Andrea Danti - Fotolia

Wie Schwachstellen auf Webseiten Datendiebstahl ermöglichen

Schwachstellen bei Webanwendungen und Websites können Hackern weitreichende Datenzugriffe erlauben, wie der Datendiebstahl bei der Wirtschaftsauskunftei Equifax zeigt.

Es ist ein Cyber-Hurrikan der höchsten Kategorie: Über Monate bedienten sich Hacker an sensiblen Daten der Wirtschaftsauskunftei Equifax.

Dabei gelangten Datensätze von über 143 Millionen US-Amerikaner mit Namen, Sozialversicherungsnummern, Geburtsdaten und Adressen bis hin zu Führerscheindaten in falsche Hände. Dies betrifft mindestens ein Drittel der US-Bevölkerung und die Auswirkungen werden noch über Jahre zu spüren sein.

Die möglichen Schwachstellen-Szenarien

Equifax bestätigte, dass ein Fehler auf ihrer Website von Hackern ausgenutzt wurde. Viele Arten von Webanwendungsschwachstellen können zu einem schwerwiegenden Sicherheitsvorfall führen. Im Falle von Equifax gibt es zwei plausible Varianten:

  • Im ersten Fall hosten Unternehmen Software, die anfällig für Angriffe mit Content-Injection oder Privileg-Eskalationen sind. Eine solche Sicherheitslücke kann leicht ausgenutzt werden, sobald sie von Hackern entdeckt worden ist, da nicht jede Website so eingerichtet ist, dass sie die Software automatisch aktualisiert.
  • Im anderen Fall sind Webanwendungen oder Website-Codes selbst verletzlich und somit verschiedenen Angriffen auf Anwendungsebene ausgesetzt. Wenn sie eine Verwundbarkeit für gängige Angriffe wie SQL Injection, Cross Site Scripting (XSS) oder Buffer Overflow aufweisen, ist ein Unternehmen ernsthaft gefährdet.

In beiden Fällen kann der Angreifer Zugriff auf das Backend einer Anwendung oder Website erlangen. Das gibt ihm volle Kontrolle. Er hat unzählige Handlungsmöglichkeiten, vom Ersetzen des Website-Inhalts bis hin zum Einbetten von Code – immer mit dem Ziel, wertvolle Daten abzuschöpfen.

Wollen Angreifer Daten stehlen, können sie zum Beispiel Zugriff erlangen, indem sie auf dem Code-Level Datenbankverbindungen kapern und auf diese Weise Datenbankabfragen starten. Weiterhin können sie bestehende Webformulare ersetzen und dadurch Anfragen mit kritischen Informationen an eine eigene Website weiterleiten, um diese Daten für weitere Angriffe zu verwenden. In einigen Fällen haben Hacker auch statische Inhalte wie Bilder, Dokumente, Binärdaten, Softwarepakete oder Stylesheets in die Website eingefügt. Diese dienen dann Angriffen auf die Website-Besucher.

Die obengenannten Schwachstellen nutzen Hacker regelmäßig für ihre Zwecke. Die einfachste Variante ist es, eine Software mit Schwachstellen auszunutzen. Sobald diese Sicherheitslücke bekannt ist, kann ein Angreifer unter Laborbedingungen in aller Ruhe sein Vorgehen üben und verfeinern, bevor er dann eine größere Attacke startet. Alles, was dazu benötigt wird, ist die verwundbare Version der gehosteten Software.

„Viele Unternehmen haben Verantwortung für Daten übernommen, deren Diebstahl Verbraucher teuer zu stehen kommen kann. Equifax ist ein Weckruf, dass Unternehmen dieser Verantwortung gerecht werden müssen.“

Fleming Shi, Barracuda Networks

Wenn dagegen nur der Code der Website selbst verwundbar ist, muss der Hacker eine größere Hürde nehmen. Er probiert dann im Trial-and-Error-Verfahren, Lücken im Schutz zu finden. Die meisten seriösen Websites verfügen über eine Web Application Firewall, die solch anormales Verhalten schnell erkennt und anhaltende Angriffsaktivitäten auf der Website ins Leere laufen lassen. Es ist also schwieriger, verwundbaren Code aufzuspüren. Zugleich kann es aber besonders lukrative Ergebnisse für die Angreifer bedeuten.

Gegenmaßnahmen, die Unternehmen schützen

Wie können Unternehmen ihre Daten und die ihrer Benutzer vor solchen Angriffen zu schützen?

  • Erstens sollten die zuständigen Mitarbeiter vollständig im Bilde sein, welche Hosting-Software und Softwarekomponenten von Drittanbietern sie auf ihren Webanwendungen und Websites ausführen.
  • Zweitens sollten Unternehmen mit Versions-Updates Schritt halten, insbesondere wenn es sicherheitsrelevante Aktualisierungen gibt.
  • Drittens sollten sie Penetrationstests durchführen, die über eine einfache Versions- und Patch-Level-Bewertung hinausgehen. Diese Maßnahme sollte ein Abnahmekriterium bei der Qualitätssicherung sein.
  • Viertens empfiehlt sich die Investition in Firewalls für Webanwendungen, um einen angemessenen Schutz zu gewährleisten. Egal, ob man eine App oder Website vor Ort oder in einer Public Cloud bereitstellt, es gibt für jeden dieser Fälle Tools für einen kontinuierlichen Schutz.

Für einen erweiterten Schutz sollten Unternehmen zudem Softwareingenieure schulen, damit sie sichere Verfahren bei der Programmierung entwickeln, und CISSP/OSCP-Fachleute für Test-Hacks von Anwendungen oder Websites beauftragen.

Nicht jedes Unternehmen hortet die Daten fast eines ganzen Landes. Aber viele Unternehmen haben Verantwortung für Daten übernommen, deren Diebstahl Verbraucher teuer zu stehen kommen kann, wie zum Beispiel Kreditkartendaten. Equifax ist ein Weckruf, dass Unternehmen dieser Verantwortung gerecht werden müssen.

Über den Autor:
Fleming Shi ist Senior Vice President Advanced Technology Engineering bei Barracuda Networks.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Website-Schwachstellen finden und beheben

Die Sicherheit von Webanwendungen verbessern

Webapplikationen automatisch updaten

Artikel wurde zuletzt im September 2017 aktualisiert

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close