Cross-Site-Scripting

  • Juli 14, 2026

Definition

Cross-Site-Scripting ist eine Angriffstechnik, bei der Angreifer schädlichen Programmcode in eigentlich vertrauenswürdige Webseiten einschleusen, der anschließend unbemerkt im Browser anderer Nutzerinnen und Nutzer ausgeführt wird und Daten abgreift.

Erklärung / Hintergrund

Cross-Site-Scripting, kurz XSS, nutzt Sicherheitslücken in Webanwendungen aus, bei denen Nutzereingaben nicht ausreichend geprüft oder gefiltert werden. Angreifer schleusen darüber schädlichen Programmcode in eine Webseite ein, der anschließend im Browser anderer Besucherinnen und Besucher automatisch ausgeführt wird, oft ohne dass diese es bemerken.

Für Unternehmen ist Cross-Site-Scripting relevant, weil dadurch Sitzungsdaten, Zugangsdaten oder andere vertrauliche Informationen von Webseitenbesuchern abgegriffen werden können, ohne dass die eigentliche Webseite selbst dauerhaft manipuliert werden muss. Der Angriff nutzt gezielt das Vertrauen der Nutzer in die aufgerufene Webseite aus.

Für Architektur- und Ingenieurbüros ist dies vor allem relevant, wenn eigene Kundenportale, Projektplattformen oder Formulare auf der Firmenwebseite betroffen sind, über die Angreifer möglicherweise Zugriff auf Anmeldedaten von Mitarbeitenden oder Auftraggebern erlangen könnten, die sich über diese Systeme anmelden.

Abzugrenzen ist Cross-Site-Scripting von CSRF, das eine andere Angriffstechnik gegen Webanwendungen beschreibt, sowie von einem allgemeinen Exploit, der eine Sicherheitslücke ausnutzt, ohne notwendigerweise Programmcode im Browser eines Dritten auszuführen. Attack vector und Attacker beschreiben übergeordnete Konzepte im Zusammenhang mit solchen Angriffen.

Praxisrelevanz

Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist Cross-Site-Scripting relevant, wenn Ihr Unternehmen eigene webbasierte Systeme betreibt, etwa ein Kundenportal, ein Bewerberformular oder eine Projektplattform für Auftraggeber. Die technische Absicherung gegen solche Angriffe liegt meist beim eingesetzten Softwareanbieter oder Webentwickler, weshalb es sich lohnt, bei der Beauftragung gezielt nach entsprechenden Sicherheitsmaßnahmen zu fragen. Für Cyberversicherer ist der professionelle Umgang mit Sicherheitslücken in eigenen Webanwendungen ein relevanter Aspekt der allgemeinen Risikoeinschätzung. Regelmäßige Sicherheitsupdates und Penetrationstests der eigenen Webseite helfen, entsprechende Schwachstellen frühzeitig zu erkennen und zu schließen, bevor sie von Angreifern tatsächlich ausgenutzt werden können.

Praxisbeispiel

Ein Architekturbüro betreibt ein Kundenportal, über das Bauherren Projektunterlagen einsehen können. Ein externer Sicherheitsforscher entdeckt im Rahmen eines Penetrationstests eine Cross-Site-Scripting-Schwachstelle in einem Kommentarfeld des Portals, über die theoretisch schädlicher Code eingeschleust werden könnte, um Anmeldedaten anderer Nutzer abzugreifen. Der beauftragte Webentwickler schließt die Schwachstelle umgehend durch eine verbesserte Prüfung aller Nutzereingaben. Das Büro nutzt den Vorfall zusätzlich, um künftig regelmäßige Sicherheitsprüfungen des Kundenportals fest in den laufenden Betrieb zu integrieren, das Vertrauen der Bauherren in die digitale Zusammenarbeit zu erhalten und ähnliche Schwachstellen frühzeitig zu erkennen. Die Ergebnisse werden künftig regelmäßig dokumentiert und ausgewertet.

FAQ

Was ist Cross-Site-Scripting?

Cross-Site-Scripting ist eine Angriffstechnik, bei der schädlicher Code in vertrauenswürdige Webseiten eingeschleust wird, der anschließend im Browser anderer Nutzer unbemerkt ausgeführt wird.

Welche Folgen kann Cross-Site-Scripting haben?

Angreifer können darüber Sitzungsdaten, Zugangsdaten oder andere vertrauliche Informationen von Webseitenbesuchern abgreifen, ohne die Webseite selbst dauerhaft zu verändern.

Warum ist Cross-Site-Scripting für Architektur- und Ingenieurbüros relevant?

Eigene Kundenportale oder Projektplattformen könnten betroffen sein, wodurch Zugangsdaten von Mitarbeitenden oder Auftraggebern gefährdet werden.

Wie unterscheidet sich Cross-Site-Scripting von CSRF?

Cross-Site-Scripting schleust Code ein, der im Browser eines Nutzers ausgeführt wird, während CSRF ungewollte Aktionen im Namen eines bereits angemeldeten Nutzers auslöst.

Wie lässt sich Cross-Site-Scripting verhindern?

Sorgfältige Prüfung und Filterung aller Nutzereingaben, regelmäßige Sicherheitsupdates und Penetrationstests der eigenen Webanwendung reduzieren das Risiko erheblich.

Verwandte Begriffe

Exploit – beschreibt allgemein die Ausnutzung einer Sicherheitslücke, wie sie auch bei Cross-Site-Scripting vorliegt.

Attack vector – beschreibt den Weg, über den ein Angreifer eine Schwachstelle wie Cross-Site-Scripting ausnutzt.

Attacker – nutzt Schwachstellen wie Cross-Site-Scripting gezielt für seine Angriffe aus.

Advanced Persistent Threat (APT) – kann Cross-Site-Scripting als einen von mehreren Angriffsschritten nutzen.