Nach den Ergebnissen des aktuellen "Web Hacking Incidents Database Report" der Nonprofit-Organisation WASC gelingt es Cyber-Kriminellen offenbar nach wie vor, mit Techniken wie SQL-Injection E-Commerce-Sites oder andere Transaktionssysteme anzugreifen. Laut dem Bericht, der auf Untersuchungen von rund 80 Web-Applikations-Attacken im vergangenen Jahr basiert, sind die Angreifer allerdings dabei, ihren Horizont zu erweitern – sowohl im Hinblick auf ihre Taktiken als auch auf ihre Zielgruppe.
"SQL-Injection funktioniert nach wie vor überraschend gut, aber auch andere Techniken wie Cross-Site-Request-Forgery (CSRF) werden zunehmend genutzt, für die möglicherweise sogar noch mehr Websites anfällig sind", berichtet Ryan Barnett, Projektleiter beim WASC und Director Application Security Training bei dem Firewall-Anbieter (und Sponsor des Reports) Breach Security. SQL-Injection, eine Technik, die Sicherheitslücken im Datenbank-Layer von Applikationen ausnutzt, um sie zu kompromittieren, ist demnach ein anhaltend wunder Punkt in Web-Anwendungen – speziell E-Commerce-Sites. Dies sei angesichts der hinlänglich bekannten Angriffsmethode verwunderlich, so Barrett.
Zunehmend häufiger – wenn auch noch nicht annähernd so verbreitet wie SQL-Injection - sind dem Experten zufolge CSRF-Attacken, bei denen Angreifer versuchen, authentifizierte Web-Sessions für ihre Zwecke zu kapern. Laut Report machen sie einen Anteil von zwei Prozent der untersuchten Vorfälle aus, während SQL-Injections mit 20 Prozent das häufigste Exploit-Format darstellten.
An zweiter Stelle mit 15 Prozent steht die unbeabsichtigte Preisgabe von Informationen etwa durch Sites, die Authentifizierungsfehler so detailliert darstellen, dass Hacker sie zu Angriffzwecken nutzen können. Auf dem dritten Platz landeten laut Bericht Cross-Site-Scripting-Exploits (XXS) mit zwölf Prozent. Dabei versehen Angreifer legitime Web-Seiten mit Malware, um die Rechner der Besucher zu kompromittieren.
Datendiebstahl – das Hauptmotiv der Hacker
Nach den Ergebnissen des Reports stellt Datendiebstahl in 42 Prozent aller inspizierten Vorfälle das primäre Angriffsmotiv dar. An zweiter Stelle steht überraschenderweise die Verunstaltung von Web-Seiten: Die angesichts der zunehmend profitorientierten Hacker-Szene mittlerweile als aussterbende Kunst geltende Disziplin war das Motiv für 23 Prozent der Angriffe, gefolgt von Exploits mit dem Ziel, Malware auf Web-Seiten zu deponieren (rund 15 Prozent). Ingesamt waren 67 Prozent aller vom WASC untersuchten Angriffe speziell darauf ausgelegt, finanziellen Profit zu machen, was die Forscher als Indiz für die fortschreitende Professionalität der Hacker deuten.
Als bevorzugte Zielscheibe haben Cyber-Kriminelle mittlerweile offenbar Regierungsbehörden auserkoren: Dem Report zufolge richteten sich insgesamt rund 29 Prozent der untersuchten Angriffe gegen Ämter. Dies sei eventuell darauf zurückzuführen, dass Finanzdienstleister und Handelsunternehmen - bislang häufig Opfer von Attacken - bei den Maßnahmen zum Schutz ihrer Applikationen entsprechend nachgerüstet haben, so die Experten. 15 Prozent der Attacken zielten auf Bildungseinrichtungen ab, während es die Hacker in zwölf Prozent der Fälle auf den Einzelhandel sowie die Medienbranche abgesehen hatten. (kf)