Ein Mitarbeiter sucht auf einer Webseite bestimmte Informationen – und plötzlich übernimmt ein Hacker die Kontrolle über die Sitzung. Es handelt sich um einen Fall von Session-Hijacking. Klingt gruselig, ist es auch.
Session-Hijacking ist eine ernste und unterschätzte Gefahr für Unternehmen. Wir erklären, wie Sie sich davor schützen können.
Cybercrime: wachsende Bedrohung für Unternehmen
Cybercrime ist eine Bedrohung, die wie das berühmte Damoklesschwert allzeit über Privatpersonen wie auch Unternehmen schwebt. Und leider bleibt es dabei häufig nicht. Vielmehr stößt das Schwert in ziemlich vielen Fällen zu und trifft Unternehmen genau dort, wo es besonders schmerzhaft ist: dem unternehmenseigenen Datenpool. Erpressung, Sabotage und Spionage sind häufig das Ergebnis.
Dass die Bedrohung durch Cybercrime längst mehr als eine abstrakte Gefahr ist, zeigt zum Beispiel der Digitalverband bitkom auf. Jedes Jahr stellt der Verband wieder die Frage: „Wie hoch ist der wirtschaftliche Schaden, den Cyberangriffe auf deutsche Unternehmen verursacht haben?“ Im Jahr 2022 war die Antwort darauf: 203 Milliarden Euro. Das sind zwar 20 Milliarden weniger als im Rekordjahr 2021; allerdings sah es in den Jahren 2018/2019 mit „nur“ 103 Milliarden auch schonmal deutlich besser aus.
Der Erfolg spornt die Akteure hinter diesen Attacken natürlich noch mehr an, sodass sie einerseits auf bereits bewährte Methoden zurückgreifen, andererseits immer wieder neue Methoden für ihre Angriffe ersinnen. Zu diesen Methoden gehört auch das Session-Hijacking – eine Gefahr, die Unternehmen oftmals nicht ausreichend auf dem Schirm haben.
Was ist Session Hijacking?
Session-Hijacking (auch: Cookie-Hijacking) ist eine spezielle Art von Cyberangriff, bei der Angreifer die Kontrolle über die Sitzung eines Benutzers auf einer Webseite oder in einer Anwendung übernehmen. Anschließend sind sie in der Lage, auf Informationen zuzugreifen und Maßnahmen zu ergreifen, als ob sie der tatsächliche Benutzer wären. Mögliche Folgen sind der unbefugte Zugriff auf sensible Daten, finanzielle Verluste und ein Imageverlust des betroffenen Benutzers oder Unternehmens.
Wer nicht genau weiß, was genau als „Sitzung“ zu verstehen ist: Eine Webseite oder Anwendung, die mit Anmeldedaten arbeitet, authentifiziert Nutzer beispielsweise über den Benutzernamen und das Passwort; ist dies passiert, startet die Sitzung – also der Zeitraum, die Nutzende auf der Webseite oder in der Anwendung verbringen.
Meist werden dafür spezielle Sitzungs-IDs erstellt, die aus verschiedenen Zahlen und Buchstaben bestehen und in temporären Sitzungscookies, URLs oder versteckten Feldern auf der Webseite oder lokal auf dem PC des Benutzers gespeichert sind. Sie sorgen dafür, dass Nutzer nicht einfach ausgeloggt werden. Das Problem: Genau diese Sitzungs-IDs oder Sitzungscookies nutzen Angreifer beim Session Hijacking aus. Aber wie genau funktioniert Hijacking?
Wie funktioniert Session Hijacking?
Beim Session-Hijacking stehlen Angreifer das Sitzungscookie ihres Opfers und können dadurch die Kontrolle über dessen Sitzung übernehmen, ohne die Anmeldedaten zu benötigen oder eine mehrstufige Authentifizierung zu durchlaufen. Die Cyberkriminellen kommen über verschiedene Wege an diese Sitzungscookies:
- Malware-Angriff:
Bei einem Malware-Angriff versenden die Cyberkriminellen eine Phishing-E-Mail, in der es um eine dringende Angelegenheit geht – beispielsweise eine Rechnung, die im Anhang als vermeintliche PDF zu finden ist. Tatsächlich ist es eine ausführbare Datei, die Malware einschleust. Ist diese Malware aktiviert, können Angreifer auf den temporären Speicher im Browser zugreifen und Sitzungs-IDs für die gewünschten Cookies abrufen. - Cross-Site-Scripting (XSS):
Das Cross-Site-Scripting ist die beliebteste Methode. Hierbei suchen Angreifer nach Schwachstellen im Zielserver (dem Server, auf dem eine Webseite gehostet wird) oder in der Zielanwendung. Werden sie fündig, schleusen sie dort clientseitige Skripts ein, wodurch die Webseite beim Nutzer mit Schadcode geladen und die Sitzungs-ID gestohlen wird. - Vorhersehbare Sitzungs-IDs & Brute-Force-Angriff:
Manche Webseiten folgen bei der Vergabe der Sitzungs-IDs einem Muster, beispielsweise angelehnt an die IP-Adressen der Besucher. Durch die Überwachung der ausgegebenen Sitzungs-IDs können die Kriminellen dieses Muster ermitteln und vorhersagen, wie die Sitzungs-IDs für bestimmte Nutzer aussehen könnte. Ähnlich ist es bei einem Brute-Force-Angriff. Hierbei wird dem vermutlichen Muster folgend eine Liste mit möglichen Sitzungs-IDs erstellt, die in Kombination mit den Seitenbesuchern wiederholt ausprobiert werden – bis es eine Übereinstimmung gibt. - Session-Side-Jacking (auch: Session-Sniffing):
Es gibt spezielle Tools – Packet-Sniffer – die den Netzwerkverkehr überwachen und nach der Authentifizierung auf einer Webseite Sitzungscookies stehlen. Das gelingt vor allem, wenn nur die Authentifizierungsseite selbst verschlüsselt ist, nicht aber die nachfolgenden Seiten. Allerdings benötigen die Angreifer für diese Methode Zugriff auf der Netzwerk des Nutzers, beispielsweise durch ungesicherte WLAN-Netzwerke oder öffentliche Netzwerke.
Das große Problem: Das Opfer bekommt davon meistens nichts mit.
Welche Auswirkungen hat Session-Hijacking auf Unternehmen?
In vielen Unternehmen ist das Session-Hijacking nicht bekannt – und sie ergreifen daher auch keine entsprechenden Schutzmaßnahmen. Dabei sind diese extrem wichtig, denn die Auswirkungen von Session-Hijacking auf Unternehmen können gravierend sein.
Denken Sie nur einmal darüber nach, wie viele Webseiten und Anwendungen die Mitarbeiter in Ihrem Unternehmen nutzen und wie viele Informationen und vertrauliche Daten darüber verfügbar sind. Geraten diese Informationen in die falschen Hände, drohen Reputationsschäden, ein Vertrauensverlust seitens der Kunden sowie Geschäftspartner und nicht zuletzt potenziell hohe finanzielle Verluste – einerseits als Folge der geschädigten Geschäftsbeziehungen, andererseits durch mögliche Strafzahlungen aufgrund einer Datenschutzverletzung.
Das bedeutet: Unternehmen sollten unbedingt verhindern, ebenfalls zum Opfer von Session-Hijacking zu werden. Das ist allerdings leichter gesagt als getan – vor allem, weil es sich sozusagen um eine unsichtbare Bedrohung handelt, da der eigentliche Angriff so häufig unbemerkt bleibt und sich die Konsequenzen erst sehr viel später zeigen.
Wie können sich Unternehmen vor Session-Hijacking schützen?
Tatsächlich ist Session-Hijacking eine der am häufigsten verwendeten Methoden, um unerlaubten Zugriff auf Webanwendungen zu erhalten. Umso wichtiger sind daher entsprechende Schutzmaßnahmen. Hier haben wir ein paar Tipps, wie sich Unternehmen vor Session-Hijacking schützen können:
- Sorgen Sie dafür, dass Ihre Mitarbeiter ausschließlich Webseiten und Anwendungen nutzen, die den Einsatz von HTTPS erfordern. Dadurch ist die Kommunikation zwischen Server und Client verschlüsselt. Zudem sollten Sie die SSL/TLS-Verschlüsselung nutzen, um den Datentransfer sicherer zu machen.
- Informieren Sie Ihre Mitarbeiter regelmäßig über die Risiken von Session-Hijacking, inklusive Best Practices im Umgang mit sensiblen Daten. Hier gilt es vor allem darum, dass sie Phishing-Versuche erkennen und keine sensiblen Daten preisgeben. Das Stichwort dazu lautet: Security Awareness.
- Stellen Sie sicher, dass Webanwendungen und Server regelmäßig auf Sicherheitslücken überprüft werden. Sollten sich tatsächlich Schwachstellen finden lassen, gilt es, diese schnellstmöglich zu beheben.
- Nutzen Sie die Zwei-Faktor-Authentifizierung, um unautorisierten Zugriffen vorzubeugen – auch wenn sie beim Session-Hijacking umgangen werden kann.
- Verwenden Sie sogenannte Token-basierte Authentifizierungsverfahren, bei dem Nutzer ein individuelles Token erhalten, das für jede Anfrage verwendet wird. Das Risiko von Session-Hijacking lässt sich dadurch minimieren.
Grundsätzlich gilt: Unternehmen sollten die Bedrohung durch Session-Hijacking nicht unterschätzen und proaktiv handeln, um ihre Systeme und Daten zu schützen. Andernfalls könnten Sie später das Nachsehen haben.
IT-Dienstleister sichern Ihr Unternehmen ab
Sie möchten Ihr Unternehmen vor Session-Hijacking schützen, sind sich aber unsicher, wie Sie die notwendigen Schutzmaßnahmen am besten durchführen? Dann holen Sie sich am besten einen Profi an die Seite! Professionelle IT-Dienstleister wie die Experten aus dem IT-SERVICE.NETWORK helfen Unternehmen grundsätzlich dabei, eine leistungsstarke IT-Infrastruktur aufzubauen und eine umfassende IT-Sicherheit umzusetzen.
In diesem Zuge kümmern sich die IT-Systemhäuser aus unserem Netzwerk auch darum, Session-Hijacking durch effektive Schutzmaßnahmen zu verhindern. Sie verbessern die Netzwerksicherheit von Unternehmen, sorgen dafür, dass Software und Systeme auf dem neuesten Stand sind und richten Überwachungs- und Analysetools ein, mit denen sich verdächtige Aktivitäten erkennen lassen.
Darüber hinaus bieten viele unserer IT-Dienstleister auch Security-Awareness-Schulungen für Ihre Mitarbeiter an, um sie über die Risiken von Session-Hijacking und andere Bedrohungen aufzuklären. Das hört sich interessant an? Dann nehmen Sie doch Kontakt zu einem unserer IT-Dienstleister in Ihrer Nähe auf und lassen Sie sich zunächst unverbindlich beraten!
Weiterführende Links:
bitkom, keyfactor, GEEKFLARE, Neowin, Unsplash/Surface
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung