Definition
CSRF ist eine Angriffstechnik, bei der Angreifer einen bereits angemeldeten Nutzer dazu verleiten, ohne sein Wissen eine ungewollte Aktion auf einer Webseite auszuführen, etwa eine Zahlung oder Einstellungsänderung, indem sie dessen bestehende Sitzung ausnutzen.
Erklärung / Hintergrund
CSRF, ausgeschrieben Cross-Site Request Forgery, nutzt aus, dass Browser bei bereits angemeldeten Nutzern automatisch Sitzungsinformationen mitsenden. Angreifer platzieren dazu präparierte Links oder versteckte Formulare auf fremden Webseiten, die im Hintergrund eine Anfrage an eine andere, eigentlich vertrauenswürdige Webseite auslösen, ohne dass die betroffene Person dies bemerkt oder aktiv zustimmt.
Für Unternehmen ist CSRF relevant, weil dadurch im Namen eines angemeldeten Nutzers unerwünschte Aktionen ausgelöst werden können, etwa das Ändern von Kontodaten, das Versenden von Nachrichten oder das Auslösen von Zahlungen, ohne dass eine gestohlene Zugangsdaten-Kombination notwendig ist.
Für Architektur- und Ingenieurbüros ist dies relevant, wenn Mitarbeitende gleichzeitig in einer Projektplattform angemeldet sind und eine andere, manipulierte Webseite besuchen, wodurch im Hintergrund unbemerkt Aktionen auf der Projektplattform ausgelöst werden könnten, etwa Änderungen an Freigaben oder Projektdaten.
Abzugrenzen ist CSRF vom ähnlich klingenden Cross-Site-Scripting, das schädlichen Code direkt in eine Webseite einschleust, während CSRF die bestehende Anmeldesitzung eines Nutzers missbraucht. Attack vector und Exploit beschreiben übergeordnete Konzepte, die auch bei CSRF-Angriffen eine Rolle spielen.
Praxisrelevanz
Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist CSRF relevant, wenn Ihr Unternehmen eigene webbasierte Systeme betreibt, etwa ein Kundenportal oder eine Projektplattform, über die Auftraggeber oder Mitarbeitende angemeldet auf Daten zugreifen. Die technische Absicherung gegen CSRF-Angriffe liegt größtenteils in der Verantwortung des eingesetzten Softwareanbieters oder Webentwicklers, weshalb es sich lohnt, bei der Auswahl und Beauftragung gezielt nach entsprechenden Schutzmaßnahmen zu fragen. Ergänzend sollten Mitarbeitende dafür sensibilisiert werden, sich nach der Nutzung sensibler Systeme konsequent abzumelden, statt Sitzungen dauerhaft offen zu lassen. Für Cyberversicherer ist der professionelle Umgang mit solchen Web-Schwachstellen ein relevanter Baustein der allgemeinen Risikoeinschätzung eines Unternehmens.
Praxisbeispiel
Ein Mitarbeiter eines Architekturbüros ist in seiner Projektplattform angemeldet, während er parallel eine unbekannte externe Webseite besucht, die ihm zuvor per E-Mail empfohlen wurde. Im Hintergrund enthält diese Webseite einen unsichtbar eingebetteten Programmcode, der automatisch eine Anfrage an die Projektplattform sendet und dabei versucht, die hinterlegte E-Mail-Adresse für Benachrichtigungen zu ändern. Da die Plattform über keinen ausreichenden CSRF-Schutz verfügt, wird die Änderung tatsächlich unbemerkt ausgeführt. Erst eine spätere, ausbleibende Benachrichtigung fällt einem Kollegen auf, woraufhin die IT-Abteilung die Änderung untersucht, rückgängig macht und den Softwareanbieter über die fehlende Absicherung informiert. Der Anbieter kündigt daraufhin ein zeitnahes Sicherheitsupdate an.
FAQ
Was bedeutet CSRF?
CSRF steht für Cross-Site Request Forgery und beschreibt eine Angriffstechnik, bei der ein angemeldeter Nutzer ohne sein Wissen zu einer ungewollten Aktion auf einer Webseite verleitet wird.
Wie unterscheidet sich CSRF von Cross-Site-Scripting?
Cross-Site-Scripting schleust Schadcode direkt in eine Webseite ein, während CSRF die bestehende Anmeldesitzung eines Nutzers missbraucht, um in dessen Namen Aktionen auszulösen.
Warum ist CSRF für Architektur- und Ingenieurbüros relevant?
Mitarbeitende, die gleichzeitig in Projektplattformen angemeldet sind, könnten unbemerkt Opfer eines CSRF-Angriffs werden, wodurch Änderungen an Projektdaten oder Freigaben ausgelöst werden.
Wer ist für den Schutz vor CSRF verantwortlich?
Der technische Schutz liegt größtenteils beim Softwareanbieter oder Webentwickler, weshalb bei der Anbieterauswahl gezielt nach entsprechenden Sicherheitsmaßnahmen gefragt werden sollte.
Wie können sich Nutzer zusätzlich vor CSRF schützen?
Das konsequente Abmelden nach der Nutzung sensibler Systeme und Vorsicht beim Öffnen unbekannter Links reduzieren das Risiko eines erfolgreichen CSRF-Angriffs.
Verwandte Begriffe
• Cross-Site-Scripting – beschreibt eine verwandte, aber technisch andere Angriffstechnik gegen Webanwendungen.
• Exploit – beschreibt allgemein die Ausnutzung einer Sicherheitslücke, wie sie auch bei CSRF vorliegt.
• Attack vector – beschreibt den Weg, über den ein Angreifer eine Schwachstelle wie CSRF ausnutzt.
• Cyberversicherung – deckt je nach Vertrag finanzielle Folgen von Vorfällen durch Web-Schwachstellen wie CSRF ab.
.png?width=900&height=900&name=BDB%20(1).png)
