1. (Distributed) Denial-of-Service-Angriffe (DoS/DDoS)

Das Ziel von Denial-of-Service-Attacken (DoS) ist, den oder die angegriffenen Server durch Überlastung in die Knie zu zwingen, bis es zu einem Denial-of-Service (deutsch: Dienstverweigerung) kommt. Für Cloud-Anbieter ist die Verhinderung von DoS-Attacken besonders wichtig: Wenn die Plattform nicht verfügbar ist, kann dies unter Umständen tausende Kunden gleichzeitig betreffen.

2. Cross-Site-Scripting (XSS)

Viele Cloud-Anwendungen sind Web-Anwendungen und nutzen zur Kommunikation die gleichen Technologien wie Web-Anwendungen, etwa http(s), LDAP, REST oder JSON. Gängige Angriffsmuster auf Web-Anwendungen, wie zum Beispiel Cross-Site-Scripting, Cross-Site-Request-Forgery oder SQL Injection betreffen daher auch Cloud-Anbieter.

3. Cross-Site-Request-Forgery (CSRF)

Cross-Site-Request-Forgery, deutsch: Website-übergreifende Anfragenfälschung, macht sich die Zustandslosigkeit des http-Protokolls zunutze. Nach der erfolgreichen Authentifizierung des Browsers sendet dieser bei jeder Anfrage seine Sitzungsdaten an den Server. Sofern eine Web-Anwendung keine Maßnahmen gegen CSRF-Angriffe getroffen hat, ist sie daher prinzipiell verwundbar.

4. SQL-Injection

Als SQL-Injection, deutsch: SQL-Einschleusung, bezeichnet man Angriffe auf eine SQL-Datenbank, bei denen geänderte oder zusätzliche SQL-Anfragen in die Datenbank eingeschleust werden. Das Einschleusen der Anfragen wird durch eine unzureichende Validierung von Eingabedaten innerhalb der Web-Anwendung möglich. Sicherheitslücken treten oft in serverseitigen Skripten oder Programmen auf, bei denen Websiteinhalte, Formulardaten oder E-Mails in SQL-Datenbanken eingetragen werden. Ziel einer SQL-Injection ist es, sich unberechtigt Zugriff auf die Daten zu verschaffen, diese zu manipulieren oder zu löschen oder gar die Kontrolle über den Server zu erlangen. Die SQL-Injection richtet sich ausschließlich gegen SQL-Datenbanken, analoge Angriffsmethoden sind auch bei anderen Interpretern möglich, etwa bei der LDAP-Injection, der XML-Injection oder der Mail-Command-Injection.

5. Brute-Force-Angriffe

„Brute force“ heißt auf Deutsch „rohe Gewalt“ und bezeichnet eine simple, aber effiziente Methode, um Passwörter zu knacken oder verschlüsselte Dateien, Nachrichten oder Informationen zu entschlüsseln. Bei Brute-Force-Angriffen werden mit Hilfe spezieller Software, die im Internet frei erhältlich ist, alle möglichen Kombinationen aus Buchstaben und Zahlen durchprobiert – bis das richtige Passwort gefunden oder die Datei entschlüsselt ist. Bei einfachen Passwörtern, die nur aus Zahlen oder Buchstaben bestehen, ist dies in Sekundenschnelle möglich.

Alles über die fünf gängigsten Hacker-Methoden im Detail

Blog Telekom Cloud: Das sind die Methoden der Hacker