Was ist SQL-Injection?

Daten sind bekanntermaßen das Gold des digitalen Zeitalters, was sie zu einem beliebten Angriffsziel von Cyber-Kriminellen macht. Über verschiedene Angriffsmethoden versuchen Hacker, sich Zugang zu sensiblen Informationen und Daten zu verschaffen. Eine dieser Angriffsmethoden, die direkt auf Datenbanken abzielt, ist SQL-Injection.

Was genau ist eine SQL-Injection? Wie funktioniert ein solcher Angriff? Welche Gefahren bestehen für Unternehmen und wie kann ein SQL-Injection-Angriff verhindert werden?

SQL (kurz für: Structured Query Language; Deutsch: strukturierte Abfragesprache) ist eine Programmiersprache, die beim Anlegen von Datenstrukturen in relationalen Datenbanken sowie beim Abrufen und Bearbeiten der dort gespeicherten Datensätze zum Einsatz kommt.

Eine SQL-Injection (kurz: SQLi) ist eine Art von Cyber-Angriff, bei dem die Angreifer einen Teil des SQL-Codes manipulieren, um in die Datenbank einzudringen und sich Zugriff auf die dort gespeicherten Daten zu verschaffen. Da SQL-basierte Datenbanken von vielen Webseiten und Anwendungen verwendet werden, stellen SQL-Injections eine häufige und ernstzunehmende Bedrohung dar.

Der Zugriff auf die Daten in einer SQL-Datenbank erfolgt über SQL-Anweisungen, die über ein SQL-Abfragefeld an die Datenbank übermittelt werden. Werden aufgrund einer Schwachstelle oder einer Sicherheitslücke die Anweisungen nicht ausreichend validiert, können Angreifer eigene Befehle erstellen und an die Datenbank senden.

Dadurch wird es ihnen möglich, die gespeicherten Daten einzusehen, zu verändern oder zu löschen oder neue Daten in die Datenbank einzuspielen. Eine weitere Möglichkeit, Datenbanken mit richtig ausgeführten SQL-Befehlen zu manipulieren, ist das Fälschen der Identität eines berechtigten Benutzers. So können Angreifer sich selbst zu Datenbankadministratoren machen und weitreichende Zugriffe erhalten.

SQL-Injection-Angriffe können Unternehmen jeder Größe treffen. Dass auch große Unternehmen und multinationale Organisationen Opfer von SQLi-Attacken werden können, zeigen die folgenden Beispiele.

• TalkTalk (2015): Der britische Telekommunikationsanbieter TalkTalk wurde 2015 Opfer eines SQL-Injection-Angriffs, in dessen Folge sensible Daten von mehr als 150.000 Kunden kompromittiert wurden.
• Yahoo (2012): Bei einem SQL-Injection-Angriff auf die Suchmaschine Yahoo im Jahr 2012 schafften es Hacker, insgesamt 450.000 Usernamen und Passwörter aus der gehackten Datenbank zu stehlen.
• Sony Pictures (2011): Im Jahr 2011 gelang es der Hackergruppe LulzSec, über eine ordinäre SQL-Injection-Lücke die Webseite von Sony Pictures zu kompromittieren und sich Zugriff auf die persönlichen Daten von Administratoren und von mehr als einer Million Nutzern zu verschaffen.

Um einen bestmöglichen Schutz vor SQL-Injection-Angriffen zu erreichen, können Unternehmen verschiedene Maßnahmen ergreifen. Neben technischen Maßnahmen gehören hierzu auch organisatorische Maßnahmen wie das Schulen und Sensibilisieren der Mitarbeitenden.

• Regelmäßige Aktualisierungen: Schwachstellen in Anwendungen können von Angreifern genutzt werden, um eine SQL-Injection durchzuführen. Damit erkannte Schwachstellen schnellstmöglich behoben werden, ist es wichtig, regelmäßig Updates und Patches einzuspielen.
• Einsatz von Datenbank-Security-Tools: Sicherheits-Tools für Datenbanksysteme helfen beim Erkennen und Verhindern von SQL-Injection-Angriffen.
• Bereinigung der Dateneingabe: In der Programmiersprache SQL haben bestimmte Zeichen oder Wörter eine festgelegte Bedeutung. Um zu verhindern, dass Angreifer diese Zeichen und Wörter bei der Eingabe missbrauchen, um einen Befehl an die Datenbank zu senden, sollte die Datenbank angewiesen werden, diese Eingaben nicht als Befehl zu interpretieren. Eine weitere Methode, um Datenbankeingaben zu bereinigen, ist das Anlegen von parametrisierten Abfragen. Das bedeutet, dass die Dateneingabe einen explizit festgelegten Umfang nicht überschreiten kann.
• Durchführen von SQL-Injection-Tests: Ein SQL-Injection-Test prüft, ob eine SQL-basierte Datenbank eine mögliche Angriffsfläche für SQL-Injections bietet, um mögliche Schwachstellen zu finden.
• Mitarbeiterschulungen: Mitarbeitende, die für die Betreuung von Webseiten und Anwendungen, die an eine SQL-Datenbank gekoppelt sind, verantwortlich sind, sollten für die Gefahren einer SQL-Injection sensibilisiert werden und Schulungen erhalten, die ihnen helfen, innerhalb ihrer Zuständigkeiten richtig zu handeln.
• Routinemäßige Scans: Anwendungen mit angeschlossener SQL-Datenbank sollten regelmäßig mithilfe passender Tools gescannt werden. Auch dadurch lassen sich bestehende Schwachstellen erkennen.
• Einrichten einer Web Application Firewall: Eine Web Application Firewall (kurz: WAF) überprüft den eingehenden Traffic der hinterlegten Anwendungen und filtert verdächtige Eingaben heraus, um SQL-Injections zu verhindern.
• Datenverschlüsselung: Sollte es trotz aller Vorsichtsmaßnahmen zu einem SQL-Injection-Angriff kommen, ist es wichtig, dass die in der Datenbank gespeicherten Daten nicht als Klartext dargestellt, sondern verschlüsselt sind.

Zu den Sofortmaßnahmen im Falle eines unberechtigten Zugriffs gehören das Sichern der Datenbankzugänge, das Analysieren der Schwachstellen und das Benachrichtigen der vom Datenleck betroffenen Personen sowie der zuständigen Aufsichtsbehörden.