25. Januar 2010 - Websites schützen

Mit Content Security Policy Datendiebe aussperren

Gerade angesehene, seriöse Webseiten werden gerne als Sprungbrett zu den personenbezogenen Daten von Internetnutzern missbraucht. Dazu fügen Datendiebe ihren Schadcode in die Webseiten nichts ahnender Unternehmen ein. Doch mit einer Content Security Policy (CSP) können Sie in Zukunft Freund und Feind auf Ihrer Webseite kenntlich machen und so die Daten der Besucher Ihrer Website besser schützen.

wie-sie-datendiebe-aus-ihrer-website-aussperren.jpeg
Schützen Sie sich mit einer Content Security Policy vor Datendieben (Bild: Thinkstock)

Man muss keine zwielichtigen Webseiten aufsuchen, um seine Daten im Internet in Gefahr zu bringen. Selbst Webseiten, die als scheinbar sicher gelten und von bekannten Unternehmen betrieben werden, können ein Datenrisiko darstellen.

Cross-Site-Scripting als versteckter Angriff

Anders als bei einer Phishing-Attacke, bei der man auf eine gefälschte Webseite gelockt wird, um zum Beispiel Passwörter zu stehlen, werden bei der sogenannten Cross-Site-Scripting-Attacke (XSS) echte Webseiten manipuliert und als Vehikel für einen Datendiebstahl missbraucht.

Fremde Inhalte bringen die Gefahr

Der wesentliche Kern einer XSS-Attacke besteht darin, dass ein Angreifer die Webseite eines möglichst bekannten Unternehmens um eigenen Programmcode erweitert, also Schadcode in die Webseite einschleust.

Die Besucher der Webseite vertrauen den Inhalten des Webseitenbetreibers und  öffnen dann mit ihrem Browser die manipulierte Webseite. Der Browser bewertet alle ihm gelieferten Programmzeilen der Webseite so, als kämen sie von dem Webserver des Webseiten-Betreibers.

Möglicher Schadcode wird dabei genauso ausgeführt wie die echten Zeilen mit dem Grußwort des Vorstandsvorsitzenden.

Webserver und Webseiten absichern

Um solche XSS-Angriffe auf die eigenen Webseiten und die Besucher der eigenen Online-Präsenz zu verhindern, müssen zum einen die möglichen Eingaben und Befehle an den Webserver geprüft und eingeschränkt werden, die Dritte über den Browser und über andere externe Zugriffe auf den Webserver ausführen könnten.

Zum anderen können Sie zusätzlich dafür sorgen, dass in Zukunft die Browser Ihrer Besucher nicht jeden Programmcode akzeptieren, der angeblich von Ihrem Webserver kommt. Dazu machen Sie eine Freund-Feind-Unterscheidung mit Hilfe einer Content Security Policy (CSP).

Content Security Policy informiert Browser und schützt Anwender

Der Browseranbieter Mozilla hat für den Firefox-Browser eine interessante Erweiterung entwickelt, die in Zukunft den XSS-Angriffen den Wind aus den Segeln nehmen könnte.

Zur Steigerung des Online-Datenschutzes und der Datensicherheit können Webentwickler und Webseitenbetreiber über eine Content Security Policy definieren, welche Inhalte woher kommen und legitim sind.

Dadurch wird eine Art Weiße Liste (White List) aufgestellt, die dem Browser sagt, alles auf dieser Liste ist tatsächlich von dem Betreiber der Webseite, alles andere soll geblockt werden.

Webseitenbetreiber können XSS-Gefahr reduzieren

Durch die in der Checkliste Abwehr von XSS-Attacken genannten Maßnahmen und durch die genaue Definition der Inhalte einer Webseite und des Ursprungs von Bildern, Audio- und Videodateien, JavaScript-Befehlen oder Design-Elementen lassen sich Fremdinhalte von Dritten von der Ausführung durch den Browser ausschließen, selbst dann noch, wenn es gelingen sollte, den Schadcode auf die Webseite zu bringen.

Der Schadcode wird als fremd erkannt, nicht ausgeführt und der Angriff verhindert. Der Browser fällt nicht mehr auf die eingeschleusten Inhalte herein und bewahrt den Anwender so vor dem geplanten Datendiebstahl.

Standard für Content Security wichtig

Voraussetzung dafür ist zum einen, dass die Datei, in der die CSP beschrieben ist, vor Manipulationen geschützt wird, damit kein Unbefugter die Definitionen der echten Webinhalte verändern kann.

Zum anderen muss der Webserver abgesichert sein, so dass die in der Content Security Policy genannten Quellen für die Webinhalte nicht mit bösartigem Code beladen werden können. Zudem müssen die Webseitenbetreiber die zehn Regelungsbereiche einer CSP auch definieren und regelmäßig pflegen.

Schließlich müssen sich die Browserhersteller auch noch auf einen Standard einigen, der es durchgängig ermöglicht, eigenen und fremden Code unterscheidbar zu machen.

So bietet Microsoft im Internet Explorer 8 bereits einen XSS-Filter, der ähnliche Ziele verfolgt wie die CSP von Mozilla, allerdings mit anderen Verfahren. Wünschenswert wären auch hier einheitliche Industriestandards.

Nur dann lassen sich die gefährlichen Attacken über Cross-Site-Scripting abstellen, die schon zahllose Internetnutzer um ihre Daten gebracht haben.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln