Web-Apps: Die vernachlässigte Schwachstelle
Web-Anwendungen sind die Angriffsfläche Nummer 1 und dennoch oft ignoriert. Erfahrt hier, wie lange Angriffe über Webapps unentdeckt bleiben, warum viele Unternehmen diese Gefahr ignorieren und welche einfache Abhilfe es seit Neuestem dafür gibt.
Laut dem Verizon Data Breach Investigations Report 2023 sind Web-Apps die beliebteste Angriffsfläche bei Hackern – weit vor der klassischen Phishing-Mail. Und obwohl eine Studie aus dem Jahr 2021 ("The State of the State of Application Exploits in Security Incidents") zeigte, dass 56 Prozent der größten Vorfälle in den fünf Jahren zuvor mit Web-Apps zusammenhingen, wird in Unternehmen diese Gefahrenquelle zu oft außer Acht gelassen.
Angriffe über Web-Apps: Hacker bleiben lange unentdeckt
Dieselbe Studie zeigt einen weiteren kritischen Aspekt auf: Die Zeit, die vergeht, bis ein durch einen Web-Applikationsangriff verursachter Vorfall entdeckt wird, dauert im Durchschnitt mehr als acht Monate. Das bedeutet, dass Angreifer teilweise über ein Jahr unentdeckt bleiben können. Genau genommen sind es im Schnitt 254 Tage, bis diese Angriffe erkannt werden. Bei anderen Angriffsarten mit großen Verlusten beläuft sich die Anzahl an unentdeckten Tagen im Vergleich gerade einmal auf 71.
MOVEit als warnendes Beispiel
Wie eine solche Attacke aussehen kann, erlebte die Datenaustauschsoftware MOVEit im Mai 2023. Eine Ransomware-Gruppe namens CL0P nutzte eine SQL-Injection-Schwachstelle aus, um eine Web Shell namens LEMURLOOT auf den Webanwendungen von MOVEit Transfer zu installieren.
Dieser Angriff führte zu einer Datenextraktion, die in einem Zeitraum von 10 Tagen etwa 130 Opfer betraf. Die Gruppe drohte im Anschluss Unternehmen, die MOVEit genutzt haben, damit, die gestohlenen Dateien auf ihrer Datenleck-Website zu veröffentlichen, falls das Lösegeld nicht gezahlt würde.
Die installierte Web Shell ermöglichte es, Systemeinstellungen abzurufen, die zugrunde liegende SQL-Datenbank aufzulisten, Dateien im MOVEit Transfer-System zu speichern und abzurufen sowie ein neues Administratorenkonto mit privilegiertem Zugriff zu erstellen.
Nutzer gefährden sich selbst
Wie gefährlich schon ein Log-In sein kann, hat das Beispiel des Genetik-Testunternehmens 23andMe gezeigt. Im Oktober 2023 konnten Hacker durch eine Brut-Force-Attacke den Zugang zum Firmennetzwerk knacken. Dies war möglich, weil Passwörter wiederverwendet wurden.
Zwar waren am Anfang „nur“ 14.000 Personen betroffen. Doch durch die zusammenhängende Datenbank, die Verwandtschaftsverhältnisse aufzeigen kann, wurden auf die persönlichen Daten von 6,9 Millionen Nutzern zugegriffen. Die gestohlenen Daten umfassten Namen, Geburtsjahre, Verwandtschaftsbezeichnungen, den Prozentsatz der geteilten DNA mit Verwandten, Abstammungsberichte und selbst gemeldete Standorte.
Schaden ist schnell entstanden
Ob 23andme oder MOVEit – beide Beispiele zeigen, wie schnell ein Schaden entstehen kann. Laut "Cost of a Data Breach Report 2023" kostet der durchschnittliche Breach über 4 Millionen Euro. Das kann manche Firma schon in den Ruin treiben.
Die beiden genannten Fälle waren große Attacken, aber selbst kleine, alltägliche Web-Angriffe verursachen zwar oft keinen großen Schaden, können jedoch zu Produktionsausfällen und Imageschäden führen. Unternehmen müssen sich also nicht nur auf große Vorfälle, sondern auch auf diese kleineren Angriffe vorbereiten.
Angreifer sind häufig kriminelle Gruppen
Die Vorbereitung ist so wichtig, weil kleine und große Angriffe nicht weniger, sondern mehr werden. Hierfür spricht, dass die Hauptakteure bei Web-App-Angriffen meist organisierte kriminelle Gruppen (52 Prozent) sind, gefolgt von Mitarbeitern oder Partnern (23 Prozent) und staatlich unterstützten Gruppen (20 Prozent).
Spannend ist, dass staatlich unterstützte Gruppen zwar nur ein Fünftel der Angriffe ausführen, jedoch für die größten Schäden sorgen. In der Studie aus dem Jahr 2021 waren es 4,3 Milliarden Euro, also über die Hälfte der Gesamtschäden.
Unwissenheit oder schlechte Sicherheit?
Die Studie aus dem Jahr 2021 betont, dass grundlegende Sicherheitspraktiken wie das Beheben von Codefehlern, Patchen von Systemen und die Verwendung von Multifaktor-Authentifizierung entscheidend sind, aber oft vernachlässigt werden.
Insgesamt zeigt die Analyse, dass es herausfordernd ist, eine konsistente Perspektive auf die Bedrohungslage zu erhalten. Ein stärkerer Fokus darauf, diese Bedrohungslage zu verstehen und Schwachstellen zu beseitigen, wäre die beste Chance, sich gegen Angriffe über Web-Anwendungen zu wären.
Heyhack als Lösung für Web-App-Angriffe
Tatsächlich gibt es mittlerweile eine einfache Lösung, um genau diese Bedrohungslage spielend leicht zu untersuchen. Das Tool Heyhack macht nämlich nichts anderes, als durch automatisierte Pentests alle Web-Apps so oft zu untersuchen, wie ein Unternehmen das wünscht. So bleibt es nicht bei einer einmaligen Sache, wie bei herkömmlichen Pentests, sondern wird kontinuierlich, beliebig oft und selbstständig durchgeführt – und das weit günstiger.
Das Tool muss nicht aufwendig installiert werden, sondern kann sofort loslegen und deckt alle Schwächen in vollständiger Breite in den eigenen Web-Anwendungen auf und dokumentiert diese Und sollten aufgrund von Codefehlern oder fehlenden Patches neue auftreten, erwischt der nächste automatisierte Test diese Gefahren ebenso und schlägt die Behebung der Schwachstelle vor. So muss nichts mehr vernachlässigt werden.