Session Hijacking bezeichnet eine Cyberangriffsmethode, bei der ein Angreifer eine aktive Sitzung zwischen einem Nutzer und einem Online-Dienst übernimmt, um sich unbefugt Zugang zu einem Konto oder System zu verschaffen. Dabei nutzt der Angreifer sogenannte Session-Tokens, die Websites verwenden, um eingeloggte Nutzer zu identifizieren.
Wenn ein Angreifer Zugriff auf diesen Token erhält, kann er sich gegenüber dem System als legitimer Nutzer ausgeben, ohne Benutzername oder Passwort zu kennen.
Session Hijacking tritt häufig im Zusammenhang mit unsicheren Netzwerken, Malware, Cross-Site-Scripting-Angriffen oder Man-in-the-Middle-Angriffen auf.
Funktionsweise von Session Hijacking
Nach dem erfolgreichen Login erstellt eine Website eine Sitzung (Session), die durch einen Session-Cookie oder Token identifiziert wird. Dieser Token wird im Browser des Nutzers gespeichert.
Ein Angreifer versucht, diesen Token zu stehlen oder zu kopieren. Sobald der Angreifer den Token besitzt, kann er:
auf das Konto zugreifen
Aktionen im Namen des Nutzers durchführen
Sitzungen manipulieren oder übernehmen
Das System erkennt den Angreifer dabei oft als legitimen Nutzer.
Typische Methoden für Session Hijacking
Session Sniffing → Abfangen von Cookies oder Session-Tokens im Netzwerkverkehr
Cross-Site Scripting (XSS) → Einschleusen von Code in Webseiten, um Session-Daten zu stehlen
Malware auf Endgeräten → Schadsoftware greift gespeicherte Session-Daten ab
Man-in-the-Middle-Angriffe → Abfangen von Kommunikation zwischen Nutzer und Server
Session Fixation → Angreifer erzwingen die Nutzung eines bekannten Session-Tokens
Diese Methoden ermöglichen es, aktive Sitzungen zu übernehmen.
Typische Ziele von Session Hijacking
Social-Media-Konten
E-Mail-Accounts
Online-Shopping-Konten
Cloud-Dienste
Unternehmenssysteme oder Admin-Oberflächen
Besonders kritisch ist Session Hijacking bei Konten mit hohen Zugriffsrechten.
Ermittlungsrelevanz von Session Hijacking
Session Hijacking spielt eine Rolle bei Account-Übernahmen und komplexeren Cyberangriffen. Ermittlungen konzentrieren sich häufig auf:
Analyse von Login- und Sitzungsdaten
Untersuchung ungewöhnlicher Zugriffsmuster
Analyse von Netzwerkverkehr und IP-Adressen
Identifikation möglicher Malware oder Sicherheitslücken
Solche Analysen helfen dabei, die Angriffsquelle und den technischen Ablauf eines Angriffs zu rekonstruieren.
Schutzmaßnahmen gegen Session Hijacking
Verwendung verschlüsselter Verbindungen (HTTPS)
Regelmäßige Erneuerung von Session-Tokens
Sicherheitsmechanismen wie Multi-Faktor-Authentifizierung
Vermeidung öffentlicher oder ungesicherter Netzwerke
Aktuelle Sicherheitsupdates für Software und Systeme
➡ Session Hijacking ist eine verbreitete Methode zur Übernahme von Online-Konten und kann schwer zu erkennen sein, wenn Sitzungsdaten erfolgreich abgefangen wurden.