Cross-Site Request Forgery – die unterschätzte Gefahr

Laut Security-Spezialisten aus den USA wird die Frage bei den Herstellern zuwenig beachtet. Und die Anwender würden diese Mißachtung zunehmend ausbaden müssen, hieß es. Zwar sei die Häufigkeit der Attacken niedrig und erfolgreiche Angriffe selten – doch die Hacker, die es schaffen, können immensen Schaden anrichten.

Demnach ist CSRF eine neue Spielart, die malicious Sites betrifft. Harmlose und vertrauenswürdige Sites können von Hackern manipuliert werden – allerdings nur während ein Nutzer auf der Site ist, sich zu einem Downlink bösartiger Software überreden lässt und das Browserfenster während des Einbruchs offen lässt. Es kann auch HTML-Code eingefügt werden, der dafür sorgt, dass der arglose Besucher automatisiert angegriffen und sein Besuch manipuliert wird. Bei ihren Versuchen schafften es die Sicherheitsforscher von Aspect Security beispielsweise, zu Testzwecken Geld von einem Konto zu stehlen. Dort wird die Gefahr als reell betrachtet. Es sei einfach gewesen, hieß es.

Doch da sind die Hersteller von Unified Threat Management Software weitestgehend anderer Meinung. Sie sprechen davon, dass die Zusammenkunft so vieler einzelner Faktoren und Bedingungen einen CSRF-Angriff nahezu unmöglich mache. Als einer der ersten Security-Firmen hat jetzt die israelische Check Point Software reagiert und ihre Software auf CSRF-Fehler untersucht. Die Produktreihe ‘Safe@Office UTM’ sei anfällig für den Fehler gewesen und daraufhin gegen CSRF gepatcht worden, hieß es. CSRF ist aber nicht nur für Nutzer ein Problem – bis eine solche Attacke nachgewiesen ist, könnte auch der Betreiber einer Corporate Website beschuldigt werden und zumindest Schaden an seinem Image nehmen.

Silicon-Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

11 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

11 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago