Beim Session-Hijacking gemäß Definition versuchen Angreifer:innen, aktive Benutzersessions (beispielsweise Besuche auf Webseiten mit Login) zu übernehmen und zu „entführen“. Nach erfolgreicher Übernahme einer Session ist es zum Beispiel möglich, geschützte Anwendungen zu nutzen oder geraubte Identitäten zu verwenden.
Cyberkriminelle gehen beim Session-Hijacking normalerweise in zwei Phasen vor. Am Anfang steht die Übernahme von TCP-Sessions (TCP Session-Hijacking) durch Ausspähen des Datenverkehrs. Danach erfolgt die Übernahme von Sessions bei unverschlüsselten HTTP-Zugriffen (PHP Session-Hijacking). Was genau sich hinter beidem verbirgt, welche Risiken entstehen und wie Sie sich davor schützen können, erfahren Sie hier.
Sessions sind für sich genommen keine Sicherheitslücke, sondern normaler Bestandteil des Internets. Viele Webseiten arbeiten systembedingt damit, den Login-Status und die Verweildauer auf einer Seite zu überprüfen. Nahezu alle Webanwendungen, die mit PHP als Programmiersprache aufgebaut sind, verwenden Sessions zur Handhabung und Kontrolle der Login-Prozedur. Sie sollen dabei helfen, dass Benutzer:innen sich nicht bei jedem Wechsel des Browserfensters neu ein- und ausloggen müssen. Außerdem sorgen sie dafür, dass Daten innerhalb einer Webseite und deren Teilanwendungen korrekt übergeben werden.
Eine Session wird dabei immer dann angelegt, wenn Webanwendungen Daten zur Registrierung und Authentifizierung bearbeiten und zwischenspeichern (puffern). Sobald jemand sich über einen Webbrowser auf einer Plattform oder in einer Webapplikation einloggt, werden somit Sessions aufgebaut. Jede Session ist dabei über eine eindeutige Session-ID zu identifizieren. Diese Session-ID wird vom Browser bei jedem Seitenaufruf an den Webserver gesendet, sodass dieser dadurch eingeloggte Personen identifizieren und voneinander unterscheiden kann.
Die jeweiligen Web-Anwendungen sind dadurch in der Lage, den Status der Online-Sitzung – also der Session – zu kontrollieren. So ist es möglich zu sehen, ob die eingeloggte Person nach kurzzeitiger Abwesenheit und fehlender Interaktion mit der Seite immer noch identisch ist. Was als Kontrollmöglichkeit gedacht ist, öffnet jedoch gleichzeitig einen Ansatzpunkt für Cyberkriminelle.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Hier liegt also das erwähnte Sicherheitsrisiko des Session-Hijacking: Gelingt es Cyberkriminellen, an die Session-Daten zu gelangen, können diese ohne Kenntnis der Zugangsdaten diese übernehmen und so wie die rechtmäßig eingeloggte Person agieren. Alle Rechte und Möglichkeiten des regulären Accounts stehen dann den Angreifenden zur Verfügung.
Session-Hijacking: Wie funktioniert die virtuelle Entführung von Sitzungen?
Session-IDs können in unterschiedlicher Form bereitgestellt werden. Die unsicherste Form ist die Übergabe als Parameter, bei dem die ID an die URL angehängt wird. Beim Aufruf von "http://meine-webseite.de/index.php?sid=ZEICHENFOLGE" kennzeichnet der Begriff "ZEICHENFOLGE" eine Session-ID, bestehend aus Buchstaben und Zahlen. Durch das Fehlen von https (HyperText Transfer Protocol Secure) als Übertragungsprotokoll in der Adresse werden jedoch alle Daten unverschlüsselt übertragen.
Wird die genannte Zeichenfolge nun beispielsweise durch eine Man-in-the-middle-Attacke oder simples Ausprobieren erraten, kann ein angreifendes System die Sitzung "kapern" und somit die Kontrolle übernehmen.
Die zweite Möglichkeit ist, Session-IDs in Cookies zu speichern. Cookies sind kleine Textdateien, die beim Besuch von Webseiten auf dem lokalen Rechner gespeichert und bei Seitenaufrufen an den Server gesendet werden. Diese Methode wird von Entwickler:innen meist aus Sicherheitsgründen bevorzugt und erschwert es Angreifer:innen, entsprechende Daten abzufangen. Manche Online-Shops arbeiten dennoch zusätzlich mit der Übertragung via URL, was sehr leicht in der Adresszeile des Browsers zu erkennen ist.
Diese Angriffsarten werden häufig auch als "PHP Session Hijacking", TCP Session Hijacking", "Session Hijacking Attack" oder schlicht "Session Hijacking" bezeichnet.
Betreiber:innen von Shops sollten darauf achten, dass sie mit SSL-Verschlüsselung arbeiten. Das Kennzeichen dafür ist ein Schloss-Symbol in der Adresszeile beziehungsweise das "https" im Adressenaufruf. Fehlt dieses, werden alle Daten unverschlüsselt übertragen, was Kriminellen eine Übernahme dieser Daten leicht macht. In der Praxis gibt es heutzutage kaum noch Webseiten, die gänzlich ohne Verschlüsselung auskommen; oder der Webbrowser markiert sie als unsicher und sie erhalten somit weniger Zulauf.
Beide Formen der Cookie-Speicherung sind für sich gesehen sicher. Erst durch den Einsatz von Malware ist es möglich, an diese Daten zu gelangen – entweder im Zusammenhang mit kompromittierten Systemen oder innerhalb eines unsicheren Netzwerks. Neben diesen im eigenen Netzwerk und Rechner vorhandenen Sicherheitslücken können auch auf den Portalen selbst Malware und Systemfehler dafür sorgen, dass Session-IDs nicht sicher sind. Basis für solche Angriffe sind häufig sogenannte Cross-Site-Scripting-Attacken (XSS). Diese ermöglichen es, Schadcode auf Webseiten einzuschleusen. Solcher Schadcode kann dann dazu führen, dass Login-Daten und andere Eingaben umgelenkt und anderen Personen zugänglich gemacht werden.
Wenn Cyberkriminelle beispielsweise durch XSS eingeschleuste Links mit JavaScript-Schadcode an potenzielle Opfer senden, reicht ein Mausklick auf den angebotenen Link, um den JavaScript-Code auszuführen und der Malware Systemzugriff zu verschaffen. Auch ist es beispielsweise möglich, den Datenverkehr umzulenken. Ist der Datenverkehr erst einmal in fremden Händen, lassen sich Sessions leicht übernehmen oder der Zugriff auf den Server manipulieren.
Durch die Übernahme von Session-IDs können Angreifende kompletten Zugriff auf Systeme und Accounts erlangen.
Sicherheitslücken durch Servervariablen
Webserver legen Session-Variablen je nach Servertyp immer in festgelegten Verzeichnissen ab. Auf dem Apache-Webserver innerhalb des Installationspaketes Xampp ist das beispielsweise das Verzeichnis „\xampp\tmp“.
Bei Nutzung des Servers durch mehrere Personen ist für das Beispiel Xampp die Standardeinstellung so festgelegt, dass das System für alle ein identisches Verzeichnis zum Abspeichern der Session-Daten nutzt. Angreifer können dieses Verzeichnis auslesen, wodurch sie dann auch Zugriff auf alle Session-Daten haben.
Wurden systembedingt Benutzername und Kennwort der aktuellen Sitzung in einer Session-ID gespeichert, könnten Angreifer diese nun direkt im Klartext dort auslesen.
Cyberangriffe sind kein seltenes Phänomen mehr. Sie betreffen nahezu jedes Unternehmen heutzutage.
Systemseitiger Schutz durch ablaufende Sitzungen
Die unterschiedlichen Sessionvariablen steuern das Verhalten des Webservers. Die in „session.cache_expire“ gespeicherten Werte definieren die Laufzeit einer Session. Steht dort beispielsweise der Wert „10“, so verfällt die Session automatisch nach 10 Minuten, falls innerhalb dieser Zeit keine Aktionen über den Webbrowser stattfinden. Durch entsprechend niedrige Werte wird grundsätzlich ein höheres Maß an Sicherheit erzielt. Das liegt daran, dass Cyberkriminelle so möglichst wenig Zeit für das Ausspähen und Auslesen von Speicherwerten haben.
Diese höhere Sicherheit bezahlen Kund:innen jedoch mit der Tatsache, dass bei Inaktivität Sitzungen schneller geschlossen werden und ein erneutes Login erforderlich ist. Wird beispielsweise ein Warenkorb oder ein Eingabeformular dabei nicht serverseitig zwischengespeichert, kann dies für große Frustration sorgen, weil die bis dato getätigten Eingaben oder Warenkorbinhalte „verloren” sind.
In der Summe ist der Schutz gegen Session-Hijacking also immer auch eine Sache der Abwägung – zwischen dem gewünschten Komfort für Nutzende und der maximal möglichen Sicherheit.
Identitätsprüfung leicht gemacht
Nicht sicher, ob eine Person die ist, für die sie sich ausgibt? Mit den Vodafone Identity Verification Services haben Cyber-Kriminelle beim Identitätsbetrug keine Chance.
Die meisten Probleme mit Session-Hijacking lassen sich verhindern, zum Beispiel durch serverseitige Codequalität und den Schutz vor Codemanipulation via Cross-Site-Scripting und anderen Manipulationen. Diese Methoden bieten ein hohes Maß an Sicherheit. Die Verschlüsselung von Seiten verhindert außerdem weitgehend, dass Session-Daten von außen manipuliert werden.
Ein weiterer Schwachpunkt vieler Web-Applikationen sind Anmeldeformularen oder Kontaktformulare. Hier bietet sich Cyberkriminellen häufig die Möglichkeit, eine so genannte SQL-Injection vorzunehmen. Hierbei ”injizieren” sie den Schadcode über die vorhandene PHP-Datenbank auf die Webseite . Im einfachsten Fall lässt sich über ein Kontaktformular über bestimmte Sonderzeichen ein Eingabefenster öffnen. Gelingt das, können Cyberkriminelle beliebigen Schadcode in die Datenbank speichern.…
Häufig besteht dieser Schadcode aus sogenannten SQL-Statements zur Manipulation der Datenbank oder aus HTML-Code, der andere Inhalte via JavaScript nachlädt. Da die meisten Portale, Webshops und Content Management Systeme Webseiten dynamisch aus Datenbankinhalten generieren ist es so möglich, nahezu beliebige Inhalte in Seiten einzufügen.
Durch den Einsatz so genannter Prepared Statements oder Stored Procedures lässt sich Session Hijacking Prävention betreiben und diese Gefahr wirksam bekämpfen. Es handelt sich hierbei um Maßnahmen, die auf Serverseite für mehr Sicherheit sorgen. Grund hierfür ist, dass diese (Server) keine einzelnen, manipulierbaren SQL-Statements zulassen, sondern immer nur in einer Abfolge definierter Befehle arbeiten.
Eine Mischung aus Verschlüsselung und guter Programmierung bietet in der Regel optimalen Schutz vor Session-Hijacking. Auf die Qualität der Webseiten und die Nutzung von https haben jedoch nur die Betreiber von Portalen und Webapplikationen Einfluss.
Secure Enterprise Messaging
Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum.
Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps.
Auf Seite der Nutzer:innen gibt es keine spezifischen Schutzmöglichkeiten zur Session-Hijacking Prävention, also um Session-Hijacking zu verhindern. Die allgemein zum Schutz vor Malware und Spoofing-Attacken empfohlenen Maßnahmen schützen jedoch auch gegen das Ausspähen und Manipulieren von Session-IDs wirkungsvoll. Für Unternehmen wie auch für Privatleute sind die wichtigsten Punkte:
Sicherheitsupdates zeitnah installieren
Aktuelle Antiviren-Software installieren
Passwortrichtlinien einhalten und regelmäßig das Passwort wechseln
Keine Mailanhänge unbekannter Herkunft öffnen
Keine Links in E-Mails anklicken
Vorsicht bei der Weitergabe persönlicher Informationen
Keine öffentlichen WLAN-Netze ohne VPN nutzen
Bei Malware-Verdacht unverzüglich fachliche Hilfe holen
Zwei-Faktor-Authentifizierung verwenden, wo sie angeboten wird
Firewall niemals deaktivieren
Neben diesen Grundregeln sorgen regelmäßige Cyber-Schulungen für alle Mitarbeitenden für mehr IT-Sicherheit im Unternehmen. So sensibilisieren Sie die Belegschaft für mögliche IT-Sicherheitsrisiken und erhöhen den Schutz für das Unternehmen.
Informationssicherheit und ihre Schutzziele erklärt
Informationen sind auch in Ihrem Unternehmen ein wertvolles strategisches Kapital. Doch wie können Sie Informationen vor Cyber-Bedrohungen, Datendiebstahl und Manipulation schützen? Informationssicherheit als Schlüssel für vertrauenswürdige und flexible Geschäftsprozesse – hier erhalten Sie einen Überblick.
Nur, wenn Sie die zeitgemäße Sicherheitsstrategien implementieren, können Sie die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten gewährleisten. Sei es geistiges Eigentum, Kunden- oder Finanzdaten – der Schutz dieser sensiblen Informationen ist für Firmen überlebenswichtig. Informationssicherheit ist somit die Basis für Wettbewerbsfähigkeit, Compliance und Vertrauenswürdigkeit – hier erfahren Sie mehr über die Hintergründe.
Cyberattacken sind die wohl am schnellsten wachsende Bedrohung für Unternehmen – solange keine adäquaten Sicherheitskonzepte etabliert sind. Dabei sind Unternehmen diese Gefahren zwar bewusst – doch oft wird angenommen, dass man aufgrund seiner Größe oder seines Tätigkeitsfeldes für Cyberattacken nicht oder weniger interessant sei.
Virenschutz und Virenscanner: Virenarten, Funktionsweise von Scannern und ein Marktüberblick
Der Virenschutz privater Computer unterscheidet sich deutlich vom Malwareschutz im beruflichen Alltag von Unternehmen. Weder die Anforderungen noch die Bedrohungssituation sind vergleichbar. Die bei privaten Virenscannern noch akzeptable Verzögerung bei der Erkennung neuer Virusvarianten ist im Unternehmensumfeld nicht tolerierbar. Dabei müssen Virenscanner nicht nur Viren erkennen und bekämpfen, sondern vor einem ganzen Spektrum von Schadsoftware schützen.
Zu einem wirkungsvollen Virenschutz im Unternehmen gehört neben leistungsfähiger Scan- und Detektions-Software ein komplexes Antivirusmanagement. Es geht um die Abwehr sowie das Erkennen von Malware und Viren – und auch um die permanente Prüfung auf Schwachstellen innerhalb der IT-Infrastruktur des Unternehmens.
Spam-Mails sind ein allgegenwärtiges Übel: Sie öffnen Ihren E-Mail-Account und werden von der Last an unverlangten Werbe-Mails nahezu erschlagen. Der massenhafte Versand dieses Datenmülls macht nach Schätzungen zwischen sechzig und neunzig Prozent aller weltweit versendeten E-Mails aus. Dabei sind Spam-Mails nicht nur ein erheblicher Störfaktor, sondern sie können auch richtig gefährlich werden.
Hinter vielen Spam-Mails verbirgt sich lediglich unverlangt versendete Werbung. Hinter anderen jedoch lauern Gefahren für Ihre geschäftlichen und persönlichen Daten: Phishing-E-Mails suggerieren seriöse Geschäftspartner:innen als Absender, Malware-E-Mails bringen Viren und andere Schadprogramme auf den Rechner oder verwandeln Ihren Computer seinerseits in eine Spam-Schleuder.
Wie Sie die verschiedenen Arten von Spam-Mails erkennen, wie Sie sich dagegen wappnen und warum das sofortige Löschen auf Dauer nicht unbedingt die beste Lösung darstellt, erfahren Sie in diesem Artikel.
Cyberangriffe abwehren: Was ist eine Cyberattacke und wie gelingt wirksame IT-Sicherheit?
Cyberangriffe auf Unternehmen haben sich in den vergangen Jahren zu einer lukrativen Einnahmequelle für Kriminelle entwickelt. Das Bundesamt für Statistik zählt für das Jahr 2021 26.671 Straftaten im Bereich der sogenannten Cyberwirtschaftskriminalität. Generell sind Deutschlands Ordnungshüter:innen alarmiert: Denn schon der jährliche Cybercrime-Report des Bundeskriminalamts für 2020 verzeichnete einen Anstieg der Cyberkriminalität um 26,3 Prozent. Es ist davon auszugehen, dass diese Zahl für das Jahr 2021 noch höher liegt.
Was IT-Sicherheitsexpert:innen große Sorgen bereitet: Die Cyberattacken auf Unternehmen gewinnen immer mehr an Professionalität. Mit welchen technischen Hilfsmitteln Kriminelle auch Ihr Unternehmen bedrohen, lesen Sie in diesem Beitrag.
