SQL-Injections

Eine weitere Art der Cyber-Kriminalität sind sogenannte SQL-Injections. Dabei wird die in vielen Shops eingesetzte SQL-Datenbank gehackt. Sind die Angreifer dort angelangt, können sie meist erst einmal unbemerkt tun und lassen, was sie wollen. Denn: "Die gestohlenen Daten sind ja nicht weg, deshalb bemerkt oft keiner den Diebstahl. Das Opfer weiß somit gar nicht, dass es ein ­Opfer geworden ist", betont Sebastian Schreiber, Geschäftsführer der Syss GmbH, eines Dienstleisters für Penetrationstests.

Hat ein Hacker Zugang zur Kundendatenbank kann er dort beispielsweise Kreditkarten- oder Kontodaten auslesen, aber auch Passwörter, Bestellhistorien und Vertragsdaten. Diese Daten werden oft teuer weiterverkauft. Der Schaden ist enorm.

Abhilfe können bei solchen Angriffen technische Systeme wie etwa spezielle Webapplikation-Firewalls schaffen. Sie ­sichern nicht die Netzwerkinfrastruktur, sondern die Anwendung selbst, also zum Beispiel das Shop-System.

Zudem ist es sinnvoll, die IT-Architektur immer wieder genau zu durchforsten, Schnittstellen und Plugins zu überprüfen. "Härten Sie Ihr System immer wieder, indem Sie Überflüssiges löschen und ­Administratorrechte aufräumen", rät Sebastian Schreiber.

Um solche Schwachstellen aufzuspüren, eignen sich auch Penetrationstests. Diese ­simulieren einen Angriff auf das System und analysieren, an welchen Stellen sich Hacker Zugang verschaffen könnten.