Jede Website im Internet ist in gewisser Weise anfällig für Sicherheitsangriffe. Die Bedrohungen reichen von menschlichen Fehlern bis hin zu ausgeklügelten Angriffen durch koordinierte Cyber-Kriminelle.
Nach dem Data Breach Investigations Report von Verizon ist die Hauptmotivation für Cyber-Angreifer finanzieller Natur. Ganz gleich, ob Sie ein eCommerce-Projekt oder eine einfache Website für ein kleines Unternehmen betreiben, das Risiko eines potenziellen Angriffs ist vorhanden.
Es ist wichtiger denn je, zu wissen, womit Sie es zu tun haben. Jeder böswillige Angriff auf Ihre Website hat seine Besonderheiten, und angesichts der vielen verschiedenen Arten von Angriffen, die im Umlauf sind, mag es unmöglich erscheinen, sich gegen alle zu verteidigen. Dennoch können Sie eine Menge tun, um Ihre Website vor diesen Angriffen zu schützen und das Risiko zu verringern, dass böswillige Hacker Ihre Website ins Visier nehmen.
Werfen wir einen genaueren Blick auf 10 der häufigsten Cyberangriffe im Internet und wie Sie Ihre Website davor schützen können.
- Die 10 häufigsten Website-Sicherheitsangriffe
- Cross-Site Scripting (XSS)
- Injektionsangriffe
- Fuzzing (oder Fuzz Testing)
- Zero-Day Attack
- Path (oder Directory) Traversal
- Distributed Denial-of-Service (DDoS)
- Man-In-The-Middle-Angriff
- Brute-Force-Angriff
- Nutzung von unbekanntem oder fremdem Code
- Phishing
- Zusammenfassend
Die 10 häufigsten Website-Sicherheitsangriffe
Cross-Site Scripting (XSS)
Eine aktuelle Studie von Precise Security ergab, dass der XSS-Angriff die häufigste Cyberattacke ist und etwa 40 % aller Angriffe ausmacht. Obwohl es sich um den häufigsten Angriff handelt, sind die meisten dieser Angriffe nicht sehr ausgeklügelt und werden von Amateur-Cyberkriminellen ausgeführt, die Skripte verwenden, die andere erstellt haben.
Cross-Site-Scripting zielt auf die Benutzer einer Website und nicht auf die Webanwendung selbst. Der böswillige Hacker fügt ein Stück Code in eine anfällige Website ein, das dann vom Besucher der Website ausgeführt wird. Der Code kann die Benutzerkonten kompromittieren, trojanische Pferde aktivieren oder den Inhalt der Website verändern, um den Benutzer zur Preisgabe privater Informationen zu verleiten.
Sie können Ihre Website gegen XSS-Angriffe schützen, indem Sie eine Web Application Firewall (WAF) einrichten. WAF fungiert als Filter, der alle bösartigen Anfragen an Ihre Website identifiziert und blockiert. In der Regel verfügen Webhosting-Unternehmen bereits über eine WAF, wenn Sie ihren Service erwerben, aber Sie können sie auch selbst einrichten.
Injektionsangriffe
Das Open Web Application Security Project (OWASP) hat in seiner jüngsten Top-Ten-Forschung Injektionsfehler als den größten Risikofaktor für Websites genannt. Die SQL-Injection-Methode ist die beliebteste Methode, die von Cyber-Kriminellen in dieser Kategorie eingesetzt wird.
Die Injection-Angriffsmethoden zielen direkt auf die Website und die Datenbank des Servers. Bei der Ausführung fügt der Angreifer ein Stück Code ein, das verborgene Daten und Benutzereingaben offenlegt, die Änderung von Daten ermöglicht und allgemein die Anwendung kompromittiert.
Der Schutz Ihrer Website vor Injektionsangriffen hängt hauptsächlich davon ab, wie gut Sie Ihre Codebasis aufgebaut haben. Die beste Möglichkeit, das Risiko einer SQL-Injektion zu verringern, besteht beispielsweise darin, immer parametrisierte Anweisungen zu verwenden, wo dies möglich ist, sowie andere Methoden. Außerdem können Sie die Verwendung eines Authentifizierungs-Workflows eines Drittanbieters in Betracht ziehen, um Ihren Datenbankschutz auszulagern.
Fuzzing (oder Fuzz Testing)
Entwickler verwenden Fuzz Testing, um Codierungsfehler und Sicherheitslücken in Software, Betriebssystemen oder Netzwerken zu finden. Angreifer können jedoch die gleiche Technik verwenden, um Schwachstellen in Ihrer Website oder Ihrem Server zu finden.
Zunächst wird eine große Menge an Zufallsdaten (Fuzz) in eine Anwendung eingegeben, um sie zum Absturz zu bringen. Der nächste Schritt ist die Verwendung eines Fuzzer-Softwaretools, um die Schwachstellen zu identifizieren. Wenn es irgendwelche Lücken in der Sicherheit des Ziels gibt, kann der Angreifer sie weiter ausnutzen.
Die beste Möglichkeit, einen Fuzzing-Angriff zu bekämpfen, ist, Ihre Sicherheits- und anderen Anwendungen auf dem neuesten Stand zu halten. Dies gilt insbesondere für alle Sicherheitspatches, die mit einem Update herauskommen, das die Täter ausnutzen können, wenn Sie das Update noch nicht durchgeführt haben.
Zero-Day Attack
Ein Zero-Day-Angriff ist eine Erweiterung eines Fuzzing-Angriffs, aber er erfordert nicht die Identifizierung von Schwachstellen an sich. Der jüngste Fall dieser Art von Angriff wurde durch eine Studie von Google aufgedeckt, in der potenzielle Zero-Day-Exploits in Windows- und Chrome-Software identifiziert wurden.
Es gibt zwei Szenarien, wie böswillige Hacker von einem Zero-Day-Angriff profitieren können. Im ersten Fall, wenn die Angreifer Informationen über ein bevorstehendes Sicherheitsupdate erhalten, können sie erfahren, wo sich die Lücken befinden, bevor das Update veröffentlicht wird. Im zweiten Szenario erhalten die Cyber-Kriminellen die Patch-Informationen und zielen auf Benutzer, die ihre Systeme noch nicht aktualisiert haben. In beiden Fällen wird Ihre Sicherheit beeinträchtigt, und der anschließende Schaden hängt von den Fähigkeiten der Täter ab.
Die einfachste Möglichkeit, sich und Ihre Website vor Zero-Day-Angriffen zu schützen, besteht darin, Ihre Software sofort zu aktualisieren, nachdem die Hersteller eine neue Version angekündigt haben.
Path (oder Directory) Traversal
Ein Path-Traversal-Angriff ist nicht so häufig wie die vorherigen Hacking-Methoden, stellt aber immer noch eine erhebliche Bedrohung für jede Web-Anwendung dar.
Path-Traversal-Angriffe zielen auf den Web-Stammordner ab, um auf nicht autorisierte Dateien oder Verzeichnisse außerhalb des Zielordners zuzugreifen. Der Angreifer versucht, Bewegungsmuster innerhalb des Serververzeichnisses zu injizieren, um in der Hierarchie aufzusteigen. Ein erfolgreicher Path-Traversal-Angriff kann den Zugriff auf die Website, Konfigurationsdateien, Datenbanken und andere Websites und Dateien auf demselben physischen Server gefährden.
Der Schutz Ihrer Website vor Path-Traversal-Angriffen beruht auf der Bereinigung von Eingaben. Dies bedeutet, dass die Eingaben des Benutzers sicher und nicht wiederherstellbar auf Ihrem Server gespeichert werden. Der einfachste Vorschlag ist hier, Ihre Codebasis so zu gestalten, dass keine Informationen von einem Benutzer an die Dateisystem-APIs weitergegeben werden. Wenn das jedoch nicht möglich ist, gibt es andere technische Lösungen.
Distributed Denial-of-Service (DDoS)
Der DDoS-Angriff allein ermöglicht es dem böswilligen Hacker nicht, die Sicherheit zu durchbrechen, sondern macht die Website vorübergehend oder dauerhaft offline. Der IT Security Risks Survey von Kaspersky Lab aus dem Jahr 2017 kam zu dem Schluss, dass ein einziger DDoS-Angriff kleine Unternehmen im Durchschnitt 123.000 US-Dollar und große Unternehmen 2,3 Millionen US-Dollar kostet.
Der DDoS-Angriff zielt darauf ab, den Webserver des Ziels mit Anfragen zu überschwemmen, sodass die Website für andere Besucher nicht mehr verfügbar ist. Ein Botnet erzeugt in der Regel eine große Anzahl von Anfragen, die auf bereits infizierte Computer verteilt werden. Außerdem werden DDoS-Angriffe oft zusammen mit anderen Methoden eingesetzt; das Ziel der ersteren ist es, die Sicherheitssysteme abzulenken und gleichzeitig eine Schwachstelle auszunutzen.
Der Schutz Ihrer Website vor einem DDoS-Angriff hat im Allgemeinen mehrere Facetten. Erstens müssen Sie den Spitzenverkehr durch den Einsatz eines Content Delivery Network (CDN), eines Load Balancers und skalierbarer Ressourcen entschärfen. Zweitens müssen Sie auch eine Web Application Firewall einsetzen, für den Fall, dass sich hinter dem DDoS-Angriff eine andere Cyberangriffsmethode verbirgt, wie z. B. eine Injektion oder XSS.
Man-In-The-Middle-Angriff
Die Man-In-The-Middle-Angriffe sind bei Websites üblich, die ihre Daten auf dem Weg vom Benutzer zu den Servern nicht verschlüsselt haben. Als Benutzer können Sie ein potenzielles Risiko erkennen, indem Sie prüfen, ob die URL der Website mit HTTPS beginnt, wobei das „S“ bedeutet, dass die Daten verschlüsselt werden.
Angreifer nutzen den Man-in-the-Middle-Angriff, um (oft sensible) Informationen zu sammeln. Der Angreifer fängt die Daten ab, während sie zwischen zwei Parteien übertragen werden. Wenn die Daten nicht verschlüsselt sind, kann der Angreifer leicht persönliche Daten, Anmeldedaten oder andere sensible Informationen lesen, die zwischen zwei Standorten im Internet übertragen werden.
Eine einfache Möglichkeit, den Man-in-the-Middle-Angriff abzuschwächen, ist die Installation eines SSL-Zertifikats (Secure Sockets Layer) auf Ihrer Website. Dieses Zertifikat verschlüsselt alle Informationen, die zwischen den Parteien ausgetauscht werden, so dass ein Angreifer sie nicht ohne weiteres auswerten kann. Bei den meisten modernen Hosting-Anbietern ist ein SSL-Zertifikat bereits im Hosting-Paket enthalten.
Brute-Force-Angriff
Ein Brute-Force-Angriff ist eine sehr einfache Methode, um an die Anmeldedaten einer Webanwendung zu gelangen. Sie ist auch eine der am einfachsten abzuschwächenden Methoden, vor allem von Seiten des Benutzers.
Der Angreifer versucht, die Kombination aus Benutzernamen und Passwort zu erraten, um auf das Benutzerkonto zuzugreifen. Natürlich kann dies selbst bei mehreren Computern Jahre dauern, es sei denn, das Passwort ist sehr einfach und offensichtlich.
Die beste Möglichkeit, Ihre Anmeldedaten zu schützen, ist die Erstellung eines sicheren Passworts oder die Verwendung einer Zwei-Faktor-Authentifizierung (2FA). Als Website-Besitzer können Sie von Ihren Benutzern verlangen, beides einzurichten, um das Risiko zu verringern, dass ein Cyberkrimineller das Passwort errät.
Nutzung von unbekanntem oder fremdem Code
Auch wenn es sich nicht um einen direkten Angriff auf Ihre Website handelt, kann die Verwendung von nicht verifiziertem Code, der von einer dritten Person erstellt wurde, zu einer schwerwiegenden Sicherheitsverletzung führen.
Der ursprüngliche Ersteller eines Codes oder einer Anwendung hat eine bösartige Zeichenfolge im Code versteckt oder unwissentlich eine Hintertür hinterlassen. Sie binden dann den „infizierten“ Code in Ihre Website ein, und dann wird er ausgeführt oder die Hintertür ausgenutzt. Die Auswirkungen können von der einfachen Datenübertragung bis hin zum administrativen Zugriff auf Ihre Website reichen.
Um Risiken im Zusammenhang mit einem möglichen Einbruch zu vermeiden, sollten Ihre Entwickler stets die Gültigkeit des Codes untersuchen und prüfen. Stellen Sie außerdem sicher, dass die von Ihnen verwendeten Plugins (insbesondere für WordPress) auf dem neuesten Stand sind und regelmäßig Sicherheits-Patches erhalten – Untersuchungen haben ergeben, dass über 17.000 WordPress-Plugins (oder etwa 47 % der WordPress-Plugins zum Zeitpunkt der Studie) seit zwei Jahren nicht mehr aktualisiert worden waren.
Phishing
Phishing ist eine weitere Angriffsmethode, die nicht direkt auf Websites abzielt, aber wir konnten sie auch nicht von der Liste streichen, da sie dennoch die Integrität Ihres Systems gefährden kann. Der Grund dafür ist, dass Phishing laut dem Internet Crime Report des FBI die häufigste Social-Engineering-Cyberkriminalität ist.
Das Standardwerkzeug bei Phishing-Versuchen ist die E-Mail. Die Angreifer geben sich in der Regel als jemand aus, der sie nicht sind, und versuchen, ihre Opfer dazu zu bringen, vertrauliche Informationen preiszugeben oder eine Überweisung zu tätigen. Diese Art von Angriffen kann so skurril sein wie der 419-Betrug (der zur Kategorie Vorschussbetrug gehört) oder raffinierter mit gefälschten E-Mail-Adressen, scheinbar authentischen Websites und überzeugender Sprache. Letzteres ist eher als Spear-Phishing bekannt.
Am wirksamsten lässt sich das Risiko eines Phishing-Betrugs mindern, indem Sie Ihre Mitarbeiter und sich selbst darin schulen, solche Versuche zu erkennen. Überprüfen Sie immer, ob die E-Mail-Adresse des Absenders echt ist, die Nachricht nicht seltsam ist und die Anfrage nicht bizarr ist. Und wenn es zu schön ist, um wahr zu sein, ist es das wahrscheinlich auch.
Zusammenfassend
Die Angriffe auf Ihre Website können viele Formen annehmen, und die Angreifer dahinter können Amateure oder koordinierte Profis sein.
Das Wichtigste ist, dass Sie bei der Erstellung oder dem Betrieb Ihrer Website nicht auf Sicherheitsfunktionen verzichten, denn das kann schlimme Folgen haben.
Es ist zwar nicht möglich, das Risiko eines Website-Angriffs vollständig auszuschalten, aber Sie können zumindest die Möglichkeit und die Schwere der Folgen abmildern.
Über den Autor: Gert Svaiko ist ein professioneller Texter, der mit Cybersicherheitsunternehmen in den USA und der EU zusammenarbeitet. Sie können ihn auf LinkedIn erreichen.
Anmerkung der Redaktion: Die in diesem Gastautorenartikel geäußerten Meinungen sind ausschließlich die des Verfassers und spiegeln nicht unbedingt die von Tripwire, Inc. wider.