Drei Menschen sitzen vor einem Notebook und zeigen sich etwas auf dem Bildschirm.
Security

Web Application Firewalls (WAF) einfach erklärt

Eine Web Application Firewall (WAF) schützt Unternehmen vor Angriffen auf ihre Web-Anwendungen. Ohne eine WAF-Lösung könnten Cyberkriminelle über Schwachstellen in das gesamte Unternehmensnetzwerk eindringen. Erfahren Sie hier, was moderne WAFs alles können und warum Sie auch Ihre Web-Apps in die Sicherheitsstrategie mit einbeziehen müssen.

Unternehmen nutzen eine Vielzahl webbasierter Anwendungen, also interaktive Online-Dienste, die über den Browser abrufbar sind. Web-Apps sind sehr praktisch: Sie sind überall zugänglich und funktionieren plattformunabhängig auf vielen Geräten. Gleichzeitig sind Web-Anwendungen aber auch ein beliebtes Ziel von Hackern.

Ganz gleich, ob Sie als Unternehmen Ihre Webanwendungen nur im Intranet oder über öffentlich zugängliche Websites nutzen, sollten Sie den Webdatenverkehr kontinuierlich auf Bedrohungen überwachen. Web Application Firewalls wehren Internetbedrohungen ab und bieten in einigen Fällen auch KI, Automatisierung und Machine-Learning-Funktionen, um den sich ständig ändernden Angriffsmethoden noch effizienter zu begegnen.

Inhaltsverzeichnis

Was ist eine Web Application Firewall?

Eine Web Application Firewall (WAF) gehört zu den sogenannten Application Level Firewalls (ALF). WAFs analysieren, filtern und blockieren böswillige HTTP-Daten, bevor sie in eine Anwendung gelangen können. Zusätzlich zu HTML- und HTTPS-Paketen kann eine Webanwendungs-Firewall auch XML-, RPC- und SOAP-Daten analysieren.
Die grundlegende Funktion der WAFs besteht darin, Webangriffe wie SQL-Injection, Zero-Day-Exploits oder Cross-Site-Scripting (XSS) zu erkennen und zu blockieren. Um dies zu erreichen, agieren Web-App-Firewalls nicht wie herkömmliche Firewalls auf der Netzwerk- und Protokollebene, sondern direkt auf der Anwendungsebene (Level 7 im OSI-Modell, mehr dazu unten).
Dabei sind Web Application Firewalls ein ergänzender Schutzschild; Webmaster setzen sie in der Regel in Kombination mit herkömmlichen Firewalls ein.
Mit der zunehmenden Verbreitung von Bring Your Own Device (BYOD), Software-as-a-Service (Saas) und Public Cloud-Lösungen wächst die Notwendigkeit, im Unternehmen die Sicherheitsarchitekturen durch eine WAF zu erweitern.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät ausdrücklich zum Einsatz von Web Application Firewalls. Sie gelten als wirksame Lösung gegen den Verlust sensibler Daten, unbefugten Zugriff oder die Manipulation von Websites.
Während die ersten WAFs der 1990er und frühen 2000er Jahre teils Bedenken hinsichtlich ihrer Implementierung ausgelöst hatten, führte ihre technologische Weiterentwicklung zur breiten Akzeptanz. Frühere zustandslose (stateless) Web Application Firewalls nutzten zunächst nur statische Regeln zur Analyse von potenziellen Bedrohungen. Mit vielen erweiterten Funktionalitäten gehen die zustandslosen Webanwendungs-Firewallsder dritten Generation heute darüber weit hinaus, prüfen unterschiedlichste Verhaltensmetriken in minimaler Zeit und wehren selbst problematische und neue Angriffsmethoden wirksam ab.
Unkenntlicher Computerhacker tippt auf einem Smartphone

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehenden Unified Endpoint Management-Lösungen (UEM) und steuern somit den einfachen Roll-Out in Ihrer mobilen Flotte.

Diese Arten von WAFs gibt es

Es gibt drei Möglichkeiten, eine WAF-Architektur einzurichten: netzwerkbasiert, hostbasiert oder cloudbasiert. Je nach Art und Einsatz unterscheiden sie sich in ihrer Funktionalität, beim Implementierungsaufwand und der Verwaltung.
Vor der Auswahl einer Webanwendungs-Firewall sollten Sie ermitteln, welche spezifischen Anforderungen Ihr Unternehmen hat, welche Anwendungen geschützt werden sollen und wie sich die Firewall in Ihre bestehende Netzwerkarchitektur einfügt. Es gibt dabei drei grundlegende Arten von WAF:
  1. Netzwerkbasierte WAF: Die netzwerkbasierte Web Application Firewall ist normalerweise hardwarebasiert. Sie wird vor oder hinter dem Webserver in das Netzwerk eingebunden und punktet durch geringe Latenzzeiten. Jedoch sind eine hohe Bandbreite und performant ausgebaute Infrastruktur dafür erforderlich.
  2. Hostbasierte WAF: Die hostbasierte Webanwendungs-Firewall wird als Software oder Modul auf dem Webserver installiert, auf dem auch die Anwendungen gehostet werden. Sie ist flexibel, lässt sich einfach und kostengünstig anpassen, bringt aber oft längere Entwicklungszeiten und mehr Aufwand für die Wartung mit sich.
  3. Cloudbasierte WAF: Eine cloudbasierte WAF wird wie der Name schon sagt in einer Cloud gehostet. Betrieb, Aktualisierung und Wartung erfolgen über den Provider. Sie lässt sich mit nur wenigen Handgriffen implementieren und anpassen. Dies gewährleistet minimale Vorlaufzeiten, geringen internen Aufwand und eine ständige Aktualisierung. Allerdings geben Unternehmen bei dieser WAF-Lösung die Verantwortung größtenteils aus der Hand.
Ganz gleich, für welche Art WAF Sie sich entscheiden, alle drei oben genannten Varianten bieten eine durchgehende Überwachung und verringern bestehende Risiken deutlich. Damit vermeiden Sie ungeplante Ausfallzeiten, sichern die Markenreputation Ihres Unternehmens ab und gewährleisten, dass Führungskräfte und Mitarbeitende sich auf ihre wichtigen Aufgaben konzentrieren können. All dies kann sich positiv auf den Geschäftserfolg auswirken.
Als verwaltete Services bieten die cloudbasierten WAFs in der Regel einen besonders hohen Grad an Sicherheit für Webanwendungen, und die Kosten sind durch Abonnementmodelle gut kalkulierbar. Zu den bekannteren, cloudnativen Diensten für den Schutz von Web-Apps gehört beispielsweise die Azure Web Application Firewall von Microsoft.
Gut gelaunter Mann mit einem Headset vor einem Notebook.

Microsoft Azure: Back-up, SharePoint und Virtual Desktops

Sichern und archivieren Sie wertvolle Daten jetzt noch einfacher.

Mit Single-Sign-on für IT-Anwendungen und SharePoint-Integration stellen Sie Desktop-Anwendungen jetzt noch schneller bereit.

Und mit dem Azure Virtual Desktop konzentrieren Sie sich auf Strategie und Management – statt um die Verwaltung Ihrer Infrastruktur.

Wie funktionieren Web Application Firewalls?

Eine Web Application Firewall schützt Webanwendungen vor Angriffen über das Hypertext Transfer Protocol (HTTP). Sie ist darauf ausgelegt, den Datenverkehr zwischen Webanwendungen und dem Internet zu prüfen, zu filtern und gegebenenfalls zu blockieren.
In der Regel arbeiten Webapplikations-Firewalls benutzer-, sitzungs- und anwendungsorientiert. Um den Zugriff zu kontrollieren, nutzen WAFs Geolokationsdaten, Ausnahmelisten, schwarze Listen für IP-Adressen sowie HTTP und HTTP-Headerdaten.
Zu den Überprüfungsmethoden, die WAFs verwenden, um bösartigen Bot-Traffic zu erkennen, gehören beispielsweise JavaScript, ein vollständig automatisierter öffentlicher Turing-Test („Completely Automated Public Turing Test“, kurz CAPTCHA), der es ermöglicht Computer von Menschen zu unterscheiden, und Machine Learning Algorithmen. Darüber hinaus nutzen WAFs eine integrierte Threat Intelligence, die Informationen aus verschiedenen Quellen sammelt und die Regeln des Open Web Application Security Projects (OWASP) anwendet.
Ob Datenverkehr als bösartig oder sicher gilt, bestimmen die Web Application Firewalls auf Basis verschiedener Regeln (auch bezeichnet als „Richtlinien“ oder „Policies“). Die Richtlinien der WAF können auf die individuellen Anforderungen eines Unternehmens und seine Web-Applikationen zugeschnitten sein.
Unternehmen können eine WAF sowohl zum Schutz von Anwendungen, die in der Public Cloud, als auch On-Premises oder in Multi-Cloud-Umgebungen bereitgestellt sind, einsetzen.
So bildet eine Web-App-Firewall eine Schutzwand gegenüber unerwünschtem Traffic wie Bots, SQL-Injections und Denial-of-Service (DoS).
Person, die ein verschlossenes Vorhängeschloss hält, umgeben von Symbolen, die Sicherheit darstellen.
Angesichts aktueller Cyberbedrohungen müssen Unternehmen Web-Apps mit einer Web Application Firewall schützen.
Um gefährliche oder verbotene Aktionen zu identifizieren, kommt in den WAFs häufig in einer vorgeschalteten Lernphase ein Application Security Scanner zum Einsatz. Wie eine Art Crawler analysiert dieser – teils im Dialog mit den Benutzer:innen – die Anwendung, um dann daraus Profile für erlaubte Aktionen zu generieren.
Konkret funktioniert das so: Sind zum Beispiel für ein bestimmtes Formular auf einer Website oder in einem Online-Shop zwei Parameter festgelegt, kann die Web Application Firewall alle Anfragen blocken, die drei oder mehr Parameter enthalten. Sie kann auch die Länge einzelner Parameter prüfen. Die Spezifikation der Parameter ist dann Teil der allgemeinen Richtlinien der Firewall, zum Beispiel eine maximale Länge für bestimmte Eingaben. Die konkreten Vorgehensweisen sind von Anbieter zu Anbieter unterschiedlich.

Richtlinien schnell und flexibel anpassbar

Der Wert einer WAF ergibt sich auch daraus, wie schnell und einfach sich Richtlinienänderungen implementieren und verwalten lassen, denn es gibt Fälle, in denen eine schnelle Reaktion auf neue Angriffsvektoren nötig sein kann.
Damit die Web Application Firewall in der Lage ist, auch neuere Schwachstellen zu beheben ist es außerdem notwendig, die Richtlinien regelmäßig zu aktualisieren, denn die Bedrohungslanschaft wird immer komplexer und vielschichtiger. Je nach Art der WAF passiert die Aktualisierung bereits automatisch.
Hinsichtlich der Richtlinien lassen sich Webapplikations-Firewalls in Blocklist- und Allowlist-WAFs unterscheiden:
  • Blocklist-WAFs agieren auf Basis eines „negativen Sicherheitsmodells“ und schützen vor bereits bekannten Angriffen. Die Firewall erkennt die Attacken und wendet sie ab.
  • Allowlist-WAFs verfolgen ein „positives Sicherheitsmodell“. Sie lassen generell nur den im Vorfeld genehmigten Traffic durch, was jedoch mehr Leistung erfordert.
In der Praxis eignet sich für WAFs häufig ein hybrider Ansatz aus Blocklist und Allowlist; dies gewährleistet eine optimale Sicherheits-Performance.

Schutz auf der Anwendungsebene (Layer 7 des OSI-Modells)

Aus technischer Sicht besteht der Hauptunterschied zwischen WAFs und herkömmlichen Firewalls darin, dass Web Application Firewalls nicht auf der Netzwerk- und Transportebene (Layer 3 und 4 des OSI-Modells), sondern auf der Anwendungsebene (Layer 7) arbeiten. Die Schichten sind durch das Open Systems Interconnection (OSI)-Modell definiert, das die Kommunikationsfunktionen innerhalb von Telekommunikations- und Computersystemen beschreibt und standardisiert. 
Grafische Darstellung der übereinander angeordneten sieben Schichten des ISO/OSI-Schichtenmodells mit Geräte- und Funktionssymbolen an den einzelnen Schichtentypen.
In der Netzwerktechnik hat sich das OSI-Schichtenmodell etabliert, um komplexe Vorgänge innerhalb des Netzes aufzugliedern.
Microsoft Defender für Unternehmen

Microsoft Defender für Unternehmen

Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

  • Schutz vor Ransomware, Phishing und anderen Bedrohungen
  • Optimal für IT-Admins in kleinen und mittleren Unternehmen
  • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten

Weitere Merkmale von Web Application Firewalls

Zu den wichtigen Funktionen und Merkmalen von WAFs gehören außerdem:
  • Dynamisches Traffic-Routing: WAFs nutzen ein dynamisches Traffic-Routing über das Domain Name System (DNS) und verwenden Algorithmen, die die Latenzzeiten von Benutzer:innen von Tausenden von Standorten weltweit berücksichtigen und die Routen mit der geringsten Verzögerungszeit (Latenz) ermitteln.
  • Hochverfügbarkeit: WAF-Dienste bieten in der Regel in den Konfigurationseinstellungen die Möglichkeit, mehrere Ursprungsserver hinzuzufügen. Diese können einzelne Funktionen übernehmen, wenn ein Server nicht mehr korrekt reagiert oder offline ist.
  • Überwachung und Protokollierung: WAFs ermöglichen den Nutzer:innen den Zugriff auf Berichte über ihre Inhaltsbibliothek, um die Einhaltung von Regeln zu gewährleisten und Analysen durchzuführen.
  • Deeskalation: Die Informationen aus den WAFs ermöglichen es den Supportteams, Tickets nach Dringlichkeit auszustellen und bei Bedarf sofort an Entscheidungsträger auf höheren Hierarchieebenen weiterzuleiten.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Die Vorteile von Webanwendungs-Firewalls im Überblick

Da Cyberangriffe immer raffinierter werden, müssen sich Unternehmen und Organisationen so gut wie möglich schützen und ihre Kunden gegen böswillige Absichten verteidigen. Dies geschieht nicht zuletzt auch, um nicht gegen gesetzliche Vorgaben zu verstoßen oder wegen Unachtsamkeit belangt zu werden.
Neben dem Filtern und Blockieren von bösartigem Datenverkehr können Unternehmen ihre Web Application Firewall(s) auch dazu nutzen, laufende Angriffe zu beobachten. WAFs liefern Protokolle und versenden Warnungen, wenn Sie Aktivitäten ermitteln, die gegen vorher festgelegte Richtlinien verstoßen. So können Sicherheitsteams auch von einer WAF lernen und weitere Skills entwickeln, um sich gegen aktuelle Angriffsformen bestmöglich zu schützen.

Vorteile von WAF-Lösungen im Überblick

  • Zusätzliche Sicherheitsebene für Webanwendungen
  • Hinter der WAF können Sicherheitslücken für mehrere Anwendungen gleichzeitig geschlossen werden
  • Schutz für Anwendungen, für die es keine Updates mehr gibt (Altsysteme)
  • Schutz für anfällige Anwendungen von Drittanbietern
Es gibt auch einige Nachteile beim Einsatz von Web Application Firewalls. In der Regel überwiegen jedoch die Vorteile, weshalb Sicherheitsbehörden den Einsatz von WAFs empfehlen. Dennoch möchten wir hier der Vollständigkeit halber auch die möglichen Nachteile auflisten.

Mögliche Nachteile von WAF-Lösungen

  • Beeinträchtigung des Betriebs durch Fehlalarme bei zu restriktiv oder falsch konfigurierten Filtern
  • Eingeschränkte Unterstützung von Anwendungen, die aktive Inhalte auf der Client-Seite verwenden (z. B. JavaScript)
  • Konfigurationsaufwand
  • Teils nicht unerheblicher Ressourcenverbrauch, je nach Konfiguration
Person tippt auf einem Notebook. Darüber schwebt ein weißes Vorhängeschloss in einem Schild.
Webanwendungen sind Angriffsziel von Hackern und benötigen einen besonderen Cyber-Schutz

Vor welchen Gefahren schützen WAFs?

Eine Web Application Firewall schützt Web-Applikationen vor Datenklau, Kontenübernahme (Account-Hijacking), böswilliger Manipulation und Sabotage. Für viele Organisationen sind WAFs eine vertrauenswürdige Verteidigungslinie für ihre Anwendungen. Dies gilt nicht nur, aber vor allem zum Schutz vor den sogenannten „OWASP Top 10“, einer Grundliste der am häufigsten auftretenden Anwendungsschwachstellen. Die Non-Profit-Organisation Open Worldwide Application Security Project stellt diese regelmäßig zusammen und aktualisiert sie fortlaufend. Zu den wichtigsten zählen Authentifizierungsfehler, sicherheitsrelevante Fehlkonfigurationen und Einschleusungen.
Unternehmen können sich durch den Einsatz einer WAF unter anderem gegen folgende Angriffsmuster schützen:
  1. SQL-Injection: Bei einem SQL-Angriff werden SQL-Befehle oder solche, die SQL-Sonderzeichen enthalten, über ein Webformular an die Backend-SQL-Datenbank gesendet. Anschließend können unbefugter Nutzer:innen auf sensible Unternehmensdaten zugreifen, Datenbanken verändern, Verwaltungsvorgänge auslösen oder Schadcode einschleusen.
  2. Cross-Site-Scripting (XSS): Bei dieser Angriffsform bringen Cyberkriminelle durch das Ausnutzen von Sicherheitslücken schädlichen Code in Webanwendungen ein, um beispielsweise sensible Informationen wie Login-Daten zu stehlen. Besonders betroffen sind interaktive Webseiten und -anwendungen.
  3. Cross-Site Request Forgery: Angreifer senden betrügerische HTTP-Anfragen von Benutzer:innen, einschließlich der Sitzungs-Cookies ihres Opfers, an eine anfällige Webanwendung, um dort Daten des Opfers zu stehlen, das Konto zu kapern oder andere unerwünschte Aktionen auszuführen.
  4. Zero-Day Exploits: Bei Zero-Day Exploits nutzen Angreifer gezielt neu entdeckte Software-Schwachstellen wie Log4Shell oder Confluence OGNL umgehend für ihre Attacken aus. Angepasste WAF-Regeln bieten in dieser akuten Bedrohungslage sofortigen Schutz, bis Patches für die anfällige Software verfügbar und eingespielt sind.
  5. Pufferüberlauf-Angriffe (Buffer Overflow): Bei dieser weit verbreiteten Angriffsform nutzen Hacker Codierungsfehler aus, um Fragmente des Prozessspeichers einer Anwendung zu überschreiben. Der Weg dorthin läuft über das Senden von Daten, die zu lang sind, um im Pufferspeicher einer Anwendung gespeichert zu werden, was einen „Überlauf“ bewirkt.
Ein Mann im roten Shirt blickt lächelnd auf ein Tablet

Secure Access Gateway mit Zscaler

Unsere Security-as-a-Service-Funktion für umfassenden Schutz. Durch die Kombination der Sicherheitsfunktionen von Zscaler mit unseren sicheren Netzwerkdiensten ersetzen Sie herkömmliche Inbound- und Outbound-Gateways durch moderne, cloudbasierte Services.

  • Zscaler sichert als Web Security Gateway den Internetzugang über jede Verbindung.
  • Zscaler Private Access ermöglicht als Remote-Access-Lösung den Zugriff auf interne Applikationen On-Premises und in der Cloud.

Das Wichtigste zu Web Application Firewalls in Kürze

  • Eine Web Application Firewall (WAF) schützt Webanwendungen vor Angriffen aus dem Internet. Sie kommen meist als Ergänzung zu herkömmlichen Firewalls zum Einsatz.
  • Ohne eine WAF könnten Cyberkriminelle über Schwachstellen in Web-Applikationen auf das gesamte Unternehmensnetzwerk zugreifen und dort Schaden anrichten oder Daten stehlen.
  • Webapplikations-Firewalls setzen direkt auf der Anwendungsebene an. Auf der Basis analysieren, filtern und blockieren sie böswillige HTTP-Daten, bevor diese eine Anwendung oder Benutzer:innen erreichen können.
  • Es gibt netzwerkbasierte, hostbasierte und cloudbasierte WAFs.
  • Web Application Firewalls erkennen und verhindern zum Beispiel folgende Angriffsmuster: SQL-Injection, Cross-Site-Scripting (XSS), Cross-Site Request Forgery, Zero-Day Exploits, Pufferüberlauf-Angriffe (Buffer Overflow).
  • WAFs reduzieren die Risiken durch Cyberkriminalität deutlich, verringern ungeplante Ausfallzeiten, sichern die Reputation eines Unternehmens ab und sorgen dafür, dass sich Führungskräfte und Mitarbeitende auf ihre wichtigen Aufgaben konzentrieren können.
Das könnte Sie auch interessieren:
Security
Person mit schwarzem Kapuzenpullover sitzt vor einem Laptop. Darum sind rote runde Lichter an einer schwarzen Wand

Gehackt: Was tun im Fall der Fälle?

Hackingattacken sind eine permanente Bedrohung für jeden Computer und somit auch für Ihr Unternehmen. Kriminelle finden immer neue Wege, um über das Internet in Firmennetze einzudringen, Geschäftsdaten zu stehlen oder auf anderem Weg Schaden anzurichten. Hier erfahren Sie, wie Sie erkennen, ob auch Ihre Computer von einer Hackingattacke betroffen sind – und wie Sie Angriffe abwehren, bevor es zu spät ist. Über 200 Milliarden Euro verlieren deutsche Unternehmen nach einer Erhebung von Bitkom jährlich durch Diebstahl, Spionage und Sabotage. Laut Forrester Research waren im Jahr 2023 mit 58 Prozent mehr als die Hälfte der deutschen Unternehmen von Cyberattacken betroffen. Zunehmend führt Schadsoftware zu Ausfällen von Produktionssystemen und in Betriebsabläufen. Die Frage lautet längst nicht mehr, ob, sondern wann ein Unternehmen Opfer von Cyberkriminalität wird. Doch was tun, wenn Ihre Systeme tatsächlich gehackt wurden? Und wie können Sie sich und Ihr Unternehmen künftig gegen Schadsoftware schützen?

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort