Leserbriefe Mai 2022

Wunderbare Arbeit, danke dafür

(Azure AD: Grundlagen von Azure Active Directory und Azure-Diensten; iX 4/2022, S. 44)

Ich kann nicht glauben, dass Unternehmen sich freiwillig in diese Azure-Jauchegrube begeben. Der Glaube, dass mit diesem Cloud-Produkt und der nicht stattfindenden Ausbildung von Personal viel Geld gespart werden kann, ist irreführend. Aber es ist wie immer im Leben: Geld frisst Hirn.

Ich danke dem Autor für seine ausführliche Darstellung; ich werde den Beitrag nicht nur einmal lesen müssen, um die Tragweite und die Lehren daraus zu ziehen. Nun wird mir deutlich, wie es gelang, bei SolarWinds in 2020 einzusteigen – und diese Spezies hat es ebenso nicht kommen sehen.

Ralf Hartmann, Erfurt

Wie nützlich ist eine WAF?

(Anwendungssicherheit: Drei freie Web-Application-Firewalls im Vergleich; iX 4/2022, S. 70)

So eine Web-Application-Firewall (WAF) untersucht die eingehenden Requests und verwirft die, die irgendwelche Regeln verletzen. Und bei den Regeln ist es immer so eine Sache: Macht man sie sehr locker, lässt man auch Angriffe durch. Macht man sie sehr strikt, kommen legitime Requests nicht mehr durch – zum Beispiel, wenn der WAF-Ingenieur meint, Requests mit vielen Megabytes an Daten seien ein Überlastungsangriff, aber ab und zu werden auch große Dateien hochgeladen (was natürlich beim Testen nicht auffällt).

Stimmt man die Regeln exakt auf das ab, was die Applikation zulässt, spezifiziert man die erlaubten Requests auf zwei Ebenen: In der Applikation selbst, die halt manche Request verarbeitet und andere nicht, und in der Web-Application-Firewall. Man muss also zwei redundante Regelsätze ständig konsistent halten.

Versucht man, diese Redundanz zu eliminieren, kann man die Limits auch gleich im Applikationscode unterbringen und braucht keine Web-Application-Firewall. Das heißt, eine WAF ist nur dann sinnvoll, wenn die Applikation ihre eingehenden Requests nicht sauber prüft – und dann dupliziert man die Prüfungen, die die Applikation machten müsste, teuer und aufwendig in der WAF.

Klingt mir selbst unter diesen Umständen nicht sehr sinnvoll. Übersehe ich da ein relevantes Szenario? Generell sehe ich ein bisschen den Trend, mit der WAF ein Pflaster auf die Versäumnisse in der Applikationsentwicklung zu kleben.

Joachim Durchholz, Biel/Bienne

Ergänzungen und Berichtigungen

Compliance: Drei Säulen für Compliance; iX 4/2022, S. 126

Anders als im Artikel angegeben, erscheint die Ausgabe 6/2022 mit dem iX extra zum Thema Storage: Storage-Security/Backup nicht am 09.05., sondern am 19.05.2022. Alle weiteren Termine der Tabelle sind korrekt.

Die iX-Redaktion behält sich Kürzungen und auszugsweise Wiedergabe der Leserbriefe vor. Die abgedruckten Zuschriften geben ausschließlich die Meinung des Einsenders wieder, nicht die der Redaktion.