Hacker: Das sind ihre Methoden
Cloud Computing Plattformen sind – aus Sicht potenzieller Angreifer – ein in mehrfacher Hinsicht lohnendes Ziel. Anders als im klassischen IT-Outsourcing, bei denen Angriffe auf die IT-Infrastruktur in der Regel nur einem Kunden schaden, sind im Cloud Computing bei einem erfolgreichen Angriff viele Kunden auf einmal betroffen: sei es, weil sie nicht mehr auf ihre Daten und Dienste zugreifen können, sei es, weil Daten abgegriffen werden.
In Punkto Cyber-Sicherheit bieten Cloud-Plattformen nichtsdestotrotz viele Vorteile gegenüber dem klassischen IT-Outsourcing. Cloud-Anbieter können Sicherheitsmaßnahmen kostengünstiger umsetzen, als dies ein einzelnes Unternehmen für sich selbst könnte. Häufig verfügen sie auch über mehr Ressourcen und Know-how, beispielsweise wie man Firewalls so konfiguriert, dass DoS-Attacken wirkungsvoll abgewehrt werden. Insbesondere kleine und mittelständische Unternehmen können davon profitieren. Lesen Sie hier, welche unterschiedlichen Angriffsmethoden es gibt, und was die Anbieter von Cloud-Plattformen zu ihrer Abwehr unternehmen.
(Distributed) Denial-of-Service-Angriffe (DoS/DDoS)
Das Ziel von Denial-of-Service-Attacken (DoS) ist, den oder die angegriffenen Server durch Überlastung in die Knie zu zwingen, bis es zu einem Denial-of-Service (deutsch: Dienstverweigerung) kommt. Für Cloud-Anbieter ist die Verhinderung von DoS-Attacken besonders wichtig: Wenn die Plattform nicht verfügbar ist, kann dies unter Umständen tausende Kunden gleichzeitig betreffen.
DoS-Angriffe können auf allen Ebenen der IP-Kommunikation stattfinden. Der angegriffene Server wird mit fehlerhaften oder falsch adressierten IP-Paketen bombardiert. Im einfachsten Fall handelt es sich um massenhafte Anfragepakete zum Öffnen von Paketen, man spricht dann von SYN-Flooding. In komplexeren Fällen attackiert der Angreifer die Anwendung selbst, zum Beispiel einen Webserver durch massenhafte Abrufe bestimmter statischer oder dynamischer Seiten. Der Effekt ist in beiden Fällen der gleiche: Wenn der Server mit den Anfragen nicht mehr zurechtkommt, bricht er zusammen. Andere gängige DoS-Methoden sind Smurf-Angriffe, bei denen Ping-Pakete an die gerichtete Broadcast-Adresse eines Netzwerkes geschickt werden, oder das Mail-Bombing, bei dem ein Mail-Server mit E-Mails bombardiert wird.
Von einer Distributed-Denial-of-Service-Attacken (DDoS) spricht man, wenn der Angriff von mehreren Computern aus erfolgt. Das Ziel ist das gleiche wie bei einer „einfachen“ DoS-Attacke: Der angegriffene Server soll überlastet und lahmgelegt werden. DDoS-Angriffe werden häufig mit Hilfe illegaler Botnetze durchgeführt. Da der Angriff koordiniert von mehreren Computern zum gleichen Zeitpunkt durchgeführt wird, ist er schwieriger nachzuverfolgen und zu unterbinden. Die Koordinierung des Angriffs erfolgt über auf den infizierten Botnetz-Rechnern hinterlegte Malware oder Trojaner, die vom Angreifer gleichzeitig aktiviert werden.
Zur Abwehr von DoS und DDoS-Angriffen setzen Cloud-Anbieter modernste Technologien der Intrusion Detection und Intrusion Prevention ein. Eine Schlüsselrolle spielt hierbei die Firewall. Moderne Firewalls verfügen über Technologien, um Angriffe auf die Cloud-Plattform und die dort gehosteten Anwendungen zu erkennen und zu verhindern. Dies erreichen sie unter anderem, indem der Netzwerkverkehr mit Mustern von bekannten Angriffen – zum Beispiel durch Malware – verglichen und auf die Konformität mit der jeweiligen Protokollspezifikation geprüft wird. Verdächtige und schädliche Aktionen werden protokolliert und verhindert.
Die verwendete Technologie zur Abwehr von DoS und DDoS-Angriffen kommt nicht nur bei Angriffen von außen zur Anwendung. Mindestens ebenso schlimm wäre es für einen Cloud Anbieter, wenn seine Plattform als Ausgangspunkt einer DoS-Attacke auf Dritte verwendet würde. Auch gegen diese Bedrohung bieten moderne Firewalls effiziente Abwehrmechanismen.
Cross-Site-Scripting (XSS)
Viele Cloud-Anwendungen sind Web-Anwendungen und nutzen zur Kommunikation die gleichen Technologien wie Web-Anwendungen, etwa http(s), LDAP, REST oder JSON. Gängige Angriffsmuster auf Web-Anwendungen, wie zum Beispiel Cross-Site-Scripting, Cross-Site-Request-Forgery oder SQL Injection betreffen daher auch Cloud-Anbieter.
Cross-Site-Scripting, deutsch: Website-übergreifendes Skripting, ist eine Form der HTML-Injection: Der Angriff erfolgt über das Hypertext Transfer Protocol (http). Hierfür nutzen Hacker ein sogenanntes XSS-Loch bei der Eingabe von Benutzerdaten. Ein XSS-Loch entsteht, wenn eine Anwendung Nutzerdaten an den Internetbrowser sendet, ohne diese überprüft oder zu verschlüsselt zu haben. Der Angriff erfolgt zwischen verschiedenen Aufrufen einer Website unter Verwendung einer vom Browser unterstützten Scriptsprache, in der Regel JavaScript. Bei einem erfolgreichen Angriff werden Scripte im Browser des Opfers ausgeführt und damit Schadcode ausgeführt. Ziel von Cross-Site-Scripting ist es gewöhnlich, in den Besitz sensibler Nutzerdaten zu kommen, entweder um diese zu stehlen und/oder um Benutzerkonten zu übernehmen (Identitätsdiebstahl).
Zum Schutz gegen Cross Site Scripting, sollten Webanwendungen alle eingehenden Daten vor der weiteren Verarbeitung anhand einer Positivliste, einer so genannten Whitelist, überprüfen und nur unschädliche Eingaben zulassen. Dieses Vorgehen gilt als Best Practice der Programmierung und wird auch vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfohlen. Das Problem einer Blacklist, bei der gefährliche Eingaben herausgefiltert werden, ist, dass Hacker immer neue Angriffsmethoden entwickeln, die unter Umständen nicht durch die Blacklist erkannt werden. Websitenutzer können sich gegen XSS-Angriffe schützen, indem sie JavaScript im Browser ausschalten. Dies macht die Internetznutzung allerdings sehr unkomfortabel und schützt auch nicht vor allen Arten von Cross Site Scripting. Für einige Browser gibt es Erweiterungen, mit denen XSS-Angriffe verhindert werden, zum Beispiel NoScript für Firefox oder ScriptSafe für Chrome.
Cross-Site-Request-Forgery (CSRF)
Cross-Site-Request-Forgery, deutsch: Website-übergreifende Anfragenfälschung, macht sich die Zustandslosigkeit des http-Protokolls zunutze. Nach der erfolgreichen Authentifizierung des Browsers sendet dieser bei jeder Anfrage seine Sitzungsdaten an den Server. Sofern eine Web-Anwendung keine Maßnahmen gegen CSRF-Angriffe getroffen hat, ist sie daher prinzipiell verwundbar.
Für einen CSRF-Angriff missbrauchen Hacker Nutzer, die bereits bei einer Web-Anwendung angemeldet sind. Dem Internetbrowser des Opfers wird – ohne dessen Wissen – ein gefälschter htttp-Request untergeschoben, der vom Server ausgeführt wird, da er dem vermeintlich authentifizierten Benutzer vertraut. Die Angriffsmethode ist auch als One-Click-Attack, Sitejacking und Session Riding bekannt. Der Request ist so konzipiert, dass durch die gefälschte Anfrage die vom Angreifer gewünschte Aktion ausgeführt wird. Dies kann zum Beispiel das Anlegen von neuen Benutzern für spätere Angriffe, das Auslösen von gefälschten Bestellungen oder die Manipulation von Daten sein.
Lesen Sie dazu auch: DDoS-Attacken: „Plötzlicher Herztod“ für die IT
Der Webshop ist offline, der E-Mail-Server funktioniert nicht, die Kunden können ihre Ansprechpartner nicht erreichen – ein Alptraum für jeden Mittelständler. Mögliche Ursache: DDoS-Attacken, die die Server arbeitsunfähig machen. Wie die Telekom hilft, solche Angriffe abzuwehren. Und wie die Zippel Media GmbH jüngst einen DDoS-Angriff erfolgreich abgewehrt hat. Mehr erfahren!
Um sich gegen CSRF-Angriffe zu schützen, verwenden Website und Cloud-Betreiber Benutzer- und Session-spezifische, zufällig berechnete Token, meist eine Zahlen- oder Zeichenkette, die in einem Hidden-Field der Seite eingebunden ist. Der Token wird zu Beginn der Session oder bei jedem Request neu berechnet. Ohne andere Sicherheitslücken in der Web-Anwendung ist dieses Hidden-Feld für potenzielle Angreifer nicht auslesbar. Websitenutzer können CSRF-Angriffe erschweren, indem sie die von vielen Websites und -Applikationen angebotene Option zum dauerhaften Login nicht verwenden. Diese Option macht zwar die Nutzung der Website komfortabler, sie erleichtert aber auch Angreifern ihr Handwerk, da sie nicht mehr den Zeitpunkt abpassen müssen, zu dem ihr Opfer bei der Web-Anwendung angemeldet ist.
SQL-Injection
Als SQL-Injection, deutsch: SQL-Einschleusung, bezeichnet man Angriffe auf eine SQL-Datenbank, bei denen geänderte oder zusätzliche SQL-Anfragen in die Datenbank eingeschleust werden. Das Einschleusen der Anfragen wird durch eine unzureichende Validierung von Eingabedaten innerhalb der Web-Anwendung möglich. Sicherheitslücken treten oft in serverseitigen Skripten oder Programmen auf, bei denen Websiteinhalte, Formulardaten oder E-Mails in SQL-Datenbanken eingetragen werden. Ziel einer SQL-Injection ist es, sich unberechtigt Zugriff auf die Daten zu verschaffen, diese zu manipulieren oder zu löschen oder gar die Kontrolle über den Server zu erlangen. Die SQL-Injection richtet sich ausschließlich gegen SQL-Datenbanken, analoge Angriffsmethoden sind auch bei anderen Interpretern möglich, etwa bei der LDAP-Injection, der XML-Injection oder der Mail-Command-Injection.
Ein wichtiger Schutz gegen SQL-Injections ist es, von Nutzern eingegeben Daten herauszufiltern oder zu maskieren. Beim Maskieren werden SQL-Sonderzeichen, beispielsweise Anführungszeichen, in den Nutzereingaben maskiert und so vom SQL-Interpreter nicht beachtet. Die sicherste Gegenmaßnahme gegen SQL-Injections ist es jedoch, die Daten komplett vom SQL-Interpreter fernzuhalten. Hierzu werden gebundene Parameter in Prepared Statements eingesetzt und die Daten an einen bereits kompilierten Befehl übergeben. So werden die Nutzereingaben erst gar nicht interpretiert und eine SQL-Injection verhindert.
Zur Abwehr derartiger Angriffe führen qualifizierte Cloud-Anbieter zudem regelmäßige Penetrationstests durch. Hierbei werden automatisiert Angriffe auf die jeweiligen Anwendungen gefahren, um mögliche Schwachstellen zu erkennen und zu beheben.
Eine Abwehr-Analysemöglichkeit gegen solche Anwendungsschwachstellen (letzte 3 Abschnitte) besteht in regelmäßigen Penetration-Tests, die die typischen Angriffe automatisiert auf die jeweilge Anwendung fahren, um Schwachstellen zu finden. Gute Cloud-Anbieter machen so etwas.
Brute-Force-Angriffe
„Brute force“ heißt auf Deutsch „rohe Gewalt“ und bezeichnet eine simple, aber effiziente Methode, um Passwörter zu knacken oder verschlüsselte Dateien, Nachrichten oder Informationen zu entschlüsseln. Bei Brute-Force-Angriffen werden mit Hilfe spezieller Software, die im Internet frei erhältlich ist, alle möglichen Kombinationen aus Buchstaben und Zahlen durchprobiert – bis das richtige Passwort gefunden oder die Datei entschlüsselt ist. Bei einfachen Passwörtern, die nur aus Zahlen oder Buchstaben bestehen, ist dies in Sekundenschnelle möglich.
Gegen Brute-Force-Angriffe helfen nur der Einsatz von Verschlüsselungssystemen mit langen Schlüsseln, etwa einem 128-Bit-Schlüssel oder, wie im Online-Banking üblich 256-Bit-Schlüssel, und die Verwendung von komplexen Passwörtern. Ein gutes Passwort sollte mindestens acht Zeichen lang sein und aus einer Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Bei der Auswahl Ihrer Dienste, etwa Online-Speicher, sollten Sie zudem auf umfangreiche Sicherheitsmaßnahmen seitens des Anbieters achten – zum Beispiel verzögerte Antwortzeiten bei mehreren fehlgeschlagenen Login-Versuchen.
Fazit: Es gibt in Sachen Hacker-Abwehr zwei wesentliche Stellschrauben. Um die eine kümmert sich bestenfalls Ihr Cloud-Anbieter. Er sorgt mit zertifizierten Methoden und entsprechend qualifiziertem Personal für ein adäquates Sicherheitsniveau. Ein seriöser Anbieter gibt darüber hinaus zu Fragen der Sicherheit bereitwillig Auskunft. Um die zweite müssen sie sich jedoch selbst kümmern in Form von verantwortungsvollen Anwendern. Bestes Beispiel: Passwort-Sicherheit. Was Sie dabei beispielsweise beachten müssen, lesen Sie hier: Wie kann ich meinen Account vor unbefugtem Zugriff schützen?
