Die Bequemlichkeit verleitet uns dazu, bei unseren wichtigsten Websites angemeldet zu bleiben, doch wie dies funktioniert und welche Auswirkungen das hat, wird oft übersehen. Insbesondere Sitzungs-Cookies sind ein wesentlicher Bestandteil der Web-Technologien, die Online-Interaktionen vereinfachen, indem sie Daten speichern, die eine ständig neue Anmeldung überflüssig machen.

Von Thomas Boele, Regional Director Sales Engineering, CER / DACH bei Check Point.

Trotz ihrer Nützlichkeit sind diese digitalen Tokens aber ein Risiko und ein gefundenes Fressen für Cyber-Kriminelle. Daher stellen Cookies ein erhebliches Risiko für SaaS-Anwendungen (Software as a Service) von Unternehmen dar, da ihr Diebstahl zu Datenabfluss, unautorisierten Transaktionen und dergleichen führen kann.

Kurzlebige und langlebige Session-Cookies
Die Anfälligkeit von Sitzungscookies unterscheidet sich in die langlebigen und die kurzlebigen: Letztere, die unter anderem beim Online-Banking zum Einsatz kommen, sind für Cyber-Angreifer wenig nützlich, aber erstere, die für aktive Sitzungen bestimmt sind, sollten in ihrer Gefährlichkeit nicht unterschätzt werden.

Diese langlebigen Cookies, die erst nach der erfolgreichen Multi-Faktor-Authentifizierung (MFA) erstellt werden und für Stunden oder gar Tage bestehen bleiben, sollen die Identität eines Benutzers authentifizieren und daher kann, wenn sie gestohlen werden, sich ein Angreifer problemlos als legitimer, authentifizierter Benutzer ausgeben.

Um diese Cookies zu stehlen, werden verschiedene Methoden verwendet, darunter die Ausnutzung ungesicherter WLAN-Verbindungen, Cross-Site-Scripting, Phishing, Trojaner, verschiedene Malware und Man-in-the-middle-Attacken.

Ein bemerkenswertes Beispiel für einen solchen Angriff war die Malware Racoon Stealer, die von der Hacker-Gruppe Lapsus$ verwendet wurde, um den Videospiel-Riesen Electronic Arts mittels eines gestohlenen Sitzungs-Cookies zu infiltrieren, was zu erheblichen Datenschutzverletzungen führte.

Sie erstellten ein täuschend echt nachgeahmtes Benutzerkonto eines Mitarbeiters der Firma und verschwanden mit hunderten von Gigabyte an gestohlenen Datensätzen, darunter der Quell-Code mancher Videospiele.

Angesichts der Tatsache, dass Cookie-Diebstahl alltäglich ist und im Jahr 2022 schätzungsweise 22 Milliarden Cookie-Datensätze gestohlen wurden, verlagert sich der Schwerpunkt von der Prävention auf die Schadensbegrenzung. In diesem Zusammenhang wird dem Prinzip der Zero-Trust-Sicherheit Vorrang eingeräumt.

Es geht von der Annahme aus, dass Sicherheitsverletzungen stets dann auftreten werden, wenn zu viele Zugriffsrechte eingeräumt wurden und damit den digitalen Identitäten aller Art zu viel Vertrauen entgegengebracht worden ist.

Da Unternehmen nach wie vor durchschnittlich 130 SaaS-Anwendungen nutzen, gehören diese zu den kritischen Anwendungen, ohne die das Geschäft kaum möglich wäre. Jedoch gibt der Diebstahl eines Sitzungs-Cookies einer SaaS-Anwendung dem Angreifer die gleichen Informationen preis und gewährt ihm den gleichen Zugriff wie dem legitimen Mitarbeiter.

Das gefährdet Verkäufe, Transaktionen und interne Dokumente. Nimmt man eine Web-E-Mail-Sitzung als Beispiel, die geknackt wird, dann könnte der Hacker alle E-Mails des Nutzers sehen und sogar E-Mails von diesem Konto aus als Betrugsversuch verschicken. Dies unterstreicht, weshalb sowohl der Schutz vor solchen Cookie-Diebstählen als auch die Schadensbegrenzung im Fall des Diebstahls wichtig sind.

SaaS-Anwendungen mit SASE-Lösungen schützen
Hilfreich ist ein SASE-Schutz, der dem Unternehmen eine einzigartige, statische IP-Adresse gibt und durchsetzt, dass nur Datenverkehr von dieser Adresse zu den SaaS-Anwendungen fließen kann. Der Rest wird ab Werk unterbunden. Somit könnte ein Hacker, der einen Sitzungs-Cookie gestohlen hat, um die Multi-Faktor-Authentifizierung zu umgehen, nicht mehr auf die Applikationen zugreifen, weil seine IP-Adresse geblockt würde.

Daneben sollte das Zero-Trust-Prinzip in Verbindung mit dem Least-Privilege-Prinzip umgesetzt werden, was bedeutet, dass Zugriffsrechte mit den Rollen und Aufgaben der Mitarbeiter in Zusammenhang gebracht werden und nur das freigegeben wird, was der Angestellte wirklich sehen und benutzen muss – das reduziert auch die Innentäter-Bedrohung.

Darüber hinaus sollte es auf der technischen Seite einen Notfall-Knopf geben, über den ein Benutzer bei verdächtigem Verhalten, oder nach seinem Weggang von der Firma, sofort von allen Anwendungen abgemeldet werden kann, inklusive all seiner registrierten Geräte. Außerdem sollte es zu den Unternehmensrichtlinien gehören, dass die Mitarbeiter sich von den Web-Seiten abmelden müssen, wenn sie die Funktionen derzeit nicht gebrauchen. Auf diese Weise werden viele Sitzungs-Cookies vermieden.

Fazit
Wird man sich der Gefahr, die von Sitzungs-Cookies ausgeht, bewusst, dann wird auch die Bedeutung einer modernen SASE-Sicherheitslösung verständlich. SaaS-Anwendungen sind ein unverzichtbarer Teil vieler Geschäftsmodelle geworden und daher müssen sie entsprechend geschützt werden, was bedeutet, dass die speziellen Angriffswege gedeckt werden müssen. Cookie-Diebstahl ist hier ein wesentlicher Faktor, der nicht unterschätzt werden sollte.

Weitere Beiträge....