Session-Hijacking mithilfe von Data Science rechtzeitig erkennen

Cybersicherheit und Data Science als Schlüssel zur Erkennung von Session-Hijacking

Phishing-Angriffe gehören auch 2025 nicht der Vergangenheit an: Der Verizon 2025 Breach Report ermittelt, dass Phishing in immer noch 16 Prozent der Fälle als Einstiegspunkt für Sicherheitsverletzungen dient. Die anhaltende Verbreitung liegt unter anderem daran, dass solche Attacken relativ leicht durchführbar sind. Das Ziel von Phishing besteht häufig darin, Anmeldeinformationen und Sitzungstoken zu kompromittieren, mit denen sich Angreifer als vermeintlich legitime Benutzer ausweisen. Mit den unbefugten Zugriffsrechten auf Systeme bewegen sie sich im nächsten Schritt seitwärts im Netzwerk und gefährden sensible Daten oder andere Abläufe.

Zur Abwehr solcher Attacken müssen Sicherheitsverantwortliche frühzeitig Session-Hijacking erkennen, um den Missbrauch von Anmeldeinformationen und den Diebstahl von Sitzungstoken überhaupt verhindern zu können. Es gibt unterschiedliche Wege, potenzielle Hijacking-Versuche von Benutzersitzungen zu verhindern, aber viele dieser Technologien greifen schlicht zu kurz und decken nicht alle Angriffswege ab.

Funktionsweise von Session-Hijacking

Grundsätzlich gibt es zwei Angriffsziele beim Diebstahl von Benutzeridentitäten: Die Kompromittierung von Anmeldeinformationen und die Token-Kompromittierung.

Kompromittierung von Anmeldeinformationen

Die Kompromittierung von Anmeldeinformationen zählt zu den häufigsten Phishing-Angriffen. Bei diesen Szenarien verleiten Bedrohungsakteure ausgewählte Benutzer dazu, ihre Anmeldeinformationen bei Diensten einzugeben, die vom Angreifer kontrolliert werden (z. B. bösartige Anmeldeseiten, die legitime Dienste imitieren). Im Regelfall werden dafür E-Mail-, SMS- oder auch Sprachnachrichten (Vishing) als Köder ausgelegt, um eine hohe Dringlichkeit oder Glaubwürdigkeit vorzutäuschen. Gibt ein Opfer daraufhin Benutzername und Passwort ein, werden die geraubten Daten kopiert und für unbefugte Zugriffe genutzt, um relevante Zielkonten zu kompromittieren. Mehrstufige Authentifizierung und zusätzliche Anforderungen sind gängige Schutzmaßnahmen gegen diese Angriffsformen. Gleichwohl erfordern die raffinierten Angriffe zumeist nur einen geringen Aufwand und minimale Kosten.

Token-Kompromittierung

Die Kompromittierung eines Tokens ist etwas komplexer als der Diebstahl von Anmeldedaten. Während einer Sitzung werden verschiedene Kommunikationsdaten zwischen Client und Server ausgetauscht. Nach der Authentifizierung wird vom Server in der Regel ein Sitzungstoken ausgestellt. Dieses Token ermöglicht es dem Client, die authentifizierte Kommunikation mit dem Server für die Dauer seiner Gültigkeit aufrechtzuerhalten. Bei der Token-Kompromittierung wird die authentifizierte Kommunikation unbemerkt übernommen.

Ein wichtiger Aspekt der Token-Kompromittierung besteht darin, dass gestohlene Sitzungstoken bereits eine bestätigte Multi-Faktor-Authentifizierung (MFA) durch den Benutzer nachweisen. Auf diese Weise lässt sich die MFA-Verifizierung effektiv umgehen. Die Token-Kompromittierung stellt deshalb auch eine erheblich größere Gefahr als die einfache Kompromittierung von Anmeldeinformationen dar.

Angriffe zur Token-Kompromittierung sind technisch komplexer, da sich Cyber-Kriminelle zwischen Client und Server positionieren müssen, um die Kommunikation abzuhören. Open-Source-Tools wie EvilGinx vereinfachen jedoch viele der technischen Herausforderungen und erleichtern es Angreifern, ein Sitzungs-Token abzufangen. Angreifer zielen in der Regel auf Benutzer mit hohen Berechtigungen ab, die den Zugriff auf sensible Daten und privilegierte Aktionen ermöglichen.

Data Science zur Erkennung von Session-Hijacking: Ein Verhaltensmodellierungsansatz

Zur Verhinderung von Session-Hijacking ist ein umfassendes Wissen über die normalen Aktivitäten einer Umgebung erforderlich. Ohne kontextbezogene, verhaltensbasierte Analysen greifen Schutzmaßnahmen zu kurz. Zur Verhinderung von Session-Hijacking haben wir daher einen mehrstufigen Ansatz entwickelt, der Verhaltensmodellierung mit Analysedaten zur Erkennung von Anomalien kombiniert. Das Ziel ist, ungewöhnliche und verdächtige Abweichungen bei Sitzungsaktivitäten zu identifizieren, die von herkömmlichen Erkennungsmethoden möglicherweise nicht erkannt werden.

So funktioniert der Prozess:

1. Definition von verdächtigem Sitzungsverhalten

Zunächst werden Verhaltensweisen oder Eigenschaften, die in der Regel innerhalb der Sitzung eines Benutzers statisch bleiben (Benutzeragent, IP-Adresse, ASN oder Standort) erfasst, um potenzielles Session-Hijacking zu erkennen. Für höhere Präzision und eine reduzierte Anzahl der Ereignisse können binär zusammengesetzte Variablen nützlich sein, die eine Änderung mehrerer Eigenschaften anzeigen. Das dürfte allerdings eher die Ausnahme sein.

2. Quantifizierung von Anomalien mit Wahrscheinlichkeitswerten

Nach der Definition aussagekräftiger Verhaltensdaten wird quantifiziert, wie ungewöhnlich untersuchtes Verhalten ist. Eine Möglichkeit ist dabei, die Wahrscheinlichkeit für spezielles Verhalten abzuschätzen. Im Falle von Anomalien und Änderungen des geografischen Standorts wird beispielsweise eine Variable generiert, die den Anteil der Ereignisse zusammenfasst, die mit einem bestimmten Ort (Stadt, Bundesland oder Land) verknüpft sind. Diese Variable stellt die empirische Wahrscheinlichkeit dar, dass ein Ereignis mit diesem Ort in Verbindung gebracht wird. Abhängig von der Art und Weise anomalen Verhaltens lässt sich dieser Wert auch auf Konto- oder Organisationsebene berechnen. Sehr geringe Wahrscheinlichkeiten deuten auf potenzielle Anomalien hin, die es wert sind, weiter untersucht zu werden. Die folgende Tabelle konkretisiert das beispielhaft:

Konto	Land	Anzahl Ereignisse	Wahrscheinlichkeit	Anomalie-Bewertung
jdoe123	USA	900	0,9	0,1
jdoe123	Kanada	97	0,097	0,903
jdoe123	Deutschland	3	0,003	0,997

NA

Der Account jdoe123 weist 1.000 Ereignisse auf, die zumeist den USA oder Kanada zuzuordnen sind. Eine kleine Anzahl an Ereignissen tritt in Deutschland auf — möglicherweise eine Anomalie. In unserer Analyse ist das Verhalten mit einer Auftrittsrate von etwa 0,0004 (oder vier bei 10.000 Ereignissen) äußerst selten. Die Bewertung der Ereignisse, die eine weitere Untersuchung rechtfertigen, ist sogar noch geringer — knapp eins bei 30.000 Ereignissen.

Bei einem so niedrigen Wert ist eine Option sinnvoll, die weniger relevante Ereignisse herausfiltert. So lässt sich die Genauigkeit erhöhen, indem der gleiche Ansatz für andere Variablen wie Benutzeragent, Gerät, IP-Adresse und ASN gilt. Dies erhöht die Komplexität: Es gibt jetzt mehrere Anomaliebewertungen, die jeweils andere Formen ungewöhnlichen Verhaltens messen.

3. Ergänzung von zeitlichem Kontext

Ein separater, aber komplementärer Ansatz umfasst die Analyse von Konten im zeitlichen Verlauf, um anomales Verhalten, das häufig auftritt, von wirklich ungewöhnlichem Verhalten zu unterscheiden. Die zeitliche Analyse der Kontenaktivität ist dabei entscheidend, um Abweichungen vom normalen Verhalten erkennen zu können.

Eine ebenfalls effektive Technik ist die Verwendung von verzögerten Variablen, die darstellen, wie oft ein Verhalten zuvor aufgetreten ist. Das ist eine gute Hilfe, um die Anzahl der Falschmeldungen zu reduzieren und Kontext zum regulären Kontoverhalten bereitzustellen. So kann beispielsweise eine Änderung der IP-Adresse, des Benutzeragenten und des Endgeräts während der Sitzung ein Indikator für verdächtige Aktivitäten sein. Die Variable bemisst, wie oft dieses Verhalten bei einem Konto auftritt und ordnet Konten ein, bei denen solche Änderungen Routine sind.

Zur Identifizierung auffälliger Änderungen während einer Benutzer-Session wird die Wahrscheinlichkeit mithilfe eines binären Klassifizierungsmodells geschätzt. Die errechnete Wahrscheinlichkeit kann in eine Anomaliebewertung umgewandelt und mit anderen Anomaliebewertungen kombiniert werden.

4. Erkennung von Sitzungen mit hohem Risiko

Bisher wurden individuelle Anomaliebewertungen für mehrere Sitzungseigenschaften wie IP-Adresse, Benutzeragent und Gerät berechnet — anhand der Einstufung, wie selten oder unerwartet sie im Kontext des bisherigen Verhaltens eines Benutzers auftreten. Zur Identifizierung von Ereignissen mit wirklich hohem Risiko lassen sich diese Bewertungen zu einem Anomalie-Gesamtwert zusammenfassen, der den Schweregrad der Session-Auffälligkeiten wiedergibt.

Dieser Prozess wird im folgenden Diagramm visualisiert, das zeigt, wie Änderungen an bestimmten Sitzungsattributen zum aktuellen Zeitpunkt des Ereignisses ausgewertet, einzelnen Bewertungen zugewiesen und dann zu einer Risikobewertung zusammengefasst werden. Zum aktuellen Ereigniszeitpunkt (t) sehen wir, dass drei Anomalien aufgetreten sind (Änderungen des Gerätenamens, der IP-Adresse und des Benutzeragenten). Diese Einzelnoten werden dann zu einer Punktzahl zusammengefasst. Das konkrete Ereignis wird aufgrund von ungewöhnlichen Änderungen in mehreren Bereichen als äußerst besorgniserregend eingestuft.

Dieser allgemeine Ansatz ist nützlich, um nur die besorgniserregendsten Ereignisse zu identifizieren, z. B. Ereignisse mit ungewöhnlichen Änderungen bei verschiedenen Eigenschaften. Im Zusammenhang mit der Erkennung von Session-Hijacking tragen statistische Methoden und wahrscheinlichkeitsbasierte Ansätze zur Anomaliebewertung dazu bei, die Anzahl der Ereignisse zu reduzieren und Vorfälle nach ihrem Schweregrad zu priorisieren, so dass sich Sicherheitsteams auf die wichtigsten Bedrohungen konzentrieren können.

Warum Data Science zur Erkennung von modernem Session-Hijacking unerlässlich ist

Die Kompromittierung von Anmeldeinformationen und Token zählt zu den am weitesten verbreiteten Angriffen auf die Benutzeridentität. Zugleich sind diese Bedrohungen nach wie vor nur sehr schwierig abzuwehren. Die statische Erkennung über eine vordefinierte Liste von Indicators of Compromise (IOCs) greift angesichts schnell auftretender Bedrohungen häufig zu kurz. In dynamischen Cybersicherheitsumgebungen bieten sich Angreifern damit breite Missbrauchsmöglichkeiten.

Echte Vorteile ergeben sich indes durch die Integration von Data Science in Detektionsverfahren. Der Einsatz von Machine Learning und Verhaltensanalysen deckt Anomalien auf, die herkömmliche Erkennungsmethoden übersehen. Eine statische Erkennung beruht auf bekannten Mustern – Data Science ermöglicht die Aufdeckung unbekannter Angriffsmethoden.

Mehr über die erweiterte Erkennung von Session-Hijacking erfahren: BeyondTrust Identity Security Insights bietet eine Data-Science-basierte Anomalieerkennung in Echtzeit, um Session-Hijacking vor einer Kompromittierung zu stoppen.

Fragen Sie eine Live-Demo an, um mehr zu erfahren oder klicken Sie hier für eine kostenlose und unverbindliche Risikoanalyse Ihrer Identity-Infrastruktur.