Was sind Cross-Site-Scripting-Angriffe (XSS)?

Bei einem Cross-Site-Scripting-Angriff (XSS-Angriff) schleusen Cyberkriminelle Schadcode in Ihre Website ein, um beispielsweise Nutzer auf eine schädliche Website umzuleiten oder Passwörter zu stehlen.

Fallbeispiel:

Im Jahr 2018 wurde British Airways Opfer eines Cross-Site-Scripting-Angriffs (XSS), bei dem die Bankdaten von über 400.000 Kunden abgefangen wurden.

Im selben Jahr erlitt einer der Zulieferer von Ticketmaster einen ähnlichen Angriff, bei dem die Daten von 40.000 Ticketmaster-Kunden offengelegt wurden.

Wenn ein Cyberkrimineller erfolgreich einen Cross-Site-Scripting-Angriff (XSS) auf Ihre Website durchführt, kann er zahlreiche Aktionen auf Ihrer Website ausführen. Beispielsweise kann er alle an Ihre Website übermittelten Informationen (wie persönliche Daten und Zahlungsinformationen) einsehen, selbst wenn Sie eine SSL-Verschlüsselung implementiert haben. Auch wenn Ihre Website keine Dateneingabe durch Benutzer zulässt oder sich ausschließlich auf Marketing konzentriert, können Cross-Site-Scripting-Angriffe dazu führen, dass Benutzer auf gefälschte Seiten umgeleitet werden, wo Cyberkriminelle weitere schädliche Aktivitäten durchführen können, wie beispielsweise die Installation von Malware (Schadsoftware).

Um sich vor Cross-Site-Scripting-Angriffen (XSS) zu schützen, sind Änderungen an Ihrer Website erforderlich, die ein Informatiker oder Webentwickler in der Regel problemlos umsetzen kann (für Laien jedoch schwierig). Zu diesen Änderungen gehören das Hinzufügen der Header „Content-Type“ und „X-Content-Type-Options“ sowie die Erstellung einer Content Security Policy (CSP).

Bitte überprüfen Sie den Abschnitt „Website-Sicherheit“ der Plattform, um Ihren Schutz vor Cross-Site-Scripting zu bewerten, und senden Sie den technischen Bericht an Ihren Webentwickler, damit dieser gefundene Schwachstellen beheben kann.