Langfristiger Erfolg beginnt bei Ihren Entwicklern

Weitere Informationen
Unternehmen Das Team hinter besseren Onlineerlebnissen POP-Standorte Eine neue Architektur für das moderne Internet Branchenanalysten Erfahren Sie, was Branchenanalysten über Fastly sagen News Aktuelle Updates und Ankündigungen Plattform Die Plattform hinter besseren, schnelleren und sichereren digitalen Erlebnissen Kundenfallstudien Erfolgsgeschichten der besten Seiten des Webs Events Treffen Sie uns persönlich Karriere Entwickeln Sie mit uns ein besseres Internet

Die Fastly Edge-Cloud-Plattform

Alle Produkte ansehen
Content Delivery (CDN) Liefern Sie schnelle, personalisierte Erlebnisse – weltweit Livestreaming Bieten Sie nahtlose Livestreaming-Erlebnisse Videostreaming (VoD) Bieten Sie außergewöhnliche On-demand-Videoerlebnisse Media Shield Optimieren Sie Ihre Multi-CDN-Bereitstellung On-the-Fly Packager Dynamisches Packen von On-demand-Videos in Echtzeit Image Optimizer Schnelle Bildverarbeitung auf der Edge Loadbalancer Granulare Kontrolle über Routing-Entscheidungen TLS-Verschlüsselung Vereinfachte TLS-Verwaltung Origin Connect Ihre direkte Verbindung zu Fastly IP-Adressen Einfache Verwaltung von IP-Adressen HTTP/3 und QUIC Moderne Protokolle Domain Research API Sofortige, genaue Entdeckung von Domainnamen Object Storage Get direct access to large files at the edge with zero egress fees
Next-Gen WAF Moderne Web-App- und API-Sicherheit, in jeder Umgebung Bot-Management Erkennung und Abwehr von Bot-Angriffen DDoS-Schutz Automatische Abwehr disruptiver verteilter Angriffe API-Sicherheit Sichern Sie Ihre API-Endpoints ab Client-seitiger Schutz Schutz vor Client-seitigen Angriffen AI-Bot-Management Verhindern Sie, dass KI-Bots Website-Inhalte scrapen
Edge Computing Lagern Sie Ihre Apps auf die Edge aus – mit unserer sofort einsetzbaren Plattform erstellen Sie sensationelle Nutzererlebnisse. Key Value Store Der schnellste Key Value Store auf dem Markt ist so einfach zu bedienen wie die Datenbank-Tools, die Sie bereits kennen WebSockets und Fanout Globales Echtzeit-Messaging, das vollständig personalisierbar und einfach einzurichten ist Developer SDKs Programmieren Sie über die gleichen Services, die wir auch für die Erstellung von Fastly Produkten verwenden Enterprise Serverless Die leistungsstärkste serverlose Plattform, die auf offenen Standards basiert und in die gesamte Fastly-Produktpalette integriert ist KI Beschleunigen Sie Ihre KI-Workloads und verbessern Sie die Effizienz mit semantischem Caching. Object Storage Get direct access to large files at the edge with zero egress fees Programmierbarer Cache Erhalten Sie vollständigen programmatischen Zugriff auf das legendäre Caching, das unser CDN antreibt. MCP Server KI-gestützte Kontrolle für Ihre Fastly Services.
Echtzeit-Logging Log-Streaming und Analyse in Echtzeit Edge Observer Entdecken Sie Live- und historische Traffic-Daten Domain Inspector Erhalten Sie Einblicke auf Domain-Ebene Origin Inspector Erhalten Sie umfassende Einblicke vom Origin-Server bis auf die Edge Benachrichtigungen Erstellen Sie Benachrichtigungen für servicebezogene Metriken Log Explorer & Insights Interagieren Sie mit praktischen Einblicken

Überragende Services für überzeugende Ergebnisse

Alle Services ansehen
Professional Services Professionelle Unterstützung bei der Migration oder Optimierung Ihres Auslieferungsservice Live Entertainment Services Livestreaming-Erlebnisse, die sich der Publikumsgröße anpassen Support-Pläne Erstklassiger Support von A–Z Managed CDN Maximale Kontrolle und Flexibilität Managed Security Kompetenter Schutz für Webanwendungen Kunden-Support Fastly-Support: Gemeinsam wächst sich’s besser

Innovative Lösungen für digitale Anwendungen

Alle Lösungen ansehen
Medien-Streaming Sorgen Sie für erstklassige Streaming-Erlebnisse – live und auf Abruf Neue Medien Mehr Performance für neue Medienmarken Digitales Publishing Echtzeitjournalismus mit besseren Lesererlebnissen Einzelhandel & E-Commerce Schnelle, personalisierte und skalierbare Kundenerlebnisse Finanzdienstleistungen Integrierte Sicherheit zum Schutz von Kundendaten Hightech Sofortige Skalierbarkeit zur Unterstützung Ihres Geschäftswachstums Reise- und Gastgewerbe Maßgeschneiderte Onlineerlebnisse für Gäste und Besucher E-Learning Bieten Sie sichere, skalierbare Lernerlebnisse Gaming Fördern Sie den nächsten Sieg Ihrer Player mit ultraschnellen, sicheren Spiele-Downloads iGaming Liefern Sie schnelles, sicheres, unterbrechungsfreies und packendes Gameplay auf der Edge aus
Infrastruktureinsparungen Niedrigere, besser kalkulierbare Cloud-Kosten Multi-Cloud-Optimierung Sorgen Sie für weniger Komplexität und konsolidieren Sie Cloud-Ressourcen Kundenvertrauen Erfahren Sie mehr über die Initiativen zum Thema Kundenvertrauen von Fastly Datenschutz So schützen Sie die Daten Ihrer Nutzer Sustainability Dashboard Sehen Sie Ihren Stromverbrauch und Ihre Treibhausgasemissionen für die Fastly-Plattform

Wir geben Entwicklern die Zügel für die Entwicklung herausragender Erlebnisse in die Hand

Fastly kostenlos testen
Entwickler Entwickeln Sie Großartiges Fast Forward Wir schaffen ein vertrauenswürdigeres Internet Entwicklertools Hochmoderne Entwicklertools für gemeinschaftliches Arbeiten Developer SDKs Programmieren Sie über die gleichen Services, die wir auch für die Erstellung von Fastly Produkten verwenden Community Tauschen Sie sich mit Entwicklern aus aller Welt aus Registrieren Kostenlosen Entwickler-Account erstellen

Entwickeln Sie mit uns ein schnelles, sicheres und ansprechendes Internet

Gründe für eine Partnerschaft mit Fastly Helfen Sie bei der Bereitstellung sicherer, schneller und packender Erlebnisse Cloud-Partner Entdecken Sie die Vorteile einer Zusammenarbeit zwischen Fastly und Ihren Cloud-Services Channel-Partner Verbessern Sie Ihr Produktangebot und Ihre Fertigkeiten mit Fastly-Produkten Technologie- und Integrationspartner Entdecken Sie unser Partnerökosystem
Login zum Partner Portal Erhalten Sie Zugriff auf alle Fastly-Partnerressourcen Partner werden Steigern Sie Ihre Umsatzchancen als Reseller oder durch Empfehlung von Fastly-Produkten Partner finden Holen Sie sich Unterstützung bei der Suche nach dem richtigen Partner

Hilfe von Fastly

Dokumentation Holen Sie mehr aus Fastly heraus Ressourcen-Bibliothek Entdecken Sie unsere Datenblätter, Berichte und mehr. Fastly Academy Praxisbezogenes Lernen mit Fastly-Produkten Learning Center Erfahren Sie mehr zum Thema Internet-Technologie Blog Unsere neuesten Gedanken und Ideen Sicherheitsuntersuchungen Mehr Sicherheit durch Untersuchungen Die Perspektive von Fastly Entdecken Sie Experten- und Branchen-Einblicke
Support-Center Wie können wir Ihnen helfen? Kontakt aufnehmen Sprechen Sie mit uns
Zurück zum Learning Center

Was ist eine App-Schwachstelle?

Eine App-Schwachstelle ist eine Schwäche oder ein Fehler im Design oder Code einer App. Diese Schwachstelle kann von Angreifern ausgenutzt werden, um Zugriff auf die Anwendung zu erlangen oder deren Sicherheit zu gefährden. 

Wie entstehen Sicherheitslücken in Anwendungen? 

App-Schwachstellen können aus verschiedenen Gründen auftreten. Die häufigsten Ursachen für eine App-Schwachstelle sind: 

  1. Ungepatchte Software: Oft gelingt es Organisationen nicht, bekannte Software- oder Hardwareschwachstellen zu beheben. Manchmal führen Ressourcenengpässe dazu, dass Organisationen entweder zu lange brauchen oder die Behebung von Sicherheitslücken gar nicht priorisieren. Organisationen, die Software oder Hardware von einem Drittanbieter erwerben, werden entweder zu lange brauchen oder die vom Anbieter veröffentlichten Patches (bekannte Fixes) nicht implementieren. Werden Sicherheitslücken nicht rechtzeitig behoben, bleibt ein einfacher Zugangspunkt zu Anwendungen und Systemen bestehen, wodurch Angreifer unbefugten Zugriff erlangen, Daten stehlen oder den Betrieb gefährden können. 

  2. Schlechte Sicherheitspraktiken:  Unzureichende Sicherheitspraktiken, Tools und Ressourcen sind häufige Ursachen für Anwendungsschwachstellen. Aus Sicht der Ressourcen bergen Organisationen mit zu wenigen Sicherheitsexperten oder ungeschultem Personal, das nicht in der Lage ist, Sicherheitslücken effektiv zu identifizieren und zu beheben, das Risiko unbekannter oder ungepatchter Sicherheitslücken. Schlechte Tools oder Testverfahren im Bereich der Anwendungssicherheit (AppSec) können ebenfalls eine Lücke im Sicherheitsprogramm einer Organisation hinterlassen. Selbst Unternehmen, die über Ressourcen und Werkzeuge verfügen, benötigen immer noch ein robustes Sicherheitsprogramm (einen Plan, Richtlinien, Verantwortlichkeiten und eine Strategie), um Sicherheitslücken und Risiken effektiv zu minimieren. 

  3. Codierungsfehler. Oft werden versehentliche Fehler während des Lebenszyklus der Softwareentwicklung (SDLC) gemacht. Entwickler können Fehler machen oder unwissentlich Software so entwickeln, dass sie für Angriffe anfällig ist. Die Verwendung von Code von Drittanbietern oder Open-Source-Code ohne ausreichende Tests kann ebenfalls zu Sicherheitslücken in der Anwendung führen. Unternehmen, die es versäumen, AppSec-Tools und -Verfahren während des gesamten Lebenszyklus der Softwareentwicklung (SDLC) einzusetzen, laufen Gefahr, dass unsichere Software durch die Maschen schlüpft. AppSec-Tools, die Code scannen, während er geschrieben wird, und ein Sicherheitsbewusstsein als Teil der Unternehmenskultur können helfen, dieses Risiko zu minimieren. 

Top 10 Beispiele für Anwendungsschwachstellen


Es gibt viele verschiedene Arten von App-Schwachstellen. Um Sicherheitsteams dabei zu helfen, diejenigen Schwachstellen zu priorisieren, die am häufigsten auftreten und bei unzureichender Behebung die größten Bedenken hervorrufen, wurde das Open Web Application Security Project (OWASP) ins Leben gerufen, eine gemeinnützige Organisation mit dem Ziel, die Softwaresicherheit zu verbessern. OWASP hat eine Liste mit dem Titel „OWASP Top 10“ erstellt, in der die zehn wichtigsten Sicherheitslücken beschrieben werden, die Organisationen berücksichtigen sollten, sowie Maßnahmen zu deren Behebung. 

Zu den Mitgliedern der OWASP Top 10-Liste gehören:

  1. Mangelhafte Zugriffskontrolle: Die Zugriffskontrolle setzt Richtlinien so durch, dass Nutzer nicht außerhalb ihrer beabsichtigten Berechtigungen handeln können. Fehler führen in der Regel zur unbefugten Offenlegung, Änderung oder Zerstörung aller Daten oder zur Durchführung einer Geschäftsfunktion außerhalb der Nutzerlimits.

  2. Kryptografische Fehler: Wenn der Verschlüsselungsprozess, der zum Schutz von Daten dienen soll, entweder gar nicht verwendet, falsch implementiert oder auf schwachen Algorithmen oder Konfigurationen basiert, was zur Offenlegung oder Kompromittierung sensibler Informationen führt.

  3. Injektion: Wenn schädliche Daten in eine Anwendung eingefügt werden, um deren Verhalten zu verändern oder unbefugten Zugriff zu erhalten. 

  4. Unsicheres Design; Risiken im Zusammenhang mit Design- und Architekturfehlern. Erfordert die Verwendung von Bedrohungsmodellierung, sicheren Designmustern und Referenzarchitekturen zur Lösung. 

  5. Fehlkonfiguration: Alle fehlerhaften oder suboptimalen Einstellungen an einem System oder einer Anwendung, die zu Sicherheitslücken führen können.

  6. Anfällige und veraltete Komponenten: Schwachstellen in bestehenden und veralteten Komponenten Ihrer Systeme. Wenn Sie die Versionen aller verwendeten Komponenten (sowohl clientseitige als auch serverseitige) nicht kennen – das schließt Komponenten ein, die Sie direkt verwenden, sowie verschachtelte Abhängigkeiten – setzen Sie sich selbst einem Risiko aus. Wenn die Software anfällig, nicht unterstützt oder veraltet ist, muss sie identifiziert und behoben werden.

  7.  Identifikations- und Authentifizierungsfehler: Sicherheitslücken in der Anwendung im Zusammenhang mit der Identifizierung und Überprüfung von Nutzern. Diese Fehler können zu unbefugtem Zugriff, Datenpannen und mehr führen.

  8. Software- und Datenintegritätsfehler: Diese Fehler treten auf, wenn Organisationen Annahmen in Bezug auf Software-Updates, kritische Daten und CI/CD-Pipelines treffen, ohne die Datenintegrität zu überprüfen.

  9. Sicherheits-Logging und Überwachungsfehler: Wenn Systeme sicherheitsrelevante Ereignisse nicht ausreichend protokollieren und überwachen, sodass nicht genügend Daten zur Identifizierung und Reaktion auf Bedrohungen bereitgestellt werden. 

  10. Serverseitige Anfragefälschung (SSRF): SSRF-Fehler treten auf, wann immer eine Webanwendung eine entfernte Ressource abruft, ohne die vom Nutzer angegebene URL zu validieren. So können Angreifer die Anwendung dazu zwingen, eine manipulierte Anfrage an ein unerwartetes Ziel zu senden, selbst wenn sie durch eine Firewall, ein VPN oder sonstige Zugriffskontrollliste geschützt ist.

Welche Auswirkungen haben Anwendungsschwachstellen

Wenn Böswillige App-Schwachstellen erfolgreich ausnutzen, können die Folgen verheerend sein; von finanziellen Verlusten über Reputationsschäden bis hin zu rechtlichen Konsequenzen ist ein robustes Sicherheitsprogramm entscheidend. 

Zu den gravierenden Folgen ungepatchter Anwendungssicherheitslücken gehören:

  1. Denial of Service: Böswillige Akteure können möglicherweise die Funktion einer App effektiv „abschalten“ oder stören, was zu einem Denial of Service für Nutzer führt (die App wird für Nutzer nicht verfügbar). 

  2. Datensicherheitsverletzungen: Eine erfolgreiche Ausnutzung einer Anwendungsschwachstelle kann zu einer Datensicherheitsverletzung führen, bei der Bösewichte Zugang zu sensiblen Informationen erhalten und diese entweder stehlen oder kompromittieren. 

  3. Systemausfälle: Angreifer können Systeme häufig lahmlegen, wodurch diese nicht mehr funktionsfähig sind und somit den Geschäftsbetrieb beeinträchtigen. 

  4. Malware: Wenn Angreifer auf ein System oder eine Anwendung zugreifen, können sie bösartige Software in das System einschleusen. Dies kann eine ganze Reihe negativer Auswirkungen auf die Anwendung und das gesamte Unternehmen haben. 

Welche Best Practices gibt es, um App-Schwachstellen zu vermeiden?

Es gibt keine schnelle Lösung zur Vermeidung und Behebung von App-Schwachstellen in Ihrem Unternehmen. Der beste Ansatz besteht darin, Folgendes umzusetzen:

  1. Eine umfassende Suite von AppSec-Test- und Tool-Lösungen zur Behebung verschiedener Arten von Schwachstellen sowie ein mehrschichtiger Sicherheitsansatz. Grundlegende Überlegungen zu Sicherheitstools sollten Folgendes umfassen: 

    1. SAST (Static Application Security Testing): Analysiert den Quellcode einer Anwendung, um Schwachstellen und Compliance-Probleme während der Entwicklung zu identifizieren. 

    2. DAST (Dynamischer Anwendungssicherheitstest): Simuliert Angriffe auf eine laufende Anwendung, um Schwachstellen zu identifizieren. Er identifiziert Laufzeitprobleme (solche, die auftreten, während das System läuft). 

    3. IAST (Interaktives App-Sicherheitstestverfahren): Kombiniert SAST- und DAST-Techniken, um die Sicherheit einer App in Echtzeit zu analysieren. 

    4. RASP (Runtime Application Self-Protection): Überwacht und schützt Anwendungen zur Laufzeit vor Angriffen. 

    5. SCA (Software Composition Analysis): Scannt die Abhängigkeiten einer Anwendung auf Schwachstellen in Drittanbieter-Bibliotheken. Dies informiert Sie darüber, ob die Anwendung unsicheren Code von einem Anbieter oder aus einem Open-Source-Repository enthält, und ob es Lizenzprobleme gibt. 

    6. CNAPP (Cloud-native Application Protection Plattform): Bietet Sicherheit für Anwendungen, die in Cloud-Umgebungen laufen. 

    7. Webanwendungssicherheitstests (WAST): Der Fokus liegt speziell auf der Sicherheit von Webanwendungen. 

    8. Mobile Application Security Testing (MAST): Konzentriert sich auf die Sicherheit mobiler Anwendungen. 

    9. Überprüfung der Datenbanksicherheit: Identifiziert Sicherheitslücken und Fehlkonfigurationen in Datenbanksystemen. 

    10. Web Application Firewalls (WAF): Schützen Webanwendungen vor bösartigem Traffic. 

    11. Cloud Security Posture Management (CSPM): Hilft Organisationen bei der Bewertung und Verbesserung ihrer Cloud-Sicherheitslage. 

  2. Eine Sicherheitskultur als Denkweise: Jeder sollte Verantwortung für die Sicherheit übernehmen. Von Entwicklern, die sicherstellen, dass sie keinen unsicheren Code ausliefern, bis hin zu Entwicklungs- und Sicherheitsteams, die alle notwendigen Sicherheitsmaßnahmen ergreifen. 

  3. Übernehmen Sie die DevSecOps-Strategie: Im Wesentlichen beinhaltet DevSecOps die Verlagerung von Sicherheitstests und Aktivitäten während des gesamten Entwicklungszyklus, frühes und häufiges Testen oder das „Sicherheit nach links verschieben“, das bei der Softwareentwicklung von Anfang bis Ende berücksichtigt wird. Die Tools sollten zudem automatisiert und reibungslos ablaufen, sich in bestehende Workflows einfügen und keinen großen manuellen Anpassungs- oder Verwaltungsaufwand erfordern. 

  4. Ständige Iteration und Verbesserungen: Organisationen sollten daran arbeiten, Schwachstellenbewertungen oder Gesamtbewertungen des Sicherheitsprogramms durchzuführen, um Verbesserungsbereiche zu ermitteln. 

Ihre Vorteile mit Fastly

Es gibt kein Allheilmittel, um Ihre Webanwendung vor den Bedrohungen in der OWASP Top 10 zu schützen. Sie müssen sicherstellen, dass die Sicherheit im Code, in der Infrastrukturkonfiguration und in den von Ihnen verwendeten Drittanbieterkomponenten berücksichtigt wird.

Nichtsdestotrotz kann eine Webanwendungs-Firewall die Absicherung Ihrer Webanwendung erheblich erleichtern. Die OWASP-Definition einer WAF

 beschreibt die gängigen Anwendungsfälle zur Abwehr von Angriffen wie XSS und SQL-Injektionen.

Wie genau kann eine WAF in solchen Fällen helfen? Richtig konfigurierte WAFs können potenziell bösartige Anfragen erkennen und blockieren. Durch die Verwendung einer Kombination aus Standarderkennungen und individuell anpassbaren Funktionen in Lösungen wie 

Fastlys Next-Gen WAF und mit den Fähigkeiten unserer Edge-Cloud-Plattform können Sie eine starke Abdeckung der OWASP Top 10 erhalten. 

Eine detailliertere Anleitung und Beispiele aus der Praxis zur Lösung von Open Web Application Security Project-Bedrohungen mit Fastly finden Sie in unserem Whitepaper.

Check out Fastly’s Security Offerings

Weitere Informationen

Sind Sie bereit, loszulegen?

Treten Sie noch heute mit uns in Kontakt
Experten kontaktieren