SQL Injection als Einfallstor

So können Unternehmen sich schützen

Arved Graf von Stackelberg leitet das Continental Europa Geschäft für den Anwendungssicherheits-Spezialisten Veracode. Neben mehr als 12 Jahren Erfahrung in der Führung von bekannten Unternehmen aus dem Anwendungs-, Sicherheits- und Entwicklungsumfeld bringt er beinahe 20 Jahre Führungserfahrung aus der IT Industrie mit. Graf Stackelbergs beratender Ansatz führte sehr erfolgreich in einigen der größten und komplexesten Organisationen weltweit dazu, das diese mit der Einführung neuer Technologien sowohl ihre Geschäftsziele erreichten als auch deren Sicherheit auf die nächste Ebene heben konnten.
SQL-Injection-Angriffe gehören zu den gefährlichsten Einfallsstoren in Web-Applikationen. Diese Tipps helfen Unternehmen, solche Hackerattacken abzuwehren.

Laut Data Breach Investigations Report von Verizon gehören SQL-Injection-Angriffe zu den weit verbreitetsten und gefährlichsten Sicherheitslücken in Web-Anwendungen, über die Hacker versuchen, Unternehmen anzugreifen und sensible Daten zu entwenden. Vergangenes Jahr wurde beispielsweise Playstation Networks von Sony Opfer eines solchen Angriffs - Hacker konnten Kundendaten der Teilnehmer im Netzwerk auslesen. Auch die E-Commerce-Software Magento wurde erst kürzlich gehackt, fast 100.000 Online-Händler waren betroffen.

Obwohl es diese Art der Sicherheitslücken schon über ein Jahrzehnt gibt und SQL Injections (SQLi) es auch regelmäßig in die Top 10-Liste der Web-Sicherheitsrisiken des Open Web Application Security Project schaffen, setzen sich Unternehmen durch ebensolche Schwachstellen immer wieder Angriffen aus.

So hat auch der Diebstahl von mehr als 500 Millionen E-Mail-Adressen und rund 1,2 Milliarden Login-Daten von 420.000 Webseiten durch russische Hacker im Sommer letzten Jahres Schlagzeilen gemacht und gezeigt, welche massiven Auswirkungen SQLi-Angriffe haben können. Der gleiche Hacker-Ring wurde Ende 2014 mit einem weiteren Angriff auf die Webseite der Firmenlauf-Serie J.P. Morgan Corporate Challenge in Verbindung gebracht - obwohl die Webseite nichts mit der Bank zu tun hat, die das Event sponsert, waren die Ergebnisse schlimm genug: die Kontaktinformationen von mehr als 76 Millionen Haushalten und sieben Millionen kleiner Haushalten waren betroffen.

Was genau sind SQL Injections?

SQLi-Attacken suchen nach unsicheren Code-Sequenzen in standardisierten Web-Anwendungen wie E-Commerce-Portalen oder Content Management Systemen. Während diese Angriffe also bei weitem nicht selten sind, hat der russische Hacker-Ring eine neue Methode eingesetzt, mit der er den angerichteten Schaden maximieren konnte. So wurde ein Netzwerk von Rechnern genutzt, die bereits mit der Malware infiziert waren.

Diese automatisierte Malware suchte gezielt auf allen Webseiten, die die Nutzer der infizierten Rechner besucht hatten, nach SQLi-Schwachstellen. Sobald solche entdeckt waren, wurden die SQL-Instruktionen in sämtliche Felder injiziert, in die Nutzer Informationen eingeben hatte, also etwa Log-In-Formulare. So konnten die Angreifer herausfinden, ob sie Zugriff auf die Back-End-Datenbanken und damit auch deren Inhalte bekommen würde. Ist die entsprechende Seite anfällig für solche Angriffe, wird sie markiert und hervorgehoben, so dass die Hacker zu einem späteren Zeitpunkt die kompletten Inhalte der Datenbanken leerräumen konnten.