Alle zwei Minuten: Angriff auf Webapplikationen

Imperva, Anbieter von Datensicherheitssystemen für kritische Unternehmensdaten, veröffentlichte die Ergebnisse des Imperva Web Application Attack Report (WAAR). Wichtigstes Ergebnis: Den Untersuchungen zufolge werden Webapplikationen durchschnittlich 27 Mal pro Stunde angegriffen. Das entspricht ungefähr einem Angriff alle zwei Minuten. Auch wenn der größte Teil aller Angriffe aus den USA stammt, liegt Deutschland bei den tückischen Remote File Inclusion (RFI)-Angriffen weitweit auf Platz zwei. Der WAAR, der im Rahmen von Impervas fortlaufender Hacker Intelligence initiative (HII) erstellt wird, beinhaltet Informationen über einen Zeitraum von sechs Monaten (Dezember 2010 bis Mai 2011).

“Sicherheitsforscher konzentrieren sich meistens auf die Identifizierung von Schwachstellen”, kommentiert Amichai Shulman, CTO von Imperva und Leiter der Forschungsgruppe, den Bericht. “Diese Informationen sind sehr wichtig, helfen Unternehmen aber nicht unbedingt dabei, ihre Sicherheitsmaßnahmen zu fokussieren. In den OWASP Top 10 kommen Remote File Inclusion und Directory Traversal-Attacken beispielsweise gar nicht vor – unsere Untersuchungen zeigen jedoch, dass sie sehr häufig für den Diebstahl von Informationen verwendet werden. Ohne Informationen über die praktische Ausnutzung von Schwachstellen ist es schwer, ein effektives Risikomanagement zu betreiben.”

Die meisten Angriffe erfolgen automatisiert. Dem WAAR zufolge waren in den beobachteten sechs Monaten Phasen mit extrem vielen Angriffen in sehr kurzer Zeit zu beobachten, gefolgt von Perioden mit geringeren Angriffsaktivitäten. Dieses Angriffsmuster ist laut den Sicherheitsexperten von Imperva ein sicherer Indikator für automatisierte Angriffe. Durchschnittlich 27 Attacken pro Stunde setzen sich zusammen aus automatisierten Angriffen, in denen bis zu 25.000 Vorgänge pro Stunde zu beobachten waren, und deutlich ruhigeren Phasen. Zu Spitzenzeiten waren also einzelne Unternehmensaplikationen bis zu sieben Mal pro Sekunde unter Beschuss.

Die vier häufigsten Angriffe in den letzten sechs Monaten waren Directory Traversal-Angriffe (37 Prozent), Cross-Site-Scripting (36 Prozent), SQL-Injection (23 Prozent) und Remote File Inclusion (vier Prozent). Diese Angriffe wurden oft kombiniert eingesetzt, um Schwachstellen erst zu finden und sie dann auszunutzen. 

Die meisten Angriffe werden in den USA gestartet. Bei Angriffen per Remote File Inclusion liegt Deutschland weltweit auf dem zweiten Platz – bei den anderen, häufigeren Angriffen liegen China, Schweden oder Frankreich meist deutlich weiter vorn. Die Lokalisierung eines Angriffs per IP-Adresse trifft allerdings keine Aussage darüber, von wo aus der Angriff kontrolliert wurde. Die Untersuchung zeigt, dass die 10 aktivsten Angreifer über ein extrem leistungsfähiges Netzwerk verfügen und für 29 Prozent aller Angriffe verantwortlich sind.