Schwachstellen-Management

Lösungsstrategien für die optimale Websicherheit

| Autor / Redakteur: Paddy Francis / Peter Schmitz

Hacker setzen ständig neue Angriffstechniken ein um an Daten ihrer Opfer zu gelangen oder die Online-Geschäfte eines Unternehmens zu stören.
Hacker setzen ständig neue Angriffstechniken ein um an Daten ihrer Opfer zu gelangen oder die Online-Geschäfte eines Unternehmens zu stören. (Bild: gemeinfrei)

Cyberangriffe wurden 2018 vom Weltwirtschaftsforum als größter Risikofaktor eingestuft. Das größte Problem sind dabei vor allem webbasierte Angriffe. Da die Mehrheit der Unternehmen ihre Geschäfte über das Internet abwickelt, kann der Aufwand für vollständige Transparenz bei gleichzeitiger kompletter Sicherheit extrem hoch sein.

Cyberangriffe verursachen enorme Schadenssummen und es wird geschätzt, dass bis 2021 die durch Cyberkriminalität verursachten Kosten auf 6 Billionen Dollar ansteigen werden. Die negativen Auswirkungen auf Unternehmen sind so besorgniserregend, dass Cyberangriffe vom Weltwirtschaftsforum 2018 als größter Risikofaktor eingestuft wurden. Das größte Problem sind vor allem webbasierte Angriffe. Da die Mehrheit der Unternehmen ihre Geschäfte über das Internet abwickelt, kann der Aufwand für vollständige Transparenz bei gleichzeitiger kompletter Sicherheit extrem hoch sein. Unabhängig davon, ob es sich um eine Beeinträchtigung der Website oder einen Imageschaden der Marke handelt, oder ob es sich um den Diebstahl sensibler Informationen oder um einen Denial-of-Service-Angriff handelt, der Spielraum eines Cyberangriffs hat sich erheblich vergrößert, wobei Websites als erstes und größtes Einfallstor genutzt werden.

Die ganze IT-Security im Blick

Security-Startups im Blickpunkt: Cyberscan.io

Die ganze IT-Security im Blick

30.11.18 - IT-Security ist, durchaus vergleichbar, mit einem Eisberg. Bei der Eismasse sind gut 85 Prozent unter Wasser verborgen und nur ein kleiner Rest ist über der Wasserlinie sichtbar. Bei der IT-Sicherheit verhält es sich ebenso, denn Malware-Scanner, die Zwei-Faktor-Authentifi­zierung oder der Bildschirmschoner sind nur die sichtbaren Komponenten. Der größere Security-Teil ist meistens unsichtbar, entfaltet aber oft die größte Wirkung. lesen

Die wichtigsten Schwachstellen

Zu den wichtigsten webbasierten Bedrohungen gehören Cross-Site-Scripting (XSS) und Structured Query Language (SQL), die die beiden größten Schwachstellen sind, die von Cyber-Kriminellen ausgenutzt werden und für über 50 Prozent der Angriffe verantwortlich sind.

Ein SQL-Injektionsangriff tritt auf, wenn eine SQL-Abfrage über einen Dateneintrag eingefügt oder injiziert wird, sodass ein Hacker entweder versuchen kann, die Datenbank zu modifizieren oder die Daten herunterzuladen. Ein Paradebeispiel für einen SQL-Injektionsangriff wäre der TalkTalk-Hack 2015, von dem 157.000 Kunden betroffen waren. Dieser Angriff war erfolgreich, da die Schwachstelle bis zur Aktivierung in der Datenbankanwendung inaktiv blieb. Es wurde auch festgestellt, dass Hacker diese Angriffstechnik bei den US-Präsidentschaftswahlen 2016 angewendet hatten.

Das Hauptziel für diejenigen, die XSS-Angriffe einsetzen, ist es, die Kontrolle über Anwendungen, Geräte oder die Daten eines anderen Benutzers zu erlangen. Diese Art der Injektion richtet sich hauptsächlich gegen vertrauenswürdige Websites. Wenn Befehlsskripte am Ende eines Texteintrags vom Hacker eingegeben und vom legalen Nutzer angeklickt werden, läuft die Anwendung so, als ob es sich um den legitimen Benutzer handelt, ohne Einstellungen zu ändern und sensible Daten preiszugeben. Bei korrekter Ausführung könnte der Hacker bösartiges Skript an den Endnutzer senden, während die Webanwendung glaubt, dass dieses vertrauenswürdig ist und daraufhin den bösartigen Befehl ausführt. Dadurch können Malware-, Keylogging- und Cookie-Diebstahlangriffe möglich werden.

Schweizer Taschenmesser für die IT-Sicherheit

Security-Startups im Blickpunkt: Enginsight

Schweizer Taschenmesser für die IT-Sicherheit

14.09.18 - Ein Schweizer Taschenmesser, gilt als das Synonym für ein kompaktes Tool, das alle notwendigen Komponenten bereitstellt, die man brauchen könnte. Das Startup Enginsight kommt zwar nicht aus der Schweiz, sondern aus Jena, aber für den Security-Admin ist deren Lösung ein elektronisches Schweizer Taschen­messer. Enginsight überwacht IT-Landschaften auf Sicherheit, Verfügbarkeit und Stabilität. lesen

Die Ursachen für Schwachstellen wie SQL und XSS liegen in der schlechten Filterung von Skriptzeichen und dem Vorhandensein von Datentypisierung beim Erstellen der Webanwendungen. Da jede Adresse individuell verwaltet wird, werden Updates in verschiedenen Phasen durchgeführt. Dies ist das Zeitfenster, in dem Hacker versuchen, zuzuschlagen, da Sicherheitsupdates oder Tests auf Websites, viel zu selten durchgeführt werden. Cyberkriminelle nutzen diese Angriffsmethode aufgrund der schieren Anzahl der verfügbaren Websites weiterhin.

Wie Sicherheit effektiv erreicht werden kann

In einer idealen Welt würde die notwendige Sicherheit in Websites eingebettet sein, bei denen Sicherheitsteams und Entwickler zusammenarbeiten, um sicherzustellen, dass die Systeme kontinuierlich überwacht, gepatcht und aktualisiert werden. Als Standard für optimale Sicherheitspraktiken würde eine Web Application Firewall (WAF) zum Schutz von Websites vor bekannten Schwachstellen wie XSS- und SQL-Injektionsangriffen die Gefahr potenzieller Risiken reduzieren.

Für Unternehmen, die mit einer einfachen Website mit minimaler Funktionalität arbeiten, genügt es, Personen mit Sicherheits- und Web-Kenntnissen zur Verwaltung, Überprüfung und Durchführung häufiger Sicherheitstests zu haben. Für Websites, die anspruchsvoller und komplexer sind und häufiger weiterentwickelt werden, wären regelmäßige Tests nicht effizient. Stattdessen wären eine ständige Bedrohungsüberwachung und ein Schwachstellen-Scanning zur Verfolgung der Website sinnvoller. Dabei ist auch entscheidend, ob das Unternehmen ein Hosting-Unternehmen mit der Verwaltung und Wartung seiner Website beauftragt hat. In diesem Fall muss ein klares Einvernehmen darüber bestehen, welche Sicherheitsbereiche abgedeckt sind, wessen Aufgabe es ist, die Verteidigungsparameter sicherzustellen und welche Prozesse im Falle eines Angriffs eingehalten werden müssen. Diese Überprüfung ist unerlässlich, insbesondere für kleinere Organisationen, die traditionell anfälliger für webbasierte Cyberangriffe sind.

Proaktiver Webseitenschutz aus einer Hand!

Security-Startups im Blickpunkt: Net Wächter

Proaktiver Webseitenschutz aus einer Hand!

23.06.17 - Webseiten sind das Aushängeschild jedes Unternehmens und immer öfter auch das wirtschaftliche Zentrum. Cyberkriminelle nutzen das gerne aus um Geld zu erpressen, Malware zu verteilen oder Rufschädigung zu betreiben. Das Startup Net Wächter bietet Unternehmen deshalb einen umfassenden Webseitenschutz an, der nicht nur einen konkurrenzfähigen Preis hat, sondern zusätzlich noch ein interessantes „Bonbon“ bietet. lesen

Wenn kein Hosting-Unternehmen genutzt wird und die Organisation tatsächlich selbst der Host der Website ist, ist es wichtig, dass die Systeme geschützt und von den Webservern getrennt gehalten werden. So kann die Bedrohung verringert werden, dass der Webserver als Portal für einen Angriff auf die Betriebssysteme durch Hacker genutzt wird.

Schließlich ist es bei der Diskussion über Websicherheit wichtig, dass Sicherheit bereits innerhalb der Lieferkette nicht vernachlässigt wird. Solange dies ignoriert wird, besteht immer das zusätzliche Risiko, dass Hacker den Code der Tools ändern, die zum Erstellen von Websites verwendet werden, um versteckte Hintertüren einzubauen oder Malware einzuschleusen. Essentiell hierfür ist die Kommunikation mit dem Web-Provider, der für die notwendige Sicherheit und das gründliche Testen der Website verantwortlich ist, um diese Risiken abzumildern.

Für umfassende Sicherheit gibt es keine einfache Antwort, und genauso schwierig ist es, wenn es um die Sicherung der Website geht. Da Hacker ständig neue Angriffstechniken einsetzen, werden die Herausforderungen für Unternehmen weiter wachsen. Sicherheit ist keine Nebensache und muss während der gesamten Entwicklungsphase eines Systems berücksichtigt werden. Um echte Resilienz gegen Cyberangriffe zu gewährleisten, müssen Unternehmen Threat Assessments durchführen, die die Voraussetzungen, Anforderungen und Vorgehensweisen bei der Behebung von Schwachstellen vollständig erfassen.

Über den Autor: Paddy Francis ist CTO bei Airbus CyberSecurity.

Webseiten-Schutz für Jedermann!

Security-Startups im Blickpunkt: Patronus.io

Webseiten-Schutz für Jedermann!

26.05.17 - Gerade bei KMU und kleinen Web-Agenturen fehlt oft das Knowhow für die nötige Sicherheit der Systeme. Das Berliner Startup Patronus.io bietet einen klassischen Schutz für Webseiten an, der sich ohne viel Schnick-Schnack an Bedarf des Kunden und an den derzeitigen Angriffsvektoren der Hacker und Cyberkriminellen orientiert und das zum KMU-tauglichen Preis. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45790656 / Mobile- und Web-Apps)