XSS, SQL Injection und Co.

Die beliebtesten Hacker-Techniken

Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Schwachstellen in Web-Anwendungen sind beliebte Angriffsziele von IT-Kriminellen. Der IBM X-Force Trend and Risk Report analysiert bevorzugte Angriffstechniken.

Die Zahl der Verletzungen der IT- und Datensicherheit in Unternehmen und Behörden steigt kontinuierlich. Meldeten diese im Jahr 2011 rund 7100 ernsthafte Security-Verletzungen, so waren es im letzten Jahr bereits über 8100 Fälle, berichtet der IT-Konzerns IBM in dem aktuellen "X-Force Trend and Risk Report". Betrachtet nach Ländern fanden 46 Prozent der Sicherheitsverletzungen (Security Incidents) in den USA statt, acht Prozent in Großbritannien; Australien, Indien und die Niederlande waren zu jeweils drei Prozent betroffen.

Malware-Attacken auf Web-Anwendungen

Die IBM-Security-Experten analysierten auch die wichtigsten Bedrohungstrends. Am häufigsten wurden 2012 Web-Anwendungen attackiert, gegen die sich 43 Prozent der Cyberangriffe richteten. Es gab 3500 registrierte Attacken. Das waren 14 Prozent mehr als 2011 mit gezählten 2900 Angriffen. Die Angreifer haben es bei den Attacken auf Web-Applikationen vor allem auf die Content Management Systeme (CMS) abgesehen.

Dabei nutzen die IT-Kriminellen verschiedene Angriffstechniken, um Schwachstellen auszunutzen und sich Zugriff auf Informationen, Directories und andere Komponenten zu verschaffen. Am beliebtesten sind Angriffe per Cross-Site-Scripting (XSS), gefolgt von SQL Injections. Der Anteil von XSS-Attacken lag 2012 bei 53 Prozent, ein Plus von rund acht Prozent im Vergleich zum Vorjahr. Noch 2010 hatte der XSS-Anteil bei unter 40 Prozent gelegen.

SQL Injections machten etwas weniger als 30 Prozent der Cyberangriffe auf Web-Anwendungen aus. Der Wert lag damit zwar etwas über dem des Jahres 2011, jedoch klar unter dem von 2010. Auch Denial-of-Service-(DoS) war eine beliebte Technik bei Angriffen.

In PHP-basierte Anwendungen versuchen IT-Kriminelle vorwiegend über File Includes unkontrolliert Programmcode einzuschleusen und auszuführen. Bei der Durchführung ihrer Attacken greifen Online-Kriminelle in den meisten Fällen auf bereits vorhandene IT-Werkzeugsätze wie "Itsoknoproblembro" zurück. Diese sind den IBM-Forschern zufolge in großer Menge verfügbar.

Exploit Packs gibt es ab 500 Dollar

Für 2012 registrierte der Bericht außerdem einen starken Anstieg bei der Entwicklung und dem Einsatz von Browser-Exploit-Kits, um Web-Seiten zu hacken und so Malware in IT-Systeme einzuschleusen. Solche Exploit Packs können in Hacker-Foren entweder gemietet oder gekauft werden. Die Preise liegen zwischen 500 und 3000 US-Dollar.

Dagegen sank bei Internet-Browsern die Gesamtzahl der Sicherheitslücken nominal um sechs Prozent, allerdings stieg der Anteil hochkritischer Sicherheitslecks im Jahresvergleich um 59 Prozent.

Sorge bereitet den IBM-Experten, dass knapp die Hälfte aller Firmen-Web-Seiten mit einem sozialen Netzwerk verknüpft sind. Werden Plattformen wie Facebook, Twitter und Google+ während der Arbeitszeit angesteuert oder beruflich genutzt, lässt sich der Abfluss vertraulicher Informationen kaum noch effektiv kontrollieren.

Es gibt weniger Spams aber mehr Phishing

Auch das Spam-Aufkommen verringerte sich 2012 im Vergleich zum Vorjahr erneut. Seinen Höhepunkt hatte es 2010 erreicht. Für den Juni 2012 wurde sogar das geringste Spam-Niveau während der letzten drei Jahre registriert. Die größte Spam-Schleuder weltweit ist Indien. Von dort kommt ein Fünftel der unerwünschten Nachrichten. Acht Prozent des Spams werden über die USA versendet. Im Gegenzug stieg das Aufkommen von Phishing- und Scam-Mails rapide an.

Ein eigenes Kapitel haben die Autoren der Absicherung privater Mobilgeräte gewidmet, die nach der Devise "Bring-your-own-Device" (ByoD) auch für Arbeitszwecke genutzt werden. Für den kontrollierten Zugriff auf Daten und die Infrastrukturen bietet sich laut IBM der Einsatz virtueller Desktop-Infrastrukturen (Virtual Desktop Infrastructure, VDI) auf Mobilgeräten an.

250 Milliarden Vorfälle analysiert

Um den sicheren Betrieb mobiler Anwendungen zu gewährleisten, müssen diese in einer Sandbox laufen. Zudem sollte die IT-Organisation die Möglichkeiten des Code-Signing ausschöpfen und Geschäftsdaten, die auf einem Mobilgerät gespeichert sind, jederzeit per Fernzugriff löschen können, falls es in fremde Hände gelangt.

Für den X-Force-Trend-Report, in dem IBM seit 1997 jährlich die IT-Sicherheitsverletzungen dokumentiert, werden mehr als 250 Milliarden IT-Sicherheitsvorfälle bei Kunden ausgewertet.

Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO. (sh)

Teaserbild: asrawolf, Fotolia.com