Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Schwachstelle Webanwendung: So greifen Cyberkriminelle Unternehmen an

Die Gefährdung von Computern, Smartphones und IT-Systemen durch Cyberangriffe habe 2016 stark zugenommen, heißt es im Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Kriminelle nutzen immer häufiger Schwachstellen in Software und Geräten aus, um Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse lahmzulegen oder sich zu bereichern.
 
Nährboden dieser Entwicklung ist die zunehmende Digitalisierung und Vernetzung. So profitieren Cyberkriminelle fast täglich von neuen Angriffspunkten. Doch auch auf die Aushängeschilder der Unternehmen haben es Cyberkriminelle mehr denn je abgesehen: die Webseiten. Diese sind besonders interessant, weil dort Produkte und Dienstleistungen angeboten werden – sprich Geschäft generiert wird. Hinzu kommen Schnittstellen, die von Apps oder Anwendungen genutzt werden. Auch diese „technischen Webseiten“ wie beispielsweise REST-Interfaces können lohnenswerte Angriffsziele sein.
 
Methoden mit hohem Schadpotenzial
Besonders Botnetze, die etwa DDoS-Attacken von Tausenden Geräten gezielt auf eine Webpräsenz ausüben können, sind zunehmend eine Gefahr. Automatisiert scannen Bots Rechner und Server nach offenen Ports und dort installierter Software ab. Finden diese automatischen Prozesse heraus, dass Software mit Sicherheitslücken installiert ist, werden diese automatisch ausgenutzt und das angegriffene Unternehmen – häufig unbemerkt – einem Botnetz hinzugefügt. Diese Botnetze sorgen dann dafür, dass beispielsweise der Webshop oder die Dienstleistung für niemanden mehr erreichbar sind und dem Unternehmen so Verluste entstehen.
 
Via SQL-Injection Datenbanken stehlen oder Server kontrollieren
Besonders auf Webseiten, auf denen Eingaben erfolgen, ist ein erhöhtes Maß an Sicherheit erforderlich. Andernfalls kann es Cyberkriminellen gelingen, eine SQL-Injection durchzuführen. Der Angreifer gibt selbst in den Feldern Daten ein und versucht so über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Datenbankbefehle einzuschleusen. Dies kann dazu führen, dass dem Angreifer fälschlicherweise ganze Datenbanken mit Kundeinformationen ausgegeben werden und die Diebe somit an Firmengeheimnisse gelangen. Im schlimmsten Fall ist es möglich, über nicht geschützte Eingabefelder Schadcodes auf dem Server der Webseite einzuspielen. Dadurch kann sich der Angreifer dann die Kontrolle über den Server verschaffen.
 
Industriespionage mittels Advanced-Persistent-Threads
Noch gezielter gehen Angreifer vor, wenn sie Industriespionage oder Sabotage betreiben wollen. Hierzu führen sie häufig Advanced-Persistent-Threads-Angriffe durch, um nach dem Eindringen in einen Computer weiter in die lokale IT-Infrastruktur des Opfers vorzudringen. Statt Zugangsdaten zu Onlineshops suchen und sammeln die Täter bei APT-Attacken Zugangsdaten zu weiteren Systemen im Opfernetz. Darüber wollen sie ihren Zugriff ausbauen und schlussendlich auf die Daten, die dem Beschaffungsauftrag entsprechen, zugreifen.
 
Die vier Phasen des Angriffs
Ganz gleich, welche Methode die Angreifer wählen, ihr Vorgehen gliedert sich stets in vier Phasen. Zunächst steht das „Information Gathering“ im Fokus der Cyberkriminellen. Ziel ist es, sämtliche Informationen auszuspionieren, die helfen, Schwachstellen des Unternehmens zu erkennen oder Phishing-Attacken vorzubereiten. Im Anschluss daran erfolgt die Deployment-Phase. Hier geht es darum, das Unternehmen zu hacken und sich Zugang zu dem Zielsystem zu verschaffen. Einmal erfolgreich in ein System eingedrungen, versucht der Angreifer dann, sich im internen Netz des Unternehmens zu verbreiten und seinen Zugang zu festigen. In der Schlussphase geht es vor allem darum, Spuren zu beseitigen, um so lange wie möglich unbekannt in einem befallenen System verweilen zu können.
 
Web Security auf dem neusten Stand halten
Für Unternehmen ist ein funktionierendes Update-Management wichtig, um sicherzustellen, dass Angreifer bekannte, bereits von einem Hersteller beseitigte Schwachstellen nicht mehr ausnutzen können. Außerdem sollten eigene proaktive Penetrationstests der IT-Infrastruktur erfolgen, um Lücken von Diensten und Infrastrukturen vor den Angreifern zu erkennen und auszubessern. Etablieren Unternehmen außerdem IT-Security-Standards wie die ISO/IEC 27000-Familie oder den IT-Grundschutz des BSI, haben sie das Thema IT-Sicherheit umfassend unter Kontrolle und lassen Angreifern wenig Chancen. Darüber hinaus ist es für Unternehmen ratsam, es Angreifern in Phase eins „Information Gathering“ und vor allem in Phase zwei „Deployment“ so schwer wie möglich zu machen. Konkret sollten sie daher über moderne Next Generation Firewalls, Intrusion-Detection-Systeme (IDS) und ein Sicherheitsinformations- und Ereignismanagement (SIEM) verfügen. Nur dann können Unternehmen sicherstellen, das Angriffe so früh wie möglich erkannt und gegebenenfalls sogar automatisch abgewehrt werden.

  Nico Lincke, IT Security Consultant, Lufthansa
  Industry Solutions GmbH & Co. KG