Implementierungs-Framework für Websicherheit: Eine umfassende JavaScript-Schutzstrategie

In der heutigen vernetzten digitalen Landschaft sind Webanwendungen Hauptziele für böswillige Akteure. Da JavaScript eine Eckpfeiler-Technologie für die moderne Webentwicklung ist, wird es oft zum Mittelpunkt dieser Angriffe. Die Vernachlässigung der JavaScript-Sicherheit kann Ihre Benutzer und Ihr Unternehmen erheblichen Risiken aussetzen, darunter Datenschutzverletzungen, Identitätsdiebstahl und finanzielle Verluste. Dieser umfassende Leitfaden bietet ein robustes Framework zur Implementierung effektiver JavaScript-Schutzstrategien, das Ihnen hilft, sicherere und widerstandsfähigere Webanwendungen zu erstellen.

Die JavaScript-Sicherheitslandschaft verstehen

Bevor wir uns mit spezifischen Implementierungstechniken befassen, ist es entscheidend, die gängigen Schwachstellen zu verstehen, mit denen JavaScript-Anwendungen konfrontiert sind. Diese Schwachstellen entstehen oft durch unsachgemäße Behandlung von Benutzereingaben, unsichere Programmierpraktiken und das Fehlen robuster Sicherheitsmaßnahmen.

Gängige JavaScript-Schwachstellen

• Cross-Site-Scripting (XSS): Dies ist eine der häufigsten Websicherheitslücken. XSS-Angriffe treten auf, wenn bösartige Skripte in vertrauenswürdige Websites eingeschleust werden, was es Angreifern ermöglicht, Benutzeranmeldeinformationen zu stehlen, Websites zu verunstalten oder Benutzer auf bösartige Seiten umzuleiten. Es gibt verschiedene Arten von XSS-Angriffen, darunter:
• Gespeichertes XSS: Das bösartige Skript wird dauerhaft auf dem Zielserver gespeichert, beispielsweise in einer Datenbank oder einem Kommentarbereich. Wenn andere Benutzer die kompromittierte Seite aufrufen, wird das Skript ausgeführt.
• Reflektiertes XSS: Das bösartige Skript wird in die HTTP-Anfrage eingeschleust. Der Server reflektiert das Skript dann zurück an den Browser des Benutzers, der es ausführt.
• DOM-basiertes XSS: Die Schwachstelle besteht im clientseitigen JavaScript-Code selbst. Der Angreifer manipuliert das Document Object Model (DOM), um bösartige Skripte einzuschleusen.
• Cross-Site Request Forgery (CSRF): CSRF-Angriffe verleiten Benutzer dazu, unbeabsichtigte Aktionen auszuführen, wie z. B. das Ändern ihres Passworts oder das Überweisen von Geldern, ohne ihr Wissen. Dies geschieht, weil der Angreifer das Vertrauen ausnutzt, das eine Website in den Browser eines Benutzers hat.
• Code-Injection: Diese Schwachstelle tritt auf, wenn ein Angreifer beliebigen Code in die Anwendung einschleusen kann, was ihm ermöglicht, Befehle auf dem Server oder clientseitig auszuführen. Dies kann durch Schwachstellen wie SQL-Injection, Command-Injection und Template-Injection geschehen.
• Clickjacking: Clickjacking ist eine Technik, bei der ein Angreifer einen Benutzer dazu verleitet, auf etwas anderes zu klicken, als er wahrnimmt, oft indem eine transparente Ebene über einer legitimen Website platziert wird. Dies kann zum Stehlen von Anmeldeinformationen, zur Installation von Malware oder zu unbefugten Käufen verwendet werden.
• Denial-of-Service (DoS) & Distributed Denial-of-Service (DDoS): Obwohl dies nicht ausschließlich eine JavaScript-Schwachstelle ist, kann JavaScript verwendet werden, um DoS- und DDoS-Angriffe zu verstärken, indem eine große Anzahl von Anfragen an einen Zielserver gesendet wird.
• Unsichere Abhängigkeiten: Viele JavaScript-Anwendungen verlassen sich auf Bibliotheken und Frameworks von Drittanbietern. Wenn diese Abhängigkeiten Schwachstellen enthalten, ist auch die Anwendung anfällig.
• Datenlecks: JavaScript kann unbeabsichtigt sensible Daten wie API-Schlüssel, Passwörter oder persönliche Informationen durch unsichere Protokollierungs-, Fehlerbehandlungs- oder Speicherpraktiken preisgeben.

Ein robustes JavaScript-Schutz-Framework

Um Ihre JavaScript-Anwendungen effektiv zu schützen, benötigen Sie ein umfassendes Sicherheits-Framework, das alle Aspekte des Entwicklungslebenszyklus abdeckt. Dieses Framework sollte die folgenden Schlüsselkomponenten enthalten:

1. Sichere Programmierpraktiken

Die Grundlage jeder Sicherheitsstrategie sind sichere Programmierpraktiken. Dies beinhaltet das Schreiben von Code, der gegen gängige Schwachstellen resistent ist und etablierten Sicherheitsprinzipien folgt.

• Eingabevalidierung und -bereinigung: Validieren und bereinigen Sie Benutzereingaben immer sowohl client- als auch serverseitig. Dies verhindert, dass Angreifer bösartigen Code einschleusen oder das Verhalten der Anwendung manipulieren.
• Ausgabe-Kodierung: Kodieren Sie die Ausgabe, bevor Sie sie dem Benutzer anzeigen. Dadurch wird sichergestellt, dass potenziell bösartige Zeichen ordnungsgemäß maskiert werden, was XSS-Angriffe verhindert.
• Prinzip der geringsten Rechte (Principle of Least Privilege): Gewähren Sie Benutzern und Prozessen nur die minimalen Berechtigungen, die zur Erfüllung ihrer Aufgaben erforderlich sind. Dies begrenzt den potenziellen Schaden, den ein Angreifer verursachen kann, wenn er Zugang zum System erhält.
• Sichere Konfiguration: Konfigurieren Sie Ihre Anwendung und Ihren Server sicher. Dazu gehört das Deaktivieren unnötiger Funktionen, das Festlegen starker Passwörter und das Aktualisieren der Software.
• Fehlerbehandlung: Implementieren Sie robuste Fehlerbehandlungsmechanismen. Vermeiden Sie die Anzeige sensibler Informationen in Fehlermeldungen. Protokollieren Sie Fehler sicher zu Debugging-Zwecken.
• Code-Reviews: Führen Sie regelmäßige Code-Reviews durch, um potenzielle Schwachstellen zu identifizieren und sicherzustellen, dass der Code den Best Practices für Sicherheit entspricht.

Beispiel: Eingabevalidierung

Stellen Sie sich ein Formular vor, in das Benutzer ihre Namen eingeben können. Ohne ordnungsgemäße Validierung könnte ein Angreifer anstelle seines Namens ein bösartiges Skript eingeben, was möglicherweise zu einem XSS-Angriff führt.

Unsicherer Code (Beispiel):

            
let userName = document.getElementById('name').value;
document.getElementById('greeting').innerHTML = 'Hello, ' + userName + '!';

            

              
                Copy
              
            
          

Sicherer Code (Beispiel):

            
let userName = document.getElementById('name').value;
let sanitizedName = DOMPurify.sanitize(userName); // Verwendung einer Bibliothek wie DOMPurify
document.getElementById('greeting').innerHTML = 'Hello, ' + sanitizedName + '!';

            

              
                Copy
              
            
          

In diesem Beispiel verwenden wir die DOMPurify-Bibliothek, um die Benutzereingabe vor der Anzeige zu bereinigen. Dadurch wird jeglicher potenziell bösartige HTML- oder JavaScript-Code entfernt.

2. Content Security Policy (CSP)

Content Security Policy (CSP) ist ein leistungsstarker HTTP-Header, mit dem Sie steuern können, welche Ressourcen ein Webbrowser für eine bestimmte Seite laden darf. Dies hilft, XSS-Angriffe zu verhindern, indem die Quellen eingeschränkt werden, aus denen Skripte, Stylesheets und andere Ressourcen geladen werden können.

CSP-Direktiven:

• default-src: Definiert die Standardquelle für alle Ressourcen.
• script-src: Definiert die Quellen, aus denen Skripte geladen werden können.
• style-src: Definiert die Quellen, aus denen Stylesheets geladen werden können.
• img-src: Definiert die Quellen, aus denen Bilder geladen werden können.
• connect-src: Definiert die Ursprünge, mit denen der Client über XMLHttpRequest, WebSocket und EventSource eine Verbindung herstellen kann.
• font-src: Definiert die Quellen, aus denen Schriftarten geladen werden können.
• object-src: Definiert die Quellen, aus denen Objekte (z. B. <object>, <embed>, <applet>) geladen werden können.
• media-src: Definiert die Quellen, aus denen Audio und Video geladen werden können.
• frame-src: Definiert die Quellen, aus denen Frames geladen werden können.
• base-uri: Definiert die Basis-URL zur Auflösung relativer URLs.
• form-action: Definiert die URLs, an die Formulare gesendet werden können.

Beispielhafter CSP-Header:

            
Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' https://fonts.googleapis.com;

            

              
                Copy
              
            
          

Dieser CSP-Header beschränkt den Browser darauf, Ressourcen vom selben Ursprung ('self') und von den angegebenen externen Quellen (https://cdn.example.com für Skripte und https://fonts.googleapis.com für Stylesheets) zu laden. Jeder Versuch, Ressourcen von anderen Quellen zu laden, wird vom Browser blockiert.

CSP-Nonce:

Eine Nonce (number used once) ist eine kryptografisch zufällige Zeichenfolge, die für jede Anfrage generiert wird. Sie kann mit den Direktiven script-src und style-src verwendet werden, um Inline-Skripte und -Stile zu erlauben, die den korrekten Nonce-Wert haben.

Beispielhafter CSP-Header mit Nonce:

            
Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-rAnd0mN0nc3'; style-src 'self' 'nonce-rAnd0mN0nc3';

            

              
                Copy
              
            
          

Das entsprechende HTML würde so aussehen:

            
<script nonce="rAnd0mN0nc3">
  // Ihr Inline-Skript hier
</script>
<style nonce="rAnd0mN0nc3">
  /* Ihre Inline-Stile hier */
</style>

            

              
                Copy
              
            
          

CSP-Hash:

Ein Hash ist eine kryptografische Darstellung des Inhalts eines Skripts oder Stils. Er kann mit den Direktiven script-src und style-src verwendet werden, um Inline-Skripte und -Stile zu erlauben, die den korrekten Hash-Wert haben.

Beispielhafter CSP-Header mit Hash:

            
Content-Security-Policy: default-src 'self'; script-src 'self' 'sha256-YOUR_SCRIPT_HASH'; style-src 'self' 'sha256-YOUR_STYLE_HASH';

            

              
                Copy
              
            
          

Wichtiger Hinweis: CSP ist ein leistungsstarkes Werkzeug, erfordert aber eine sorgfältige Konfiguration. Eine falsch konfigurierte CSP kann Ihre Website lahmlegen. Beginnen Sie mit einer reinen Berichtsrichtlinie (Content-Security-Policy-Report-Only), um Ihre CSP-Konfiguration zu testen, bevor Sie sie erzwingen.

3. Subresource Integrity (SRI)

Subresource Integrity (SRI) ist eine Sicherheitsfunktion, die es Browsern ermöglicht, zu überprüfen, ob Dateien, die von CDNs oder anderen externen Quellen abgerufen werden, nicht manipuliert wurden. Dies geschieht durch die Bereitstellung eines kryptografischen Hashes des erwarteten Dateiinhalts im <script>- oder <link>-Tag.

Wie SRI funktioniert:

1. Berechnen Sie den kryptografischen Hash der Ressourcendatei (z. B. mit SHA-256, SHA-384 oder SHA-512).
2. Fügen Sie das Attribut integrity zum <script>- oder <link>-Tag hinzu und geben Sie den Hash-Wert und den Hashing-Algorithmus an.

Beispiel:

            
<script src="https://cdn.example.com/script.js" integrity="sha384-EXAMPLE_HASH" crossorigin="anonymous"></script>

            

              
                Copy
              
            
          

Das Attribut crossorigin="anonymous" ist erforderlich, wenn SRI mit Ressourcen von einem anderen Ursprung verwendet wird. Dies ermöglicht es dem Browser, die Ressource abzurufen, ohne Cookies oder andere Benutzeranmeldeinformationen zu senden.

Wenn die abgerufene Ressource nicht mit dem angegebenen Hash übereinstimmt, blockiert der Browser das Laden der Ressource und verhindert so die Ausführung von potenziell bösartigem Code.

4. Schutz vor Cross-Site Request Forgery (CSRF)

CSRF-Angriffe können durch die Implementierung geeigneter Sicherheitsmaßnahmen gemindert werden, wie z. B.:

• Synchronizer Token Pattern (STP): Generieren Sie für jede Benutzersitzung ein eindeutiges, unvorhersehbares Token und betten Sie es in die Formulare und URLs ein, die für zustandsändernde Anfragen verwendet werden. Der Server überprüft das Token bei jeder Anfrage, um sicherzustellen, dass die Anfrage vom legitimen Benutzer stammt.
• Double Submit Cookie: Setzen Sie einen zufälligen Wert in ein Cookie. Die Anwendung fügt diesen Wert dann als verstecktes Feld in die Formulare oder als benutzerdefinierten HTTP-Header ein. Bei der Übermittlung überprüft die Anwendung, ob der Cookie-Wert mit dem Wert des versteckten Feldes/Headers übereinstimmt.
• SameSite-Cookie-Attribut: Verwenden Sie das SameSite-Cookie-Attribut, um zu steuern, wann Cookies bei seitenübergreifenden Anfragen gesendet werden. Die Einstellung SameSite=Strict verhindert, dass das Cookie bei seitenübergreifenden Anfragen gesendet wird. Die Einstellung SameSite=Lax erlaubt das Senden des Cookies bei seitenübergreifenden Anfragen für Top-Level-Navigationen (z. B. das Klicken auf einen Link).

Beispiel: Synchronizer Token Pattern (STP)

Serverseitig (Generierung des Tokens):

            
// Generieren Sie ein eindeutiges Token (z. B. mit einer Bibliothek wie uuid)
const csrfToken = uuidv4();

// Speichern Sie das Token in der Sitzung des Benutzers
session.csrfToken = csrfToken;

// Senden Sie das Token an den Client (z. B. in einem versteckten Formularfeld)

            

              
                Copy
              
            
          

Clientseitig (Einbetten des Tokens in das Formular):

            
<form action="/profile" method="POST">
  <input type="hidden" name="csrfToken" value="[CSRF_TOKEN_FROM_SERVER]">
  <input type="text" name="name">
  <button type="submit">Profil aktualisieren</button>
</form>

            

              
                Copy
              
            
          

Serverseitig (Überprüfung des Tokens):

            
// Rufen Sie das CSRF-Token aus dem Anforderungskörper ab
const csrfToken = req.body.csrfToken;

// Rufen Sie das CSRF-Token aus der Sitzung ab
const expectedCsrfToken = session.csrfToken;

// Überprüfen Sie, ob die Tokens übereinstimmen
if (csrfToken !== expectedCsrfToken) {
  // CSRF-Angriff erkannt
  return res.status(403).send('CSRF-Angriff erkannt');
}

// Fahren Sie mit der Verarbeitung der Anfrage fort

            

              
                Copy
              
            
          

5. Sichere Drittanbieter-Bibliotheken und Abhängigkeiten

JavaScript-Anwendungen verlassen sich oft auf Bibliotheken und Frameworks von Drittanbietern, um Funktionalität bereitzustellen. Es ist entscheidend sicherzustellen, dass diese Abhängigkeiten sicher und aktuell sind. Veraltete oder anfällige Abhängigkeiten können Ihre Anwendung Sicherheitsrisiken aussetzen.

• Abhängigkeitsmanagement: Verwenden Sie ein Abhängigkeitsmanagement-Tool wie npm oder yarn, um die Abhängigkeiten Ihres Projekts zu verwalten.
• Schwachstellenscans: Scannen Sie Ihre Abhängigkeiten regelmäßig auf bekannte Schwachstellen mit Tools wie npm audit, yarn audit oder Snyk.
• Abhängigkeits-Updates: Halten Sie Ihre Abhängigkeiten auf dem neuesten Stand, indem Sie regelmäßig Sicherheitspatches und Updates installieren.
• Wählen Sie seriöse Bibliotheken: Bewerten Sie die von Ihnen verwendeten Bibliotheken sorgfältig. Wählen Sie Bibliotheken, die gut gewartet werden, eine große Community und eine gute Sicherheitsbilanz haben.
• Subresource Integrity (SRI): Wie bereits erwähnt, verwenden Sie SRI, um sicherzustellen, dass die von CDNs oder anderen externen Quellen abgerufenen Dateien nicht manipuliert wurden.

6. Sichere Authentifizierung und Autorisierung

Ordnungsgemäße Authentifizierungs- und Autorisierungsmechanismen sind für den Schutz sensibler Daten und Funktionalitäten unerlässlich. JavaScript spielt sowohl bei der client- als auch bei der serverseitigen Authentifizierung und Autorisierung eine entscheidende Rolle.

• Starke Passwortrichtlinien: Erzwingen Sie starke Passwortrichtlinien, um zu verhindern, dass Benutzer schwache Passwörter wählen.
• Multi-Faktor-Authentifizierung (MFA): Implementieren Sie eine Multi-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene hinzuzufügen.
• Sicheres Sitzungsmanagement: Verwenden Sie sichere Sitzungsmanagementtechniken, um Benutzersitzungen vor Hijacking zu schützen.
• Rollenbasierte Zugriffskontrolle (RBAC): Implementieren Sie eine rollenbasierte Zugriffskontrolle, um den Zugriff auf Ressourcen basierend auf Benutzerrollen zu beschränken.
• OAuth 2.0 und OpenID Connect: Verwenden Sie Standard-Authentifizierungs- und Autorisierungsprotokolle wie OAuth 2.0 und OpenID Connect zur sicheren Delegierung des Zugriffs.

7. Regelmäßige Sicherheitsaudits und Penetrationstests

Regelmäßige Sicherheitsaudits und Penetrationstests sind unerlässlich, um Schwachstellen und Schwächen in Ihren JavaScript-Anwendungen zu identifizieren. Diese Bewertungen können Ihnen helfen, Sicherheitslücken zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

• Statische Code-Analyse: Verwenden Sie statische Code-Analyse-Tools, um potenzielle Schwachstellen in Ihrem Code automatisch zu identifizieren.
• Dynamische Analyse: Verwenden Sie dynamische Analyse-Tools, um Ihre Anwendung während des Betriebs zu testen und Schwachstellen zu identifizieren, die bei der statischen Analyse möglicherweise nicht sichtbar sind.
• Penetrationstests: Beauftragen Sie professionelle Penetrationstester, um reale Angriffe auf Ihre Anwendung zu simulieren und Schwachstellen zu identifizieren.
• Sicherheitsaudits: Führen Sie regelmäßige Sicherheitsaudits durch, um Ihre allgemeine Sicherheitslage zu bewerten und Verbesserungspotenziale zu identifizieren.

8. Schulungen zum Sicherheitsbewusstsein

Schulungen zum Sicherheitsbewusstsein sind entscheidend, um Entwickler und andere Beteiligte über gängige Sicherheitsbedrohungen und Best Practices aufzuklären. Diese Schulungen können dazu beitragen, das Einschleusen von Sicherheitslücken in Ihre Anwendungen zu verhindern.

• Entwickler schulen: Bieten Sie Entwicklern Schulungen zu sicheren Programmierpraktiken, gängigen Schwachstellen und Sicherheitstools.
• Bewusstsein schaffen: Schaffen Sie bei allen Beteiligten ein Bewusstsein für die Bedeutung der Sicherheit und die potenziellen Auswirkungen von Sicherheitsverletzungen.
• Phishing-Simulationen: Führen Sie Phishing-Simulationen durch, um die Fähigkeit der Mitarbeiter zu testen, Phishing-Angriffe zu erkennen und zu vermeiden.
• Incident-Response-Plan: Entwickeln Sie einen Plan zur Reaktion auf Vorfälle, um sich auf Sicherheitsvorfälle vorzubereiten und darauf zu reagieren.

Tools und Technologien für die JavaScript-Sicherheit

Mehrere Tools und Technologien können Ihnen helfen, eine robuste JavaScript-Sicherheitsstrategie zu implementieren und aufrechtzuerhalten. Hier sind einige Beispiele:

• DOMPurify: Ein schneller, toleranter und sicherer DOM-basierter XSS-Sanitizer für HTML, MathML und SVG.
• OWASP ZAP (Zed Attack Proxy): Ein kostenloser, quelloffener Webanwendungs-Sicherheitsscanner.
• Snyk: Eine auf Entwickler ausgerichtete Sicherheitsplattform, die Ihnen hilft, Schwachstellen in Ihrem Code und Ihren Abhängigkeiten zu finden, zu beheben und zu verhindern.
• npm audit und yarn audit: Kommandozeilen-Tools, die Ihre Abhängigkeiten auf bekannte Schwachstellen scannen.
• SonarQube: Eine Open-Source-Plattform zur kontinuierlichen Überprüfung der Codequalität, um automatische Überprüfungen mit statischer Code-Analyse durchzuführen, um Bugs, Code Smells und Sicherheitsschwachstellen zu erkennen.
• Web Application Firewalls (WAFs): WAFs können helfen, Ihre Webanwendungen vor einer Vielzahl von Angriffen zu schützen, einschließlich XSS, SQL-Injection und CSRF.

Globale Perspektiven zur JavaScript-Sicherheit

Websicherheit ist ein globales Anliegen, und verschiedene Regionen und Länder können spezifische Vorschriften und Best Practices in Bezug auf Datenschutz und Cybersicherheit haben. Zum Beispiel:

• DSGVO (Datenschutz-Grundverordnung): Die DSGVO ist eine Verordnung der Europäischen Union (EU), die die Verarbeitung personenbezogener Daten von Personen innerhalb der EU regelt. Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen die DSGVO einhalten, unabhängig davon, wo sie sich befinden.
• CCPA (California Consumer Privacy Act): Der CCPA ist ein kalifornisches Gesetz, das Verbrauchern mehr Kontrolle über ihre persönlichen Informationen gibt.
• PIPEDA (Personal Information Protection and Electronic Documents Act): PIPEDA ist ein kanadisches Gesetz, das die Erhebung, Verwendung und Weitergabe persönlicher Informationen im privaten Sektor regelt.
• Australian Privacy Principles (APPs): Die APPs sind eine Reihe von Grundsätzen, die den Umgang mit persönlichen Informationen durch australische Regierungsbehörden und Organisationen regeln.

Es ist wichtig, sich der relevanten Vorschriften und Best Practices in den Regionen bewusst zu sein, in denen sich Ihre Benutzer befinden, und sicherzustellen, dass Ihre JavaScript-Anwendungen diesen Anforderungen entsprechen. Wenn Sie beispielsweise eine Webanwendung entwickeln, die von EU-Bürgern genutzt wird, müssen Sie sicherstellen, dass sie der DSGVO entspricht, indem Sie geeignete Sicherheitsmaßnahmen zum Schutz ihrer personenbezogenen Daten implementieren, wie z. B. die Verschlüsselung sensibler Daten, die Einholung der Zustimmung zur Datenverarbeitung und die Bereitstellung der Möglichkeit für Benutzer, auf ihre Daten zuzugreifen, sie zu korrigieren und zu löschen.

Fazit

Der Schutz von JavaScript-Anwendungen erfordert einen umfassenden und proaktiven Ansatz. Durch die Umsetzung der in diesem Framework beschriebenen Strategien, einschließlich sicherer Programmierpraktiken, CSP, SRI, CSRF-Schutz, sicherem Abhängigkeitsmanagement, robuster Authentifizierung und Autorisierung, regelmäßiger Sicherheitsaudits und Schulungen zum Sicherheitsbewusstsein, können Sie das Risiko von Sicherheitslücken erheblich reduzieren und Ihre Benutzer und Ihr Unternehmen vor Cyber-Bedrohungen schützen. Denken Sie daran, dass Sicherheit ein fortlaufender Prozess ist, und es ist wichtig, Ihre Anwendungen kontinuierlich auf Schwachstellen zu überwachen und Ihre Sicherheitsmaßnahmen anzupassen, wenn neue Bedrohungen auftauchen. Indem Sie wachsam bleiben und der Sicherheit während des gesamten Entwicklungslebenszyklus Priorität einräumen, können Sie sicherere und widerstandsfähigere Webanwendungen erstellen.