Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Bericht zur Anwendungssicherheit: Aktualisierte Fassung für 2024

2024-07-11

Lesezeit: 10 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, Español, und 简体中文 verfügbar.

In den letzten zwölf Monaten hat sich die Sicherheitslage im Internet dramatisch gewandelt. Geopolitische Unwägbarkeiten in Verbindung mit Wahlen in vielen Ländern haben 2024 zu einem erheblichen Anstieg der Menge an bösartigem Traffic im Web geführt. In diesem Bericht wird darauf eingegangen, wie es aus Cloudflare-Perspektive um die Anwendungssicherheit im Internet steht.

Application Security report: 2024 update

Es handelt sich um die vierte Ausgabe unseres Reports zum Thema Anwendungssicherheit und eine offizielle Aktualisierung unseres Berichts für das zweite Quartal 2023. Neu hinzugekommen ist ein Abschnitt, der sich mit clientseitiger Sicherheit im Kontext von Webanwendungen befasst.

In dem Bericht gehen wir ausführlich auf die von uns gewonnenen Erkenntnisse ein. Inzwischen werden durchschnittlich sieben Prozent des Traffics im gesamten Netzwerk Prüf- und Abwehrmaßnahmen unterzogen. Diese werden in mehr als der Hälfte der Fälle von einer WAF eingeleitet und/oder richten sich gegen Bots. Wenn es um Webanwendungen geht, sind DDoS-Attacken nach wie vor der Angriffsvektor Nummer eins. Doch auch Attacken, bei denen gezielt CVE ausgenutzt werden, sollten im Auge behalten werden. Teilweise waren bereits 22 Minuten nach Veröffentlichung eines Proof of Concept Exploits zu beobachten.

Was Bots betrifft, geht etwa ein Drittel des gesamten Traffics auf sie zurück, wobei diese mehrheitlich (93 Prozent) nicht in der Cloudflare-Liste verifizierter Bots aufgeführt und somit potenziell bösartig sind.

Der API-Traffic wächst ebenfalls weiter und macht mittlerweile 60 Prozent am gesamten Datenverkehr aus. Was vielleicht noch besorgniserregender ist: Unternehmen haben bis zu ein Viertel ihrer API-Endpunkte gar nicht auf dem Radar.

Es geht in dem Report auch um das Thema clientseitige Sicherheit und die Verbreitung von Drittanbieter-Integrationen bei Webanwendungen gehen. Laut Daten von Page Shield sind in Firmenwebsites im Durchschnitt 47 Endpunkte von Drittanbietern integriert.

Erwähnenswert ist auch, dass unser Netzwerk, aus dem wir die Daten erheben und Erkenntnisse ziehen, seit dem letzten Bericht größer und schneller geworden ist: Wir verarbeiten jetzt durchschnittlich 57 Millionen HTTP-Anfragen pro Sekunde (+23,9 Prozent im Jahresvergleich) und 77 Millionen zu Spitzenzeiten (+22,2 Prozent im Jahresvergleich). Was DNS angeht, bearbeiten wir 35 Millionen DNS-Abfragen pro Sekunde (+40 Prozent im Jahresvergleich). Dabei handelt es sich um die Summe der von unserer Infrastruktur verarbeiteten Anfragen an Nameserver und Resolver.

Noch bemerkenswerter ist aber vielleicht, dass Cloudflare – wenn man sich nur auf HTTP-Anfragen konzentriert – im ersten Quartal 2024 durchschnittlich 209 Milliarden Cyberbedrohungen pro Tag blockiert hat (+86,6 Prozent im Jahresvergleich). Das stellt einen erheblichen Anstieg gegenüber dem entsprechenden Vorjahreszeitraum dar.

Bevor wir tiefer in das Thema einsteigen, müssen zunächst die verwendeten Begriffe definiert werden.

Definitionen

In diesem Bericht werden folgende Begriffe verwendet:

  • Prüf- und Abwehrmaßnahmen unterzogener Traffic: Jede von einem Endnutzer stammende HTTP*-Anfrage, für die von der Cloudflare-Plattform eine beendende Maßnahme angewandt wurde. Dazu gehören BLOCK, CHALLENGE, JS_CHALLENGE und MANAGED_CHALLENGE. Ausgenommen sind Anfragen, die folgenden Maßnahmen unterzogen wurden: LOG, SKIP, ALLOW. Diese machten aber auch einen relativ geringen Anteil an der Gesamtheit der Anfragen aus. Zusätzlich haben wir unsere Berechnung bezüglich der Maßnahmen des Typs CHALLENGE optimiert, um sicherzustellen, dass Anfragen nur als abgewehrt gezählt werden, wenn sie die Prüfung nicht bestehen. Eine ausführliche Beschreibung der Maßnahmen finden Sie in unserer Dokumentation für Entwickler. Daran hat sich gegenüber dem letztjährigen Bericht nichts geändert.

  • Bot-Traffic/automatisch generierter Traffic: HTTP*-Anfragen, von denen das Bot-Management-System von Cloudflare zu dem Ergebnis kommt, dass sie von einer Maschine stammen. Dazu gehören Anfragen mit einem Bot-Score von 1 bis 29. Daran hat sich gegenüber dem letztjährigen Bericht nichts geändert.

  • API-Traffic: HTTP*-Anfragen, bei denen der MIME-Typ XML oder JSON für die Antwort festgelegt ist. Ist keine Angabe zum MIME-Typ der Antwort verfügbar, etwa bei Anfragen, die Prüf- oder Abwehrmaßnahmen unterzogen wurden, wird stattdessen auf den gleichwertigen MIME-Typ Accept (der vom User Agent angegeben wird) zurückgegriffen. In diesem Fall wird der API-Traffic zwar nicht in vollem Umfang berücksichtigt, doch diese Fälle tragen trotzdem zum Erkenntnisgewinn bei. An dieser Vorgehensweise hat sich seit dem letzten Jahr nichts geändert.

Sofern nicht anders angegeben, wird im vorliegenden Beitrag der Zeitraum vom 1. April 2023 bis 31. März 2024 betrachtet.

Abschließend möchten wir noch darauf hinweisen, dass die Daten allein auf Grundlage des Datenverkehrs erhoben werden, der im Cloudflare-Netzwerk registriert wird. Somit spiegeln sie nicht notwendigerweise die Muster des HTTP-Traffics im gesamten Web wider.

*Mit HTTP-Traffic ist hier sowohl HTTP- als auch HTTPS-Datenverkehr gemeint.

Erkenntnisse aus dem weltweiten Datenverkehr

Der durchschnittliche Anteil am täglichen Traffic, der Abwehrmaßnahmen unterzogen wird, steigt auf fast sieben Prozent

Verglichen mit den vorangegangenen zwölf Monaten hat Cloudflare in der Zeit vom zweiten Quartal 2023 bis zum ersten Quartal 2024 einen höheren Prozentsatz des Traffics auf Anwendungsschicht und der DDoS-Angriffe auf Schicht 7 Prüf- und Abwehrmaßnahmen unterzogen. Es wurde hier ein Anstieg von 6 Prozent auf 6,8 Prozent verzeichnet.

Abbildung 1: Anteil des von Prüf- und Abwehrmaßnahmen betroffenen HTTP-Traffics in den letzten zwölf Monaten gestiegen

Bei großen Angriffen mit globaler Dimension erreicht der von Prüf- und Abwehrmaßnahmen betroffene Traffic zu Spitzenzeiten einen Anteil von knapp 12 Prozent am gesamten HTTP-Datenverkehr. Damit wurden die zuvor registrierten Spitzenwerte weit übertroffen.

Von WAF ausgehende Maßnahmen deckten 53,9 Prozent des gesamten von Prüf- und Abwehrmaßnahmen betroffenen Traffics ab

Die Cloudflare-Plattform befördert immer neue Hinweise zur Identifizierung von potenziell bösartigem Datenverkehr zutage, die von Kunden aktiv in benutzerdefinierten WAF-Regeln zur Steigerung ihres Sicherheitsniveaus eingesetzt werden. Dazu gehören unter anderem unser WAF Attack Score, der bösartige Payloads identifiziert, und unser Bot-Score zur Erkennung von automatisiertem Traffic.

Nach von WAF ausgehenden und auf Bots bezogenen Prüf- und Abwehrmaßnahmen folgen HTTP-DDoS-Regeln als zweitgrößter Auslöser von Prüf- und Abwehrmaßnahmen. An dritter und vierter Stelle stehen IP-Reputation, wobei unserer IP-Bedrohung-Score zum Blockieren von Datenverkehr genutzt wird, und Access Rules, bei denen es sich einfach um IP- und Ländersperren handelt.

Abbildung 1: Prüf- oder Abwehrmaßnahmen unterzogener Traffic nach Cloudflare-Produktgruppe

CVE werden teilweise schon 22 Minuten nach Veröffentlichung des Proof of Concept (PoC) ausgenutzt

Die Ausnutzung von Zero-Day-Schwachstellen nimmt ebenso zu wie das Tempo, mit dem CVE nach ihrem Bekanntwerden als Waffe eingesetzt werden. 2023 wurden 97 Zero-Day-Sicherheitslücken ausgenutzt, wobei die Zahl der offengelegten CVE von 2022 auf 2023 um 15 Prozent zugelegt hat.

Was die Ausnutzung von CVE bei Kunden betrifft, registrierte Cloudflare vor allem Scan-Aktivitäten, gefolgt von Command Injections und einigen Versuchen, Schwachstellen mit online verfügbaren PoC zu missbrauchen, darunter Apache CVE-2023-50164 und CVE-2022-33891, Coldfusion CVE-2023- 29298 CVE-2023-38203 und CVE-2023-26360 sowie MobileIron CVE-2023-35082.

Dieser Trend bei den Versuchen, CVE auszunutzen, deutet darauf hin, dass Angreifer sich zunächst die einfachsten Ziele aussuchen und in einigen Fällen wahrscheinlich auch erfolgreich sind, da weiterhin aktiv von alten Schwachstellen Gebrauch gemacht wird.

Cloudflare hat beispielsweise am 4. März um 21:45 Uhr MEZ Versuche registriert, CVE-2024-27198 (Umgehen der Authentifizierung bei TeamCity von Jetbrains) auszunutzen, und damit gerade einmal 22 Minuten nach Veröffentlichung des zugehörigen PoC-Quellcodes.

Abbildung 3: Zeitlicher Ablauf der Authentifizierungsumgehung bei TeamCity von JetBrains

Öffentlich gemachte CVE werden oft schneller ausgenutzt, als WAF-Regeln oder Patches zur Angriffsabwehr erstellt und implementiert werden können. Diese Erfahrung hat auch unser eigenes Sicherheitsanalyse-Team gemacht, das den Regelsatz unserer WAF Managed Rules pflegt. Deshalb sind wir dazu übergegangen, von Menschen verfasste Signaturen und Machine Learning zu kombinieren, um das optimale Verhältnis zwischen einer möglichst geringen Zahl von Fehlalarmen und Reaktionsschnelle zu erzielen.

CVE speed of exploitation by attackers

CVE-Exploit-Kampagnen von bestimmten Cyberkriminellen sind deutlich sichtbar, wenn man sich auf eine bestimmte Untergruppe von CVE-Kategorien konzentriert. Schaut man sich zum Beispiel nur CVE an, die eine Remotecode-Ausführung (Remote Code Execution – RCE) zur Folgen haben, sind Ende 2023 und Anfang 2024 eindeutige Versuche erkennbar, Apache- und Adobe-Installationen auszunutzen. Außerdem wird eine bedeutende Kampagne gegen Citrix im Mai des laufenden Jahres sichtbar.

Abbildung 4: Tägliche Zahl von Anfragen für CVE zur Code-Ausführung weltweit

Ein ähnliches Bild ergibt sich, wenn man andere CVE oder bestimmte Angriffskategorien in den Fokus nimmt.

CVE exploit campaigns clearly visible in attack traffic

DDoS-Attacken nach wie vor beliebteste Methode für Angriffe auf Webanwendungen

Gegen Webanwendungen sind DDoS-Angriffe nach wie vor am beliebtesten: Im betrachteten Zeitraum machten sie 37,1 Prozent am gesamten von Prüf- und Abwehrmaßnahmen betroffenen Anwendungsdatenverkehr aus.

Abbildung 5: Zeitliche Entwicklung des Volumens von HTTP-DDoS-Angriffen

Im Februar und März 2024 haben wir einen starken Anstieg volumetrischer Attacken verzeichnet. Neben einer höheren Angriffsaktivität war dies zum Teil auch auf eine bessere Erkennung durch unsere Teams zurückzuführen. Allein im ersten Quartal 2024 wurden durch die automatisierte Cloudflare-Abwehr 4,5 Millionen einzelne DDoS-Angriffe abgewehrt. Das entsprach 32 Prozent der DDoS-Attacken, die Cloudflare im Jahr 2023 insgesamt abgewehrt hat. Insbesondere stiegen die HTTP-DDoS-Angriffe auf Anwendungsschicht um 93 Prozent im Jahres- und 51 Prozent im Quartalsvergleich.

Cloudflare schaut sich die Zeit, zu der ein Ereignis begonnen und geendet hat, sowie das anvisierte Ziel an. Auf dieser Grundlage werden Korrelationen zwischen DDoS-Angriffs-Traffic hergestellt und individuelle Attacken eingegrenzt.

Die Motive für DDoS-Angriffe sind vielfältig. Manche Unternehmen werden ins Fadenkreuz genommen, weil sich die Angreifer (durch Erpressung) bereichern wollen. Manchmal geht es darum, die Kapazität von Botnetzen zu testen, oder Institutionen oder Länder werden aus politischen Gründen unter Beschuss genommen. So hat Cloudflare einen Anstieg der DDoS-Angriffe auf Schweden um 466 Prozent beobachtet, nachdem das Land am 7. März 2024 Mitglied der NATO geworden ist. Das deckte sich mit dem DDoS-Muster, das 2023 während des NATO-Beitritts Finnlands registriert worden war. Auch die Größe der einzelnen DDoS-Attacken nimmt zu.

Im August 2023 hat Cloudflare einen hypervolumetrischen DDoS-Angriff des Typs HTTP/2 Rapid Reset abgewehrt, der seinen Höhepunkt bei 201 Millionen Anfragen pro Sekunde erreicht hat. Der Spitzenwert war damit dreimal höher als bei der zuvor beobachteten größten Attacke. Die Angreifer nutzten eine Zero-Day-Sicherheitslücke im HTTP/2-Protokoll aus, die das Potenzial hatte, nahezu jeden Server oder jede Anwendung lahmzulegen, der oder die HTTP/2 unterstützt. Das macht deutlich, wie gefährlich DDoS-Schwachstellen für ungeschützte Unternehmen sind.

Am stärksten von DDoS-Attacken betroffen war die Gaming- und Glücksspielbranche. An zweiter Stelle folgten Unternehmen aus den Bereichen Internettechnologie und Cryptomining.

Abbildung 6: Größte von Cloudflare erfasste HTTP-DDoS-Angriffe nach Jahr

Erkenntnisse zum Bot-Traffic

Largest DDoS attacks by year

Wir investieren unverändert stark in die Bot-Erkennungssysteme von Cloudflare. Anfang Juli haben wir unsere Unabhängigkeit in Sachen KI zur Bewahrung eines sicheren Internets für Content Creator erklärt: Wir bieten jetzt die Möglichkeit, per Knopfdruck sämtliche KI-Bots auszusperren. Dieses Angebot steht allen unseren Kunden zur Verfügung – auch denen, die unsere Gratis-Tarifoption nutzen.

Große Fortschritte wurden auch bei anderen ergänzenden Systemen erzielt, beispielsweise bei Turnstile, einer nutzer- und datenschutzfreundlichen Alternative zu CAPTCHA.

All diese Systeme und Technologien helfen uns, von Menschen generierten Datenverkehr besser von automatisiertem Bot-Traffic zu unterscheiden.

Bots sind im Durchschnitt für ein Drittel des gesamten Anwendungstraffics verantwortlich

31,2 Prozent des gesamten von Cloudflare verarbeiteten Applikations-Datenverkehrs gehen auf Bots zurück. Dieser Anteil ist seit drei Jahren relativ konstant (bei rund 30 Prozent).

Der Begriff „Bot-Traffic“ ist oft negativ besetzt, doch an sich ist er weder gut noch schlecht – es kommt vielmehr immer darauf an, welchem Zweck die Bots dienen. Manche sind gutartig und erfüllen eine wichtige Funktion – etwa Chatbots für den Kundenservice und autorisierte Suchmaschinen-Crawler. Andere dagegen missbrauchen Online-Produkte oder -Dienstleistungen und müssen deshalb blockiert werden.

Verschiedene Anwendungsbesitzer haben möglicherweise unterschiedliche Kriterien dafür, was sie als „schlechten“ Bot ansehen. Beispielsweise möchten einige Unternehmen möglicherweise einen Content-Scraping-Bot blockieren, der von einem Konkurrenten eingesetzt wird, um die Preise zu unterbieten. Demgegenüber hat eine Firma, die keine Produkte oder Dienstleistungen verkauft, möglicherweise weniger Angst vor Content-Scraping. Bekannte, vertrauenswürdige Bots werden von Cloudflare als „verifizierte Bots“ eingestuft.

93 Prozent der von uns aufgespürten Bots waren nicht verifiziert und potenziell bösartig

Nicht verifizierte Bots dienen häufig dem Zweck, Störungen zu verursachen oder Schaden anzurichten. Sie horten beispielsweise Bestände, führen DDoS-Angriffe aus oder versuchen, ein Konto mittels Brute Force oder Credential Stuffing zu übernehmen. Bei verifizierten Bots (etwa Crawlern von Suchmaschinen) dagegen ist bekannt, dass sie sicher sind. Cloudflare ist bemüht, eine Verifizierung für alle wichtigen legitimen Bot-Betreiber vorzunehmen. Eine Liste aller verifizierten Bots finden Sie in unserer Dokumentation.

Angreifer, die Bots einsetzen, konzentrieren sich vor allem auf Branchen, in denen hohe Gewinne winken. So sind beispielsweise Websites, auf denen Konsumgüter angeboten werden, häufig das Ziel von Inventory Hoarding, Price Scraping durch Wettbewerber oder automatisierte Anwendungen, die auf die Ausnutzung von Preisabweichungen (etwa bei Sneakern) ausgelegt sind. Für die betroffenen Unternehmen kann diese Art von Missbrauch schwerwiegende finanzielle Folgen haben.

Abbildung 8: Branchen mit dem höchsten mittleren täglichen Anteil am Bot-Traffic

Erkenntnisse zum API-Traffic

Verbraucher und Endnutzer erwarten im Web und auf Mobilgeräten eine dynamische Nutzererfahrung, was durch API ermöglicht wird. Letztere bieten für Unternehmen unter anderem Wettbewerbsvorteile, eine größere Zahl geschäftlich relevanter Erkenntnisse, schnellere Cloud-Implementierungen und die Möglichkeit, neue KI-gestützte Funktionen einzubinden.

Durch API entstehen neue Risiken, weil sie Außenstehenden zusätzliche Einfallstore für den Zugriff auf Applikationen und Datenbanken bieten, die ebenfalls geschützt werden müssen. Aus diesem Grund zielen zahlreiche von uns beobachtete Angriffe nicht auf die klassischen Web-Schnittstellen, sondern auf API-Endpunkte ab.

Doch auch wenn API-zentrierte Anwendungen unter dem Sicherheitsaspekt bedenklich sein können, ist ihr Vormarsch natürlich nicht aufzuhalten.

60 Prozent des dynamischen (nicht zwischenspeicherbaren) Datenverkehrs haben einen API-Bezug

Gegenüber dem im letztjährigen Bericht dargestellten Wert entspricht das einen Zuwachs um zwei Prozentpunkte. Von diesen 60 Prozent werden im Durchschnitt etwa 4 Prozent Prüf- und Abwehrmaßnahmen durch unsere Sicherheitssysteme unterzogen.

Abbildung 9: Anteil des von Prüf- und Abwehrmaßnahmen betroffenen API-Traffics

Ein deutlicher Anstieg ist zwischen dem 11. und 17. Januar zu sehen. Dieser ist für einen Zuwachs von fast 10 Prozent am Traffic-Anteil allein in diesem Zeitraum verantwortlich. Der Grund dafür war, dass in einer bestimmten Zone eines Kunden Angriffs-Traffic eingegangen ist, der durch eine benutzerdefinierte WAF-Regel Prüf- und Abwehrmaßnahmen unterzogen wurde.

% of API mitigated traffic

Schaut man sich den Ursprung der gegen API-Datenverkehr eingeleiteten Prüf- und Abwehrmaßnahmen an, stellt man fest, dass WAF hier auf Platz eins stehen. Grund dafür ist, dass die üblicherweise eingesetzten bösartigen Payloads in der Regel sowohl für API-Endpunkte als auch für Standard-Webanwendungen genutzt werden können.

Abbildung 10: Prüf- und Abwehrmaßnahmen unterzogener API-Traffic, aufgeschlüsselt nach Produktgruppen

Ein Viertel aller API liegen im Dunkeln

WAF contributes towards 67% of all API mitigated traffic

Man kann nur etwas schützen, von dessen Existenz man weiß. Viele Unternehmen verfügen aber nicht über einen genauen Überblick über ihre API, auch wenn sie glauben, den API-Traffic korrekt identifizieren zu können.

Unser selbst entwickeltes Machine-Learning-Modell scannt nicht nur bekannte API-Aufrufe, sondern alle HTTP-Anfragen (und identifiziert API-Traffic, der möglicherweise nicht erfasst wird). Damit konnten wir in Erfahrung bringen, dass Unternehmen über 33 Prozent mehr öffentlich zugängliche API-Endpunkte verfügten, als ihnen bekannt war. Es handelt sich hierbei um den Mittelwert, zu dessen Berechnung die Zahl der mittels Machine Learning erkannten API-Endpunkte mit den vom Kunden bereitgestellten Session-Identifikatoren verglichen wurden.

Somit würde es sich bei fast einem Drittel der API um sogenannte „Schatten-API“ handeln, die unter Umständen nicht ordnungsgemäß erfasst und abgesichert wurden.

Clientseitige Risiken

Bei den meisten Unternehmen bauen die Webanwendungen auf gesonderten Programmen oder Quellcode-Stücken von Drittanbietern auf (die in der Regel in JavaScript geschrieben sind). Durch die Verwendung von Drittskripten beschleunigt sich die Entwicklung moderner Webanwendungen. So können Unternehmen neue Anwendungsfunktionen schneller auf den Markt bringen, ohne sämtliche Bestandteile davon selbst entwickeln zu müssen.

Mit dem clientseitig eingesetzten Sicherheitsprodukt von Cloudflare, Page Shield, können wir uns ein Bild von der Beliebtheit von Drittanbieter-Bibliotheken im Internet und das mit ihnen verbundene Risiko für Unternehmen machen. Dieses Thema hat durch den Polyfill.io-Vorfall, von dem mehr als hunderttausend Websites betroffen waren, zuletzt stark an Brisanz gewonnen.

Enterprise-Anwendungen setzten im Schnitt 47 Drittanbieter-Skripte ein

Ein typischer Enterprise-Kunde von Cloudflare nutzt durchschnittlich 47 Skripte von Drittanbietern und im Mittel 20. Dass der Durchschnitt sich weit über dem Mittelwert ansiedelt, ist auf SaaS-Anbieter zurückzuführen, die oft über Tausende von Subdomains verfügen, die unter Umständen alle Skripte von Drittanbietern verwenden. Hier sind einige der wichtigsten von Cloudflare-Kunden häufig genutzten Drittanbieter von Skripten:

  • Google (Tag Manager, Analytics, Ads, Translate, reCAPTCHA, YouTube)

  • Meta (Facebook Pixel, Instagram)

  • Cloudflare (Web Analytics)

  • jsDelivr

  • New Relic

  • Appcues

  • Microsoft (Clarity, Bing, LinkedIn)

  • jQuery

  • WordPress (Web Analytics, gehostete Plugins)

  • Pinterest

  • UNPKG

  • TikTok

  • Hotjar

Abhängigkeiten von Drittanbieter-Software sind zwar nützlich, werden aber oft direkt vom Browser des Endnutzers (also clientseitig) geladen. Das stellt sowohl für die Unternehmen selbst als auch ihre Kunden ein Risiko dar, weil die Firmen keine direkte Kontrolle über die Sicherheitsmaßnahmen der externen Anbieter haben. Im Einzelhandel beispielsweise sind 18 % aller Datenlecks auf Magecart-ähnliche Angriffe zurückzuführen, wie aus dem diesjährigen „Data Breach Investigations Report“ von Verizon hervorgeht.

Bei Enterprise-Anwendungen bestehen im Schnitt Verbindungen mit knapp 50 Drittanbietern

Das Laden eines Drittanbieter-Skripts in einer Website birgt Risiken, umso mehr, wenn dieses Skript mit seinem Ursprung kommuniziert, um zur Ausführung seiner Funktion Daten zu übertragen. Ein typisches Beispiel ist Google Analytics: Immer, wenn ein Nutzer eine Aktion ausführt, schickt das Google Analytics-Skript Daten an die Google-Server zurück. Dies ordnen wir als Verbindungen ein.

Im Durchschnitt stellt jede Firmenwebsite mit 50 verschiedenen Drittanbieter-Zielen Verbindungen her. Der Mittelwert liegt bei 15. Jede dieser Verbindungen stellt auch ein potenzielles Sicherheitsrisiko auf Clientseite dar, weil Angreifer sie häufig nutzen, um unbemerkt zusätzliche Daten auszuschleusen.

Dies sind einige der wichtigsten Drittanbieter-Verbindungen, die von Cloudflare-Kunden häufig genutzt werden:

  • Google (Analytics, Ads)

  • Microsoft (Clarity, Bing, LinkedIn)

  • Meta (Facebook Pixel)

  • Hotjar

  • Kaspersky

  • Sentry

  • Criteo

  • tawk.to

  • OneTrust

  • New Relic

  • PayPal

Ausblick

Dieser Bericht zur Anwendungssicherheit ist auch im PDF-Format verfügbar und enthält neben weiteren Erkenntnissen auch Empfehlungen dazu, wie sich viele der hier dargelegten Probleme beseitigen lassen.

Viele unserer Berichte werden auch auf Cloudflare Radar mit dynamischen Diagrammen veröffentlicht und sind somit eine ausgezeichnete Informationsquelle, wenn Sie sich über das auf dem Laufenden halten wollen, was im Internet passiert.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Application Security (DE)WAFBot Management (DE)API (DE)

Folgen auf X

Michael Tremante|@MichaelTremante
Cloudflare|@cloudflare

Verwandte Beiträge

27. September 2024 um 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

24. September 2024 um 13:00

Automatically generating Cloudflare’s Terraform provider

The Cloudflare Terraform provider used to be manually maintained. With the help of our existing OpenAPI code generation pipeline, we’re now automatically generating the provider for better endpoint and attribute coverage, faster updates when new products are announced and a new API documentation site to top it all off. Read on to see how we pulled it all together....

19. September 2024 um 14:00

How Cloudflare is helping domain owners with the upcoming Entrust CA distrust by Chrome and Mozilla

Chrome and Mozilla will stop trusting Entrust’s public TLS certificates issued after November 2024 due to concerns about Entrust’s compliance with security standards. In response, Entrust is partnering with SSL.com to continue providing trusted certificates. Cloudflare will support SSL.com as a CA, simplifying certificate management for customers using Entrust by automating issuance and renewals....