Datendiebstahl und Co
23.02.2015, 06:50 Uhr
Abhilfe bei Cyberkriminalität im Webshop
Datendiebstahl, Shop-Manipulation oder DDos-Attacken: Online-Läden geraten immer wieder ins Visier von Kriminellen. Vorsorge tut Not - und ist nicht unbedingt kompliziert.
Die Schlagzeilen sprechen für sich: "Hacker dringen in südkoreanisches Atomkraftwerk ein", "Kreditkartendaten-Diebstahl bei Staples", "Hacker legen Website des Bundestags lahm", "Passwort-Klau bei eBay", "Feedly wird erpresst". Die Liste der kriminellen Angriffe auf Websites und Shops ist lang und wird immer länger - Cyberkriminalität wird jedoch oft nicht publik gemacht. Denn kaum ein betroffenes Unternehmen spricht offen darüber, und so ist die Dunkelziffer sehr hoch.
Die Gefahr aber bleibt: "Wir sehen, dass eine kriminelle Szene entstanden ist, die sich für ihre Dienste gut bezahlen lässt", umreißt Jürgen Metko, Zentraleuropachef beim Cloud-Spezialisten Akamai, die Entwicklung. Als Folge nimmt etwa bei DDoS-Attacken (Distributed Denial of Service), also dem gezielten Lahmlegen eines Shops durch eine extrem große Anzahl sinnloser Seitenaufrufe, die eingesetzte Bandbreite und damit die Heftigkeit der Angriffe stetig zu. Viele Kriminelle sind hoch spezialisiert und verfügen über großes technisches Know-how.
Doch was können Shop-Betreiber gegen Cyberkriminalität tun? An erster Stelle steht eine "Sensibilisierung für das Gefährdungspotenzial", meint Ralf Sydekum, technischer Leiter für die DACH-Region beim Sicherheitslösungsanbieter F5. "Shop-Betreiber sollten sich bewusst machen, dass es sehr vielfältige Angriffsszenarien gibt."
Risikoanalysen gegen Cyberkriminalität durchführen
Er empfiehlt eine Risikoanalyse, die zwei Fragen beantwortet: Was bedeutet es für mein Geschäftsmodell, wenn mein Shop über einen bestimmten Zeitraum nicht erreichbar ist? Welche Konsequenzen hat es für mein Unternehmen und seine Reputation, wenn sensible Daten gestohlen oder ausspioniert werden?
Für Internet Pure Player, die ihren Umsatz ausschließlich im Web machen, kann der Schaden existenzbedrohend sein. Je größer der mögliche Schaden ausfallen könnte, desto mehr sollte das Unternehmen in Sicherheit investieren, lautet daher die Faustregel. Sydekum rät, zunächst zwischen technischer Sicherheit und organisatorischer Sicherheit zu unterscheiden.
Auf technischer Seite sind vor allem zwei Szenarien augenfällig: DDoS-Attacken, die zum Ziel haben, den Shop in die Knie zu zwingen, um dem Betreiber wirtschaftlichen Schaden zuzufügen oder ihn zu erpressen, sowie Angriffe auf den Shop-Server oder den Shop selbst mit dem Ziel, Daten zu stehlen oder zu manipulieren.
DDoS-Attacken lassen sich nicht verhindern. Shop-Betreiber können nur versuchen, sie ins Leeren laufen zu lassen, indem sie die Auswirkungen minimieren. Mögliche Gegenmaßnahmen sind beispielsweise das Spiegeln und Verteilen der Shop-Inhalte auf mehrere Locations oder Hoster oder in sogenannten Content-Delivery-Netzwerken.
DDoS-Attacken als Ablenkungsmanöver
Wird ein Server angegriffen und bricht unter der Last der Anfragen zusammen, können andere Server die Auslieferung der Shop-Inhalte übernehmen. Daneben gibt es Sicherungsmaßnahmen wie etwa das Auswerten der IP-Adressen, über die die Seitenaufrufe kommen, sodass im Ernstfall verdächtige IP-Adressen gesperrt werden können.
Immer wieder werden solche DDoS-Attacken auch als Ablenkungsmanöver gefahren, um den Einbruch in einen Webshop zu verschleiern. Dabei verschaffen sich Hacker Zugang zum Shop-Server oder auch zum Shop-System selbst, beispielsweise indem sie gezielt die Firewall umgehen.
Eine Methode ist hier das Cross-Site-Scripting, bei dem eine Sicherheitslücke in Webanwendungen ausgenutzt wird. Vereinfacht gesagt kann ein Unberechtigter eine laufende Websession übernehmen und die übertragenen Daten in seinem Sinne manipulieren.
So kann er beispielsweise während des Bestellvorgangs die Lieferadresse oder die bestellte Stückzahl ändern. Bei einfach gestalteten Shops legt das System bei der Bestellung zum Beispiel eine URL an, in der die Größe, der Preis und die Stückzahl enthalten sind. Wer in das System gelangt, kann diese Angaben einfach ändern und so den Preis für sein bestelltes Produkt verändern.
Häufig sind es nur kleine Schwachstellen im System oder auch nur unveränderte Standardeinstellungen, die sich Hacker für eine startende Cyberkriminalität zunutze machen, weiß Akamai-Mann Metko. "Die Angreifer kennen sich mit den einzelnen Systemen sehr gut aus und wissen um deren Eigenheiten. Geübte Hacker beispielsweise wissen, dass etliche Systeme zum Schutz vor DDoS-Attacken erst nach drei Minuten Höchstlast-Traffic eingreifen und bleiben mit ihrer Angriffsdauer gezielt unter diesem Schwellenwert. Oder sie wissen, an welchen Stellen in Shop-Systemen Standardeinstellungen vorgegeben sind und testen einfach aus, ob diese geändert wurden. Wenn nicht, greifen sie an diesen Stellen an - oft indem sie mehrere dieser Systemeigenheiten kombinieren."
SQL-Injections
Eine weitere Art der Cyber-Kriminalität sind sogenannte SQL-Injections. Dabei wird die in vielen Shops eingesetzte SQL-Datenbank gehackt. Sind die Angreifer dort angelangt, können sie meist erst einmal unbemerkt tun und lassen, was sie wollen. Denn: "Die gestohlenen Daten sind ja nicht weg, deshalb bemerkt oft keiner den Diebstahl. Das Opfer weiß somit gar nicht, dass es ein Opfer geworden ist", betont Sebastian Schreiber, Geschäftsführer der Syss GmbH, eines Dienstleisters für Penetrationstests.
Hat ein Hacker Zugang zur Kundendatenbank kann er dort beispielsweise Kreditkarten- oder Kontodaten auslesen, aber auch Passwörter, Bestellhistorien und Vertragsdaten. Diese Daten werden oft teuer weiterverkauft. Der Schaden ist enorm.
Abhilfe können bei solchen Angriffen technische Systeme wie etwa spezielle Webapplikation-Firewalls schaffen. Sie sichern nicht die Netzwerkinfrastruktur, sondern die Anwendung selbst, also zum Beispiel das Shop-System.
Zudem ist es sinnvoll, die IT-Architektur immer wieder genau zu durchforsten, Schnittstellen und Plugins zu überprüfen. "Härten Sie Ihr System immer wieder, indem Sie Überflüssiges löschen und Administratorrechte aufräumen", rät Sebastian Schreiber.
Um solche Schwachstellen aufzuspüren, eignen sich auch Penetrationstests. Diese simulieren einen Angriff auf das System und analysieren, an welchen Stellen sich Hacker Zugang verschaffen könnten.
Kleine Fehler begünstigen Cyberkriminalität
"Oft sind es nur sehr kleine Fehler, die Hackern Tür und Tor öffnen", weiß Schreiber. So wurde etwa zu Testzwecken ein Benutzerkonto angelegt und nicht mit einem Passwort gesichert. Oder eine Regel in der Firewall wurde für einen Testlauf geändert, nach dem Test aber nicht wieder zurückgesetzt.
"Die IT-Leute sind im Nachhinein oft entsetzt, welche Pannen ihnen da passiert sind und fragen sich, wie konnte ich so doof sein", erzählt Schreiber. Der Vorteil ist aber, dass sich solche Fehler ohne großen Aufwand beheben lassen.
Eine weitere Maßnahme kann sein, Daten im Rahmen eines Managed Services an einen Hoster oder in eine Cloud auszulagern. Dort sollten Sicherheitsvorkehrungen immer auf dem technisch neuesten Stand sein.
Zudem kann es sinnvoll sein, Daten zur Zahlungsabwicklung in die Obhut eines Payment Service Providers zu geben, der dann für die Sicherheit verantwortlich ist. Vor allem bei Kreditkartendaten ist dies ein übliches Vorgehen. Denn: Was nicht auf dem Shop-Server liegt, kann auch nicht von dort geklaut werden.
Mindestens so wichtig wie solche technischen Sicherungen sind in den Augen der Experten aber organisatorische Maßnahmen. "Die größte Gefahr für die Sicherheit geht von den eigenen Mitarbeitern aus, mehr als die Hälfte aller Schadensfälle werden intern verursacht", weiß Ralf Sydekum.
Neben der mutwilligen Preisgabe von Daten sind oft Leichtsinn und Nachlässigkeit die Ursachen von Cyberkriminalität. So legen Mitarbeiter etwa sorglos sensible Daten in der eigenen Dropbox ab, die vielleicht nur mit einem schwachen auch an anderer Stelle verwendeten Passwort gesichert ist.
Oder ein Mitarbeiter schickt eine Excel-Datei mit Kundendaten per E-Mail nach Hause oder auf sein Smartphone. Deshalb sollte jedes Unternehmen Sicherheitsrichtlinien ausarbeiten und seine Mitarbeiter auch dafür sensibilisieren. Der Einsatz eines Datenschutzbeauftragten kann ebenfalls helfen.
Einig sind sich alle Experten darin, dass es eine hundertprozentige Sicherheit gegenüber Cyberkriminalität nicht geben kann. "Gerade bei kleineren Shop-Betreibern ist es wirtschaftlich oft eng, sodass sie einfach ein gewisses Risiko eingehen müssen", räumt Ralf Sydekum ein. Dennoch gilt die Devise: Dranbleiben, denn die Bedrohung hört niemals auf.