Cyber-Sicherheit für Arbeitnehmer – 5 Tipps

Cyber-Sicherheit für Arbeitnehmer – 5 Tipps

Computer sind aus dem Berufsalltag nicht mehr wegzudenken. Doch damit steigt auch die Angst vieler Arbeitnehmer, einen Fehler zu machen, der Cyber-Kriminellen einen Angriff ermöglicht.

Cyber-Sicherheit für Arbeitnehmer - 5 Tipps

Laut einer aktuellen Studie, die ein namhaftes IT-Sicherheitsunternehmen in Auftrag gegeben hat, macht sich in Deutschland rund jeder fünfte Arbeitnehmer Sorgen, dass eine unbedachte Handlung von ihm die Datensicherheit im Unternehmen gefährden könnte.

Cyber-Sicherheit für Arbeitnehmer – 5 Tipps weiterlesen

Was ist Cross Site Scripting?

Was ist Cross Site Scripting?

Cyber-Kriminelle nutzen verschiedene Angriffsmethoden, um Daten abzufangen, Anwendungen zu stören oder anderen Schaden anzurichten. Eine dieser Methoden ist das sogenannte Cross Site Scripting.

Was ist Cross Site Scripting_

Was sich dahinter verbirgt und wie die Angriffsmethode funktioniert, erklären wir in diesem Beitrag.

Was ist Cross Site Scripting?

Das Cross Site Scripting, kurz XSS, zählt zu den am weitesten verbreiteten Angriffsmethoden im Internet. Es handelt sich dabei um eine aktive Angriffsmethode, die die Basis für weitere Attacken schaffen kann. Beim Cross Site Scripting wird ein Schadcode in eine eigentliche sichere Umgebung eingebettet. Diese Umgebung kann zum Beispiel eine vermeintlich vertrauenswürdige Webseite sein.

Um seinen Schadcode einzuschleusen, nutzt der Angreifer eine Sicherheitslücke auf dem Client oder dem Server aus. Ist ihm das gelungen, kann er mittels XSS Internetseiten verändern, Anwendungen wie den Browser übernehmen, vertrauliche Daten auslesen oder sensible Informationen wie zum Beispiel Passwörter stehlen.

XSS arbeitet mit den Skriptsprachen, die im Internet üblicherweise genutzt werden. Ein Klassiker an dieser Stelle ist etwa JavaScript. Das Cross Site Scripting entfaltet die beabsichtigte Wirkung, wenn eine Webanwendung Daten entgegennimmt und diese Daten ohne ausreichende Prüfung gleich verarbeitet oder weiterleitet.

Für den Angreifer wird es dadurch möglich, Skripte an einen Webserver oder einen Browser zu schicken, die von diesem ausgeführt werden.

Dabei gibt es beim Cross Site Scripting aber drei unterschiedliche Angriffsarten, nämlich das reflektierte, das persistente und das lokale XSS.

Das reflektierte Cross Site Scripting

Beim reflektierten XSS ist eine Sicherheitslücke auf dem Server der Ausgangspunkt für den Angriff. Ein Nutzer klickt dabei eine URL an, die der Angreifer zuvor manipuliert hat, indem er dort einen schädlichen Code eingefügt hat.

Als Folge einer mangelhaften Absicherung übernimmt der Server diesen Schadcode und erstellt damit eine dynamisch veränderte Internetseite. Der Nutzer erkennt nicht, dass die Webseite, die er sieht, vom Angreifer präpariert wurde. Stattdessen hält er die Internetseite für vertrauenswürdig.

Gibt er daraufhin Daten in die Eingabefelder auf der Webseite ein, kann sich der Angreifer diese Daten an einen seiner Server weiterleiten lassen.

Das reflektierte Cross Site Scripting ist vor allem bei Phishing-Attacken eine beliebte Methode. Denn der Nutzer bemerkt nicht, dass die Internetseite durch das XSS verändert wurde.

Da er folglich davon ausgeht, dass die Seite echt ist und von einem vertrauenswürdigen Anbieter betrieben wird, macht er bedenkenlos seine Eingaben. Der Angreifer gelangt so aber zum Beispiel an vertrauliche Anmeldedaten.

Das persistente Cross Site Scripting

Wie das reflektierte XSS läuft auch das persistente Cross Site Scripting serverseitig ab. Der Angreifer schleust den schädlichen Code hier ein, indem er den Server einen manipulierten Link aufrufen lässt. Daraufhin speichert der Server die Veränderungen persistent (= dauerhaft) in seiner Datenbank ab.

Deshalb ist es auch nicht notwendig, dass der Nutzer einen präparierten Link anklickt. Denn weil die Datenbank des Webservers dauerhaft verändert ist, sorgt das XSS dafür, dass alle Nutzer auch beim Aufrufen des regulären Links die manipulierten Webseiten sehen.

Cyber-Kriminelle verschaffen sich bevorzugt über schlecht geschützte Foren Zutritt zum Webserver. Dabei kann schon ein simpler Eintrag im Forum ausreichen, um den schädlichen Scriptcode zu übermitteln. Der präparierte Webserver wird anschließend verwendet, um etwa die Zugangsdaten der Nutzer einzusammeln.

Das lokale Cross Site Scripting

Im Unterschied zu den beiden anderen Angriffsarten kommt das lokale Cross Site Scripting ohne eine Sicherheitslücke auf einem Webserver aus. Stattdessen wird der schädliche Code hier direkt an einen Nutzer geschickt und anschließend unbemerkt zum Beispiel im Browser ausgeführt.

Der Ausgangspunkt für den Angriff ist dabei ein manipulierter Link, den der Nutzer meist in einer E-Mail angeklickt hat. Das Öffnen des Links führt dazu, dass der Browser ein clientseitiges Script einfügt, das die schädliche Anwendung in Gang setzt und ausführt.

Das XSS ermöglicht dann, dass sowohl dynamische als auch statische Webseiten in einer manipulierten Form auf dem Rechner des Nutzers angezeigt werden. Hat der Nutzer dem Browser besondere Rechte eingeräumt, kann der Angreifer außerdem lokale Daten auf dem Computer auslesen und abändern.

Ist ein Schutz vor dem Cross Site Scripting möglich?

Vor dem lokalen Cross Site Scripting kann sich der Nutzer zum einen schützen, indem er seinem Browser untersagt, Skripte wie beispielsweise JavaScript auszuführen. Eine andere Möglichkeit ist, ein Add-On im Browser zu aktivieren, das das Ausführen von Skripten verhindert.

Zum anderen sollte der Nutzer Links in E-Mails genau prüfen. Im Zweifel sollte er einen Link nicht anklicken, sondern die Seite über den Browser aufrufen und die Adresse dabei manuell eintippen. Das gilt vor allem dann, wenn der Nutzer den Absender der E-Mail nicht kennt.

Webmaster können ihre Server vor dem reflektierten und dem persistenten XSS schützen, indem sie die Server-Quellcodes absichern. Außerdem sollten sie darauf achten, dass alle Daten, die ein Server verarbeitet, vor einer Ausführung überprüft werden. Das ist möglich, indem Whitelists mit erlaubten Daten erstellt und angewendet werden.

Eine andere Möglichkeit ist, bestimmte Skript-Zeichen grundsätzlich und ausnahmslos umzuwandeln. Auf diese Weise ist gewährleistet, dass der Server keine ausführbaren Metazeichen in den Skripten einliest.

Mehr Ratgeber, Tipps und Anleitungen:

Thema: Was ist Cross Site Scripting?

Unternehmen machen es Hackern oft leicht

Unternehmen machen es Hackern oft leicht

Datendiebstahl und Hacker-Angriffe sorgen immer wieder für Schlagzeilen in den Medien. Erst im Dezember 2018 beispielsweise hatte ein Hacker persönliche Daten von Prominenten im Internet verbreitet. Nur einen Monat später tauchten unzählige E-Mail-Adressen und Passwörter in einem Hacker-Forum auf. Der überwiegende Teil solcher Daten wird aus Firmendatenbanken gestohlen. Dabei machen es Unternehmen Hackern oft auch recht einfach.

Unternehmen machen es Hackern oft leicht

Unternehmen machen es Hackern oft leicht weiterlesen

Die Unterschiede zwischen Künstlicher Intelligenz, Machine Learning und Deep Learning

Die Unterschiede zwischen Künstlicher Intelligenz, Machine Learning und Deep Learning

Spätestens seit Kinofilmen wie “Terminator” oder “Matrix” hat vermutlich jeder schon einmal etwas von Künstlicher Intelligenz gehört. Doch in jüngerer Vergangenheit tauchen immer wieder weitere Begriffe wie Machine Learning und Deep Learning auf. Und es passiert recht oft, dass die Begrifflichkeiten durcheinandergeworfen oder sogar synonym verwendet werden.

Die Unterschiede zwischen Künstlicher Intelligenz, Machine Learning und Deep Learning

Grund genug, die Begriffe einmal näher unter die Lupe zu nehmen.

Die Unterschiede zwischen Künstlicher Intelligenz, Machine Learning und Deep Learning weiterlesen

Die Technologie-Trends 2019

Die Technologie-Trends 2019

Das US-amerikanische Forschungs- und Beratungsunternehmen Gartner Inc. gehört zu den weltweit führenden Unternehmen für Analysen und Marktforschung im Bereich von Technologie-Trends und Entwicklungen in der IT. Dabei hat es Trends aufgespürt, die die Zukunft prägen, den Alltag verändern, sich auf die Industrie auswirken und vermutlich auch neue Geschäftsmodelle mit sich bringen werden.

Technologie-Trends 2019

In der folgenden Liste stellen wir die
Technologie-Trends 2019 vor:

Die Technologie-Trends 2019 weiterlesen

Langsames Internet: Was tun?

Langsames Internet: Was tun?

Bis sich Internetseiten öffnen, dauert es ewig. Oder es erscheint die Meldung, dass die Seite nicht angezeigt werden kann. Beim Schauen von Videos und Filmen oder beim Hören von Musik bricht die Übertragung ständig ab. Der Download von Dateien zieht sich in die Länge oder wird abgebrochen.

Langsames Internet

Und beim Hochladen von Daten und Dokumenten wird die Annahme verweigert, weil die Zeit überschritten ist. – Trotz moderner Technologien ist das Internet in vielen Haushalten lahm. Die Anbieter werben zwar mit hohen Geschwindigkeiten.

Doch weil es sich dabei um “bis zu”-Angaben handelt, werden die versprochenen Bandbreiten längst nicht immer erreicht. Noch frustrierender wird es, wenn die Internetverbindung nicht nur langsam, sondern zudem auch noch ziemlich instabil scheint.

Langsames Internet: Was tun? weiterlesen

Kostenfalle: Gemieteten Router gut aufheben!

Kostenfalle: Gemieteten Router gut aufheben!

Der Router ist so etwas wie die Schaltzentrale des heimischen Netzwerks. Er sorgt dafür, dass sich der Computer mit dem Internet verbinden kann und das Telefon funktioniert. Außerdem stellt er das Netzwerk für Geräte bereit, die per WLan aufs Internet zugreifen.

Router mieten

Oft sind auch noch verschiedene andere Geräte an den Router angeschlossen, etwa der Drucker, eine externe Festplatte, das Faxgerät, eine Spielekonsole und andere Komponenten, die das Smart Home steuern. Wie in einer großen Datenbank laufen über den Router somit im Prinzip alle Daten, die der jeweilige Anschluss empfängt und aussendet.

 

Leihgerät oder eigener Router?

Ohne Router funktioniert der Anschluss nicht. Denn anders als früher, als es noch echte Festnetzanschlüsse gab und etwa das Telefon einfach direkt an der Telefondose angeschlossen war, laufen heutzutage digitale Anschlüsse nur noch über den Router.

Und für den Zugang zum Internet war so ein Gerät ohnehin notwendig. Der Kunde hat allerdings die Wahl. So kann er entweder den Router seines Telekommunikationsanbieters verwenden oder sich sein eigenes Gerät anschaffen.

Kostenfalle: Gemieteten Router gut aufheben! weiterlesen

Die 5 wichtigsten Punkte bei einem geschäftlichen Internetanschluss

Die 5 wichtigsten Punkte bei einem geschäftlichen Internetanschluss

Das Internet hat sich längst zu einer festen Größe im Alltag entwickelt. In den meisten Haushalten befindet sich mindestens ein internetfähiges Endgerät, oft sind es sogar mehrere.

Geschäftlicher Internetanschluss

So kommen zum normalen Computer gerne noch ein Tablet und das eine oder andere Smartphone dazu. Damit surfen Kinder dann genauso durch das weltweite Netz wie Erwachsene und Senioren.

Was in Sachen Internet für den privaten Bereich gilt, ist im Business-Sektor natürlich nicht anders. Heutzutage dürfte es eigentlich kein Unternehmen mehr geben, das ohne Computer und Internetanschluss auskommt. Denn ob Warenwirtschaft, Verkauf, Personalmanagement oder Kommunikation mit Kunden und Lieferanten – sie alle laufen über digitale Medien.

Und neben entsprechender Software, die beispielsweise die Datenbanken verwaltet, ist eine stabile Internetverbindung Pflicht. Doch bei einem geschäftlichen DSL-Anschluss müssen andere Anforderungen erfüllt sein als bei einem privaten Anschluss. Welche?

Die 5 wichtigsten Punkte bei einem geschäftlichen Internetanschluss weiterlesen

Wissenswertes und aktuelles zum Rundfunkbeitrag

Wissenswertes und aktuelles zum Rundfunkbeitrag

Was früher die GEZ war, ist seit einiger Zeit der Beitragsservice von ARD, ZDF und Deutschlandradio. Und mit dem neuen Namen kam auch ein neuer Slogan. “Einfach. Für alle.” lautet das Motto, unter dem das Beitragssystem der Rundfunkanstalten steht.

Rundfunkbeitrag GEZ

Der Slogan soll zum Ausdruck bringen, dass die Gebühr für jeden Haushalt einmal fällig wird. Und das unabhängig davon, welche und wie viele Geräte in der Wohnung und im Auto vorhanden sind – bezahlt wird einfach – und egal, wie viele Personen – ein Beitrag für alle – zu dem Haushalt gehören.

In der Praxis wirft der Rundfunkbeitrag aber regelmäßig Fragen auf. Und er führt mitunter zu hitzigen Diskussionen.

Wissenswertes und aktuelles zum Rundfunkbeitrag weiterlesen

Fake-Bewertungen erkennen – 10 Tipps

Fake-Bewertungen erkennen – 10 Tipps

Ob Produkte, Reisen, Restaurants, Dienstleistungen, Ärzte oder sogar Arbeitgeber: Bewertungen sind ganz schön nützlich. Und in Umfragen gaben rund zwei Drittel der befragten User an, dass sie sich die Meinungen und Kommentare anderer Kunden durchlesen, bevor sie sich entscheiden.

Fake Bewertungen

Schließlich lassen sich so oft einige Fragen schon im Vorfeld klären und Enttäuschungen vermeiden.

Doch gerade weil sich so viele Nutzer auf die Bewertungen verlassen, wird damit ordentlich Schindluder getrieben. Genaue Zahlen dazu, wie viele Bewertungen echt und wie viele gefälscht sind, gibt es nicht. Einige Studien schätzen den Anteil der Fake-Bewertungen auf zehn bis 15 Prozent, andere Studien gehen von 30 Prozent oder sogar noch mehr aus.

Fake-Bewertungen erkennen – 10 Tipps weiterlesen