die|site

unleashed to create

19. Mar. 2024

Vorsicht Hacker!?

Vorsicht Hacker! Symbolbild

Jeden Inhalt, den ich online verfügbar mache, setze ich der Gefahr aus, dass er angegriffen wird. Meinen Kunden wird das oft erst klar, wenn es darum geht die mühevoll zusammengetragenen Inhalte der neuen Webseite live zu stellen. Sorge „gehackt“ zu werden, Angst um die Daten – hat man ja alles schon mal gehört.

Wie in vielen Teilthemen des digitalen Lebens fehlt auch hier eine transparente öffentliche Aufklärung darüber, was die möglichen bzw. verbreiteten Angriffsszenarien überhaupt sind und vor allem welchem Zweck sie dienen.  Schaut man sich dies einmal genauer an, so ist man auch in der Lage eine Einschätzung darüber zu erlangen, ob man überhaupt ein so relevantes Ziel abgibt.

Denial of Service – Attacke

Wohl der bekannteste Angriff auf Plattformen und Webseiten. Hier werden an einen Dienst so viele Anfragen gestellt, dass dieser darunter zusammenbricht und nicht mehr funktionsfähig ist. Manchmal erlebt man diese Prozedur, wenn in einer populären TV-Show eine Webseite genannt wird. Der folgende Ansturm darauf ist dann einfach zu groß und die Seite nicht mehr aufrufbar. Wenn auch ohne böse Absicht, ist dies ein Denial of Service. Sogar der berühmte DDoS – Distributed Denial of Service – bei dem die Besonderheit ist, dass die Anfragen von einer großen Anzahl von Clients ausgeführt wird – in unserem Besipiel die PCs, Smartphones und Tablets der interessierten TV-Zuschauer.

Eine andere Variante der Methode ist es, ein Programm zu schreiben, welches beispielsweise automatisiert das Anmeldeformular einer Seite ausfüllt und abschickt. So werden je nach dahinterliegender Architektur und Technik immer mehr Rechenprozesse in Gang gesetzt, bis der Speicher des Servers dies nicht mehr gehandelt bekommt und seinen Dienst quittiert.

Kombiniert man diese beiden Methoden, lernt man wohl die wirkungsvollste Variante kennen: Viele Clients führen jeweils Scripte aus, die automatisiert Anfragen auf ein und dieselbe Adresse abfeuern. Gruppen wie Annonymous verteilen diese Scripte bisweilen, um einen geplanten Angriff möglichst effektiv zu gestalten.  

Die Schädigung bei dieser Attacke ist das Lahmlegen eines Anbieters. Im Falle von Amazon vor ein paar Jahren geht so eine erzwungene Geschäftspause mit großen Umsatzeinbußen einher und rufschädigend ist sicher auch.

Brute Force – Angriff

Hier geht’s mit „roher Gewalt“ den Passwörtern an den Kragen.

Meist geht es hier tatsächlich darum Anmeldedaten oder Sicherheitsschlüssel heraus zu bekommen. Dafür werden alle tausende Zahlen- und Buchstabenkombinationen ausprobiert, in der Hoffnung einen Treffer zu landen.

Da in den letzten Jahren viele Anbieter nur noch recht lange Passwörter zulassen, gibt es mittlerweile Listen, die bei einem Brute Force Angriff abgearbeitet werden, um die wahrscheinlichen Kombinationen direkt durchtesten zu können. Immer noch verwenden nämlich viele User Anmeldenamen wie Admin oder Administrator oder Passwörter wie 12345678.

Wer sich jetzt erwischt fühlt, sollte schnell mal die Anmeldedaten ändern, um wieder ruhiger schlafen zu können. 😉

SQL Injection

Diese Attacke geht direkt ins Herz einer jeden Anwendung – der Datenbank.

Sogenannte SQL-Befehle (Code in der Datenbanksprache SQL) werden entweder beim Aufruf im Browser hinter der normalen Webadresse eingefügt oder es werden Formularfelder z.B. im Kontaktformular als Einstieg genutzt.  

Ist die Datenbank nicht genügend geschützt, kann der Angreifer mit dem Code in der Adresszeile des Browsers oder in einem Feld des Kontaktformulars auf die Datenbank zugreifen, Inhalte auslesen, editieren oder löschen.

Die Steigerung ist dabei noch, durch den Codeschnipsel Schadcode in das System einzuführen, welcher dann innerhalb der gehackten Anwendung Funktionen ausführt.

Die meisten Applikationen verfügen heute über Schutzmechanismen, um solch einen Angriff zu verhindern oder wertlos zu machen. Formularfelder werden „escaped“, so dass deren Inhalte nicht als Code ausgeführt werden. Datenbankinhalte werden verschlüsselt abgelegt, so dass sie bei einem eventuellen unbefugten Zugang nicht lesbar sind.

XXS Cross Site Scripting

Hier verrät es der Name schon – das Ziel dieser Methode ist das Ausführen von (JavaScript) Code aus einer anderen Quelle auf der angegriffenen Seite.

Dazu wird – ähnlich dem Datenbankangriff zuvor – Code in Formularen eingefügt und ausgeführt. Meist wird ein Script aufgerufen, welches dann für den Besucher der Seite unerkannt ausgeführt wird und Daten sammelt, den User auf eine Schadseite führt etc.

Auch hierfür gibt es natürlich Schutzmaßnahmen – selbst die modernen Browser reagieren bereits bei dem Verdacht auf XSS-Angriffe und geben Warnungen aus.

Es gibt natürlich viele weitere Arten und Varianten, wie Angreifer sich fremder Daten habhaft machen oder diese manipulieren. Jedoch sind auch die Softwarehersteller mehr denn je darum bemüht Sicherheitslücken zu schließen um Daten und Kunden zu schützen. Jeder Webseitenbetreiber sollte zudem sein System bestmöglich schützen und bedacht entscheiden, welche Daten dort abgelegt werden.

Bei größeren und stark besuchten Seiten lohnt es sich einen sogenannten PEN-Test durchzuführen. Dies ist in Langform ein Penetrations-Test, bei dem IT-Sicherheitsexperten einen Angriff auf das System ausführen und so mögliche Sicherheitslücken aufdecken.

Folgende Punkte kannst du tun, um den Hackern auf deiner Seite das Leben ein wenig schwerer zu machen:

  • Setze sichere Passwörter und erneuere diese regelmäßig
  • Gebe keine Passwörter an Dritte weiter
  • Mache die von der Software angebotenen Updates
  • Nutze aktuelle Software
  • Setze ein SSL-Zertifikat auf deinen Seiten ein für eine verschlüsselte Übertragung der Daten (https)
  • Logge dich nur in vertrauenswürdigen Netzwerken in dein System ein