Cross-Site Scripting

Bei Cross-Site-Scripting, kurz XSS, handelt es sich um das Ausnutzen von Sicherheitslücken in Internet-Anwendungen. Vereinfacht ausgedrückt: Sind Internetseiten schlecht geschützt, können Kriminelle auf dem Server der Internetseite Schadcode ausführen. Oft wird Cross-Site-Scripting dazu genutzt, eigenen HTML-Code auf den Server zu installieren, der dann etwa gefälschte Eingabemasken enthält. Auf diese Weise können Angreifer Passwörter und andere sensible Daten ausspähen. Das Gefährliche daran: Für Internetnutzer ist die Gefahr kaum zu erkennen, da sie sich auf der echten Internetseite befinden, und Browser und Sicherheitsprogramme nicht Alarm schlagen.

So funktioniert eine Cross-Site Scripting-Attacke

Mithilfe von Spezialsoftware untersucht ein Angreifer den Server eines Internetdienstes, beispielsweise einer Bank, auf Schwachstellen. Oft handelt es sich dabei um Sicherheitslücken durch veraltete Software. Wird er fündig, schlägt der Angreifer zu. Über die Schwachstelle überträgt er Schadsoftware auf den Server der Bank. Dabei kann es sich um gefälschten HTML-Code, Trojaner oder andere Schädlinge handeln, mit denen sich der Datenverkehr zwischen Nutzer und Server protokollieren oder umleiten lässt. Wählt sich nun ein Nutzer in sein Online-Konto bei der Bank ein, etwa um eine Überweisung zu tätigen, und tippt Autorisierungsdaten wie PIN und TAN ein, kann der Angreifer diese Daten abfangen. Das geschieht etwa durch eine gefälschte Eingabemaske, die der Angreifer auf den Server der Bank geschleust hat. Ist der Angreifer im Besitz des Auftrags samt PIN und TAN, kann er seinerseits die Überweisung an einen anderen Empfänger bei der Bank in Auftrag geben.