Beim Session-Hijacking gemäß Definition versuchen Angreifer:innen, aktive Benutzersessions (beispielsweise Besuche auf Webseiten mit Login) zu übernehmen und zu „entführen“. Nach erfolgreicher Übernahme einer Session ist es zum Beispiel möglich, geschützte Anwendungen zu nutzen oder geraubte Identitäten zu verwenden.
Cyberkriminelle gehen beim Session-Hijacking normalerweise in zwei Phasen vor. Am Anfang steht die Übernahme von TCP-Sessions (TCP Session-Hijacking) durch Ausspähen des Datenverkehrs. Danach erfolgt die Übernahme von Sessions bei unverschlüsselten HTTP-Zugriffen (PHP Session-Hijacking). Was genau sich hinter beidem verbirgt, welche Risiken entstehen und wie Sie sich davor schützen können, erfahren Sie hier.
Sessions sind für sich genommen keine Sicherheitslücke, sondern normaler Bestandteil des Internets. Viele Webseiten arbeiten systembedingt damit, den Login-Status und die Verweildauer auf einer Seite zu überprüfen. Nahezu alle Webanwendungen, die mit PHP als Programmiersprache aufgebaut sind, verwenden Sessions zur Handhabung und Kontrolle der Login-Prozedur. Sie sollen dabei helfen, dass Benutzer:innen sich nicht bei jedem Wechsel des Browserfensters neu ein- und ausloggen müssen. Außerdem sorgen sie dafür, dass Daten innerhalb einer Webseite und deren Teilanwendungen korrekt übergeben werden.
Eine Session wird dabei immer dann angelegt, wenn Webanwendungen Daten zur Registrierung und Authentifizierung bearbeiten und zwischenspeichern (puffern). Sobald jemand sich über einen Webbrowser auf einer Plattform oder in einer Webapplikation einloggt, werden somit Sessions aufgebaut. Jede Session ist dabei über eine eindeutige Session-ID zu identifizieren. Diese Session-ID wird vom Browser bei jedem Seitenaufruf an den Webserver gesendet, sodass dieser dadurch eingeloggte Personen identifizieren und voneinander unterscheiden kann.
Die jeweiligen Web-Anwendungen sind dadurch in der Lage, den Status der Online-Sitzung – also der Session – zu kontrollieren. So ist es möglich zu sehen, ob die eingeloggte Person nach kurzzeitiger Abwesenheit und fehlender Interaktion mit der Seite immer noch identisch ist. Was als Kontrollmöglichkeit gedacht ist, öffnet jedoch gleichzeitig einen Ansatzpunkt für Cyberkriminelle.
Whitepaper: Cyber Security
Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:
Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
Hier liegt also das erwähnte Sicherheitsrisiko des Session-Hijacking: Gelingt es Cyberkriminellen, an die Session-Daten zu gelangen, können diese ohne Kenntnis der Zugangsdaten diese übernehmen und so wie die rechtmäßig eingeloggte Person agieren. Alle Rechte und Möglichkeiten des regulären Accounts stehen dann den Angreifenden zur Verfügung.
Session-Hijacking: Wie funktioniert die virtuelle Entführung von Sitzungen?
Session-IDs können in unterschiedlicher Form bereitgestellt werden. Die unsicherste Form ist die Übergabe als Parameter, bei dem die ID an die URL angehängt wird. Beim Aufruf von "http://meine-webseite.de/index.php?sid=ZEICHENFOLGE" kennzeichnet der Begriff "ZEICHENFOLGE" eine Session-ID, bestehend aus Buchstaben und Zahlen. Durch das Fehlen von https (HyperText Transfer Protocol Secure) als Übertragungsprotokoll in der Adresse werden jedoch alle Daten unverschlüsselt übertragen.
Wird die genannte Zeichenfolge nun beispielsweise durch eine Man-in-the-middle-Attacke oder simples Ausprobieren erraten, kann ein angreifendes System die Sitzung "kapern" und somit die Kontrolle übernehmen.
Die zweite Möglichkeit ist, Session-IDs in Cookies zu speichern. Cookies sind kleine Textdateien, die beim Besuch von Webseiten auf dem lokalen Rechner gespeichert und bei Seitenaufrufen an den Server gesendet werden. Diese Methode wird von Entwickler:innen meist aus Sicherheitsgründen bevorzugt und erschwert es Angreifer:innen, entsprechende Daten abzufangen. Manche Online-Shops arbeiten dennoch zusätzlich mit der Übertragung via URL, was sehr leicht in der Adresszeile des Browsers zu erkennen ist.
Diese Angriffsarten werden häufig auch als "PHP Session Hijacking", TCP Session Hijacking", "Session Hijacking Attack" oder schlicht "Session Hijacking" bezeichnet.
Betreiber:innen von Shops sollten darauf achten, dass sie mit SSL-Verschlüsselung arbeiten. Das Kennzeichen dafür ist ein Schloss-Symbol in der Adresszeile beziehungsweise das "https" im Adressenaufruf. Fehlt dieses, werden alle Daten unverschlüsselt übertragen, was Kriminellen eine Übernahme dieser Daten leicht macht. In der Praxis gibt es heutzutage kaum noch Webseiten, die gänzlich ohne Verschlüsselung auskommen; oder der Webbrowser markiert sie als unsicher und sie erhalten somit weniger Zulauf.
Beide Formen der Cookie-Speicherung sind für sich gesehen sicher. Erst durch den Einsatz von Malware ist es möglich, an diese Daten zu gelangen – entweder im Zusammenhang mit kompromittierten Systemen oder innerhalb eines unsicheren Netzwerks. Neben diesen im eigenen Netzwerk und Rechner vorhandenen Sicherheitslücken können auch auf den Portalen selbst Malware und Systemfehler dafür sorgen, dass Session-IDs nicht sicher sind. Basis für solche Angriffe sind häufig sogenannte Cross-Site-Scripting-Attacken (XSS). Diese ermöglichen es, Schadcode auf Webseiten einzuschleusen. Solcher Schadcode kann dann dazu führen, dass Login-Daten und andere Eingaben umgelenkt und anderen Personen zugänglich gemacht werden.
Wenn Cyberkriminelle beispielsweise durch XSS eingeschleuste Links mit JavaScript-Schadcode an potenzielle Opfer senden, reicht ein Mausklick auf den angebotenen Link, um den JavaScript-Code auszuführen und der Malware Systemzugriff zu verschaffen. Auch ist es beispielsweise möglich, den Datenverkehr umzulenken. Ist der Datenverkehr erst einmal in fremden Händen, lassen sich Sessions leicht übernehmen oder der Zugriff auf den Server manipulieren.
Durch die Übernahme von Session-IDs können Angreifende kompletten Zugriff auf Systeme und Accounts erlangen.
Sicherheitslücken durch Servervariablen
Webserver legen Session-Variablen je nach Servertyp immer in festgelegten Verzeichnissen ab. Auf dem Apache-Webserver innerhalb des Installationspaketes Xampp ist das beispielsweise das Verzeichnis „\xampp\tmp“.
Bei Nutzung des Servers durch mehrere Personen ist für das Beispiel Xampp die Standardeinstellung so festgelegt, dass das System für alle ein identisches Verzeichnis zum Abspeichern der Session-Daten nutzt. Angreifer können dieses Verzeichnis auslesen, wodurch sie dann auch Zugriff auf alle Session-Daten haben.
Wurden systembedingt Benutzername und Kennwort der aktuellen Sitzung in einer Session-ID gespeichert, könnten Angreifer diese nun direkt im Klartext dort auslesen.
Cyberangriffe sind kein seltenes Phänomen mehr. Sie betreffen nahezu jedes Unternehmen heutzutage.
Systemseitiger Schutz durch ablaufende Sitzungen
Die unterschiedlichen Sessionvariablen steuern das Verhalten des Webservers. Die in „session.cache_expire“ gespeicherten Werte definieren die Laufzeit einer Session. Steht dort beispielsweise der Wert „10“, so verfällt die Session automatisch nach 10 Minuten, falls innerhalb dieser Zeit keine Aktionen über den Webbrowser stattfinden. Durch entsprechend niedrige Werte wird grundsätzlich ein höheres Maß an Sicherheit erzielt. Das liegt daran, dass Cyberkriminelle so möglichst wenig Zeit für das Ausspähen und Auslesen von Speicherwerten haben.
Diese höhere Sicherheit bezahlen Kund:innen jedoch mit der Tatsache, dass bei Inaktivität Sitzungen schneller geschlossen werden und ein erneutes Login erforderlich ist. Wird beispielsweise ein Warenkorb oder ein Eingabeformular dabei nicht serverseitig zwischengespeichert, kann dies für große Frustration sorgen, weil die bis dato getätigten Eingaben oder Warenkorbinhalte „verloren” sind.
In der Summe ist der Schutz gegen Session-Hijacking also immer auch eine Sache der Abwägung – zwischen dem gewünschten Komfort für Nutzende und der maximal möglichen Sicherheit.
Identitätsprüfung leicht gemacht
Nicht sicher, ob eine Person die ist, für die sie sich ausgibt? Mit den Vodafone Identity Verification Services haben Cyber-Kriminelle beim Identitätsbetrug keine Chance.
Die meisten Probleme mit Session-Hijacking lassen sich verhindern, zum Beispiel durch serverseitige Codequalität und den Schutz vor Codemanipulation via Cross-Site-Scripting und anderen Manipulationen. Diese Methoden bieten ein hohes Maß an Sicherheit. Die Verschlüsselung von Seiten verhindert außerdem weitgehend, dass Session-Daten von außen manipuliert werden.
Ein weiterer Schwachpunkt vieler Web-Applikationen sind Anmeldeformularen oder Kontaktformulare. Hier bietet sich Cyberkriminellen häufig die Möglichkeit, eine so genannte SQL-Injection vorzunehmen. Hierbei ”injizieren” sie den Schadcode über die vorhandene PHP-Datenbank auf die Webseite . Im einfachsten Fall lässt sich über ein Kontaktformular über bestimmte Sonderzeichen ein Eingabefenster öffnen. Gelingt das, können Cyberkriminelle beliebigen Schadcode in die Datenbank speichern.…
Häufig besteht dieser Schadcode aus sogenannten SQL-Statements zur Manipulation der Datenbank oder aus HTML-Code, der andere Inhalte via JavaScript nachlädt. Da die meisten Portale, Webshops und Content Management Systeme Webseiten dynamisch aus Datenbankinhalten generieren ist es so möglich, nahezu beliebige Inhalte in Seiten einzufügen.
Durch den Einsatz so genannter Prepared Statements oder Stored Procedures lässt sich Session Hijacking Prävention betreiben und diese Gefahr wirksam bekämpfen. Es handelt sich hierbei um Maßnahmen, die auf Serverseite für mehr Sicherheit sorgen. Grund hierfür ist, dass diese (Server) keine einzelnen, manipulierbaren SQL-Statements zulassen, sondern immer nur in einer Abfolge definierter Befehle arbeiten.
Eine Mischung aus Verschlüsselung und guter Programmierung bietet in der Regel optimalen Schutz vor Session-Hijacking. Auf die Qualität der Webseiten und die Nutzung von https haben jedoch nur die Betreiber von Portalen und Webapplikationen Einfluss.
Secure Enterprise Messaging
Unternehmen, die DSGVO-konforme Kommunikation gewährleisten wollen, kommen um eine Secure Enterprise Messaging-Lösung nicht herum.
Mit Vodafone CorporateDataAccess 5.0 erhalten Sie eine schlüsselfertige Lösung, um mobile Endgeräte wie Smartphones, Laptops und Tablets via Mobilfunknetz mit Ihrem Unternehmen zu verbinden. Und das alles ohne zusätzliche Software oder Apps.
Auf Seite der Nutzer:innen gibt es keine spezifischen Schutzmöglichkeiten zur Session-Hijacking Prävention, also um Session-Hijacking zu verhindern. Die allgemein zum Schutz vor Malware und Spoofing-Attacken empfohlenen Maßnahmen schützen jedoch auch gegen das Ausspähen und Manipulieren von Session-IDs wirkungsvoll. Für Unternehmen wie auch für Privatleute sind die wichtigsten Punkte:
Sicherheitsupdates zeitnah installieren
Aktuelle Antiviren-Software installieren
Passwortrichtlinien einhalten und regelmäßig das Passwort wechseln
Keine Mailanhänge unbekannter Herkunft öffnen
Keine Links in E-Mails anklicken
Vorsicht bei der Weitergabe persönlicher Informationen
Keine öffentlichen WLAN-Netze ohne VPN nutzen
Bei Malware-Verdacht unverzüglich fachliche Hilfe holen
Zwei-Faktor-Authentifizierung verwenden, wo sie angeboten wird
Firewall niemals deaktivieren
Neben diesen Grundregeln sorgen regelmäßige Cyber-Schulungen für alle Mitarbeitenden für mehr IT-Sicherheit im Unternehmen. So sensibilisieren Sie die Belegschaft für mögliche IT-Sicherheitsrisiken und erhöhen den Schutz für das Unternehmen.
Sozialstation Hildebrand: Cybersecurity für mobile Endgeräte
Nicht nur Konzerne und mittelständische Unternehmen, sondern auch sogenannte SOHOs (Small Office/Home Office), also Betriebe mit bis zu 20 Beschäftigten, stehen zunehmend vor der Herausforderung, ihre digitalen Geräte vor Cyberbedrohungen wie Phishing, Malware und Datendiebstahl zu schützen. Besonders im Umgang mit sensiblen Daten, wie im Gesundheitswesen, sind umfassende Sicherheitslösungen unverzichtbar. Ein Best-Practice-Beispiel ist die Sozialstation Hildebrand GmbH, die ihre mobilen Geräte mit der Vodafone-Lösung "Lookout for Small Business" absichert.
Incident Response: So beugen Sie Cyberangriffen schlagkräftig vor
Incident Response unterstützt Unternehmen, wenn diese Opfer von IT-Angriffen werden und andere datenkritische Ereignisse auftreten. Die digitale Abwehr erkennt in kürzester Zeit relevante Vorfälle, ergreift Gegenmaßnahmen, mindert Schäden und stellt gestörte Abläufe schnell wieder her.
Sensible Geschäftsdaten sind zahlreichen Gefahren ausgesetzt – von innen wie von außen. Kommt es deshalb zu Schäden, kann ein Unternehmen viel Zeit, Geld und auch an Ansehen verlieren. Doch das können Sie vermeiden – mit einem schlagkräftigen Incident-Response-Management.
Ist Ihr Firmennetz sicher vor Viren und anderen digitalen Eindringlingen? Mit einem Virenscanner speziell für Unternehmen schützen Sie auch große Netzwerke und finden zuverlässig versteckte Schadsoftware. Doch was muss eine gute Antivirensoftware für den professionellen Einsatz können? Reicht in kleinen und mittelständischen Unternehmen vielleicht auch ein günstiges Produkt für den Cyberschutz?
Wer einmal wertvolle Unternehmensdaten durch unterlassene Datensicherungen oder unzureichende Virenscans verloren hat, wird nie wieder am Sinn von Sicherheitsprotokollen und regelmäßigen Backups zweifeln. Mehr als 200 Milliarden Euro Schaden für die deutsche Wirtschaft durch Cyberattacken hat der Branchenverband Bitkom allein für das Jahr 2023 ermittelt. Viele Schäden sind vermeidbar, wenn Viren und Ransomware rechtzeitig erkannt werden.
Auch in Deutschland wird die Wirtschaft immer digitaler. Selbst Kleinunternehmen brauchen heute zwingend das Internet – und sei es nur für die Online-Steuererklärung oder für die Lohnbuchhaltung. Die große Mehrheit aller deutschen Firmen nutzt inzwischen regelmäßig Cloudlösungen, versendet täglich Daten über das Internet und arbeitet mit räumlich verteilten Arbeitsplätzen, die über unterschiedliche Netzwerke miteinander verbunden sind – oft auch über öffentliche Netzwerke wie das WLAN am Flughafen oder Bahnhof.
Dabei unterscheiden sich Unternehmensnetzwerke erheblich von privaten Netzen – und müssen deshalb auch ganz anders vor Cybergefahren geschützt werden. Die Hersteller von Antivirusprogrammen haben längst darauf reagiert und bieten dementsprechend angepasste Lösungen für kleine, mittlere und große Unternehmen an.
Erfahren Sie hier, welche Typen von Antivirusprogrammen es für Firmen gibt, was die Software von privat genutzten Virenscannern unterscheidet und welches Produkt am besten zu Ihren Anforderungen passt.
Passwort gestohlen: So reagieren Sie bei Datenpannen richtig
2024 wurde der bisher umfangreichste Datensatz mit gehackten Zugangsdaten namens „RocukYou2024“ in Umlauf gebracht. Mit fast 10 Milliarden Einträgen übertrifft diese Datensammlung alle bisherigen. Das zeigt, wie wichtig der Schutz von Passwörtern und Zugangsdaten in Ihrem Unternehmen ist.
Eine Datenpanne, auch als Datenleck oder Datenleak (engl. Leak für Leck) bezeichnet, tritt auf, wenn die Sicherheit von Informationen gefährdet ist – etwa, indem ihre Vertraulichkeit, Integrität oder Verfügbarkeit nicht gewährleistet sind. Konkret bedeutet das, dass unbefugte Personen auf sensible Daten zugreifen und diese manipulieren können; oder dass Sie auf wichtige Informationen nicht mehr zugreifen können.
Man spricht von einer Datenpanne, wenn eines der folgenden Ereignisse auftritt:
Personen können unbefugt auf Daten zugreifen.
Datensätze werden ungewollt oder unwissentlich verändert.
Informationen sind nicht mehr zugänglich oder wurden ungewollt in den Zugriffsrechten verändert.
Daten und Informationen gehen verloren.
Der RocukYou2024-Vorfall zwischen 2021 und 2024 ist nur Beispiel von vielen: Insgesamt haben Cyberkrirminelle in diesem Zeitraum über 1,5 Milliarden Zugangsdaten durch neue und alte Datenlecks und Datenpannen gesammelt. Sie verkaufen diese Daten teilweise über einschlägige Foren sowie das Darknet. Dieser negative Trend ließ sich bisher auch nicht durch moderne Sicherungsverfahren wie die Zwei-Faktor-Authentifizierung umkehren.
Wir erklären Ihnen, was Sie tun können, wenn auch Ihr Unternehmen von einem Passwortdiebstahl betroffen ist.
Cloud Security Alliance (CSA): Das steckt dahinter
2024 liegt der Umsatz auf dem Cloud-Sicherheits-Markt laut Prognosen bei circa 499,7 Millionen Euro – allein in Europa. Es geht um immer größere Mengen an sensiblen Daten in der Cloud. Die Angriffe von Cyberkriminellen nehmen immer mehr zu, ebenso wie die gesetzlichen Sicherheitsvorgaben. Die Sicherheits- und Compliance-Anforderungen an Unternehmen sind also hoch, die Kosten leider auch. Dabei gibt es kostengünstige Wege, um sicherzustellen, dass Ihre Daten in der Unternehmens-Cloud sicher sind: mit der Expertise der Cloud Security Alliance.
Um Cloud-Computing kommt kaum ein Unternehmen herum. Ob Sie ganze Rechenzentren in die Cloud auslagern oder lediglich auf einzelne Ressourcen oder Managed Services setzen: Bereits 2022 nutzten rund 84 Prozent der deutschen Firmen Anwendungen in der Cloud – Tendenz steigend.
Und wahrscheinlich stellen auch Sie sich die Frage: Wie sicher sind Ihre Daten in der Cloud wirklich? Funktioniert die Cloud-Security-Strategie Ihres Cloud-Anbieters? Damit Sie Antworten auf diese Fragen erhalten, bietet die Cloud Security Alliance (CSA) eine Vielzahl an Services an. Wir stellen die CSA vor und zeigen Ihnen, wie Ihr Unternehmen von den Services profitieren kann.
