Web Application Security - der blinde Fleck der Internetsicherheit

Branchenspezifische Angriffsszenarien

Bei den Netzfilialen von Banken und Versicherungen beispielsweise sind die begehrten Zielobjekte der Cyber-Diebe PINs, TANs, Kreditkartennummern und andere hochsensible Kundendaten, die bei Online-Transaktionen zum Einsatz kommen. Phishing und Pharming sind im Bereich der Finanzdienstleistungen immer noch akute Probleme – Deutschland ist Phishing-Hochburg Nummer eins in Europa. Und das Problem greift allmählich auf den gesamten E-Commerce über.

Ein anderer Angriffsfall: Eine Command-Injection-Attacke wirkt auf den ersten Blick wie eine harmlose Anfrage. Wenn jedoch ein Angreifer im Eingabefeld „Name“ statt des Nachnamens einen Command-Befehl eintippt und dieser Befehl akzeptiert wird, kann er auf diesem Wege ohne Berechtigung sensible Informationen aus der Datenbank abfordern. Böswillige Requests in großer Menge können sogar ganze Web-Anwendungen lahmlegen – beispielsweise wenn sie rechenintensive Datenbankabfragen auslösen.

XSS: Cross Site Scripting (XSS) bedroht Online-Banking-Angebote genauso wie Web-Shops oder Portale.
XSS: Cross Site Scripting (XSS) bedroht Online-Banking-Angebote genauso wie Web-Shops oder Portale.

Bei „Man-in-the-Middle“-Attacken schaltet sich der Datendieb zwischen die beiden Kommunikationspartner – beispielsweise Bank und Kunde. Da er nach dem Janusprinzip jedem der beiden Teilnehmer den jeweils anderen vorspiegelt, gelingt es ihm, Datenströme an seine Adresse umzulenken. Egal, ob beim Session-Riding – der unberechtigten Übernahme einer HTTP-Session – oder dem Cross-Site-Scripting, bei dem der Browser des Benutzers angegriffen wird: Datendiebe kommen an falsche Identitäten und nutzen diese. So können sie im Namen des Geschädigten nahezu alle Geschäfte abwickeln, von falschen Überweisungen bis hin zu Dispokrediten. Es entstehen hohe wirtschaftliche Schäden sowie irreparable Image- und Vertrauensverluste.