Die Webseite als Schwachpunkt in der Abwehrkette

Prävention ist alles: Datenschutz und Cyberattacken [Gastbeitrag]
Kommentare

Zero-Day-Exploits, Jailbreaks, DDoS-Attacken, geklaute Kreditkarten, Cyber-Erpressungen: Es vergeht kein Tag, ohne dass Sicherheitsangriffe und Datenmissbrauch im Internet für Schlagzeilen sorgen.

Allein im Jahr 2015 wurden in Deutschland Schäden in Höhe von 40,5 Millionen registriert. 2016 waren etwa 47 Prozent der Internetnutzer laut einer Bitkom-Studie von Cybercrime betroffen.

Es ist wie es ist: Cyberkriminalität ist heute ein echtes Milliardengeschäft. Die Sicherheitsexperten aus Industrie, Technologie und der öffentlichen Hand sind sich einig, dass in den letzten Jahren eine Kommerzialisierung und Professionalisierung des Cybercrimes um sich gegriffen hat. Kriminelle handeln gemäß den wirtschaftlichen Maximen. Sie entwickeln Business-Pläne, streben einen möglichst hohen Return on Investment an und modellieren die Angriffsszenarien, um maximalen Gewinn herauszuholen.

Diese Entwicklungen sind nicht nur für jeden Verbraucher bedrohlich, sondern sie gefährden auch die Existenz von Unternehmen. Oft sind die personenbezogenen Daten das primäre Ziel eines Angriffs. Wer diese Daten verkauft, kann viel Geld machen. Imageverluste und finanzielle Schäden sind eine Konsequenz und bedeuten manchmal sogar das Aus. Denn viele Unternehmen „leben“ von der Datenintegrität, Vertraulichkeit und deren Verfügbarkeit. Unternehmen sind generell dazu verpflichtet, sich ausreichend vor potenziellen Cyberangriffen zu schützen.

Webseiten- und Online-Shop-Betreibern drohen nun zudem Sanktionen, weil die neue EU-Datenschutz-Grundverordnung greift. Sie müssen nämlich die Richtlinien einhalten und technische Rahmenbedingungen für den Datenschutz gewährleisten. Personen, die persönliche Daten zur Speicherung weitergeben – wie beispielsweise bei Bezahlvorgängen auf Webseiten – müssen sich darauf verlassen können: Vertraulichkeit und Integrität der Daten bleiben gewahrt. Das heißt: Hacker dürfen nicht in der Lage sein, die Daten abzugreifen.

Die Webseite lockt Hacker an

Dabei stellt die Webseite der Unternehmen oft ein Einfallstor für Cyberkriminalität dar. Die Internetpräsenz ist heute der Dreh-und Angelpunkt der digitalen Aktivität und erfolgsentscheidender Faktor zugleich. Wer offline ist, ist in der Welt nicht präsent. Die Webseiten stellen Unternehmen nach außen dar und bieten darüber hinaus die Möglichkeit, mit Kunden und Interessenten in Kontakt zu treten. Viele Unternehmen vernachlässigen es jedoch, die gängigen Sicherheitsstandards zu wahren.

Je einfacher eine Seite zu knacken ist, desto attraktiver wird sie für Angreifer. Hacks, die auf Webseiten gerne und oft zum Einsatz kommen, sind u.a.:

  • Cross-Site Scripting (XSS)
  • (Blind) SQL Injection
  • (Remote/Local) File Inclusion
  • Cross-Site Request Forgery (CSRF)
  • Session Fixation
  • Command Injection
  • Code Injection
  • LDAP Injection
  • XPath Injection

Ist die Seite nicht gegen solch gängige Angriffe gerüstet, so haben Hacker ein leichtes Spiel. Beispielsweise schleusen sie auf der Webseite Phishing-Seiten ein, über die man Zugangsdaten erlangen kann. Oder sie verleiten Webseitenbesucher zum Download von versteckten Viren und Trojanern oder missbrauchen eine Seite zum Spamversand.

Anfang letzten Jahres beispielsweise gab es einen großangelegten Angriff: die Ransomware CTB-Locker hatte Hunderte von Webseiten befallen und jeweils alle Daten dieser Seiten verschlüsselt. Anschließend kam beim Aufruf der Seite nur noch der Erpresserbrief und forderte den Webseiten-Admin auf, Bitcoins zu überweisen. Diese Art von Cyberschädling – auch Krypto- oder Erpressungstrojaner genannt, steht im Cybersecurity-Report von Cisco auch 2017 auf Platz 1 der Angriffe und wird die meisten Schäden anrichten.

Sicherheit ist kein Selbstläufer

Was können Unternehmen tun, um auf Nummer Sicher zu gehen? Schon das Programmieren der Seite ist eine Quelle für schwerwiegende Fehler. Hier stehen Entwickler natürlich immer in einem Spannungsfeld: zum einen müssen sie wissen, welche potenziellen Probleme es geben kann, um sichere Webseiten zu entwickeln. Andererseits müssen manche Programmierfehler erst gemacht werden, damit die Konsequenzen deutlich erkennbar werden.

Wichtig ist es daher für Unternehmen darauf zu achten, dass ihre Webseiten bei der Entwicklung und Pflege in den Händen von echten Digital-Experten liegen. Profis zeichnen sich dadurch aus, dass sie sich immer auf den neuesten Stand bringen und die gängigen Sicherheitsstandards, wie die OWASP „Top 10 Most Critical Web Application Security Risks“ oder die „CWE/SANS TOP 25 Most Dangerous Programming Errors“ kennen und Webseiten regelmäßig mit Sicherheits-Tools auf Schwachstellen hin überprüfen.

Wenn Digital-Experten mögliche Sicherheitslücken überprüfen, begeben sie sich in die Perspektive eines externen Angreifers, der lediglich das Protokoll HTTP(S) als Schnittstelle zur Anwendung kennt. Die Überprüfung findet dann in zwei Schritten statt: Zuerst wird die Anwendung so betrachtet, wie sie jeder beliebige Internet-Benutzer ohne gültige Zugangsdaten sehen kann. In einem zweiten Schritt wird die Webanwendung zusätzlich unter Zuhilfenahme von Zugangsdaten einer entsprechenden Überprüfung unterzogen.

Des Weiteren werden Webserver und Webanwendung auf bekannte und unbekannte Schwachstellen hin überprüft und manuell verifiziert. Anschließend werden mit manuellen Methoden tiefer gehende Angriffe durchgeführt. Hierzu können herkömmliche Browser sowie HTTP-Editoren eingesetzt werden, die mit der Anwendung interagieren.

Die manuelle Vertiefung ist notwendig, da die automatisierten Werkzeuge die Applikationslogik, die für jede Anwendung individuell ist, nicht verstehen und somit nicht in der Lage sind, komplexere Angriffe durchzuführen. Dies gilt insbesondere für Angriffe wie SQL Injection oder die Manipulation der Applikationslogik. Dennoch sind Applikationsscanner wertvolle Werkzeuge, die durch ihr systematisches Vorgehen in vielen Teilbereichen Hinweise auf Schwachstellen in Standardkomponenten und Webanwendungen liefern können.

Gängige Tools, die bei einer Webseiten-Überprüfungen zum Einsatz kommen sollten, sind u.a.:

  • Browser mit Plug-ins wie Developer Toolbar/Hackbar
  • Netsparker
  • Burp Suite Pro
  • Havij
  • sqlmap
  • Nikto
  • Browser Exploitation Framework (BeEF)
  • curl
  • Wget
  • netcat
  • OWASP DirBuster
  • OWASP Zed Attack Proxy (ZAP) – FOCA
  • Flare (zum Dekompilieren von Flash-Komponenten)
  • OpenSSL
  • sslstrip
  • SSLyze
  • O-Saft
  • httprint
  • httprecon – Wireshark

Vorsorge zahlt sich aus

Eine sogenannte Web Application Firewall (WAF) verhindert, dass Cyberkriminelle einen Großteil der üblichen Webseiten-Schwachstellen ausnutzen. Eine WAF nimmt stellvertretend für den Webserver die HTTP Requests entgegen, prüft sie inhaltlich und leitet nur gutartige Anfragen zur Applikation weiter.

Ein absolutes Must-Have bei der Programmierung stellt die HTTPS-Verschlüsselung von Webseiten da. So verhindern Online-Experten zumindest weitestgehend, dass auf dem Transportweg der Daten vom Ursprungsserver zum Browser unbefugt Dritte Zugriff erhalten und die Daten verändern können. Der positive Nebeneffekt der Verschlüsselung ist zudem eine bessere Suchmaschinenoptimierung (SEO), denn Google bewertet HTTPS-verschlüsselte Seiten deutlich positiver.

Daneben gilt es, die eingesetzten Webseitensysteme immer auf der jeweils aktuellen Version zu halten. Die meisten Webseiten basieren heute auf verschiedenen Webanwendungen, wie Content-Management-Systeme, Blog- und Forensoftware, E-Commerce-Lösungen, Bildergalerien, Wikis, Groupware, Kalender und vieles mehr. Sicherheitsbewusste Anbieter untersuchen und aktualisieren immer wieder auf Schwachstellen und mögliche Sicherheitslücken. Unternehmen müssen darauf achten, dass sie die Updates kontinuierlich durchführen, um nicht ein leichtes Opfer für einen Angriff zu werden.

Weitere wichtige Faktoren sind regelmäßige Backups der Daten, Datenbanken und Systemdateien. Es empfiehlt sich, täglich alle Datenbestände zu sichern und mithilfe von Wiederherstellungstests auf ihre Funktionalität hin zu überprüfen. Bahnt sich dann doch mal ein Trojaner den Weg in das System, können Unternehmen wenigstens auf den zuletzt gesicherten Datenstand zurückgreifen.

Die Komponente Mensch

Neben aller Technologie zählt auch die Komponente Mensch – Stichwort Social Engineering. Darunter versteht man alle Angriffe auf Informationssysteme, die ihre Nutzer mit psychologischen Tricks manipulieren.

Ein Beispiel eines erfolgreichen Angriffs musste ein amerikanisches Unternehmen letztes Jahr teuer bezahlen. Ein Mitarbeiter überwies mehrere Hunderttausend Dollar aufgrund eines Anrufs eines Betrügers, der sich als Geschäftsführer der Muttergesellschaft ausgab.

Diese Wissenschaft und Kunst des Menschen-Hackings erfreut sich in Zeiten von E-Mails, sozialen Netzwerken und anderen Formen elektronischer Kommunikation großer Beliebtheit. Deshalb sollten Unternehmen ihre Mitarbeiter regelmäßig sowohl im Umgang mit der Technologie schulen als auch ihr Bewusstsein für kriminelle Vorgehensweisen und mögliche Bedrohungen schärfen.

Zudem ist bei den meisten Menschen auch im Jahre 27 des Internets in punkto sichere Passwortvergabe noch Luft nach oben. Viele Hackerangriffe sind nur deswegen erfolgreich, weil Passwörter zu schwach sind. Es kommt absolut darauf an, sichere und komplexe Passwörter zu definieren, die mindestens acht Zeichen, Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen gemischt enthalten.

Wer vorausschaut ist im Vorteil

Daten entpuppen sich mittlerweile als ein lukratives Kapital. Je tiefer wir in das digitale Zeitalter eintauchen, desto existenzieller wird die Prävention von Cyberattacken. Wichtig dabei ist: Dieses Unterfangen ist ein kontinuierlicher Prozess. Unternehmen tun gut daran, beim Gestalten ihrer Abläufe und Vorgehensweisen stets im Vorfeld zu bedenken, was im „Worst Case“ passieren kann. Nur dann sind sie in der Lage, sich in einem adäquaten Kosten-Nutzen-Verhältnis dagegen abzusichern. Smarte Unternehmen holen sich hierfür Unterstützung von Experten aus der Digitalberatung und dem Projektmanagement an Bord.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -