Wer jemals historische Schlachten studiert hat, weiß, dass keine der anderen gleicht. Dennoch kommen auf dem Schlachtfeld häufig ähnliche Strategien und Taktiken zum Einsatz, weil sie sich mit der Zeit als effektiv erwiesen haben.
Vergleichsweise gilt auch, dass ein krimineller Hacker beim Versuch, in ein Unternehmen einzudringen, nur dann sein Vorgehen von Grund auf neu überlegt, wenn dies gefordert ist: Er wird geläufige Hacking-Methoden einsetzen, die sich als effektiv erwiesen haben, wie Malware, Phishing oder Cross-Site-Scripting (XSS). Ganz gleich, ob Sie versuchen, die Schlagzeilen über den neuesten Datenverstoß zu verstehen oder eine Analyse eines Vorfalls in Ihrem eigenen Unternehmen aufzustellen, ist es hilfreich, die verschiedenen Angriffsvektoren zu kennen, die ein böswilliger Akteur einsetzt, um Schaden anzurichten. Es folgt ein Überblick über einige der geläufigsten Angriffsarten, die wir aktuell erleben.
Wechseln zu:
- Malware
- Phishing
- SQL Injection Angriff
- Cross-Site Scripting (XSS)
- Denial of Service (DoS)
- Session-Hijacking und Man-in-the-Middle Angriffe
- Wiederholter Einsatz von Zugangsdaten
Malware
Wenn Sie jemals eine Virenschutzwarnung auf Ihrem Bildschirm gesehen haben, oder jemals irrtümlicherweise auf den bösartigen Anhang in einer E-Mail geklickt haben, haben Sie bereits Kontakt mit Malware gemacht. Um sich Zugang zum Computer des Benutzers und dadurch auch Zugang zu dessen Büro zu verschaffen, verwenden Angreifer gerne Malware, weil sie sehr effektiv ist.
Als „Malware“ werden verschiedene Arten von schädlicher Software wie Viren und Ransomware bezeichnet. Sobald Sie Malware in Ihrem Computer haben, kann sie allen möglichen Schaden auslösen, angefangen bei der Kontrolle über Ihren Rechner und der Überwachung Ihrer Handlungen und Tastatureingaben bis zur stillen Weiterleitung aller Arten vertraulicher Daten von Ihrem Computer oder aus Ihrem Netzwerk an die Schaltstelle des Angreifers.
Angreifer setzen unterschiedlichste Methoden ein, um Malware auf Ihrem Rechner einzurichten, jedoch ist dazu zu einem gewissen Zeitpunkt häufig eine Handlung seitens des Benutzers erforderlich, um die Malware zu installieren. Zu diesen Handlungen zählen möglicherweise das Anklicken eines Links zum Download einer Datei oder das Öffnen eines augenscheinlich harmlosen Anhangs (wie ein Word-Dokument oder eine PDF-Datei), in der sich aber tatsächlich ein Malware-Installationsprogramm befindet.
Erfahren Sie mehr über Malware-Angriffe.
Phishing
Natürlich ist eher unwahrscheinlich, dass Sie eine unbekannte, nicht erwartete Anlage öffnen oder in einer beliebig eingehenden E-Mail auf einen Link klicken – es muss einen zwingenden Grund geben, dass Sie es tun. Das wissen auch die Angreifer. Wenn ein Angreifer möchte, dass Sie Malware installieren oder vertrauliche Informationen preisgeben, setzt er dazu häufig auf Phishing oder gibt sich als eine bekannte Person oder Organisation aus, um Sie zu einer Handlung zu bewegen, die Sie normalerweise nicht ausführen würden. Da Angreifer auf menschliche Neugier und Impulse vertrauen, sind Phishing-Angriffe schwer zu stoppen.
Bei einem Phishing-Angriff schickt ein Angreifer Ihnen vielleicht eine E-Mail zu, die von jemandem zu stammen scheint, dem Sie vertrauen, wie Ihrem Chef oder einem Unternehmen, mit dem Sie zusammenarbeiten. Die E-Mail scheint legitim zu sein und enthält ein dringliches Anliegen (z. B. wurde ein Betrugsversuch in Ihrem Konto erkannt). Der E-Mail wurde eine Anlage beigefügt, die Sie öffnen sollen, oder sie enthält einen Link, den Sie anklicken sollen. Durch Öffnen des bösartigen Anhangs installieren Sie Malware auf Ihrem Computer. Wenn Sie den Link anklicken, gelangen Sie möglicherweise auf eine legitim aussehende Website, die Sie zum Einloggen auffordert, um auf die wichtige Datei zuzugreifen – aber bei dieser Website handelt es sich tatsächlich um eine Falle, die bei der Anmeldung Ihre Zugangsdaten erfasst.
Zur Bekämpfung von Phishing-Versuchen ist es unerlässlich, sich der Bedeutung der Überprüfung von E-Mail-Absendern und Anhängen/Links bewusst zu sein.
Erfahren Sie mehr über Phishing-Angriffe.
SQL Injection Angriff
SQL (Aussprache: „Sequel“) steht für Structured Query Language oder strukturierte Abfragesprache: eine Programmiersprache zur Kommunikation mit Datenbanken. Viele der Server, auf denen wichtige Daten für Websites und Dienste gespeichert sind, verwenden SQL, um die Daten in ihren Datenbanken zu verwalten. Ein SQL-Injektionsangriff zielt speziell auf diese Art von Server ab und verwendet bösartigen Code, um den Server dazu zu bringen, Informationen preiszugeben, die er normalerweise nicht preisgibt. Dies ist besonders problematisch, wenn der Server private Kundeninformationen von der Website speichert, z. B. Kreditkartennummern, Benutzernamen und Passwörter (Anmeldeinformationen) oder andere persönlich identifizierbare Informationen, die für einen Angreifer verlockende und lukrative Ziele darstellen.
Ein SQL-Injektionsangriff nutzt eine der bekannten SQL-Schwachstellen aus, die die Ausführung schädlichen Codes auf dem SQL-Server überhaupt erst möglich machen. Wenn beispielsweise ein SQL-Server für Injektionsangriffe anfällig ist, ist der Angreifer möglicherweise in der Lage, auf das Suchfeld einer Website zuzugreifen und Code einzugeben, der den SQL-Server der Website zwingt, alle gespeicherten Benutzernamen und Passwörter für die Website freizugeben.
Erfahren Sie mehr über SQL-Injektionsangriffe.
Cross-Site Scripting (XSS)
Bei einem SQL-Injektionsangriff sucht ein Angreifer nach einer anfälligen Website, deren gespeicherte Daten wie Zugangsdaten oder vertrauliche Finanzdaten er abrufen will. Wenn der Angreifer jedoch die Benutzer einer Website lieber direkt ins Visier nehmen möchte, kann er sich für einen Cross-Site-Scripting-Angriff entscheiden. Ähnlich wie bei einem SQL-Injektionsangriff geht es bei diesem Angriff auch um die Injektion von bösartigem Code in eine Website, allerdings wird die Website selber nicht angegriffen. Stattdessen läuft der injizierte bösartige Code nur im Webbrowser des Benutzers, wenn dieser die betroffene Website besucht, und nimmt sich direkt den Besucher vor, aber nicht die Website.
Eine der häufigsten Weisen, wie ein Angreifer einen Cross-Site-Scripting-Angriff ausführen kann, ist die Injektion bösartigen Codes in einen Kommentar oder ein Skript, das automatisch ausgeführt wird. Beispielsweise könnte er einen Link zu einem schädlichen JavaScript in einen Kommentar in einem Blog einbetten.
Cross-Site-Scripting-Angriffe können den Ruf einer Website erheblich schädigen, indem sie die Benutzerinformationen gefährden, ohne dass Anzeichen dafür vorliegen, dass überhaupt etwas Bösartiges aufgetreten ist. Alle vertraulichen Informationen, die ein Benutzer an die Website sendet, wie z. B. seine Zugangsdaten, Kreditkarteninformationen oder andere persönliche Daten, können über Cross-Site-Scripting in Besitz genommen werden, ohne dass der Eigentümer der Website überhaupt bemerkt, dass ein Problem aufgetreten ist.
Erfahren Sie mehr über Cross-Site-Scripting.
Denial-of-Service (DoS)
Stellen Sie sich vor, Sie stecken auf einer einspurigen Landstraße im Stau, dessen Ende Sie nicht sehen können. In der Regel ist diese Straße nur wenig befahren, aber nun endeten gleichzeitig ein Jahrmarkt und eine große Sportveranstaltung, und diese Straße ist die einzige Ausfahrt für die Besucher. Für ein derartiges Verkehrsaufkommen ist diese Straße nicht gedacht, und dadurch ist sie so verstopft, dass kaum noch jemand wegkommt.
Genau dieses Szenario tritt bei einer Website während eines Denial-of-Service-Angriffs (DoS) ein. Wenn eine Website mit mehr Datenverkehr überschwemmt wird, als sie verarbeiten kann, überlasten Sie den Server der Website. Es wird für die Website so gut wie unmöglich, Besuchern ihren Inhalt anzuzeigen, wenn sie aufgerufen wird.
Dies kann aus legitimen Gründen geschehen, beispielsweise bei einem großen Ereignis in den Medien, wenn Besucher die Website einer Zeitung übermäßig aufrufen, um mehr zu erfahren. Häufig ist dieses Verkehrsaufkommen jedoch bösartig, wenn ein Angreifer eine Website mit exzessivem Datenverkehr überschwemmt, um sie für alle Benutzer lahmzulegen.
In einigen Fällen werden diese DoS-Angriffe von vielen Computern gleichzeitig ausgeführt. Diese Art des Angriffs wird als Distributed Denial-of-Service (DDoS) bezeichnet. Ein derartiger Angriff kann noch schwieriger zu bewältigen sein, da der Angreifer gleichzeitig über viele verschiedene IP-Adressen weltweit operiert und somit die Quelle des Angriffs für Netzwerk-Administratoren noch schwieriger zu bestimmen ist.
Erfahren Sie mehr über Denial-of-Service-Angriffe.
Session-Hijacking und Man-in-the-Middle Angriffe
Wenn Sie im Internet sind, laufen auf Ihrem Computer viele kleine wechselseitige Transaktionen mit anderen Servern weltweit, die diesen mitteilen, wer Sie sind, und die bestimmte Websites oder Dienste anfordern. Wenn alles so läuft wie vorgesehen, sollten die Webserver auf Ihre Anfragen reagieren, indem sie Ihnen die von Ihnen angeforderten Informationen anzeigen. Dieser Prozess, auch eine Sitzung genannt, geschieht unabhängig davon, ob Sie einfach nur im Internet surfen oder sich mit Ihrem Benutzernamen und Passwort auf einer Website einloggen.
Die Sitzung zwischen Ihrem Computer und dem entfernten Webserver erhält eine einzigartige Sitzungs-ID, die von beiden Parteien vertraulich gehandhabt werden sollte. Ein Angreifer kann jedoch die Sitzung kapern, indem er die Sitzungs-ID erfasst und sich als der Computer ausgibt, der etwas anfordert. Dadurch kann er sich als legitimer Benutzer anmelden und auf Informationen auf dem Webserver zugreifen, die nicht zur Freigabe vorgesehen sind. Angreifer können die Sitzungs-ID auf unterschiedlichste Weise stehlen, z. B. bei einem Cross-Site-Scripting-Angriff, mit dem Sitzungs-IDs abgerufen werden.
Ein Angreifer kann wahlweise auch die Sitzung als solche in Beschlag nehmen, um sich zwischen den anfordernden Computer und den Remote-Server zu schalten und vorzugeben, die andere Partei in der Sitzung zu sein. Auf diese Weise kann er Informationen aus beiden Richtungen abfangen. Darum werden diese Angriffe häufig als Man-in-the-Middle-Angriffe bezeichnet.
Erfahren Sie mehr über Man-in-the-Middle-Angriffe.
Wiederholter Einsatz von Zugangsdaten
Heute müssen Benutzer sich so viele Logins und Passwörter merken, dass es sich anbietet, hier oder dort dieselben Zugangsdaten zu verwenden, um sich das Leben einfacher zu machen. Auch wenn die Sicherheitsempfehlungen generell vorsehen, dass Sie für jede Anwendung und jede unterschiedliche Website eindeutige Passwörter verwenden, setzen viele Menschen ihre Passwörter wiederholt ein – darauf verlassen sich die Angreifer.
Sobald Angreifer eine Sammlung von Benutzernamen und Passwörtern einer kompromittierten Website oder eines Dienstes haben (diese lassen sich auf beliebigen Schwarzmarkt-Websites im Internet leicht erwerben), gehen sie davon aus, dass sie sich mit denselben Zugangsdaten auch auf anderen Websites einloggen können. Ganz gleich, wie bequem es sein mag, die gleichen Zugangsdaten für Ihr E-Mail-Postfach, Bankkonto und Ihr bevorzugtes Sportforum zu verwenden, ist es durchaus möglich, dass das Sportforum eines Tages gehackt wird, wodurch die Angreifer Zugang zu Ihrer E-Mail und Ihrem Bankkonto erhalten. Bei den Zugangsdaten ist Abwechslung entscheidend. Es gibt Passwort-Manager, die hilfreich sein können, wenn es darum geht, die verschiedenen Zugangsdaten zu überblicken.
Dies ist nur eine Auswahl von gängigen Angriffsarten und Vorgehensweisen (folgen Sie diesem Link, um sich spezifisch über Schwachstellen in Webanwendungen zu informieren). Die Auswahl ist keinesfalls vollständig. Angreifer entwickeln sich ständig weiter und setzen bei Bedarf neue Methoden ein. Diese Arten von Angriffen zu kennen und zu umgehen trägt jedoch entscheidend zur Verbesserung Ihrer Sicherheitslage bei.