Beim Session-Hijacking gemäß Definition versuchen Angreifer:innen, aktive Benutzersessions (beispielsweise Besuche auf Webseiten mit Login) zu übernehmen und zu „entführen“. Nach erfolgreicher Übernahme einer Session ist es zum Beispiel möglich, geschützte Anwendungen zu nutzen oder geraubte Identitäten zu verwenden.
Cyberkriminelle gehen beim Session-Hijacking normalerweise in zwei Phasen vor. Am Anfang steht die Übernahme von TCP-Sessions (TCP Session-Hijacking) durch Ausspähen des Datenverkehrs. Danach erfolgt die Übernahme von Sessions bei unverschlüsselten HTTP-Zugriffen (PHP Session-Hijacking). Was genau sich hinter beidem verbirgt, welche Risiken entstehen und wie Sie sich davor schützen können, erfahren Sie hier.
Sessions sind für sich genommen keine Sicherheitslücke, sondern normaler Bestandteil des Internets. Viele Webseiten arbeiten systembedingt damit, den Login-Status und die Verweildauer auf einer Seite zu überprüfen. Nahezu alle Webanwendungen, die mit PHP als Programmiersprache aufgebaut sind, verwenden Sessions zur Handhabung und Kontrolle der Login-Prozedur. Sie sollen dabei helfen, dass Benutzer:innen sich nicht bei jedem Wechsel des Browserfensters neu ein- und ausloggen müssen. Außerdem sorgen sie dafür, dass Daten innerhalb einer Webseite und deren Teilanwendungen korrekt übergeben werden.
Eine Session wird dabei immer dann angelegt, wenn Webanwendungen Daten zur Registrierung und Authentifizierung bearbeiten und zwischenspeichern (puffern). Sobald jemand sich über einen Webbrowser auf einer Plattform oder in einer Webapplikation einloggt, werden somit Sessions aufgebaut. Jede Session ist dabei über eine eindeutige Session-ID zu identifizieren. Diese Session-ID wird vom Browser bei jedem Seitenaufruf an den Webserver gesendet, sodass dieser dadurch eingeloggte Personen identifizieren und voneinander unterscheiden kann.
Die jeweiligen Web-Anwendungen sind dadurch in der Lage, den Status der Online-Sitzung – also der Session – zu kontrollieren. So ist es möglich zu sehen, ob die eingeloggte Person nach kurzzeitiger Abwesenheit und fehlender Interaktion mit der Seite immer noch identisch ist. Was als Kontrollmöglichkeit gedacht ist, öffnet jedoch gleichzeitig einen Ansatzpunkt für Cyberkriminelle.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Hier liegt also das erwähnte Sicherheitsrisiko des Session-Hijacking: Gelingt es Cyberkriminellen, an die Session-Daten zu gelangen, können diese ohne Kenntnis der Zugangsdaten diese übernehmen und so wie die rechtmäßig eingeloggte Person agieren. Alle Rechte und Möglichkeiten des regulären Accounts stehen dann den Angreifenden zur Verfügung.
Session-Hijacking: Wie funktioniert die virtuelle Entführung von Sitzungen?
Session-IDs können in unterschiedlicher Form bereitgestellt werden. Die unsicherste Form ist die Übergabe als Parameter, bei dem die ID an die URL angehängt wird. Beim Aufruf von "http://meine-webseite.de/index.php?sid=ZEICHENFOLGE" kennzeichnet der Begriff "ZEICHENFOLGE" eine Session-ID, bestehend aus Buchstaben und Zahlen. Durch das Fehlen von https (HyperText Transfer Protocol Secure) als Übertragungsprotokoll in der Adresse werden jedoch alle Daten unverschlüsselt übertragen.
Wird die genannte Zeichenfolge nun beispielsweise durch eine Man-in-the-middle-Attacke oder simples Ausprobieren erraten, kann ein angreifendes System die Sitzung "kapern" und somit die Kontrolle übernehmen.
Die zweite Möglichkeit ist, Session-IDs in Cookies zu speichern. Cookies sind kleine Textdateien, die beim Besuch von Webseiten auf dem lokalen Rechner gespeichert und bei Seitenaufrufen an den Server gesendet werden. Diese Methode wird von Entwickler:innen meist aus Sicherheitsgründen bevorzugt und erschwert es Angreifer:innen, entsprechende Daten abzufangen. Manche Online-Shops arbeiten dennoch zusätzlich mit der Übertragung via URL, was sehr leicht in der Adresszeile des Browsers zu erkennen ist.
Diese Angriffsarten werden häufig auch als "PHP Session Hijacking", TCP Session Hijacking", "Session Hijacking Attack" oder schlicht "Session Hijacking" bezeichnet.
Betreiber:innen von Shops sollten darauf achten, dass sie mit SSL-Verschlüsselung arbeiten. Das Kennzeichen dafür ist ein Schloss-Symbol in der Adresszeile beziehungsweise das "https" im Adressenaufruf. Fehlt dieses, werden alle Daten unverschlüsselt übertragen, was Kriminellen eine Übernahme dieser Daten leicht macht. In der Praxis gibt es heutzutage kaum noch Webseiten, die gänzlich ohne Verschlüsselung auskommen; oder der Webbrowser markiert sie als unsicher und sie erhalten somit weniger Zulauf.
Beide Formen der Cookie-Speicherung sind für sich gesehen sicher. Erst durch den Einsatz von Malware ist es möglich, an diese Daten zu gelangen – entweder im Zusammenhang mit kompromittierten Systemen oder innerhalb eines unsicheren Netzwerks. Neben diesen im eigenen Netzwerk und Rechner vorhandenen Sicherheitslücken können auch auf den Portalen selbst Malware und Systemfehler dafür sorgen, dass Session-IDs nicht sicher sind. Basis für solche Angriffe sind häufig sogenannte Cross-Site-Scripting-Attacken (XSS). Diese ermöglichen es, Schadcode auf Webseiten einzuschleusen. Solcher Schadcode kann dann dazu führen, dass Login-Daten und andere Eingaben umgelenkt und anderen Personen zugänglich gemacht werden.
Wenn Cyberkriminelle beispielsweise durch XSS eingeschleuste Links mit JavaScript-Schadcode an potenzielle Opfer senden, reicht ein Mausklick auf den angebotenen Link, um den JavaScript-Code auszuführen und der Malware Systemzugriff zu verschaffen. Auch ist es beispielsweise möglich, den Datenverkehr umzulenken. Ist der Datenverkehr erst einmal in fremden Händen, lassen sich Sessions leicht übernehmen oder der Zugriff auf den Server manipulieren.
Durch die Übernahme von Session-IDs können Angreifende kompletten Zugriff auf Systeme und Accounts erlangen.
Sicherheitslücken durch Servervariablen
Webserver legen Session-Variablen je nach Servertyp immer in festgelegten Verzeichnissen ab. Auf dem Apache-Webserver innerhalb des Installationspaketes Xampp ist das beispielsweise das Verzeichnis „\xampp\tmp“.
Bei Nutzung des Servers durch mehrere Personen ist für das Beispiel Xampp die Standardeinstellung so festgelegt, dass das System für alle ein identisches Verzeichnis zum Abspeichern der Session-Daten nutzt. Angreifer können dieses Verzeichnis auslesen, wodurch sie dann auch Zugriff auf alle Session-Daten haben.
Wurden systembedingt Benutzername und Kennwort der aktuellen Sitzung in einer Session-ID gespeichert, könnten Angreifer diese nun direkt im Klartext dort auslesen.
Cyberangriffe sind kein seltenes Phänomen mehr. Sie betreffen nahezu jedes Unternehmen heutzutage.
Systemseitiger Schutz durch ablaufende Sitzungen
Die unterschiedlichen Sessionvariablen steuern das Verhalten des Webservers. Die in „session.cache_expire“ gespeicherten Werte definieren die Laufzeit einer Session. Steht dort beispielsweise der Wert „10“, so verfällt die Session automatisch nach 10 Minuten, falls innerhalb dieser Zeit keine Aktionen über den Webbrowser stattfinden. Durch entsprechend niedrige Werte wird grundsätzlich ein höheres Maß an Sicherheit erzielt. Das liegt daran, dass Cyberkriminelle so möglichst wenig Zeit für das Ausspähen und Auslesen von Speicherwerten haben.
Diese höhere Sicherheit bezahlen Kund:innen jedoch mit der Tatsache, dass bei Inaktivität Sitzungen schneller geschlossen werden und ein erneutes Login erforderlich ist. Wird beispielsweise ein Warenkorb oder ein Eingabeformular dabei nicht serverseitig zwischengespeichert, kann dies für große Frustration sorgen, weil die bis dato getätigten Eingaben oder Warenkorbinhalte „verloren” sind.
In der Summe ist der Schutz gegen Session-Hijacking also immer auch eine Sache der Abwägung – zwischen dem gewünschten Komfort für Nutzende und der maximal möglichen Sicherheit.
Identitätsprüfung leicht gemacht
Nicht sicher, ob eine Person die ist, für die sie sich ausgibt? Mit den Vodafone Identity Verification Services haben Cyber-Kriminelle beim Identitätsbetrug keine Chance.
Die meisten Probleme mit Session-Hijacking lassen sich verhindern, zum Beispiel durch serverseitige Codequalität und den Schutz vor Codemanipulation via Cross-Site-Scripting und anderen Manipulationen. Diese Methoden bieten ein hohes Maß an Sicherheit. Die Verschlüsselung von Seiten verhindert außerdem weitgehend, dass Session-Daten von außen manipuliert werden.
Ein weiterer Schwachpunkt vieler Web-Applikationen sind Anmeldeformularen oder Kontaktformulare. Hier bietet sich Cyberkriminellen häufig die Möglichkeit, eine so genannte SQL-Injection vorzunehmen. Hierbei ”injizieren” sie den Schadcode über die vorhandene PHP-Datenbank auf die Webseite . Im einfachsten Fall lässt sich über ein Kontaktformular über bestimmte Sonderzeichen ein Eingabefenster öffnen. Gelingt das, können Cyberkriminelle beliebigen Schadcode in die Datenbank speichern.…
Häufig besteht dieser Schadcode aus sogenannten SQL-Statements zur Manipulation der Datenbank oder aus HTML-Code, der andere Inhalte via JavaScript nachlädt. Da die meisten Portale, Webshops und Content Management Systeme Webseiten dynamisch aus Datenbankinhalten generieren ist es so möglich, nahezu beliebige Inhalte in Seiten einzufügen.
Durch den Einsatz so genannter Prepared Statements oder Stored Procedures lässt sich Session Hijacking Prävention betreiben und diese Gefahr wirksam bekämpfen. Es handelt sich hierbei um Maßnahmen, die auf Serverseite für mehr Sicherheit sorgen. Grund hierfür ist, dass diese (Server) keine einzelnen, manipulierbaren SQL-Statements zulassen, sondern immer nur in einer Abfolge definierter Befehle arbeiten.
Eine Mischung aus Verschlüsselung und guter Programmierung bietet in der Regel optimalen Schutz vor Session-Hijacking. Auf die Qualität der Webseiten und die Nutzung von https haben jedoch nur die Betreiber von Portalen und Webapplikationen Einfluss.
Secure Enterprise Messaging
Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum.
Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps.
Auf Seite der Nutzer:innen gibt es keine spezifischen Schutzmöglichkeiten zur Session-Hijacking Prävention, also um Session-Hijacking zu verhindern. Die allgemein zum Schutz vor Malware und Spoofing-Attacken empfohlenen Maßnahmen schützen jedoch auch gegen das Ausspähen und Manipulieren von Session-IDs wirkungsvoll. Für Unternehmen wie auch für Privatleute sind die wichtigsten Punkte:
Sicherheitsupdates zeitnah installieren
Aktuelle Antiviren-Software installieren
Passwortrichtlinien einhalten und regelmäßig das Passwort wechseln
Keine Mailanhänge unbekannter Herkunft öffnen
Keine Links in E-Mails anklicken
Vorsicht bei der Weitergabe persönlicher Informationen
Keine öffentlichen WLAN-Netze ohne VPN nutzen
Bei Malware-Verdacht unverzüglich fachliche Hilfe holen
Zwei-Faktor-Authentifizierung verwenden, wo sie angeboten wird
Firewall niemals deaktivieren
Neben diesen Grundregeln sorgen regelmäßige Cyber-Schulungen für alle Mitarbeitenden für mehr IT-Sicherheit im Unternehmen. So sensibilisieren Sie die Belegschaft für mögliche IT-Sicherheitsrisiken und erhöhen den Schutz für das Unternehmen.
Unsere Expert:innen geben Insights zu Zero-Trust-Architekturen, Microsoft und KI. Ein White-Hat-Hacker erklärt Cyber Resilienz. Erfahren Sie, wie IT-Sicherheit Unternehmenswerte schützt und (persönliche) Haftung minimiert. In Live Hacking Sessions lernen Sie, sich effektiv zu schützen.
Proxy Firewall: So gewährleisten Sie optimalen Netzwerkschutz
In einer unternehmerischen Welt, in der Cyberbedrohungen immer raffinierter werden, ist der Schutz auf Anwendungsebene entscheidend. Genau hier kommt die Proxy Firewall ins Spiel: Sie filtert den Datenverkehr wirksam, erkennt schädliche Inhalte und blockiert Bedrohungen, bevor sie das interne Netzwerk erreichen.
Hier erfahren Sie, wie diese Technologie funktioniert, warum sie effektiver ist als herkömmliche Firewalls und welche Vorteile sie für die Netzwerksicherheit bietet.
Sozialstation Hildebrand: Cybersecurity für mobile Endgeräte
Nicht nur Konzerne und mittelständische Unternehmen, sondern auch sogenannte SOHOs (Small Office/Home Office), also Betriebe mit bis zu 20 Beschäftigten, stehen zunehmend vor der Herausforderung, ihre digitalen Geräte vor Cyberbedrohungen wie Phishing, Malware und Datendiebstahl zu schützen. Besonders im Umgang mit sensiblen Daten, wie im Gesundheitswesen, sind umfassende Sicherheitslösungen unverzichtbar. Ein Best-Practice-Beispiel ist die Sozialstation Hildebrand GmbH, die ihre mobilen Geräte mit der Vodafone-Lösung "Lookout for Small Business" absichert.
Incident Response: So beugen Sie Cyberangriffen schlagkräftig vor
Incident Response unterstützt Unternehmen, wenn diese Opfer von IT-Angriffen werden und andere datenkritische Ereignisse auftreten. Die digitale Abwehr erkennt in kürzester Zeit relevante Vorfälle, ergreift Gegenmaßnahmen, mindert Schäden und stellt gestörte Abläufe schnell wieder her.
Sensible Geschäftsdaten sind zahlreichen Gefahren ausgesetzt – von innen wie von außen. Kommt es deshalb zu Schäden, kann ein Unternehmen viel Zeit, Geld und auch an Ansehen verlieren. Doch das können Sie vermeiden – mit einem schlagkräftigen Incident-Response-Management.
Ist Ihr Firmennetz sicher vor Viren und anderen digitalen Eindringlingen? Mit einem Virenscanner speziell für Unternehmen schützen Sie auch große Netzwerke und finden zuverlässig versteckte Schadsoftware. Doch was muss eine gute Antivirensoftware für den professionellen Einsatz können? Reicht in kleinen und mittelständischen Unternehmen vielleicht auch ein günstiges Produkt für den Cyberschutz?
Wer einmal wertvolle Unternehmensdaten durch unterlassene Datensicherungen oder unzureichende Virenscans verloren hat, wird nie wieder am Sinn von Sicherheitsprotokollen und regelmäßigen Backups zweifeln. Mehr als 200 Milliarden Euro Schaden für die deutsche Wirtschaft durch Cyberattacken hat der Branchenverband Bitkom allein für das Jahr 2023 ermittelt. Viele Schäden sind vermeidbar, wenn Viren und Ransomware rechtzeitig erkannt werden.
Auch in Deutschland wird die Wirtschaft immer digitaler. Selbst Kleinunternehmen brauchen heute zwingend das Internet – und sei es nur für die Online-Steuererklärung oder für die Lohnbuchhaltung. Die große Mehrheit aller deutschen Firmen nutzt inzwischen regelmäßig Cloudlösungen, versendet täglich Daten über das Internet und arbeitet mit räumlich verteilten Arbeitsplätzen, die über unterschiedliche Netzwerke miteinander verbunden sind – oft auch über öffentliche Netzwerke wie das WLAN am Flughafen oder Bahnhof.
Dabei unterscheiden sich Unternehmensnetzwerke erheblich von privaten Netzen – und müssen deshalb auch ganz anders vor Cybergefahren geschützt werden. Die Hersteller von Antivirusprogrammen haben längst darauf reagiert und bieten dementsprechend angepasste Lösungen für kleine, mittlere und große Unternehmen an.
Erfahren Sie hier, welche Typen von Antivirusprogrammen es für Firmen gibt, was die Software von privat genutzten Virenscannern unterscheidet und welches Produkt am besten zu Ihren Anforderungen passt.
