Was ist ein Angriffsvektor?
Der Angriffsvektor beschreibt den Weg eines Angriffs und die verwendete Technik. Cyberkriminelle verschaffen sich über den Angriffsvektor Zugriff auf Computer oder Server im Netzwerk mit dem Ziel, einen Virus zu installieren oder anderen Schaden anzurichten. Mithilfe der Angriffsvektoren nutzen Angreifer die Sicherheitslücken in betroffenen Systemen aus, wozu auch die menschliche Komponente gehört.
Welche Angriffsvektoren gibt es?
Zu den üblichen Angriffsvektoren gehören E-Mail Anhänge, Viren, Webseiten, Instant-Messenger-Nachrichten, Pop-up-Fenster und Chat-Räume. Die Methoden für die Angriffe setzen Programmierkenntnisse voraus, teilweise wird bestimmte Hardware benötigt. Einzig die Methode der Täuschung erfordert keine besonderen Kenntnisse. Dabei bringt ein Angreifer den Systemadministrator oder eine andere Person mit Zugangsdaten durch täuschende Maßnahmen dazu, wichtige Sicherheitsmaßnahmen auszuschalten oder zu deaktivieren.
Bis zu einem gewissen Grad blockieren Antiviren-Programme und Firewalls die Angriffsvektoren. Vollkommene Sicherheit ist allerdings nicht möglich, eine heute funktionierende Abwehrmaßnahme kann bereits morgen veraltet sein. Die Cyberkriminellen verbessern ihre Angriffsvektoren kontinuierlich und entwickeln völlig neue Wege und Techniken.
Wie können die Angriffe erfolgen?
Damit die eigene Webseite nicht für Phishing, Spamming oder anderes missbraucht wird, muss jeder Webseitenbetreiber entsprechende Vorsichtsmaßnahmen treffen. Angriffe mit nicht autorisiertem Zugriff können auf unterschiedlichen Wegen erfolgen:
Bei Angriffen über das Netzwerk nutzen Angreifer Schwachstellen in der Hard- und Software von Netzwerkkomponenten, Anwendungen und Systemen aus. Zum Einsatz kommen Techniken wie Sniffing, Injections, Buffer-Overflows und Portscans.
Eine Alternative ist der tatsächliche Zugriff auf ein IT-System, indem sich der Angreifer Zugang zum Rechenzentrum verschafft. Die Umgehung dieser Sicherheitsmaßnahmen stellt ein enormes Risiko dar und ist in jedem Fall vom Betreiber zu unterbinden.
Ein dritter Weg für den Erhalt von Zugangsdaten ist das Social Engineering, Betroffene werden mit infizierten E-Mail Anhängen oder auf anderen Wegen beeinflusst.
Wo liegen die Angriffsvektoren einer Webseite?
Aufgrund der ständigen Weiterentwicklung der Anwendungen und der Verwendung neuer Technologien ändern sich die Bedrohungen für Webanwendungen permanent. Angriffsmöglichkeiten innerhalb einer Webseite unterscheiden sich in der Schwierigkeit der Durchführung und dem Schadenspotenzial. Das OWASP (Open Wen Application Security Project) hat die Top 10 Risiken für Webseiten unter Berücksichtigung von Angriffsvektor, Verbreitung, Auffindbarkeit und technischer Auswirkung herausgearbeitet:
1. Injection-Schwachstellen
Von Injection-Schwachstellen geht ein großes Risiko aus, Cyberkriminelle können zum Beispiel mit einer SQL-Injection Änderungen an der Datenbank vornehmen und sich unautorisierten Zugriff verschaffen.
2. Fehler im Session-Management und der Authentifizierung
Wenn Funktionen für die Authentifizierung und das Session-Management nicht richtig umgesetzt werden, können Angreifer das Session-Token oder Passwörter kompromittieren und sich als anderer Benutzer ausgeben.
3. Cross Site Scripting (XSS)
Nimmt eine Anwendung ungeprüfte Daten einfach entgegen und leitet diese ohne Validierung an einen Webbrowser weiter, handelt es sich um eine XSS-Schwachstelle. In der Folge führen Angreifer Scriptcode im Browser des Opfers aus und leiten dieses zum Beispiel auf eine andere Webseite um.
4. Unsichere direkte Objektreferenzen
Wenn Referenzen zu Dateien, Datenbankschlüsseln oder Ordnern von außen zugänglich sind, treten unsichere direkte Objektreferenzen auf. Cyberkriminelle können die Referenzen manipulieren und sich auf diesem Weg unautorisierten Zugriff verschaffen.
5. Sicherheitsrelevante Fehlkonfiguration
Die Konfiguration der Webseite muss richtig sein, dazu zählt die Konfiguration der Anwendung, des verwendeten Frameworks, des Datenbankservers und der Plattform. Voreinstellungen sind oft unsicher und müssen angepasst werden. Zudem müssen die Betreiber sämtliche Programme regelmäßig updaten.
6. Verlust der Vertraulichkeit sensibler Daten
Wenn eine Anwendung vertrauliche Daten wie Zugangsinformationen oder Kreditkartendaten nicht richtig schützt, können Angreifer diese unzureichend geschützten Daten auslesen, verändern oder löschen. Für vertrauliche Daten muss ein zusätzlicher Schutz wie eine Verschlüsselung während der Speicherung implementiert sein.
7. Fehlerhafte Autorisierung auf Anwendungsebene
In vielen Anwendungen erfolgt die Freigabe von Funktionen für unterschiedliche Zugriffsberechtigungen einfach durch das Ausblenden der Schaltflächen in der Benutzeroberfläche. Wichtig ist, dass die Software die Berechtigung auch beim direkten Zugriff auf eine Funktion überprüft, andernfalls sind Server-Anfragen ohne entsprechende Berechtigungen möglich.
8. Cross-Site Request Forgery (CSRF)
Mit einem CSRF-Angriff wollen Cyberkriminelle erreichen, dass Opfer in einer bereits eingeloggten Webanwendung eine manipulierte Anfrage ausführen. Der Angreifer kann dann im Namen des Opfers Aktionen ausführen und zum Beispiel bei Facebook Nachrichten verschicken.
9. Komponenten mit bekannten Schwachstellen nutzen
Bei Webanwendungen erfolgt der Zugriff auf verwendete Frameworks und andere Softwaremodule meist mit vollen Berechtigungen. Befinden sich Schwachstellen in den Zusatzkomponenten, können Angreifer diese ausnutzen und unter Umständen den Server übernehmen.
10. Nicht geprüfte Um- und Weiterleitungen
Weiterleitungen auf andere Seiten oder zu anderen Anwendungen erfolgen häufig unter Verwendung nicht vertrauenswürdiger Daten. Wird das Ziel nicht entsprechend geprüft, können Angreifer Um- oder Weiterleitungen zu Phishing-Seiten oder anderen Seiten mit Schadcode einrichten.
Die Top 10 der OWASP erfasst lediglich die größten Risiken, es existieren allerdings mehr Gefahren.