the Magnolia Blog
Sicherheit von Unternehmens-Websites: Alles, was Sie wissen müssen
Aug. 29, 2019
--
3D-Lupe Illustration

Sicherheit von Unternehmens-Websites: Alles, was Sie wissen müssen

Die 7 größten Bedrohungen für die Cybersicherheit in Unternehmen

Cyberangriffe haben sich parallel zur technologischen Innovation weiterentwickelt. Im Folgenden listen wir die sieben wichtigsten Bedrohungen auf, denen Unternehmen heute ausgesetzt sind.

1. Verteilter Denial of Service (DDoS)

Ein DDoS-Angriff (Distributed Denial of Service) unterbricht den regulären Webverkehr, indem er den Server oder das Netzwerk mit Anfragen überflutet und so versucht, das System zu überwältigen und die vorgesehenen Nutzer auszuschließen. Der Angreifer baut in der Regel ein Netzwerk automatisierter Systeme auf, das auch als Botnet bezeichnet wird, indem er eine Gruppe von Computern mit Malware infiziert. Diese bösartigen Botnets können aus nahezu jedem internetfähigen Gerät bestehen, auch aus Geräten des Internets der Dinge (IoT), solange sie wiederholte Anfragen an ein bestimmtes Ziel senden können.

2. Injektionsangriffe

Injektionsangriffe treten auf, wenn eine Webanwendung Eingaben von einem Benutzer erhält, die die Anwendung veranlassen, sensible Daten zurückzugeben. Diese Angriffe können erfolgen, wenn ein Hacker Informationen in ein Online-Formular eingibt, ohne dass das Formular das Format der Eingabe überprüft. Ein Hacker kann zum Beispiel eine SQL-Injektion durchführen, indem er seine bösartige SQL-Abfrage in ein ungesichertes Webformular eingibt. Wenn der Server die Formulardaten empfängt und die Eingabe ohne Validierung gegen die Datenbank ausführt, kann er die Ergebnisse der böswilligen Abfrage an den Browser des Angreifers zurücksenden oder in einigen Extremfällen sogar die Datenbank löschen oder aktualisieren.

3. Interne Verstöße

In einigen Fällen geht die Bedrohung durch Hacker nicht von externen Akteuren aus, sondern von innerhalb des Unternehmens. Viele Vorfälle gehen auf Handlungen von Mitarbeitern oder nahestehenden Personen wie Kunden, Händlern und Lieferanten zurück. Ein weiterer Aspekt ist das Social Engineering, bei dem Kriminelle Mitarbeiter dazu verleiten, ihnen freiwillig wichtige Informationen wie Passwörter zu geben. Die häufigste Form des Social Engineering ist das Phishing, bei dem E-Mails oder Webformulare verwendet werden, um persönliche Daten zu erfragen, indem man sich als vertrauenswürdiger Dritter ausgibt. Unabhängig davon, ob diese Vorfälle auf ein versehentliches Versehen oder auf vorsätzliche Sabotage zurückzuführen sind, haben IT-Fachleute erkannt, dass sie stärkere Maßnahmen ergreifen müssen, um interne Sicherheitsverletzungen abzuschwächen.

4. Malware

Der Begriff Malware (kurz für bösartige Software) umfasst eine breite Palette von Tools, die bei Cyberangriffen eingesetzt werden. Zu diesen Tools gehören Viren, die sich unkontrolliert vermehren und ein System lahmlegen können, Spyware, die Tastatureingaben verfolgt und aufzeichnet, und Ransomware, die ein System herunterfahren und den Benutzer zur Zahlung auffordern kann, um die schädliche Software zu entfernen. Meistens werden diese Programme versehentlich von Mitarbeitern heruntergeladen, weil sie in Dateien eingebettet sind, die legitim erscheinen. Sie sollten sicherstellen, dass Ihr Unternehmen zuverlässige Antiviren-Software einsetzt und die Systeme mit den neuesten Sicherheits-Patches aktualisiert.

5. Security Misconfiguration

Selbst die ausgefeiltesten Online-Sicherheitstools bieten nicht den Schutz, den sie versprechen, wenn sie nicht richtig konfiguriert sind. Viele Unternehmen geben Fehlkonfigurationen als die häufigste Art von Sicherheitslücken an. Diese Fehlkonfigurationen können auftreten, wenn das System die Standardsicherheitseinstellungen verwendet, anstatt Einstellungen zu verwenden, die einen besseren Schutz bieten. So sollten Sie beispielsweise Fehlermeldungen so bearbeiten, dass sie keine potenziellen Schwachstellen in einem Sicherheitssystem aufzeigen.

6. Cross-site Scripting (XSS)

Cross-Site-Scripting (XSS) ist eine Angriffsart, bei der Hacker bösartige clientseitige Skripte in legitime Websites einschleusen, so dass die Benutzer den Code ausführen, wenn die Website in ihren Browsern geladen wird. Im Gegensatz zu vielen anderen Injektionsangriffen zielt XSS nicht auf die Webanwendung, sondern auf den Benutzer selbst. Die Angriffe können die Daten des Opfers durch Keylogging oder Phishing-Techniken stehlen. Der Code kann auch die Sitzungscookies des Benutzers abrufen, so dass die Hacker die Anmeldung umgehen und sich als das Opfer ausgeben können. Die Opfer sind zwar die Benutzer, aber diese Art von Angriffen kann auf lange Sicht den Ruf eines Unternehmens zerstören.

7. XML External Entity (XXE)

Ein XML external entity (XXE) ist ein Angriff auf Webanwendungen, die XML-Eingaben parsen. Ein XXE-Angriff erfolgt, wenn ein schwach konfigurierter XML-Parser bösartige XML-Eingaben ohne ordnungsgemäße Validierung empfängt. Ein XXE-Angriff ähnelt der SQL-Injektion, da der Angreifer seinen eigenen Code einbettet, in der Hoffnung, dass das System ihn ausführt, ohne ihn vorher zu validieren. Diese Angriffe können in Form von DDoS-Angriffen oder als serverseitige Anforderungsfälschungen (SSRF) erfolgen, bei denen der XML-Parser sensible Daten von einem gesicherten Standort aus preisgibt.

Keep Your Brand and Customer Secure

Die Fortschritte bei den Cyberangriffen haben zu einer alarmierenden Anzahl von Bedrohungen für Unternehmen aller Art geführt. Und da eine digitale Präsenz über verschiedene Kanäle zur Norm wird, ist es für Marken jetzt umso wichtiger, eine Plattform zu haben, die nicht nur die Bereitstellung ihres digitalen Kundenerlebnisses unterstützt, sondern sie auch vor schädlichen Cyber-Bedrohungen schützt, die möglicherweise ihren Ruf schädigen können.

Al Arabiya ist die meistbesuchte Nachrichtenseite im Nahen Osten. Die Website verzeichnet über 70 Millionen Seitenaufrufe pro Monat und bis zu 20.000 gleichzeitige Besucher. Ihre vorherige Plattform war jedoch täglich anfällig für politisch motivierte Hacker- und DDoS-Angriffe.

Um dieses Problem zu lösen, arbeitete Al Arabiya mit Magnolia zusammen, um ein maßgeschneidertes Dashboard zu erstellen, das es dem 40-köpfigen Journalistenteam ermöglichte, aktuelle Nachrichten in weniger als drei Minuten zu veröffentlichen. Die Plattform von Magnolia mit einer Reihe von Java-basierten Sicherheitsfunktionen half Al Arabiya auch bei der Abwehr von Cyberangriffen.

Um mehr darüber zu erfahren, wie Magnolia mit Al Arabiya an diesem wichtigen Projekt gearbeitet hat, laden Sie jetzt die kostenlose Fallstudie herunter.

antti.jpeg.2015-10-01-11-50-57
Über den autor

Antti Hietala

Lead Product Manager, Magnolia

Antti Hietala ist dafür zuständig, die Leistungsversprechen von Magnolia an Sales, Marketing und Professional Services in Worte zu fassen. Er ist konstant mit Usern in Kontakt und steuert Beiträge für die Produkt-Roadmap bei. Zu Anttis wesentlichen Verantwortlichkeiten gehören interne Kommunikation, Produkt-Roadmap und die Spezifikation von Features. Er ist auf Twitter unter @antarctic74 zu finden.

Weitere Artikel

0/0
Empowering Pharma 1200x628

The Digital-Prescription: Engagement stärken in der Pharmaindustrie via HCP-Portals

  • Joe Clemente
    • Apr. 11, 2024
  • Joe Clemente
new Unlocking the power of composable DXPs 1200x628

Die Power von Composable-DXPs

  • Jan Schulte
    • Apr. 3, 2024
  • Jan Schulte
new Why we prioritize security on Magnolia Digital Experience Platform 1200x628

Warum wir der Sicherheit auf der Magnolia Digital Experience Platform Priorität einräumen

  • Jan Haderka
    • März 26, 2024
  • Jan Haderka
new How brands can approach multilingual websites 1200x628

Wie Marken mehrsprachige Websites angehen können

  • Tobias Kerschbaum
    • März 20, 2024
  • Tobias Kerschbaum
Navigating the MarTech world 1200x628

Choose the perfect MarTech solution: CMS, WEM or DXP?

  • JamieBolland_headshot
    • März 4, 2024
  • Jamie Bolland