Web Application Firewall
Sicherheitslösung, die HTTP-Verkehr zu Webanwendungen analysiert und Angriffe wie SQL-Injection, XSS und Bot-Zugriffe filtert.
Eine Web Application Firewall (WAF) ist ein Sicherheitssystem, das speziell den HTTP- und HTTPS-Verkehr zu Webanwendungen überwacht, filtert und schädliche Anfragen blockiert. Während eine klassische Firewall auf Netzwerkebene operiert und Ports sowie IP-Adressen kontrolliert, arbeitet eine WAF auf der Anwendungsschicht (Layer 7) und versteht die Semantik von HTTP-Anfragen. Sie erkennt Angriffsmuster wie SQL-Injection, Cross-Site Scripting, File Inclusion und andere OWASP-Top-10-Schwachstellen — noch bevor diese die eigentliche Anwendung erreichen.
Funktionsweise
Eine WAF positioniert sich als Reverse Proxy zwischen Client und Webserver. Jede eingehende HTTP-Anfrage wird gegen ein Regelwerk geprüft, bevor sie an die Anwendung weitergeleitet wird. Dieses Regelwerk basiert typischerweise auf zwei Ansätzen: Negative Security (Blocklist) definiert bekannte Angriffsmuster und blockiert Anfragen, die diese enthalten — etwa typische SQLi-Payloads wie ' OR 1=1 -- oder XSS-Vektoren mit <script>-Tags. Positive Security (Allowlist) definiert umgekehrt, welche Anfragen erlaubt sind, und blockiert alles andere. In der Praxis kombinieren moderne WAFs beide Ansätze und ergänzen sie um Machine-Learning-basierte Anomalieerkennung.
Betriebsmodelle
| Modell | Bereitstellung | Verwaltung | Typische Anbieter |
|---|---|---|---|
| Cloud-WAF | CDN/Proxy-basiert | Managed oder Self-Service | Cloudflare, AWS WAF, Azure Front Door |
| Appliance | On-Premises, Hardware/VM | Eigenbetrieb | F5 BIG-IP, Fortinet FortiWeb |
| Host-basiert | Direkt auf dem Webserver | Eigenbetrieb | ModSecurity, NAXSI |
| Container-nativ | Kubernetes Ingress | DevOps-Team | NGINX App Protect, Wallarm |
Cloud-WAFs haben die Einstiegshürde für KMUs erheblich gesenkt: Sie erfordern keine eigene Hardware, skalieren automatisch und bieten in der Regel vorkonfigurierte Regelsets, die gängige Angriffsmuster abdecken. On-Premises-Appliances bieten dafür mehr Kontrolle über Regelwerke und Datenverarbeitung — ein relevanter Aspekt für Unternehmen mit strengen DSGVO-Anforderungen an Datenverarbeitung.
WAF-Regelwerke und OWASP CRS
Das OWASP Core Rule Set (CRS) ist das am weitesten verbreitete Open-Source-Regelwerk für WAFs. Es bietet Schutz gegen die häufigsten Angriffskategorien und wird regelmäßig aktualisiert. Wir finden in Assessments allerdings häufig, dass WAFs mit Standard-Regelwerken betrieben werden, ohne diese an die spezifische Anwendung anzupassen. Das führt entweder zu False Positives — legitime Anfragen werden blockiert — oder zu Lücken, weil anwendungsspezifische Angriffsvektoren nicht abgedeckt sind. Ein iteratives Tuning der Regeln im Monitoring-Modus vor der Aktivierung im Blocking-Modus ist deshalb entscheidend.
Grenzen einer WAF
Eine WAF ist eine wichtige Schutzschicht, aber kein Ersatz für sichere Softwareentwicklung. Sie kann bekannte Angriffsmuster erkennen und blockieren, schützt aber nicht zuverlässig vor Zero-Day-Angriffen auf Anwendungslogik, Business-Logic-Schwachstellen oder Authentifizierungsfehler. Erfahrene Angreifer können WAF-Regeln durch Encoding-Variationen, Kommentare oder fragmentierte Payloads umgehen. In der Praxis empfiehlt sich deshalb ein mehrschichtiger Ansatz: Sichere Entwicklungspraktiken (Prepared Statements, Output Encoding) als Fundament, ergänzt durch eine WAF als zusätzliche Schutzebene und regelmäßige Penetrationstests zur Validierung.
WAF und API-Schutz
Moderne Webanwendungen bestehen zunehmend aus API-Backends (REST, GraphQL), die über Single-Page Applications oder mobile Apps angesprochen werden. Klassische WAF-Regeln, die auf HTML-basierte Formulare ausgelegt sind, greifen hier oft zu kurz. API-fähige WAFs analysieren JSON- und XML-Payloads, validieren API-Schemas und erkennen Anomalien in API-Aufrufmustern. Die Integration mit OpenAPI-Spezifikationen ermöglicht dabei ein Positive-Security-Modell, bei dem nur dokumentierte API-Endpunkte und Parameter zugelassen werden.
Relevanz für KMUs
Für mittelständische Unternehmen, die Webshops, Kundenportale oder SaaS-Anwendungen betreiben, ist eine WAF eine der zugänglichsten Schutzmaßnahmen gegen Webangriffe. Cloud-basierte WAFs lassen sich oft innerhalb von Stunden aktivieren und bieten sofortigen Grundschutz. Entscheidend ist jedoch das Tuning: Eine WAF im reinen Standardmodus liefert nur einen Bruchteil ihres Potenzials. Regelmäßige Überprüfung der Regelwerke, Analyse blockierter Anfragen und Anpassung an die eigene Anwendung unterscheiden eine wirksame WAF von einer reinen Compliance-Checkbox. In Kombination mit regelmäßigen Schwachstellenprüfungen entsteht ein robuster Schutz für webbasierte Geschäftsprozesse.