Was im Internet ist, wird auch angegriffen – Webseiten im Visier von Hackern

24. Juni 2022

Die Cyberbedrohungslage bleibt, auch vor dem Hintergrund des Krieges in der Ukraine, weltweit, in Europa und Deutschland kritisch. Knapp neun von zehn Unternehmen mit Sitz in Deutschland wurden in den vergangenen zwölf Monaten ein oder mehrmals Ziel von Cyberangriffen, die in die Netzwerke oder die Systeme des Unternehmens eindrangen, wie die WirtschaftsWoche in ihrem Online-Blog berichtet. 84 Prozent der deutschen Unternehmen gingen außerdem davon aus, in den nächsten zwölf Monaten von einem erfolgreichen Cyberangriff betroffen zu sein. Unternehmenswebseiten bieten dabei ein beliebtes Ziel für Angreifer.

Warum greifen Hacker Webseiten an?

Die Angriffsvektoren auf Webseiten sind durchaus vielfältig. Die hohe Zahl an Attacken kommt vor allem dadurch zustande, dass viele Angriffe heutzutage automatisiert durchgeführt werden. Dabei kommen nicht mehr nur einfache Skripte zum Einsatz, inzwischen gehören komplexe Algorithmen und KI-Anwendungen zum Repertoire der Hacker.

Cyberkriminelle haben viele Motive für ihre Angriffe. Sie reichen von politischen Motiven über den Willen, Ihnen als Unternehmen direkt zu schaden oder das Bestreben, die eigenen destruktiven Fähigkeiten unter Beweis zu stellen, bis hin zu gezielten Versuchen, die sensiblen Daten Ihres Unternehmens und Ihrer Kunden zu stehlen.

Einige der häufigsten Angriffstypen auf Webseiten haben wir in diesem Artikel für Sie zusammengestellt.

Defacement und Phishing

Unter Defacement (engl. Entstellung, Verschandelung) versteht man die Änderung des Erscheinungsbilds oder der Inhalte einer Webseite durch Unbefugte. Dabei können Angreifer die Webseite vollkommen unbrauchbar machen, sie durch eine gänzlich neue Seite ersetzen oder Inhalte, wie Pop-Ups, Texte und Bilder, hinzufügen.

In einigen Fällen ist das Motiv für solche Angriffe der Versuch, dem Betreiber der Webseite zu schaden oder gar eine Lösegeldsumme von ihm zu erpressen. Angreifer versuchen etwa, den Ruf des Webseitenbetreibers zu schädigen, Kunden zu vertreiben oder über die manipulierte Webseite falsche und irreführende Informationen zu verbreiten. Einige Angriffsformen sind subtiler und können das Einfügen von schädlichem Code beinhalten, der die Geräte der Besucher infiziert. Durch eine erfolgreiche Infiltration Ihrer IT-Systeme können Hacker diese zudem zur Durchführung weiterer illegaler Aktivitäten missbrauchen.

SQL-Injections und Cross-Site-Scripting

Sowohl bei SQL-Injection-Angriffen als auch bei Cross-Site-Scripting (XSS)-Angriffen können Angreifer über Schwachstellen Schadcode auf einer Website platzieren, der dann im Browser der Nutzer ausgeführt wird.

Wenn Sie einen Online-Shop betreiben, könnte einer dieser Angriffe Cyberkriminellen Zugang zu den Zahlungsinformationen und anderen persönlichen Daten ihrer Kunden verschaffen. Ebenso kann die Benutzererfahrung der Besucher so manipuliert werden, dass sie unwissentlich auf betrügerische Webseiten umgeleitet werden. Eine solche betrügerische Webseite könnte beispielsweise in einem Phishing-Versuch darauf abzielen, Besuchern ihre Zahlungsinformationen oder andere sensible Daten zu entlocken.

Malware und Drive-by Infection

Ein weiterer Angriff, den Hacker dank offener Schwachstellen in Webseiten ausführen, ist die Infektion mit Malware, die auch als Ransomware, Würmer, Trojaner, Adware oder Spyware bezeichnet wird. Die Drive-by-Infection ist eine Verbreitungsmethode von Malware, bei der Webseiten ohne das Wissen der Nutzer bösartige Software bereits beim Besuch herunterladen und auf ihren Geräten installieren.

In vielen Fällen handelt es sich bei betroffenen Webseiten um seriöse Angebote, die zuvor entsprechend kompromittiert wurden. Dafür nutzen Angreifer in den Webanwendungen Schwachstellen aus – die Manipulation wird von den Betreibern der Webseite häufig erst bemerkt, wenn bereits Nutzer infiziert wurden.

OWASP Top Ten: häufigste Bedrohungen

Eine Unternehmenswebseite ist dauerhaft über das Internet für jedermann erreichbar. In der Regel erfordert ihr Betrieb außerdem das Zusammenspiel unterschiedlicher Systeme wie Webservern, Datenbanken, Webanwendungen und Schnittstellen zwischen all diesen Systemen. All diese Komponenten können jeweils zahlreiche sicherheitsrelevante Schwachstellen aufweisen, die von Angreifern ausgenutzt werden können. Es gibt dabei verschiedene Möglichkeiten, wie Cyberkriminelle Zugriff auf Ihre Webseite erhalten und ihre Funktionsfähigkeit beeinträchtigen können. Die gemeinnützige Stiftung Open Web Application Security Project® (OWASP) fasst die größten Cyberbedrohungen regelmäßig in ihren OWASP Top Ten zusammen.

Pentests zeigen, wie gut Sie gegen Angriffe gerüstet sind

Ein wichtiger Teil des Online-Geschäfts besteht darin, dass Ihre Kunden darauf vertrauen können, dass ihre Daten sicher sind, wenn sie Ihre Webseite besuchen. Neben einer Härtung Ihrer Systeme durch eine sichere Konfiguration sollten Sie Ihre Systeme, Ihre Software und Ihre Prozesse von unabhängigen Expert*innen regelmäßig überprüfen lassen.

Der usd Penetrationstest (Pentest) liefert Ihnen ausführliche und tiefgreifende Antworten auf die Frage nach dem Sicherheitsniveau Ihrer Webseite. Wir testen für Sie, ob ein Hacker kritische Schwachstellen in ihren IT-Systemen und Applikationen ausnutzen kann, anhand derer diese kompromittiert und damit Ihre Unternehmenswebseite manipuliert werden kann. Dazu führen unsere Expert*innen einen manuellen Pentest von externen IT-Systemen, wie Firewalls, Routern, Load Balancern, Webservern, Applikationsservern, Datenbankservern und Mailservern sowie der Webseite selbst durch. So können Sie zuverlässig einschätzen, wie gut Sie bereits gegen Cyberangriffe gerüstet sind und wie Sie Ihren Schutz noch weiter ausbauen können.

Planen Sie jetzt Ihren Pentest

usd Pentest-Konfigurator, Pentest von Online-Shops

Im usd Pentest-Konfigurator haben wir unser Fachwissen und unsere Erfahrung aus unzähligen Sicherheitsanalysen für Sie gebündelt. Wählen Sie einfach das Szenario aus, das auf Ihr Unternehmen zutrifft und ermitteln Sie damit passgenaue Sicherheitsanalysen – auch ohne technisches Fachwissen.

Jetzt ausprobieren

Auch interessant:

Kategorien

Kategorien