ONE4 IT - News

Aktuelle Meldungen und Informationen

Wenn Hacker die Kontrolle übernehmen: Session-Hijacking

Ein Mitarbeiter sucht auf einer Website nach bestimmten Informationen — und plötzlich übernimmt ein Hacker die Kontrolle über die Sitzung. Es handelt sich um Session-Hijacking. Klingt gruselig, ist es auch.

Session-Hijacking ist ein ernstes und unterschätztes Risiko für Unternehmen. Wir erklären, wie Sie sich davor schützen können.

Cyberkriminalität: wachsende Bedrohung für Unternehmen

Cyberkriminalität ist eine Bedrohung, die, wie das berühmte Damoklesschwert, immer sowohl über Privatpersonen als auch über Unternehmen schwebt. Und leider bleibt das oft nicht so. Vielmehr schlägt das Schwert in nicht wenigen Fällen zu und trifft Unternehmen genau dort, wo es besonders schmerzt: im unternehmenseigenen Datenpool. Erpressung, Sabotage und Spionage sind oft die Folge.

Der Digitalverband Bitkom beispielsweise zeigt, dass die Bedrohung durch Cyberkriminalität längst mehr als eine abstrakte Bedrohung ist. Jedes Jahr stellt der Verband erneut die Frage: „Wie hoch ist der wirtschaftliche Schaden, der durch Cyberangriffe auf deutsche Unternehmen entsteht“? Im Jahr 2022 lautete die Antwort: 203 Milliarden Euro. Das sind zwar 20 Milliarden weniger als im Rekordjahr 2021, doch 2018/2019 sah es mit „nur“ 103 Milliarden deutlich besser aus.

Der Erfolg motiviert die Akteure hinter diesen Angriffen natürlich noch mehr, sodass sie auf der einen Seite auf bewährte Methoden zurückgreifen, auf der anderen Seite ständig neue Methoden für ihre Angriffe erfinden. Zu diesen Methoden gehört auch Session Hijacking — ein Risiko, das Unternehmen oft nicht ausreichend auf dem Schirm haben.

Ein Mann sieht bestürzt auf seinen Laptop. Beim Session Hijacking wurde seine Webseitensitzung übernommen. Bild: ©BullRun/stock.adobe.com

Keine schöne Erfahrung: Die Webseitensitzung wurde von einem Hacker übernommen. Bild: ©bullrun/stock. adobe.com

Was ist Session-Hijacking?

Session-Hijacking (auch: Cookie-Hijacking) ist eine spezielle Art von Cyberangriffen, bei der Angreifer die Kontrolle über die Sitzung eines Benutzers auf einer Website oder in einer Anwendung übernehmen. Sie können dann auf Informationen zugreifen und Maßnahmen ergreifen, als wären sie der tatsächliche Benutzer. Mögliche Folgen sind der unbefugte Zugriff auf sensible Daten, finanzielle Verluste und ein Imageverlust des betroffenen Benutzers oder Unternehmens.

Falls Sie nicht genau wissen, was mit einer „Sitzung“ gemeint ist: Eine Website oder Anwendung, die mit Login-Daten arbeitet, authentifiziert Nutzer beispielsweise anhand des Benutzernamens und Passworts, wenn dies geschehen ist, startet die Sitzung — also die Zeit, die Nutzer auf der Website oder in der Anwendung verbringen.

In den meisten Fällen werden dafür spezielle Session-IDs erstellt, die aus verschiedenen Zahlen und Buchstaben bestehen und in temporären Session-Cookies, URLs oder versteckten Feldern auf der Website oder lokal auf dem PC des Nutzers gespeichert werden. Sie stellen sicher, dass Benutzer nicht einfach ausgeloggt werden. Das Problem: Genau diese Session-IDs oder Session-Cookies verwenden Angreifer beim Session-Hijacking.

Wie funktioniert Session-Hijacking?

Beim Session-Hijacking stehlen Angreifer das Sitzungscookie ihres Opfers und können so die Kontrolle über ihre Sitzung übernehmen, ohne Anmeldedaten zu benötigen oder eine Mehrfaktor-Authentifizierung durchführen zu müssen. Cyberkriminelle erhalten diese Sitzungscookies auf verschiedene Weise:

  1. Malware-Angriff:
    Im Falle eines Malware-Angriffs versenden Cyberkriminelle eine Phishing-E-Mail über eine dringende Angelegenheit — zum Beispiel eine Rechnung, die im Anhang als vermeintliches PDF zu finden ist. Tatsächlich handelt es sich um eine ausführbare Datei, die Malware injiziert. Ist diese Schadsoftware aktiviert, können Angreifer auf den temporären Speicher im Browser zugreifen und Sitzungs-IDs für die gewünschten Cookies abrufen.
  2. Site-übergreifendes Scripting (XSS):
    Cross-Site-Scripting ist die beliebteste Methode. Angreifer suchen auf dem Zielserver (dem Server, auf dem eine Website gehostet wird) oder in der Zielanwendung nach Sicherheitslücken. Wenn sie fündig werden, injizieren sie dort clientseitige Skripte, die die Website des Benutzers mit bösartigem Code laden und die Sitzungs-ID wird gestohlen.
  3. Vorhersehbare Sitzungs-IDs und Brute-Force-Angriffe:
    Einige Websites folgen bei der Zuweisung von Sitzungs-IDs einem Muster, beispielsweise basierend auf den IP-Adressen der Besucher. Durch die Überwachung der ausgegebenen Sitzungs-IDs können Kriminelle dieses Muster erkennen und vorhersagen, wie Sitzungs-IDs für bestimmte Benutzer aussehen könnten. Ähnlich verhält es sich mit einem Brute-Force-Angriff. Nach dem vermuteten Muster wird eine Liste möglicher Session-IDs erstellt, die in Kombination mit Seitenbesuchern wiederholt ausprobiert werden — bis es eine Übereinstimmung gibt.
  4. Session-Side-Jacking (auch: Session-Sniffing):
    Es gibt spezielle Tools — Paket-Sniffer —, die den Netzwerkverkehr überwachen und Sitzungscookies nach der Authentifizierung auf einer Website stehlen. Dies ist besonders erfolgreich, wenn nur die Authentifizierungsseite selbst verschlüsselt ist, nicht aber die folgenden Seiten. Für diese Methode benötigen Angreifer jedoch Zugriff auf das Netzwerk des Benutzers, beispielsweise über ungesicherte WLAN-Netzwerke oder öffentliche Netzwerke.

Das große Problem: Das Opfer merkt in der Regel nichts davon.

Zu sehen ist ein Laptop mit einem Login-Fenster. Beim Session Hijacking wird der Login umgangen. Bild: ©Rawf8/stock.adobe.com

Wenn es um Session-Hijacking geht, benötigen Angreifer keine Anmeldedaten. Bild: ©rawf8/stock. adobe.com

Welche Auswirkungen hat Session-Hijacking auf Unternehmen?

Viele Unternehmen sind sich des Session-Hijackings nicht bewusst — und treffen daher keine entsprechenden Schutzmaßnahmen. Diese sind äußerst wichtig, da die Auswirkungen von Session-Hijacking auf Unternehmen gravierend sein können.

Denken Sie nur daran, wie viele Websites und Anwendungen die Mitarbeiter in Ihrem Unternehmen verwenden und wie viele Informationen und vertrauliche Daten über sie verfügbar sind. Geraten diese Informationen in falsche Hände, drohen Reputationsschäden, Vertrauensverlust bei Kunden und Geschäftspartnern und nicht zuletzt potenziell hohe finanzielle Verluste — zum einen durch die geschädigten Geschäftsbeziehungen, zum anderen durch mögliche Bußgelder aufgrund einer Datenpanne.

Das bedeutet, dass Unternehmen unbedingt verhindern sollten, dass sie auch Opfer von Session-Hijacking werden. Dies ist jedoch leichter gesagt als getan — vor allem, weil es sich sozusagen um eine unsichtbare Bedrohung handelt, da der eigentliche Angriff oft unbemerkt bleibt und die Folgen erst viel später sichtbar werden.

Wie können sich Unternehmen vor Session-Hijacking schützen?

Tatsächlich ist Session-Hijacking eine der am häufigsten verwendeten Methoden, um sich unbefugten Zugriff auf Webanwendungen zu verschaffen. Entsprechende Schutzmaßnahmen sind daher umso wichtiger. Hier sind ein paar Tipps, wie sich Unternehmen vor Session-Hijacking schützen können:

  • Stellen Sie sicher, dass Ihre Mitarbeiter nur Websites und Anwendungen verwenden, für die HTTPS erforderlich ist. Dadurch ist die Kommunikation zwischen Server und Client verschlüsselt. Sie sollten auch die SSL/TLS-Verschlüsselung verwenden, um Datenübertragungen sicherer zu machen.
  • Informieren Sie Ihre Mitarbeiter regelmäßig über die Risiken von Session-Hijacking, einschließlich bewährter Methoden für den Umgang mit sensiblen Daten. Die Hauptsache dabei ist, dass sie Phishing-Versuche erkennen und keine sensiblen Daten preisgeben. Das Schlüsselwort dafür lautet: Sicherheitsbewusstsein.
  • Stellen Sie sicher, dass Webanwendungen und Server regelmäßig auf Sicherheitslücken überprüft werden. Wenn tatsächlich Schwachstellen gefunden werden können, ist es wichtig, diese so schnell wie möglich zu beheben.
  • Verwenden Sie die Zwei-Faktor-Authentifizierung, um unbefugten Zugriff zu verhindern – auch wenn dieser durch Sitzungs-Hijacking umgangen werden kann.
  • Verwenden Sie sogenannte Token-basierte Authentifizierungsmethoden, bei denen Benutzer ein individuelles Token erhalten, das für jede Anfrage verwendet wird. Das Risiko eines Session-Hijackings kann somit minimiert werden.

Grundsätzlich sollten Unternehmen die Gefahr von Session-Hijacking nicht unterschätzen und proaktiv handeln, um ihre Systeme und Daten zu schützen. Andernfalls könnten Sie später den Kürzeren ziehen.

one4 IT, Ihr IT-Dienstleister, sichert Ihr Unternehmen

Sie möchten Ihr Unternehmen vor Session-Hijacking schützen, sind sich aber unsicher, wie Sie die notwendigen Schutzmaßnahmen am besten umsetzen können? Dann holen Sie sich am besten einen Profi an Ihre Seite! Professionelle IT-Lösungen von one4 IT helfen Unternehmen dabei, eine leistungsstarke IT-Infrastruktur aufzubauen und umfassende IT-Sicherheit zu implementieren.

In diesem Zusammenhang achten wir auch darauf, Session-Hijacking durch wirksame Schutzmaßnahmen zu verhindern. Wir verbessern die Netzwerksicherheit von Unternehmen, stellen sicher, dass Software und Systeme auf dem neuesten Stand sind, und richten Überwachungs- und Analysetools ein, um verdächtige Aktivitäten zu erkennen.

Darüber hinaus bieten wir Schulungen zum Sicherheitsbewusstsein Ihrer Mitarbeiter an, um sie über die Risiken von Session-Hijacking und anderen Bedrohungen aufzuklären. Klingt das interessant? Dann setzen Sie sich mit uns in Verbindung und lassen Sie sich zunächst unverbindlich beraten!


Weitere Links:
bitkom, keyfactor, GEEKFLARE, Neowin, Unsplash/Surface

Lesen Sie den Originalartikel auf IT-SERVICE.network