Preventable But Often Ignored, Web App Attacks Expand Their Reach

Webanwendungsangriffe: Ausweitung einer vermeidbaren Gefahr

Von Teresa Meek

Ob Datendiebstahl oder Verunstaltung von Websites: Solche und ähnliche Webangriffe gibt es seit über zwei Jahrzehnten. Zwar sind solche Attacken eigentlich leicht zu verhindern, doch bereiten sie gerade in jüngster Zeit zunehmend Probleme.

Im letzten Jahr haben Angriffe auf Webanwendungen, bei denen Angreifer Code in Formularfelder eingeben, laut unserem „State of the Internet“-Sicherheitsbericht für das zweite Quartal weltweit um 25 Prozent zugenommen. Dabei findet der überwiegende Teil der Angriffe auf US-Unternehmen statt: Allein im zweiten Quartal wurden 218 Millionen Vorfälle verzeichnet.

Verzichten Unternehmen auf präventive Maßnahmen, laufen sie Gefahr, Daten, Kunden und Umsatz einzubüßen.

Preventable But Often Ignored, Web App Attacks Expand
Eine verzögerte Ladezeit von nur 100 ms kann Umsatzeinbußen von bis zu 7 Prozent nach sich ziehen – zu diesem Ergebnis kommt ein kürzlich veröffentlichter Bericht von Akamai.

Arten von Webanwendungsangriffen

Bei Webanwendungsangriffen wird Code in die interaktiven Elemente einer Website eingegeben – beispielsweise, um dem Server Daten zu entlocken oder die Ausführung von Schadcode auszulösen. Die negativen Auswirkungen dieser Art von Angriffen unterscheiden sich je nach Typ.

Cross-Site-Scripting (XSS) arbeitet mit Code, über den Websites verunstaltet oder Nutzer auf Fake-Sites weitergeleitet werden. Ziel ist der Diebstahl von Anmeldedaten. Vor einigen Jahren ging hierzu ein Vorfall durch die Presse, bei dem die Website von eBay betroffen war. XSS-Angriffe waren im letzten Quartal laut dem Bericht von Akamai für 9 Prozent der Webanwendungsangriffe verantwortlich.

Eine weitere Methode ist die sogenannte Local File Inclusion (LFI), die im zweiten Quartal ein Drittel aller Webanwendungsangriffe ausmachten. Hierbei geben Angreifer codierte Befehle in interaktive Felder ein, um auf diese Weise vom Webserver Zugriff auf vertrauliche Dateien zu erhalten. Manchmal können über LFI-Angriffe auch Schadprogramme ausgeführt werden.

Die schwerwiegendste Art von Webanwendungsangriff ist mit 51 Prozent im zweiten Quartal gleichzeitig auch die häufigste: Bei SQL-Injection-Angriffen geben Hacker Befehle in Formularfelder ein, die den Server dazu bringen, Informationen aus Datenbanken preiszugeben.

Auswirkungen von SQL-Injection

Während einer SQL-Injection werden die Ressourcen des Zielservers verlangsamt. Das bedeutet, dass Informationen, die von legitimen Nutzern abgefragt werden, langsamer laden. Diese Verzögerung mag nur wenige Millisekunden betragen – aber manchen Nutzern ist selbst das zu lang.

„Eine Seite, die in 30 bis 100 Millisekunden lädt statt wie üblich in 10 bis 20, kann für ein Unternehmen schon einen erheblichen finanziellen Schaden bedeuten“, erklärt John Summers, Enterprise Vice President und General Manager bei Akamai Technologies. „Wenn Sie etwas verkaufen, was der Kunde nicht augenblicklich bei Ihnen erwerben kann, sucht er woanders. Wir sprechen hier von potenziellen Verlusten in Millionenhöhe.“

Eine Verzögerung bei der Ladezeit von nur 100 ms kann Umsatzeinbußen von bis zu sieben Prozent nach sich ziehen – zu diesem Ergebnis kommt ein kürzlich veröffentlichter Bericht von Akamai. Eine Verzögerung von zwei Sekunden bedeutet, dass im Schnitt doppelt so viele Besucher die Seite verlassen.

Und nicht nur das: Während die Kunden Ihrem Unternehmen den Rücken zukehren, werden durch die SQL-Injection gleichzeitig Daten aus Ihrer Datenbank geschleust. Mit einer einzigen Attacke kommen Angreifer üblicherweise nur an wenige Informationen, doch häufig kommt es zu regelrechten Angriffsserien. Diese dauern solange, bis die Angreifer ihr Ziel erreicht haben und den gesamten Inhalt der Datenbank extrahiert haben.

Bei einem Angriff können Nutzernamen und Kontokennwörter der Kunden gestohlen werden, außerdem sehen die Angreifer ihren Browser- und Einkaufsverlauf. Kreditkartendaten sollten auf jeden Fall verschlüsselt werden, damit diese nicht auch abgegriffen werden können.

Als Faustregel gilt: Verschlüsselte Daten sind vor solchen Angriffen sicher. Speichert allerdings ein Website-Entwickler den Verschlüsselungsschlüssel nicht ordnungsgemäß, könnte dieser durchaus auch in die falschen Hände geraten. Missbrauch wie dem Download von Kreditkartennummern und anderen persönlichen Informationen wären Tür und Tor geöffnet.

Angriffen vorbeugen

Unternehmen können Webanwendungsangriffen ganz einfach vorbeugen. Eine Möglichkeit ist, Websites so zu programmieren, dass keine Computerbefehle in Felder eingegeben werden können, die für die Kunden vorgesehen sind. Eine andere ist die Installation von Web Application Firewalls.

Solche Firewalls scannen Websitetraffic und benachrichtigen ein Unternehmen, wenn die Site Besuch aus einer Region erhält, in der üblicherweise keine Geschäftstätigkeit stattfindet.

„Wenn Ihre Kunden zu 99 Prozent aus Europa stammen und Sie plötzlich Traffic aus Australien sehen, rate ich zur Vorsicht“, so Summers.

Das Firewall-System von Akamai scannt den Traffic nach ungewöhnlichen Mustern und führt ebenfalls eine Bewertung einzelner IP-Adressen durch. Werden IP-Adressen erkannt, die bereits in anderen Attacken genutzt wurden, werden diese als verdächtig gekennzeichnet. Wird solcher verdächtiger Traffic bemerkt, können Unternehmen zusätzliche Überprüfungsmechanismen in Gang setzen, ehe eine Interaktion zugelassen wird.

Webanwendungsangriffen vorzubeugen ist kein Hexenwerk, doch viele Unternehmen investieren nicht ausreichend Ressourcen, um ihre Präventivmaßnahmen wirkungsvoll auszugestalten. Andere verpassen den Zeitpunkt, eine Neu-Evaluierung ihrer Website vorzunehmen, und werden von Neuerungen in der Bedrohungslandschaft überrascht.

„Unternehmen benötigen Zeit, Energie, Geld und den Willen, am Ball zu bleiben – bislang wurde das nicht als Priorität gesehen“, so Summers.

Unterdessen sind Hacker im Web unermüdlich auf der Suche nach Websites, die geeignete Ziele für Anwendungsangriffe abgeben. Es gibt sogar ein Tool, das den Prozess automatisiert und Seiten findet, die nicht ausreichend geschützt sind. Und wie das Tool funktioniert, erklärt ein praktisches YouTube-Video.

In einem solchen Umfeld müssen Unternehmen ihre Prioritäten anpassen, um auf Webanwendungsangriffe vorbereitet zu sein – und nicht nur auf solche, die große öffentliche Aufmerksamkeit erfahren, wie DDoS-Angriffe (Distributed Denial of Service), meint Summers.

„Webanwendungsangriffe lasten Ressourcen aus, kosten Geld, greifen Kundendaten ab und bedeuten langsame Websites und negative Presse“, warnt Summers. „Anders als bei DDoS-Angriffen wird das System nicht komplett lahmgelegt, doch langfristig können die negativen Auswirkungen durchaus vergleichbar sein.“

Teresa Meek lebt und arbeitet in Seattle. Während ihrer 15 Jahre Erfahrung im Bereich Kommunikation hat sie bereits für den Miami Herald und Newsday geschrieben.