Immer mehr Unternehmen haben ihre öffentlich zugänglichen Apps mit Komponenten und/oder Skripten von Drittanbietern erstellt, weil diese Flexibilität im Entwicklungsprozess bieten. Gleichzeitig beobachten wir eine steigende Zahl von Angriffen auf Nutzer dieser Apps.
Das liegt daran, dass mit der Zeit ein Teil des Webanwendungscodes nun in den Browser des Nutzers statt auf der Serverseite geladen wird. Aufgrund dieser Verlagerung sind die Nutzer nun diesen Komponenten von Drittanbietern ausgesetzt. Die Unternehmen, die diese Komponenten einsetzen, haben keine direkte Kontrolle über ihre Sicherheitsmaßnahmen. Diese Beziehung zwischen Skripten von Drittanbietern, App-Betreibern und Nutzern wird ausgenutzt, um Supply Chain-Angriffe auf das Gerät des Nutzers zu starten.
In diesem Artikel gehen wir auf diese neuen Schwachstellen ein und zeigen, wie Unternehmen sie zum Schutz ihrer Nutzer beheben können.
Mehrere aufsehenerregende Angriffe auf die Client-Seite von Anwendungen haben seit 2018 erheblichen Schaden bei Unternehmen verursacht. Einer der bemerkenswertesten Fälle war ein Angriff auf Kunden von British Airways, bei dem der Angreifer nicht nur Zahlungskartendaten, sondern auch die Namen und Adressen von 500.000 Kunden erbeutete. Der Angreifer hat die Informationen durch eine Kompromittierung mithilfe von JavaScript gestohlen.
Unternehmen, die Zahlungen von Kunden abwickeln, unterliegen den Anforderungen des Payment Card Industry Data Security Standard (PCI DSS), die Kontodaten von Zahlungskarten schützen und sichern sollen.
Wie im Fall von British Airways werden diese Angriffe oft ohne Wissen des Website-Eigentümers durchgeführt. Um dies zu beheben, bestätigt die neueste Version der PCI-DSS-Konformität, dass die neue Bedrohung durch clientseitige Angriffe aktiven Schutz erfordert, um die Inhaber von Zahlungskarten vor dem Diebstahl ihrer Kartendaten zu schützen. Der PCI Data Security Standard (DSS) 4.0 führt viele neue Anforderungen ein, die alle Händler, die Kartenzahlungen akzeptieren, im Vergleich zur vorherigen Version von PCI erfüllen müssen. Heute konzentrieren wir uns jedoch auf zwei neue Anforderungen in Bezug auf die clientseitige Sicherheit.
Diese beiden neuen Anforderungen, 6.4.3 und 11.6.1, lassen sich wie folgt zusammenfassen:
Anforderung 6.4.3 verlangt von Händlern, dass sie die auf Zahlungsseiten verwendeten Skripte (z.B. JavaScripts) nachverfolgen und ordnungsgemäß inventarisieren sowie begründen, warum sie benötigt werden und ob sich ihr Code wie beabsichtigt verhält.
Um die Anforderung 6.4.3 zu erfüllen, kann ein Content Security Policy (CSP)-Header eingesetzt werden. CSPs sind eine Art positives Sicherheitsmodell, das so definiert werden kann, dass es ausgewählten JavaScripts die Ausführung auf den Zahlungsseiten erlaubt und alle JavaScripts, die nicht ausdrücklich erlaubt sind, standardmäßig blockiert. Ein ständig laufender Seitenmonitor kann dabei helfen, einen CSP-Header zu generieren und den Inhalt dieser Skripte kontinuierlich auf böswillige Bedrohungen zu überprüfen.
Anforderung 11.6.1 bezieht sich auf die Benachrichtigung der Website-Besitzer über Änderungen der Skripte (z. B. JavaScripts), die wie oben erwähnt auf den Zahlungsseiten verwendet werden, und auf die HTTP-Header, die zum Schutz dieser Skripte verwendet werden (wie der CSP-Header). Je nachdem, wie dieser CSP-Header eingesetzt wird, können Anbieter von Reverse Proxies oder CDNs Änderungen daran erkennen und den Website-Besitzer entsprechend benachrichtigen. Eine Kombination dieser Lösungen hilft, die Anforderung 11.6.1 zu erfüllen.
Indem sie diese beiden Anforderungen erfüllen, können Website-Betreiber die Zahlungskartendaten ihrer Nutzer vor Diebstahl durch Bedrohungsakteure schützen und so das Vertrauen ihrer Nutzer bewahren und Risiken reduzieren.
JavaScript-Abhängigkeiten von Drittanbietern oder Supply Chain-Angriffe sind nicht der einzige clientseitige Angriffsvektor. Einige der Abhängigkeiten von Drittanbietern können auch auf ihre Abhängigkeiten zurückgreifen, die manchmal als Abhängigkeiten von Drittanbietern bezeichnet werden – auch diese können kompromittiert werden.
Die Branche hat in den vergangenen Jahren Maßnahmen ergriffen, um sich so weit wie möglich gegen Supply Chain-Angriffe zu schützen. Zudem ist das Bewusstsein für die Risiken der Supply Chain viel höher als noch vor 5 Jahren. Es gibt jedoch auch andere Client-seitige Risiken, denen weniger Aufmerksamkeit geschenkt wird und die eine größere Angriffsfläche bieten.
Ein Risiko liegt in der Umgebung des Benutzers, dem verwendeten Browser und dem Betriebssystem, auf dem der Browser läuft. Wenn ein Nutzer eine Website besucht, können Browsererweiterungen oder jede andere Software JavaScripts direkt in die Website einfügen und so die Webseite verändern. Zwar sind nicht alle derart injizierten JavaScripts böswillig, aber ihre Auswirkungen reichen von der Injektion von Werbung bis zum möglichen Diebstahl sensibler Informationen.
Ein weiteres Beispiel ist Cross-site Scripting (XSS), bei dem ein böswilliger Akteur Code in eine legitime Website einfügt, der ausgeführt wird, wenn das Opfer die Website lädt. Aus der Sicht des clientseitigen Schutzes können solche erfolgreichen Injektionen wie JavaScripts aussehen, die direkt vom Erstanbieter bereitgestellt werden, oder wie die Website selbst, bei der standardmäßig von Vertrauenswürdigkeit ausgegangen wird.
Diese Liste ist nicht vollständig. Um ein umfassendes Schutzniveau zu erreichen, sollte eine clientseitige Sicherheitslösung in der Lage sein, alle Skripte unabhängig von ihrer Quelle gleichermaßen zu überwachen und dem Besitzer der Website helfen, fundierte Entscheidungen zu treffen.
Wenn Sie ein Händler sind, der Kartenzahlungen akzeptiert, haben Sie bis zum 31. März 2025 Zeit, Ihr Konzept zur Sicherung Ihrer clientseitigen Umgebung für PCI DSS v4.0 umzusetzen. Die clientseitige Sicherheitslösung von Cloudflare, Page Shield, kann dazu beitragen, diese neuen und zukünftigen Anforderungen zu erfüllen.
Über den Schutz von Zahlungsseiten hinaus überwacht Cloudflare Page Shield auch kontinuierlich Ihre gesamte Website. Zudem wird jedes Skript mit einem intern entwickelten und trainierten Machine Learning-Modell abgeglichen, das auf die Klassifizierung von Magecart-Angriffen spezialisiert ist – ganz gleich, wie und wo Ihre Benutzer mit Ihrer Website interagieren.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Erfahren Sie im Whitepaper „Ein strategischer Ansatz zur PCI DSS 4.0-Konformität“ mehr darüber, wie Sie strategisch alle PCI-Anforderungen erfüllen können.
Folgende Informationen werden in diesem Artikel vermittelt:
Wichtiger Angriffsvektor, der die clientseitige Umgebung abzielt
2 neue PCI-Konformitätsanforderungen
Wie Sie Client-seitige Umgebungen sichern und Ihre Kunden schützen
Optimieren Sie die Datenkonformität mit zusammenstellbaren Kontrollen
Page Shield: Schützen Sie Ihren E-Commerce und Ihr Unternehmen vor Magecart