Webanwendungen sind Angriffsziel Nummer 1

© Maksim Kabakou/Fotolia.com

Es heißt, Daten sind das neue Gold. Zumindest für Hacker scheint das zu stimmen, denn die haben es vor allem auf Daten abgesehen, die sich, wenn schon nicht vergolden, doch zumindest versilbern lassen. Und wenn es darum geht, wertvolle Kundendaten von Unternehmen abzugreifen, sind Webanwendungen nach wie vor das beliebteste Einfallstor. Kein Wunder, schließlich werden hier sensible Daten verarbeitet und in den Backend-Datenbanken gespeichert.

Ergebnisse aus dem Alert Logic Cloud Security Report

Die Analysten von „Alert Logic“ haben für den neuesten Cloud Security Report wieder Millionen Sicherheitsvorfälle über einen Zeitraum von 18 Monate ausgewertet. Die meisten, nämlich 75 Prozent, hatten Web Applikationen zum Ziel. 85 Prozent ihrer Kunden waren betroffen. Natürlich waren nicht alle registrierten Angriffsversuche auch erfolgreich. Aber wenn ein Einbruch gelingt und Daten gestohlen werden können, sind Angriffe auf Web Applikationen die mit Abstand häufigste Ursache, bestätigt auch der Verizon Data Breach Investigation Report.

In den meisten Fällen werden Webanwendungen durch Einschleusen von SQL-Befehlen gehackt. Mit 55 % standen SQL-Injections an der Spitze der Angriffstechniken. Am zweithäufigsten konnten Web-Angriffe mittels Remote Code Execution beobachtet werden. Dabei nutzen Angreifer Schwachstellen im Programmcode aus, um eigene Befehle ausführen zu lassen. Mehr als zwei Drittel aller registrierten Angriffe basierte auf einer dieser beiden Techniken. Der Alert Logic Report bestätigt damit die aktuelle OWASP Top 10 der schlimmsten Schwachstellen in Web Applikationen, wo Injections ebenfalls den 1. Platz der risikobasierten Rangliste für sich beanspruchen.

Welche Methode bevorzugt wird, hängt auch von den Anwendungen selbst ab. Nicht alle Content Management Systeme oder E-Commerce-Anwendungen haben ihre neuralgischen Punkte an denselben Stellen. So führte beispielweise bei dem offensichtlich auch in Unternehmen beliebten CMS Joomla mehrheitlich Remote Code Execution zum Erfolg, während das Shopsystem Magenta vor allem mit SQL-Injections zu kämpfen hatte.

Unter dem Radar und auf verschlungenen Wegen

Hacker gehen gerne den Weg des geringsten Widerstandes und suchen nach Schwachstellen, die leicht ausgenutzt werden können. Was liegt also näher, als erst einmal die Liste der bekannten und bewährten Sicherheitslücken abzuarbeiten. Dass sie damit immer wieder Erfolg haben, liegt einzig und allein daran, dass diese Lücken noch nicht geschlossen wurden. In den meisten Fällen sind es gar nicht die neuen Zero-Day-Exploits, die den Firmen zum Verhängnis werden, sondern Schwachstellen, für die es längst einen Patch gibt. Die Analysten von Alert Logic fanden Vorfälle, bei denen 18 Jahre alte Sicherheitslücken ausgenutzt wurden.

Wer sich jetzt auf der sicheren Seite fühlt, nur weil alle (bekannten) Sicherheitslücken in seinen kritischen Applikationen geschlossen sind, könnte trotzdem überrascht werden. Hacker gehen oft lateral vor. Sie suchen sich den schwächsten Punkt im Netzwerk und bahnen sich von dort aus den Weg zu den „Kronjuwelen“. In der Regel werden dafür auch ganz unterschiedliche Angriffstechniken kombiniert. Alert Logic nennen als spektakuläres Beispiel den Yahoo-Hack, bei dem die Daten von Millionen Mail-Accounts gestohlen wurden. Einfallstor soll hier ein nicht gesicherter WordPress Team Blog gewesen sein, mit einer Cross-Site Scripting Sicherheitslücke, für die es schon 2012 einen Patch gab.

Be Prepared – das Motto nicht nur für Boy Scouts

Wenn Hacker Webanwendungen angreifen, möchten sie so lange wie möglich unentdeckt bleiben. Das unterscheidet sie vom Geschäftsmodell mit Ransomware. Glaubt man den Zahlen eines Reports von FireEye, vergehen im Durchschnitt mehr als 3 Monate, bis ein Cyberangriff entdeckt wird. Viel Zeit, um viel Unheil anzurichten. Deshalb gilt auch beim Schutz von Webanwendungen und Kundendaten das Boy Scout Motto: Be Prepared.  Hier ein paar Tipps, was man tun kann, um vorbereitet zu sein:

Patchen, Patchen, Patchen

Erfolgreiche Cyberangriffe ruhen immer auf drei Säulen: einem Hacker, einer geeigneten Angriffstechnik und einer Schwachstelle, die ausgenutzt werden kann. Deshalb ist ein gutes Patch-Management für Betriebssysteme und Anwendungen immer die erste Verteidigungslinie. Und wie nicht nur das Beispiel Yahoo zeigt, sollte man das Patchen auch bei weniger kritischen Systemen im Netzwerk nicht schleifen lassen.

Application Whitelisting

Beim Application Whitelisting sorgen Sicherheitsregeln in Verbindung mit einer sogenannten Positivliste dafür, dass nur berechtigte Applikationen auf den Systemen ausgeführt werden können. Wurde schädlicher Programmcode eingeschleust, kann auf diese Weise verhindert werden, dass er auch ausgeführt wird.

Web Application Firewall (WAF)

Web Application Firewalls schützen vor SQL-Injection, Cross-Site-Scripting und allen anderen Angriffstechniken für Web Applikationen. Mit einer WAF lässt sich auch das Whitelisting sehr spezifisch konfigurieren. Sollten die dahinterliegenden Anwendungen Sicherheitslücken haben, verhindert die Web Application Firewall, dass diese von Hackern ausgenutzt werden können.

Access Management

Zugriffsrechte sind natürlich der Traum aller Hacker. Deshalb sollten Berechtigungen genau geprüft und soweit wie möglich eingeschränkt werden. Wo immer möglich sollten Passwörter durch eine starke Authentifizierung ersetzt werden.

Security by Design

Nicht zuletzt sollte das Thema Sicherheit auch bei der Softwareentwicklung und der System- und Netzwerkkonfiguration von Anfang an mitgedacht werden. Wer die typischen Angriffstechniken kennt, hat auch Möglichkeiten, um Hackern das Leben schwer zu machen.