Ob Datenbank, Content-Management-System oder Plugin: Manche Softwareprodukte geraten immer wieder ins Visier von Cyberkriminellen. Dieser Artikel beleuchtet, warum bestimmte Technologien besonders attraktiv für Angreifer sind – und was Entwickler wie Nutzer tun können, um sich zu schützen.
Attraktivitätsfaktor Software: Warum bestimmte Tools zum Ziel werden
Wenn es um IT-Sicherheit geht, wiederholen sich manche Namen auffällig oft in den Schlagzeilen: Redis, WordPress-Plugins, Microsoft Exchange oder Fortinet-Firewalls. Dabei drängt sich die Frage auf: Warum stehen gerade diese Tools immer wieder im Fokus von Hackern?
Die Antwort liegt in einer Kombination aus Reichweite, technischer Komplexität und Nutzungsgewohnheiten. Software wie WordPress treibt über 43 % aller Websites weltweit an (Quelle: W3Techs, Stand Juni 2024). Redis wiederum ist als In-Memory-Datenbank in zahlreichen performanten Webanwendungen und Microservices verbreitet. Je weiter verbreitet ein System ist, desto lohnenswerter ist ein erfolgreicher Angriff.
Die Psychologie hinter Angriffszielen – was Hacker motiviert
Cyberangreifer sind längst keine Einzelakteure mehr mit ideologischen Ambitionen. Heute dominieren ökonomisch motivierte Gruppen, die mithilfe automatisierter Werkzeuge massenhaft Systeme nach Schwachstellen absuchen. Beliebte Softwareprodukte bieten gleich mehrere Vorteile:
- Skalierbarkeit des Angriffs: Eine einmal entdeckte Schwachstelle in einem weit verbreiteten Plugin kann tausende Webseiten kompromittieren.
- Verfügbarkeit von Informationen: Offene Ökosysteme wie WordPress oder GitHub bieten oft öffentlich einsehbaren Code oder changelogs, die Hinweise auf potenzielle Exploits geben.
- Trägheit bei Updates: Besonders bei selbst gehosteter Software ist die Update-Frequenz oft niedrig – laut Wordfence waren 61 % aller erfolgreichen WordPress-Angriffe 2023 auf veraltete Plugins zurückzuführen.
Ein Beispiel dafür ist eine kritische Schwachstelle in Redis mit dem CVE-Identifier CVE-2022-0543, die es Angreifern ermöglichte, beliebigen Code mit Root-Rechten auszuführen. Obwohl ein Patch binnen Tagen verfügbar war, hielt die Ausnutzung der Lücke monatelang an – mangels zeitgerechter Updates und mangelhaft konfigurierter Instanzen.
WordPress-Plugins: Ein Dauerproblem mit System
WordPress ist aufgrund seiner Popularität ein regelrechter Magnet für Angriffsversuche. Insbesondere Plugins, deren Qualität stark schwankt, öffnen oft die Tür für Exploits. Laut dem Sicherheitsbericht von Patchstack für 2024 wurden über 92 % aller WordPress-Sicherheitsprobleme durch Drittanbieter-Plugins verursacht.
Ein prominentes Beispiel: Das Plugin File Manager (über 700.000 aktive Installationen) wies 2020 eine gravierende Schwachstelle (CVE-2020-25213) auf, die es Angreifern ermöglichte, beliebige Dateien hochzuladen und auszuführen. Binnen weniger Tage war eine Welle automatisierter Angriffe festzustellen.
Die Ursachen sind vielschichtig. Viele WordPress-Nutzer verlassen sich auf kostenlose Erweiterungen mit geringer Wartung. Gleichzeitig fehlt Entwicklern oft ein professioneller Sicherheitsprozess – etwa automatisierte Tests, Code Reviews oder Penetrationstests.
Redis: Performance trifft auf Sicherheitsrisiko
Als In-Memory-Datenstruktur-Store wird Redis häufig als Cache oder Message Broker eingesetzt – oft mit direktem Zugriff aus Containerlösungen wie Kubernetes. Das Problem: Redis war niemals für den Einsatz in ungeschützten Netzwerken entwickelt worden, sondern für vertrauenswürdige, interne Umgebungen.
Dementsprechend fehlen klassische Sicherheitsmechanismen – etwa Authentifizierung oder Verschlüsselung – in der Redis-Standardkonfiguration. Laut einer Studie von Shodan (Frühjahr 2024) sind weltweit über 46.000 Redis-Instanzen offen im Internet zugänglich, teilweise ohne jegliche Zugangskontrolle.
Cyberkriminelle nutzen dies aus. Angreifer legen SSH-Schlüssel unter dem Redis-Nutzerkonto ab, injizieren Backdoors oder missbrauchen offene Redis-Instanzen für DDoS-Reflektionsangriffe oder Cryptomining-Kampagnen. Eine besonders perfide Redis-basierten Angriffswelle wurde 2022 der Gruppe TeamTNT zugeschrieben, die offene Container und Redis-Installationen kombinierte, um Krypto-Miner massenhaft auszurollen.
Schwachstelle Mensch: Gängige Fehler von Nutzern und Betreibern
Technische Exploits sind nur ein Teil der Gleichung. Viele Sicherheitsprobleme entstehen durch Konfigurationsfehler, unzureichende Patch-Prozesse oder fehlende Awareness. Eine Auswertung des BSI zu den häufigsten Einfallstoren 2023 nannte insbesondere:
- Fehlende oder schwache Authentifizierung bei exponierten Verwaltungsoberflächen (z. B. Redis, WordPress-Admin-Bereich)
- Standardpasswörter bei neuen Deployments
- Offene Ports ohne Firewall-Restriktionen
- Veraltete Softwareversionen aufgrund fehlender Update-Automatisierung
Diese Versäumnisse sind häufig das Resultat organisatorischer Schwächen: Zu wenig Personal, fehlende Verantwortlichkeiten oder Unkenntnis über Abhängigkeiten in der Systemlandschaft.
Wie lassen sich diese Risiken erfolgreich mindern?
Angesichts der anhaltenden Bedrohungslage sind sowohl Entwickler als auch Betreiber gefordert, nachhaltige Sicherheitsstrategien zu etablieren. Nach Ansicht von IT-Sicherheitsexperten lassen sich folgende Handlungsprinzipien ableiten:
- „Security by Design“ in der Entwicklung: Sicherheitsanforderungen sollten bereits bei der Architektur berücksichtigt werden – etwa über Bedrohungsanalysen, sichere Defaults und automatisierte Sicherheitsprüfungen im CI/CD-Prozess.
- Regelmäßige Audits und PenTests: Gerade bei beliebten Open-Source-Projekten lohnt es sich, externe Sicherheitsexperten einzubeziehen oder Bug-Bounty-Programme zu fördern.
- Sicherheitsbewusste Konfiguration: Systeme wie Redis sollten grundsätzlich nicht über das öffentliche Internet erreichbar sein. Bei Bedarf müssen starke Authentifizierung, Netzsegmentierung und TLS-Verschlüsselung aktiviert sein.
Ein weiterer Schlüssel liegt in der Sensibilisierung: Schulungen zu sicherem Entwicklungs- und Betriebsverhalten sowie transparente Kommunikation über Sicherheitsupdates helfen, das schwächste Glied – den Menschen – zu stärken.
Sicherheit ist ein Gemeinschaftsprojekt
Die Beispiele Redis, WordPress und Co. verdeutlichen: Je beliebter eine Software, desto eher wird sie zum Ziel. Doch ebenso groß ist das Potenzial, durch gemeinschaftliche Anstrengung für mehr Sicherheit zu sorgen. Open-Source lebt vom Mitmachen – nicht nur beim Coden, sondern auch bei der Verantwortung für Sicherheit.
Welche Maßnahmen habt ihr in euren Teams etabliert, um Schwachstellen proaktiv zu verhindern? Welche Tools oder Prozesse haben sich bewährt? Diskutiert mit uns in den Kommentaren oder teilt eure Erfahrungen auf unseren Social-Kanälen unter #SecureCodeTogether.
