelle gut kalkulierbar. Zu den bekannteren cloudnativen Diensten für den Schutz von Web-Apps gehört beispielsweise die Azure Web Application Firewall von Microsoft.
Eine Web Application Firewall ist darauf ausgelegt, den Datenverkehr zwischen Webanwendungen und dem Internet zu prüfen, zu filtern und ggf. zu blockieren.
In der Regel arbeiten Webapplikations-Firewalls dabei benutzer-, sitzungs- und anwendungsorientiert. Um Zugriffe auf potenzielle Risiken zu untersuchen, nutzen WAFs viele Informationen, die sie aus verdächtigen Anfragen auslesen, darunter:
Header-Daten aus Website-Aufrufen
Geolokationsdaten externer Zugriffe
IP-Adressen, die sie mit Listen bekannter Adressräume von Spam-Versender:innen oder Hacker:innen abgleichen
Alle diese Informationen können einer WAF verraten, ob ein Zugriff gefährlich sein könnte.
WAFs verwenden darüber hinaus verschiedene Werkzeuge, um Bots von echten Menschen zu unterscheiden, die eine Website besuchen. Dazu gehören:
Simple Rechenaufgaben in JavaScript
Vollständig automatisierte Turing-Tests („Completely Automated Public Turing Test to tell Computers and Humans Apart“, kurz CAPTCHA)
Darüber hinaus setzen WAFs stark auf Threat Intelligence. Darunter versteht man beispielsweise Informationen über Angriffswerkzeuge, die aktuell bei Cyberkriminellen beliebt und verbreitet sind. Das können neueste Zero-Day-Exploits sein oder bestimmte Phishing-Mail-Varianten.
Ob Web Application Firewalls Datenverkehr als bösartig oder harmlos einstufen, bestimmen sie auf Basis technischer Regeln (auch bezeichnet als Richtlinien oder Policys). Die Richtlinien einer WAF können auf die individuellen Anforderungen eines Unternehmens und seine Web-Applikationen zugeschnitten sein.
Typische Angriffe, die WAFs abwehren
Eine Web-App-Firewall bildet eine Schutzwand gegenüber unerwünschtem Traffic. Dazu zählen:
SQL-Injection: Bei einem SQL-Angriff werden SQL-Befehle oder solche, die SQL-Sonderzeichen enthalten, über ein Webformular an die Backend-SQL-Datenbank gesendet. Anschließend können unbefugter Nutzer:innen auf sensible Unternehmensdaten zugreifen, Datenbanken verändern, Verwaltungsvorgänge auslösen oder Schadcode einschleusen.
Cross-Site-Scripting (XSS): Bei dieser Angriffsform bringen Cyberkriminelle durch das Ausnutzen von Sicherheitslücken schädlichen Code in Webanwendungen ein, um beispielsweise sensible Informationen wie Log-in-Daten zu stehlen. Besonders betroffen sind interaktive Websites und -anwendungen.
Cross-Site-Request-Forgery: Angreifer:innen senden betrügerische HTTP-Anfragen von Benutzer:innen an eine anfällige Webanwendung, einschließlich der Sitzungs-Cookies ihres Opfers. In der Webanwendung stehlen die Hacker:innen Daten des Opfers, kapern das Konto oder führen andere unerwünschte Aktionen aus.
Zero-Day-Exploits: Bei Zero-Day-Exploits nutzen Angreifer:innen gezielt neu entdeckte Software-Schwachstellen wie Log4Shell oder Confluence OGNL umgehend für ihre Attacken aus.
Pufferüberlauf-Angriffe (Buffer Overflow): Bei dieser weitverbreiteten Angriffsform nutzen Hacker:innen Codierungsfehler aus, um Fragmente des Prozessspeichers einer Anwendung zu überschreiben. Dafür senden sie Daten, die zu lang sind, um im Pufferspeicher einer Anwendung gespeichert zu werden, was einen „Überlauf“ bewirkt.
Denial-of-Service (DoS): Durch eine Vielzahl koordinierter Zugriffe auf eine einzelne Website oder einen Webservice werden die dahinterliegenden Server gezielt ausgebremst. Solche Attacken werden häufig mithilfe sogenannter Bots automatisiert. Bots (als Kurzform von „Roboter“ oder englisch: „Robots“) sind in der Informatik und Netzwerktechnik kleine Programme, die automatisiert verschiedene Aufgaben erledigen.
Eine WAF erkennt solche Bots anhand ihres typischen Vorgehens und bestimmter anderer Charakteristika. Die WAF filtert die Anfragen der Bots gezielt aus dem Datenstrom heraus. Im Idealfall merken die Anwender:innen nicht einmal etwas von der Attacke. Lediglich die IT-Abteilung des Unternehmens sieht im Aktivitätsprotokoll der WAF, dass es einen Angriff gab, und/oder erhält eine entsprechende Benachrichtigung, je nach Schwere der Attacke.
Angesichts aktueller Cyberbedrohungen müssen Unternehmen Web-Apps mit einer Web Application Firewall schützen.
Lernfähige WAF
Um gefährliche oder verbotene Aktionen besser zu erkennen, verwenden WAFs häufig einen Application Security Scanner. Wie eine Art Crawler analysiert diese Software – teils im Dialog mit den Benutzer:innen – verschiedene Anwendungen, um daraus unterschiedliche Profile für erlaubte und verbotene Zugriffe zu generieren.
Konkret funktioniert das so: Sind beispielsweise für ein bestimmtes Formular auf einer Website oder in einem Online-Shop zwei Parameter festgelegt, kann die Web Application Firewall alle Anfragen blocken, die drei oder mehr Parameter enthalten. Sie kann auch die Länge einzelner Parameter prüfen. Die Spezifikation der Parameter ist dann Teil der allgemeinen Richtlinien der Firewall, z.B. eine maximale Länge für bestimmte Eingaben. Die konkreten Vorgehensweisen sind von Anbieter zu Anbieter unterschiedlich.
Damit schützen WAFs beispielsweise Webanwendungen vor XSS-Attacken und anderen Angriffen, die einen sogenannten Buffer Overflow ausnutzen wollen. Das ist das böswillige Beschreiben von eigentlich nicht dafür freigegebenen Speicherbereichen auf dem Zielgerät.
Richtlinien schnell und flexibel anpassbar
Der Wert einer WAF ergibt sich auch daraus, wie schnell und einfach sich Richtlinienänderungen implementieren und verwalten lassen. Denn es gibt Fälle, in denen eine schnelle Reaktion auf neue Angriffsvektoren nötig ist.
Damit die Web Application Firewall in der Lage ist, auch neuere Schwachstellen zu beheben, ist es außerdem notwendig, die Richtlinien regelmäßig zu aktualisieren. Denn die Bedrohungslandschaft wird immer komplexer und vielschichtiger. Je nach Art der WAF passiert die Aktualisierung bereits automatisch.
Hinsichtlich der Richtlinien lassen sich Webapplikations-Firewalls in Blocklist- und Allowlist-WAFs unterteilen:
Blocklist-WAFs agieren auf Basis eines negativen Sicherheitsmodells und schützen vor bereits bekannten Angriffen. Die Firewall erkennt die Attacken und wendet sie ab.
Allowlist-WAFs verfolgen ein positives Sicherheitsmodell. Sie lassen generell nur den im Vorfeld genehmigten Traffic durch, was jedoch mehr Leistung erfordert.
In der Praxis eignet sich für WAFs häufig ein hybrider Ansatz aus Blocklist und Allowlist; dies gewährleistet eine optimale Sicherheits-Performance.
Schutz auf der Anwendungsebene (Layer 7 des OSI-Modells)
Aus technischer Sicht besteht der Hauptunterschied zwischen WAFs und herkömmlichen Firewalls darin, dass Web Application Firewalls nicht auf der Netzwerk- und Transportebene (Layer 3 und 4 des OSI-Modells), sondern auf der Anwendungsebene (Layer 7) arbeiten. Die Schichten sind durch das (OSI)-Modell (OSI = Open Systems Interconnection) definiert, das die Kommunikation in Telekommunikations- und Computersystemen auf insgesamt sieben Ebenen beschreibt.
Die Ebenen im OSI-Modell
Um eine WAF besser zu verstehen, ist ein Blick auf diese Schichten sinnvoll:
Der Datenverkehr in solchen Netzen wird über verschiedene Technologien und Datenprotokolle geregelt. Die Basis bildet die physische Ebene (Ebene 1), die größtenteils aus Hardware besteht wie Datenleitungen und Repeatern.
Darauf fußt Ebene 2, auch Sicherungsschicht genannt. Sie überwacht, dass alle Daten zuverlässig zugestellt werden. Ebene 3 ist die Vermittlungsschicht. Sie sorgt dafür, dass alle Datenpakete auch bei den korrekten Zieladressen ankommen. Sie nutzt hierfür das Internetprotokoll (IP).
Eben 4 wird als Transportschicht bezeichnet. Sie nutzt das Transportprotokoll TCP. Sie ist eng mit Ebene 3 verbunden, weswegen man hier oft zusammenfassend vom TCP/IP-Datenverkehr spricht. Ihre Aufgabe ist der Aufbau direkter und sicherer Datenverbindungen zwischen Endgeräten.
Viele Cyberattacken setzen auf den Ebenen 3 und 4 an, weswegen herkömmliche Firewalls auf diesen Ebenen den Datenverkehr besonders überwachen.
Ebene 5 übernimmt die Kommunikationssteuerung. Sie legt fest, wann ein Gerät gerade senden oder empfangen soll. Ebene 6 ist die Datendarstellungsschicht. Sie macht unter anderem verschlüsselte oder komprimierte Daten wieder lesbar.
Die Anwendungsschicht als Arbeitsebene der WAF
Die oberste Ebene 7 schließlich ist die eigentliche Anwendungsschicht, auf der alle datenaustauschenden Programme arbeiten – vom Webbrowser bis zur Textverarbeitung, die gerade über ein Netzwerk Texte sichert. Weil auch auf dieser Ebene viele Cyberattacken stattfinden, setzt die WAF hier an und liest die Datenverkehre dieser Ebene mit, um Angriffe aufzuspüren.
In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.
Weitere Merkmale von Web Application Firewalls
Zu den wichtigen Funktionen und Merkmalen von WAFs gehören außerdem:
Dynamisches Traffic-Routing: WAFs nutzen ein dynamisches Traffic-Routing über das Domain Name System (DNS). Sie verwenden Algorithmen, die die Latenzzeiten von Benutzer:innen an Tausenden Standorten weltweit berücksichtigen und die Routen mit der geringsten Verzögerungszeit (Latenz) ermitteln.
Hochverfügbarkeit: WAF-Dienste bieten in der Regel in den Konfigurationseinstellungen die Möglichkeit, mehrere Ursprungsserver hinzuzufügen. Diese können einzelne Funktionen übernehmen, wenn ein Server nicht mehr korrekt reagiert oder offline ist.
Überwachung und Protokollierung: WAFs ermöglichen den Nutzer:innen den Zugriff auf Berichte über ihre Inhaltsbibliothek, um die Einhaltung von Regeln zu gewährleisten und Analysen durchzuführen.
Priorisierung von Aufgaben: Die Informationen aus den WAFs ermöglichen es den Supportteams, Tickets nach Dringlichkeit auszustellen. Bei Bedarf lassen sie sich sofort an Entscheidungsträger:innen auf höheren Hierarchieebenen weiterleiten.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite. Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer Datenschutzerklärung.
Die Vor- und Nachteile von Webanwendungs-Firewalls im Überblick
Vorteile von WAF-Lösungen im Überblick
Zusätzliche Sicherheitsebene für Webanwendungen
Hinter einer WAF können Sicherheitslücken für mehrere Anwendungen gleichzeitig geschlossen werden
Schutz für Anwendungen, für die es keine Updates mehr gibt (Altsysteme)
Schutz für anfällige Anwendungen von Drittanbietern
Es gibt auch einige Nachteile beim Einsatz von Web Application Firewalls. In der Regel überwiegen jedoch die Vorteile, weshalb Sicherheitsbehörden den Einsatz von WAFs empfehlen. Dennoch möchten wir hier der Vollständigkeit halber die möglichen Herausforderungen auflisten.
Mögliche Nachteile von WAF-Lösungen
Beeinträchtigung des Betriebs durch Fehlalarme bei zu restriktiv oder falsch konfigurierten Filtern
Eingeschränkte Unterstützung von Anwendungen, die aktive Inhalte auf der Client-Seite verwenden (z.B. JavaScript)
Konfigurationsaufwand
Teils nicht unerheblicher Ressourcenverbrauch, je nach Konfiguration
Webanwendungen sind Angriffsziel von Hackern:innen und benötigen einen besonderen Cyber-Schutz.
Vor welchen Gefahren schützen WAFs?
Eine Web Application Firewall schützt Web-Applikationen vor Datenklau, Kontenübernahme (Account-Hijacking), böswilliger Manipulation und Sabotage. Für viele Organisationen sind WAFs eine vertrauenswürdige Verteidigungslinie für ihre Anwendungen. Dies gilt nicht nur, aber vor allem zum Schutz vor den sogenannten OWASP Top 10, einer Grundliste der am häufigsten auftretenden Anwendungsschwachstellen.
Die Non-Profit-Organisation Open Worldwide Application Security Project (OWASP) stellt diese Liste regelmäßig zusammen und aktualisiert sie fortlaufend. Zu den wichtigsten Gefahren zählen aktuell
Authentifizierungsfehler,
sicherheitsrelevante Fehlkonfigurationen und
Einschleusungen.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Bei Unternehmen und Behörden gehen tendenziell viel mehr Webanfragen und Zugriffe über verschiedene Applikationen ein als etwa im privaten Bereich. In der Regel sind im Unternehmensumfeld außerdem größere Werte zu schützen. Deshalb sollten digitalisierte Firmen und auch andere Organisationen größten Wert auf ein lückenloses Cybersicherheits-Konzept legen – das sie außerdem regelmäßig prüfen und überarbeiten.
Eine WAF sollte integraler Bestandteil dieses Sicherheitskonzeptes sein, um einen mehrstufigen, kohärenten Cyberschutz zu erreichen.
Best Practice im Unternehmen
Für Planung, Installation und Betrieb von WAFs können Sie dieser mehrstufigen Best Practice folgen:
1. Zieldefinition: In dieser Phase bestimmen Sie, welche Applikationen, Inhalte und Netzsegmente Sie per WAF sichern wollen. Dabei definieren Sie auch den genauen Einsatzzweck Ihrer WAF. Sind vor allem interne Strukturen schutzbedürftig oder verfügen Sie über Kundenportale, Schnittstellen zu Lieferanten oder Dritten, die abgesichert werden müssen? Die Konzeption ergänzen Sie durch eine kritischen Risikoanalyse:
Müssen Sie in der Cybersicherheit oder im Bereich Compliance besondere rechtliche Vorgaben berücksichtigen (DSGVO, ISO 27001, BSI-Grundschutz)?
Sind weitere branchenbezogene Standards oder besondere behördliche Auflagen zu erfüllen?
Gehört Ihr Unternehmen möglicherweise zu einem durch Hacking-Attacken überdurchschnittlich betroffenen Sektor? Dazu zählen:
Infrastruktur/Daseinsvorsorge
Gesundheitswesen
Systemtechnik/Rüstung
Finanzwesen/IT
Die obigen Fragen sollten in Ihre Ziel- und Risikodefinition einfließen. Mit dem hierbei entwickelten Anforderungskatalog geht es in die nächste Phase.
2. Planungsphase: Auf Basis Ihres Katalogs vergleichen Sie mögliche Lösungen. Dazu gehört auch die Entscheidung für die Art der Implementierung Ihrer WAF. Dabei haben Sie die Wahl zwischen verschiedenen Betriebsmodellen:
On-Premises-WAF auf dem eigenen Betriebsgelände
Cloudbasierte WAF in der Unternehmens-Cloud (intern oder extern)
Hybride WAF (Kombination aus On-Premises-WAF und Cloud-WAF)
Als Hardware-Lösung ausgeführte On-Premises-WAFs waren lange Zeit in größeren Unternehmen Quasi-Standard, auch aufgrund ihrer höheren Durchsatzraten. Inzwischen nutzen immer mehr Firmen cloudbasierte WAFs oder Hybridlösungen, die sie oft im Paket mit einer externen Cloud buchen.
Dabei haben Sie die Wahl zwischen selbst- und fremdgehosteten Systemen. Wenn in Ihrem Unternehmen bisher die Expertise zum Spezialthema WAF fehlt, empfiehlt sich in der Regel – zumindest für den Einstieg – eine extern gehostete Lösung. Alternativ können Sie einen Dienstleister mit der Installation der WAF und der nachfolgenden Schulung Ihrer Mitarbeitenden beauftragen. Das Management übertragen sie anschließend an Ihre eigene IT-Abteilung.
3. Installation: Im nächsten Schritt installieren Sie Ihre präferierte WAF-Lösung bzw. lassen diese durch Ihren externen Partner einrichten. In dieser Phase müssen Sie die Systeme besonders sorgfältig monitoren, um mögliche Auffälligkeiten schnell zu erkennen. Wichtige Fragen:
Erfasst die WAF-Lösung alle eingangs umrissenen Systeme, Schnittstellen und Applikationen?
Gibt es Auffälligkeiten im Betrieb, werden beispielsweise JavaScripte oder Ports gesperrt, die harmlos sind und die Sie im Geschäftsverkehr benötigen?
Gibt es sogenannte False-Positive-Alarme, also legitime Datenverkehre und Anfragen, die fälschlich als Gefahr erkannt werden?
Wie entwickelt sich die Performance Ihrer Systeme? Bremst die WAF den Datenverkehr aus oder steigt die Latenz (Verzögerungszeit beim Datentransport) stark an?
In der Anfangsphase sollten Sie die oben aufgeführten Aspekte engmaschig überwachen und ggf. nachbessern. Es bietet sich an, diese Phase mit einem Pentest zu verbinden, in dem Sie Ihr gesamtes Unternehmen auf Sicherheitslücken prüfen.
4. Regelbetrieb: Üblicherweise können Sie nach einigen Wochen ohne Auffälligkeiten in den Regelbetrieb übergehen. Sofern Sie einen externen Dienstleister nur für die Einrichtung der WAF-Lösung beauftragt haben, kann sich dieser jetzt aus dem operativen Betrieb zurückziehen. Er sollte Ihnen aber weiterhin im Support zur Verfügung stehen, idealerweise mit einer durchgängig erreichbaren Hotline oder garantierten Antwortzeiten bei E-Mail-Anfragen.
Auch im Regelbetrieb muss es in Ihrem Unternehmen klare Verantwortlichkeiten geben, wer für Betrieb und Pflege Ihrer WAF verantwortlich ist. Denn eine Web Application Firewall ist keine „Fire and Forget“-Software (auf Deutsch: „starten und vergessen“), sondern bedarf regelmäßiger Aufmerksamkeit – das umfasst unter anderem:
Updates und Patch-Installationen zeitnah anstoßen
Alternativ: automatische Updates kontrollieren
Alarmmeldungen zeitnah auswerten und ggf. eskalieren
Neu hinzukommende Netzbereiche, Applikationen oder Cloud-Speicher Ihres Unternehmens in die WAF aufnehmen und absichern – bei Bedarf händisch
Jede WAF ist nur so gut, wie sie aktuell ist. Denn noch gefährlicher als das Nichtvorhandensein einer Web Application Firewall ist es für Unternehmen, sich auf eine WAF zu verlassen, die schlecht gewartet ist und daher nur scheinbar Sicherheit bietet.
Gerade durch die zunehmende Verbreitung von künstlicher Intelligenz ist die Geschwindigkeit angestiegen, mit der Angreifer:innen neue Malware entwickeln oder Hintertüren in Firmennetzwerken entdecken und ausnutzen.
Daher ist der Regelbetrieb einer WAF immer auch eine Explorations- und Beobachtungsphase: Sie sollten Berichte über Cybervorfälle und Entwicklungen in der Cyberkriminalität sehr aufmerksam beobachten. Neben den oben genannten OWASP Top 10 gibt es weitere wichtige Quellen zu aktuellen Cybergefahren:
IT-Sicherheitslage & Lageberichte des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Fachportal The Hacker News von Y Combinator
Threat Landscape Reports der ENISA (European Network and Information Security Agency, also Agentur der Europäischen Union für Cybersicherheit)
Cyber Briefs CERT-EU sowie nationale CERT-Advisories
Unser Fazit: Das macht WAFs so wichtig für Ihr Business
Eine WAF ist ein wichtiger Baustein für den unternehmensweiten Cyberschutz. Doch sie ist keine Alleinlösung und kann nur in Kombination mit weiteren Firewalls und anderen Sicherheitslösungen wirken. Erst damit errichten Sie einen umfassenden und wirksamen Cyber-Schutzschirm für Ihr Unternehmen und Ihre Mitarbeitenden.
Schutz für Ihre Endgeräte als Teil dieses Schutzschirms erlangen Sie mit Produkten wie Lookout und dem Microsoft Defender.
Web Application Firewall: Häufig gestellte Fragen (FAQ)
Eine WAF ist eine Unterart der Firewall, die speziell den Datenverkehr auf der sogenannten Anwendungsebene überwacht und dort Cyberangriffe erkennt und abwehrt. Für einen umfassenden Schutz muss sie zwingend mit weiteren Firewalls mit anderen Suchvektoren kombiniert werden.
Sie schützt vor verbreiteten Gefahren auf der Anwendungsebene, beispielsweise Angriffe mit SQL-Injection, Cross-Site-Scripting oder koordinierten Bot-Attacken.
Die meisten klassischen Firewalls beobachten und filtern den Netzwerkverkehr auf Ebene 3 und 4 des ISO/OSI-Schichtenmodells für den Internet-Datenverkehr. Eine WAF analysiert hingegen gezielt den Inhalt der obersten Ebene 7 (Anwendungsschicht). Beide Firewall-Vorgehensweisen ergänzen sich gegenseitig und finden jeweils andere Gefahren. Ein Netzwerk lässt sich also durch die Kombination unterschiedlicher Firewall-Typen viel besser schützen als mit nur einer Art von Firewall.
Wenn Unternehmen mit Web-Applikationen, Kundenportalen oder webbasierten Bestellsystemen arbeiten oder beispielsweise Online-Shops betreiben, sollten sie diese Datenverkehre unbedingt gegen Hacking-Angriffe absichern. Ein WAF ist ein wichtiges Werkzeug hierfür.
Lesen Sie hier, wie Sie verlorene Dateien einfach und schnell aus einem Back-up wiederherstellen können. Erfahren Sie außerdem, wie Sie Back-ups sinnvoll und effizient automatisieren können.
Lesen Sie, was Cloud-Datenschutz bedeutet, welche rechtlichen Grundlagen für Ihr Unternehmen gelten und wo besondere Risiken liegen. So stellen Sie DSGVO-Konformität auch in der Datenwolke sicher.
Viele IT-Schwachstellen werden erst bei einem Vorfall sichtbar. Hier lesen Sie, welche Pentest-Tools 2026 in der Praxis überzeugen und wie Sie Sicherheitsprüfungen strukturiert durchführen.
Advanced Persistent Threats (APTs) sind eine besonders gefährliche Form des Cyberangriffs, bei dem sich Kriminelle unbemerkt in Unternehmensnetze schleichen. Lesen Sie, wie Sie sie stoppen können.
Erfolgreiches Phishing kann große Schäden verursachen. Hier erfahren Sie anhand konkreter Phishing-Beispiele, wie Sie Betrugsversuche frühzeitig erkennen und Kompromittierungen vermeiden.
Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.
