Bundes-Applikationen unter Dauerbeschuss

16. März 2012 um 11:03
  • security
image

Command Execution, Server Side Code Injection, SQL-Injection, Forceful Browsing... Eine Übersicht zeigt, mit welchen Angriffsmethoden das Bundesamt für Informatik umgehen muss.

Command Execution, Server Side Code Injection, SQL-Injection, Forceful Browsing... Eine Übersicht zeigt, mit welchen Angriffsmethoden das Bundesamt für Informatik umgehen muss.
Das Bundesamt für Informatik und Telekommunikation (BIT) berichtet in der jüngsten Ausgabe seiner Kundenzeitung 'Eisbrecher' über gesenkte Dienstleistungspreise und einen Stromausfall über die 28 verschiedenen Angriffsarten, welche die WAF des BIT im Dezember 2011 registriert hat, publiziert.
Innerhalb eines Monats zählte das Computer Security Incident Response Team (CSIRT) des BIT ganze 2500 Angriffsversuche aus dreissig Ländern, verteilt über fünf Kontinente. Die Grafik zeigt, dass Command Execution mit Abstand die meist verbreitete Angriffsmethode ist: Etwas mehr als ein Drittel der versuchten Angriffe erfolgte mittels Command Execution. Damit sind Angriffe gemeint, bei denen Cyberkriminelle versuchen, Befehle auf dem Web- oder Applikationsserver oder den nachgelagerten Datenbanken auszuführen. Server Side Code Injection oder SQL-Injection folgen mit einer Häufigkeit von je 9,4 Prozent. Erstere Methode bezeichnet den Versuch, Systembefehle auf dem Server auszuführen und dadurch die Kontrolle über ihn zu erlangen. Bei den berühmt-berüchtigten SQL-Injections versuchen Angreifen über die Eingabe von SQL-Befehlen in eine Datenbank einzudringen.
Laut dem BIT nehmen die Angriffe auf Webanwendungen stetig zu. Deshalb setzt das Bundesamt seit kurzem im Pilotbetrieb eine WAF ein. Auf Anfrage von inside-it.ch wollte sich das Bundesamt nicht dazu äussern, welche Technologien genau eingesetzt werden: "Zum Schutz der Infrastruktur und der Daten des Bundes kommen eine Reihe von Schutzmethoden zum Einsatz. Über die von uns im Sicherheitsbereich eingesetzten Produkte können wir aus verständlichen Gründen keine Auskunft geben", so die Stellungnahme des BIT. Es sei jedenfalls nicht so, betont das BIT, dass vor dem Einsatz der WAF die Daten und Web-Server keinen Schutz hatten. (mim)

Loading

Mehr erfahren

Mehr zum Thema

image

Wie sich Schwyz gegen Cyberangriffe wappnet

Ein grosser Teil des kantonalen Amts für Informatik beschäftigt sich gegenwärtig mit der Bedrohungslage rund um die Ukraine-Konferenz.

publiziert am 12.6.2024
image

E-Banking-App der ZKB zeigte falsche Konten an

Aufgrund einer "kurzzeitigen technischen Störung" zeigte die App teilweise Konten von falschen Personen an. Die Störung ist mittlerweile behoben.

publiziert am 11.6.2024
image

Amherd: "Es gibt ein Interesse, die Konferenz zu sabotieren"

Die Ukraine-Konferenz macht die Schweiz zu einer Zielscheibe für Cyberangriffe, was aber nicht anders zu erwarten war.

publiziert am 10.6.2024
image

Apple tüftelt an eigenem Passwort­manager

Angeblich will Apple diese Woche eine eigene App zum Speichern von Kennwörtern lancieren. Sie soll Teil der wichtigsten Betriebssysteme des Konzerns werden.

publiziert am 10.6.2024