Cross-Site-Scripting (XSS): Angriffsarten & Schutzmaßnahmen

Download: Cybersecurity-Guide
Jan Dollansky
Jan Dollansky

Aktualisiert:

Veröffentlicht:

Nahezu jedes Unternehmen hat Sicherheitslücken und Schwachstellen in seiner digitalen Infrastruktur. Cyberkriminelle können diese aufspüren und ausnutzen. Häufig werden sogenannte Cross-Site-Scripting-Angriffe durchgeführt. Für Unternehmen ist es daher wichtig, die IT-Sicherheit in allen Abteilungen und bei allen Prozessen zu optimieren. Dieser Beitrag stellt die wichtigsten und erfolgreichsten Schutzmaßnahmen vor.

Frau in dunklem Zimmer verzweifelt vor Smartphone wegen XSS-Angriff

→ Cybersecurity in der DACH-Region [Kostenloser Download]

So läuft ein XSS-Angriff ab

Über die Sicherheitslücken infizieren die Kriminellen ein System, eine Webseite oder Webanwendungen mit Schadsoftware. Mit dieser ist es möglich, Webseiten zu manipulieren, die Kontrolle über einen Browser zu gewinnen oder Passwörter zu verändern. In einigen Fällen greifen die Angreifer und Angreiferinnen wichtige Unternehmensdaten ab oder verschlüsseln einzelne Seiten so, dass die Benutzer und Benutzerinnen keinen Zugriff mehr darauf haben.

In der Regel führen Cyberkriminelle XXS-Angriffe durch, um einem Unternehmen zu schaden. Einige erpressen die Unternehmen mit vertraulichen Dokumenten und geben diese nur gegen Bezahlung zurück. Andere wollen sich gegenüber einem unliebsamen Mitbewerber oder einer Mitbewerberin Wettbewerbsvorteile verschaffen.

Unterschiedliche Arten des Cross-Site-Scripting: Beispiele

Es gibt eine Vielzahl unterschiedlicher XSS-Injections, die jeweils andere Methoden nutzen. Die drei häufigsten lernen Sie im Folgenden kennen:

Reflektiertes Cross-Site-Scripting

Bei diesem XSS-Angriff arbeiten die Cyberkriminellen mit Schadsoftware, die nur temporär existiert und nicht auf dem Server gespeichert wird. Das gelingt beispielsweise durch eine manipulierte URL oder ein bearbeitetes Formular. Der Client schickt das Skript mit der Schadsoftware an den Server und erhält es ungeprüft wieder.

Cyberkriminelle können auch schadhafte Links erstellen und per Mail an ihre Opfer schicken. Klicken diese auf den Link, wird das Skript mit der Schadsoftware aktiviert und beispielsweise eine manipulierte Webseite angezeigt. Vor allem für Phishing-Attacken, bei denen die Angreifer und Angreiferinnen die Benutzereingaben auslesen, ist dieses Vorgehen beliebt.

Persistentes Cross-Site-Scripting

Bei einem persistenten XSS-Angriff verbleibt die Schadsoftware dauerhaft auf dem Server und das Skript wird an die Nutzenden ausgespielt. Dieses Vorgehen eignet sich für alle Anwendungen, bei denen Informationen der Benutzer und Benutzerinnen auf einem Server gespeichert werden. Das ist beispielsweise in Foren und Blogs der Fall.

Wenn Nutzende dort Kommentare hinterlegen, werden diese auf dem Server gespeichert, ohne dass die Daten zuvor geprüft oder verschlüsselt werden. Die Angreifenden posten dann ebenfalls einen Beitrag, dem sie ihre Schadsoftware beigeben. Klicken Besucher und Besucherinnen der Webanwendung auf den Link in dem Beitrag, aktivieren sie damit die Schadsoftware. Das entsprechende wird Skript ausgeführt und Benutzereingaben gelangen zu den Kriminellen.

Lokales Cross-Site-Scripting

Bei dieser Art des XSS-Angriffs wird kein Server ausgenutzt, sondern der Browser eines Anwenders oder einer Anwenderin. In diesem hinterlegen Angreifer oder Angreiferinnen die Schadsoftware wie beim persistenten XSS über einen infizierten Link. Die Sicherheitsmaßnahmen des Servers greifen bei dieser Art der Attacke nicht, weshalb selbst eine statische Site hierdurch manipuliert werden kann.

So wirken sich XSS-Angriffe auf Unternehmen aus

XSS-Angriffe dienen meist als Türöffner für Cyberkriminelle. Sie greifen personenbezogene Daten ab und nutzen diese für weitere Aktionen. Beispielsweise folgen auf eine XSS-Attacke meist DDoS-Angriffe, bei denen sie Server oder Netzwerke komplett außer Betrieb setzen. Neben dem Diebstahl von Daten kommt es vor, dass Systeme verschlüsselt werden. Der Entschlüsselungscode wird dann nur gegen ein Lösegeld herausgegeben.

Für Unternehmen ist vor allem der Imageschaden immens, der aus einem XSS-Angriff resultiert: Die Website wirkt unseriös, unprofessionell und nicht vertrauenswürdig, wenn Kriminelle Eingaben abgreifen. Das führt dazu, dass sich potenzielle Kunden und Kundinnen eher kurz auf der Website aufhalten und sich gegen einen Kauf oder eine Zusammenarbeit entscheiden. Durch den Imageschaden sinken demnach auch die Umsätze erheblich.

Cross-Site-Scripting verhindern: So schützen Sie sich vor XSS-Attacken

Es gibt verschiedene Strategien, mit denen Sie Cross-Site-Scripting verhindern können. Clients können beispielsweise die Skript-Code-Verarbeitung im Browser einschränken. Des Weiteren sollten Sie mit höchster Vorsicht bei E-Mails von Unbekannten reagieren und keinesfalls auf Links klicken. Dasselbe gilt für Links in Foren und Blogs. Hier sollten Sie die Zuverlässigkeit der Webseite und des Posts prüfen, bevor Sie sich beteiligen.

Auch serverseitig sollten immer Prüfungen von Inhalten und Beiträgen anhand konkreter, klar definierter Code-Richtlinien erfolgen. Mittels Whitelisting können Sie so zudem Listen vertrauenswürdiger Personen, Websites und Links erstellen. Darüber hinaus ist es wichtig, dass Sie Ihre Sicherheits-Tools auf dem neuesten Stand halten und beispielsweise mit einer Web Application Firewall arbeiten.

Fazit: Guter Schutz ist essenziell

XSS-Attacken stellen vor allem für Unternehmen eine erhebliche Gefahr dar. Die Angreifenden nutzen sie, um vertrauliche Daten abzugreifen und dem Betrieb zu schaden. Um sich zu schützen, sollten Sie verschiedene Sicherheitsmaßnahmen ergreifen und Programme immer auf dem neuesten Stand halten.

Technische Strategien sind hierbei ebenso wichtig wie ein umsichtiger Umgang der Benutzer und Benutzerinnen mit Webseiten, Browsern, Webanwendungen und Links.

Kostenloser Guide: Cybersecurity in der DACH-Region

Titelbild: FluxFactory / iStock / Getty Images Plus

Themen: Cybersecurity

Verwandte Artikel

Erfahren Sie mehr über Cybersicherheit und schützen Sie Ihr Unternehmen vor Bedrohungen von außen und innen.

KOSTENLOS HERUNTERLADEN