Wer eine scheinbar harmlose Webanwendung auf seiner Seite verfügbar macht denkt an vieles, aber mit Sicherheit nicht daran, dass er gerade auf seiner Homepage ein Einfallstor für Datendiebe geschaffen hat. Doch schon kleine technische Nachlässigkeiten können hier immense Datenlecks verursachen.

Als aktuelles Beispiel kann an dieser Stelle der Fall von 1&1 exemplarisch angeführt werden. So war es im Februar 2009 für Kunden des Unternehmens möglich auf die Verbindungsdaten anderer User zuzugreifen und sogar die URL der Rechnungs-ID nach belieben zu manipulieren.

Die Ursachen für solche Pannen können vielfältig sein, sind meist jedoch in einer fehlerhaften Programmierung der Web-Anwendung selbst, der Backend-Applikation oder im technischen Zusammenspiel der beiden zu finden. Findige Cyberkriminelle und Hacker können sich diese Fehler zu Nutze machen und mittels einer einfachen Browser-Abfrage eigentlich geschützte Daten einsehen und manipulieren.

Schutz vor derartigen Attacken können Maßnahmen zur Web Application Security (WAS) bieten. Doch sollte das Risiko nie unterschätzt werden. So warnt beispielsweise die Computing Technology Industry Association (Comptia) davor, dass sich Attacken auf die erwähnten Schwachstellen zum Alptraum für die IT-Sicherheit entwickeln könnten.