Kompromittierte Webanwendungen

Glossar

Webanwendungen sind alle Programme und Unterprogramme, die über das Internet aufgerufen und genutzt werden. Dazu gehören u. a. Internetseiten, Kontaktformulare, auf Internetseiten geschaltete Anzeigen, sich bewegende Bilder und, und, und. Wie alle Programme haben auch Webanwendungen Schwachstellen, die von Cyberkriminellen für ihre Zwecke genutzt – kompromittiert – werden können. Eine so kompromittierte Webanwendung kann einen Besucher z. B. auf eine andere Internetseite weiterleiten, ihm unter einem Vorwand Schasoftware zum Download anbieten oder seine Daten ausspähen, um z. B. sein auf der kompromittierten Website befindliches Benutzerkonto zu übernehmen.

 

Was bedeutet das im Detail?

Es gibt unterschiedliche Bezeichnungen für kompromittierte Webanwendungen. Zum Beispiel: Web Application Attackes, Angriffe auf Web-Applikationen.

Zu den häufigsten Angriffsformen zählen:

  • Cross-Site-Scripting: eine Schwachstelle wird genutzt, um ein Programm einzuschmuggeln, welches beim Aufruf der Webanwendung ausgeführt wird
  • SQL-Injection: ein SQL-Schadcode wird in einer Eingabemaske der Webanwendung eingegeben. Im Erfolgsfall kann der Cyberkriminelle auf die mit der Webanwendung verbundene SQL-Datenbank zugreifen
  • Malvertising: Auf einer Website wird Online-Werbung geschaltet, welche Schadensprogramme beinhaltet.

Besonders beliebt ist unter Cyberkriminellen die Nutzung von Schwachstellen weit verbreiteter Webanwendungen. Dazu zählen z. B. Content Management Systeme wie z. B. WordPress.

 

Wo begegnet mir das Thema im Arbeitsalltag?

In Ihrem Arbeitsalltag können Sie selbst immer wieder mit kompromittierten Webanwendungen in Berührung kommen. Wenn sie z. B. auf eine interessante Anzeige klicken, diese sie zu einem Update z. B. Ihres Flash Players auffordert und Ihnen gleich einen Link dazu bereitstellt, haben Sie es wahrscheinlich mit einer kompromittierten Webanwendung zu tun. (Laden Sie Updates immer nur direkt über die Herstellerseite des jeweiligen Programms und rufen Sie diese Seite händisch auf.) Aber auch Ihre eigene Unternehmenswebsite kann kompromittiert werden. Zum Beispiel wenn Cyberkriminelle eine Schwachstelle Ihres Servers ausnutzen oder aus anderen Quellen ein oder mehrere Passwörter erhalten haben. Oder, falls Sie wie viele Unternehmen ein Content Management System wie WordPress nutzen: wenn eine Schwachstellen des betreffenden Content Management Systems ausgenutzt wird.

 

Was kann ich tun, um meine Sicherheit zu verbessern?

Wichtige Regeln für Ihre eigene Nutzung von Webanwendungen:

  • Klicken Sie nie auf Online-Werbung.
  • Laden Sie Updates immer nur direkt von der Herstellerseite, die Sie händisch aufrufen.
  • Halten Sie Ihren Browser (z. B. Firefox, Microsoft Edge, Safari, Coogle Chrome) immer auf dem neuesten Stand, installieren Sie Updates wenn irgend möglich sofort.

Wichtige Regen für Ihre Unternehmenswebsite:

  • Halten Sie alle Systeme immer auf dem neuesten Stand, installieren Sie Updates möglichst sofort.
  • Falls Sie Werbung schalten, lassen Sie diese gründlich auf Schadprogramme und dubiose Verlinkungen überprüfen.
  • Verwenden Sie sichere, einzigartige Passwörter.
  • Ziehen Sie den Einsatz einer Web Application Firewall in Betracht.

Verwandte Beiträge

  • Darknet

    Dieser anonyme Bereich im Internet ist nicht offen sichtbar und nicht durch eine Suchmaschine zu erreichen. Er ist nur mithilfe eines speziellen Netzwerkes erreichbar, dem sogenannten Tor-Netzwerk.

    mehr lesen

Weitere Beiträge

  • Gefahrenwarnung: Cybersicherheitsvorfall bei T-Mobile US betrifft Millionen Kunden

    Gefahrenwarnung

    Bei einem Angriff auf T-Mobile US wurden Daten von mindestens 40 Millionen Kunden gestohlen. Wir bringen auf den Punkt, was genau passiert ist und was Sie selbst tun können.

    mehr lesen

Sie sind neugierig geworden?

Fragen Sie noch heute eine unverbindliche Produkt-Demo von Perseus an.

Wir befähigen Ihre Mitarbeitenden, aktiv zur Cybersicherheit Ihres Unternehmens beizutragen.

Überzeugen Sie sich selbst, wie einfach und schnell sich Perseus in Ihre Unternehmensstruktur integrieren lässt.

Live Demo

Sie haben Fragen zu unseren Leistungen?

Zögern Sie nicht anzurufen: + 49 30 95 999 8080

  • Plug & Play-Lösung, die einfach und schnell integriert ist
  • Kurze, spannende Online-Trainings für Cybersicherheit und Datenschutz
  • Trainings unterstützen bei der Erfüllung einzelner Compliance-Anforderungen (z. B. zu ISO 27001)
  • Simulierte Phishing-E-Mails testen das Erlernte der Mitarbeitenden in der Praxis
  • Zertifikate dokumentieren Lernerfolge und dienen als Nachweis für Versicherungen oder Behörden
  • Das Cybernotfall-Management ist jederzeit zur Stelle, falls es doch einmal zum Cybervorfall kommt