Screenshot mit Binärcode in Grün und dem Schriftzug Session Hijacking im Zentrum des Bildes in Orange
Security

Session-Hijacking – So schützen Sie sich vor Identitätsdiebstahl im Netz

Beim Session-Hijacking gemäß Definition versuchen Angreifer:innen, aktive Benutzersessions (beispielsweise Besuche auf Webseiten mit Login) zu übernehmen und zu „entführen“. Nach erfolgreicher Übernahme einer Session ist es zum Beispiel möglich, geschützte Anwendungen zu nutzen oder geraubte Identitäten zu verwenden.

Cyberkriminelle gehen beim Session-Hijacking normalerweise in zwei Phasen vor. Am Anfang steht die Übernahme von TCP-Sessions (TCP Session-Hijacking) durch Ausspähen des Datenverkehrs. Danach erfolgt die Übernahme von Sessions bei unverschlüsselten HTTP-Zugriffen (PHP Session-Hijacking). Was genau sich hinter beidem verbirgt, welche Risiken entstehen und wie Sie sich davor schützen können, erfahren Sie hier.

Inhaltsverzeichnis

Session-Hijacking – Was ist das?

Sessions sind für sich genommen keine Sicherheitslücke, sondern normaler Bestandteil des Internets. Viele Webseiten arbeiten systembedingt damit, den Login-Status und die Verweildauer auf einer Seite zu überprüfen. Nahezu alle Webanwendungen, die mit PHP als Programmiersprache aufgebaut sind, verwenden Sessions zur Handhabung und Kontrolle der Login-Prozedur. Sie sollen dabei helfen, dass Benutzer:innen sich nicht bei jedem Wechsel des Browserfensters neu ein- und ausloggen müssen. Außerdem sorgen sie dafür, dass Daten innerhalb einer Webseite und deren Teilanwendungen korrekt übergeben werden.
Eine Session wird dabei immer dann angelegt, wenn Webanwendungen Daten zur Registrierung und Authentifizierung bearbeiten und zwischenspeichern (puffern). Sobald jemand sich über einen Webbrowser auf einer Plattform oder in einer Webapplikation einloggt, werden somit Sessions aufgebaut. Jede Session ist dabei über eine eindeutige Session-ID zu identifizieren. Diese Session-ID wird vom Browser bei jedem Seitenaufruf an den Webserver gesendet, sodass dieser dadurch eingeloggte Personen identifizieren und voneinander unterscheiden kann.
Die jeweiligen Web-Anwendungen sind dadurch in der Lage, den Status der Online-Sitzung – also der Session – zu kontrollieren. So ist es möglich zu sehen, ob die eingeloggte Person nach kurzzeitiger Abwesenheit und fehlender Interaktion mit der Seite immer noch identisch ist. Was als Kontrollmöglichkeit gedacht ist, öffnet jedoch gleichzeitig einen Ansatzpunkt für Cyberkriminelle.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Hier liegt also das erwähnte Sicherheitsrisiko des Session-Hijacking: Gelingt es Cyberkriminellen, an die Session-Daten zu gelangen, können diese ohne Kenntnis der Zugangsdaten diese übernehmen und so wie die rechtmäßig eingeloggte Person agieren. Alle Rechte und Möglichkeiten des regulären Accounts stehen dann den Angreifenden zur Verfügung.

Session-Hijacking: Wie funktioniert die virtuelle Entführung von Sitzungen?

Session-IDs können in unterschiedlicher Form bereitgestellt werden. Die unsicherste Form ist die Übergabe als Parameter, bei dem die ID an die URL angehängt wird. Beim Aufruf von "http://meine-webseite.de/index.php?sid=ZEICHENFOLGE" kennzeichnet der Begriff "ZEICHENFOLGE" eine Session-ID, bestehend aus Buchstaben und Zahlen. Durch das Fehlen von https (HyperText Transfer Protocol Secure) als Übertragungsprotokoll in der Adresse werden jedoch alle Daten unverschlüsselt übertragen.
Wird die genannte Zeichenfolge nun beispielsweise durch eine Man-in-the-middle-Attacke oder simples Ausprobieren erraten, kann ein angreifendes System die Sitzung "kapern" und somit die Kontrolle übernehmen.
Die zweite Möglichkeit ist, Session-IDs in Cookies zu speichern. Cookies sind kleine Textdateien, die beim Besuch von Webseiten auf dem lokalen Rechner gespeichert und bei Seitenaufrufen an den Server gesendet werden. Diese Methode wird von Entwickler:innen meist aus Sicherheitsgründen bevorzugt und erschwert es Angreifer:innen, entsprechende Daten abzufangen. Manche Online-Shops arbeiten dennoch zusätzlich mit der Übertragung via URL, was sehr leicht in der Adresszeile des Browsers zu erkennen ist.
Diese Angriffsarten werden häufig auch als "PHP Session Hijacking", TCP Session Hijacking", "Session Hijacking Attack" oder schlicht "Session Hijacking" bezeichnet.
Betreiber:innen von Shops sollten darauf achten, dass sie mit SSL-Verschlüsselung arbeiten. Das Kennzeichen dafür ist ein Schloss-Symbol in der Adresszeile beziehungsweise das "https" im Adressenaufruf. Fehlt dieses, werden alle Daten unverschlüsselt übertragen, was Kriminellen eine Übernahme dieser Daten leicht macht. In der Praxis gibt es heutzutage kaum noch Webseiten, die gänzlich ohne Verschlüsselung auskommen; oder der Webbrowser markiert sie als unsicher und sie erhalten somit weniger Zulauf.
Beide Formen der Cookie-Speicherung sind für sich gesehen sicher. Erst durch den Einsatz von Malware ist es möglich, an diese Daten zu gelangen – entweder im Zusammenhang mit kompromittierten Systemen oder innerhalb eines unsicheren Netzwerks. Neben diesen im eigenen Netzwerk und Rechner vorhandenen Sicherheitslücken können auch auf den Portalen selbst Malware und Systemfehler dafür sorgen, dass Session-IDs nicht sicher sind. Basis für solche Angriffe sind häufig sogenannte Cross-Site-Scripting-Attacken (XSS). Diese ermöglichen es, Schadcode auf Webseiten einzuschleusen. Solcher Schadcode kann dann dazu führen, dass Login-Daten und andere Eingaben umgelenkt und anderen Personen zugänglich gemacht werden.
Wenn Cyberkriminelle beispielsweise durch XSS eingeschleuste Links mit JavaScript-Schadcode an potenzielle Opfer senden, reicht ein Mausklick auf den angebotenen Link, um den JavaScript-Code auszuführen und der Malware Systemzugriff zu verschaffen. Auch ist es beispielsweise möglich, den Datenverkehr umzulenken. Ist der Datenverkehr erst einmal in fremden Händen, lassen sich Sessions leicht übernehmen oder der Zugriff auf den Server manipulieren.
Infografik mit Logos zur Kommunikation innerhalb von Client und Server mit der Wirkungsweise des Session-Hijackings
Durch die Übernahme von Session-IDs können Angreifende kompletten Zugriff auf Systeme und Accounts erlangen.

Sicherheitslücken durch Servervariablen

Webserver legen Session-Variablen je nach Servertyp immer in festgelegten Verzeichnissen ab. Auf dem Apache-Webserver innerhalb des Installationspaketes Xampp ist das beispielsweise das Verzeichnis „\xampp\tmp“.
Bei Nutzung des Servers durch mehrere Personen ist für das Beispiel Xampp die Standardeinstellung so festgelegt, dass das System für alle ein identisches Verzeichnis zum Abspeichern der Session-Daten nutzt. Angreifer können dieses Verzeichnis auslesen, wodurch sie dann auch Zugriff auf alle Session-Daten haben.
Wurden systembedingt Benutzername und Kennwort der aktuellen Sitzung in einer Session-ID gespeichert, könnten Angreifer diese nun direkt im Klartext dort auslesen.
Statistik zeigt die anteilsmäßige Entwicklung der einzelnen Arten von Cyberangriffen zwischen 2019 und 2021 in Unternehmen.
Cyberangriffe sind kein seltenes Phänomen mehr. Sie betreffen nahezu jedes Unternehmen heutzutage.

Systemseitiger Schutz durch ablaufende Sitzungen

Die unterschiedlichen Sessionvariablen steuern das Verhalten des Webservers. Die in „session.cache_expire“ gespeicherten Werte definieren die Laufzeit einer Session. Steht dort beispielsweise der Wert „10“, so verfällt die Session automatisch nach 10 Minuten, falls innerhalb dieser Zeit keine Aktionen über den Webbrowser stattfinden. Durch entsprechend niedrige Werte wird grundsätzlich ein höheres Maß an Sicherheit erzielt. Das liegt daran, dass Cyberkriminelle so möglichst wenig Zeit für das Ausspähen und Auslesen von Speicherwerten haben. Diese höhere Sicherheit bezahlen Kund:innen jedoch mit der Tatsache, dass bei Inaktivität Sitzungen schneller geschlossen werden und ein erneutes Login erforderlich ist. Wird beispielsweise ein Warenkorb oder ein Eingabeformular dabei nicht serverseitig zwischengespeichert, kann dies für große Frustration sorgen, weil die bis dato getätigten Eingaben oder Warenkorbinhalte „verloren” sind. In der Summe ist der Schutz gegen Session-Hijacking also immer auch eine Sache der Abwägung – zwischen dem gewünschten Komfort für Nutzende und der maximal möglichen Sicherheit.
Junger Mann im Home Office schaut auf seinen Notebook-Bildschirm

Identitätsprüfung leicht gemacht

Nicht sicher, ob eine Person die ist, für die sie sich ausgibt? Mit den Vodafone Identity Verification Services haben Cyber-Kriminelle beim Identitätsbetrug keine Chance.

  • Unrechtmäßige Zugriffe entdecken
  • Identitätsdiebstähle aufdecken
  • Konten und Daten wirksam schützen
Die meisten Probleme mit Session-Hijacking lassen sich verhindern, zum Beispiel durch serverseitige Codequalität und den Schutz vor Codemanipulation via Cross-Site-Scripting und anderen Manipulationen. Diese Methoden bieten ein hohes Maß an Sicherheit. Die Verschlüsselung von Seiten verhindert außerdem weitgehend, dass Session-Daten von außen manipuliert werden. Ein weiterer Schwachpunkt vieler Web-Applikationen sind Anmeldeformularen oder Kontaktformulare. Hier bietet sich Cyberkriminellen häufig die Möglichkeit, eine so genannte SQL-Injection vorzunehmen. Hierbei ”injizieren” sie den Schadcode über die vorhandene PHP-Datenbank auf die Webseite . Im einfachsten Fall lässt sich über ein Kontaktformular über bestimmte Sonderzeichen ein Eingabefenster öffnen. Gelingt das, können Cyberkriminelle beliebigen Schadcode in die Datenbank speichern.… Häufig besteht dieser Schadcode aus sogenannten SQL-Statements zur Manipulation der Datenbank oder aus HTML-Code, der andere Inhalte via JavaScript nachlädt. Da die meisten Portale, Webshops und Content Management Systeme Webseiten dynamisch aus Datenbankinhalten generieren ist es so möglich, nahezu beliebige Inhalte in Seiten einzufügen. Durch den Einsatz so genannter Prepared Statements oder Stored Procedures lässt sich Session Hijacking Prävention betreiben und diese Gefahr wirksam bekämpfen. Es handelt sich hierbei um Maßnahmen, die auf Serverseite für mehr Sicherheit sorgen. Grund hierfür ist, dass diese (Server) keine einzelnen, manipulierbaren SQL-Statements zulassen, sondern immer nur in einer Abfolge definierter Befehle arbeiten. Eine Mischung aus Verschlüsselung und guter Programmierung bietet in der Regel optimalen Schutz vor Session-Hijacking. Auf die Qualität der Webseiten und die Nutzung von https haben jedoch nur die Betreiber von Portalen und Webapplikationen Einfluss.
Geschäftsmann arbeitet im Auto

Secure Enterprise Messaging

Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum.

Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps.

So können Sie sich vor Session-Hijacking schützen

Auf Seite der Nutzer:innen gibt es keine spezifischen Schutzmöglichkeiten zur Session-Hijacking Prävention, also um Session-Hijacking zu verhindern. Die allgemein zum Schutz vor Malware und Spoofing-Attacken empfohlenen Maßnahmen schützen jedoch auch gegen das Ausspähen und Manipulieren von Session-IDs wirkungsvoll. Für Unternehmen wie auch für Privatleute sind die wichtigsten Punkte:
  • Sicherheitsupdates zeitnah installieren
  • Aktuelle Antiviren-Software installieren
  • Passwortrichtlinien einhalten und regelmäßig das Passwort wechseln
  • Keine Mailanhänge unbekannter Herkunft öffnen
  • Keine Links in E-Mails anklicken
  • Vorsicht bei der Weitergabe persönlicher Informationen
  • Keine öffentlichen WLAN-Netze ohne VPN nutzen
  • Bei Malware-Verdacht unverzüglich fachliche Hilfe holen
  • Zwei-Faktor-Authentifizierung verwenden, wo sie angeboten wird
  • Firewall niemals deaktivieren
Neben diesen Grundregeln sorgen regelmäßige Cyber-Schulungen für alle Mitarbeitenden für mehr IT-Sicherheit im Unternehmen. So sensibilisieren Sie die Belegschaft für mögliche IT-Sicherheitsrisiken und erhöhen den Schutz für das Unternehmen.
Das könnte Sie auch interessieren:
Security
Whitepaper Cyber Security

Whitepaper: Cyber Security

Cyberattacken sind die wohl am schnellsten wachsende Bedrohung für Unternehmen – solange keine adäquaten Sicherheitskonzepte etabliert sind. Dabei sind Unternehmen diese Gefahren zwar bewusst – doch oft wird angenommen, dass man aufgrund seiner Größe oder seines Tätigkeitsfeldes für Cyberattacken nicht oder weniger interessant sei.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4512

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort