Unternehmen machen es Hackern oft leicht
Datendiebstahl und Hacker-Angriffe sorgen immer wieder für Schlagzeilen in den Medien. Erst im Dezember 2018 beispielsweise hatte ein Hacker persönliche Daten von Prominenten im Internet verbreitet. Nur einen Monat später tauchten unzählige E-Mail-Adressen und Passwörter in einem Hacker-Forum auf. Der überwiegende Teil solcher Daten wird aus Firmendatenbanken gestohlen. Dabei machen es Unternehmen Hackern oft auch recht einfach.
Inhalt
Datenklau in gewaltigen Dimensionen
Wie die zuständigen Behörden feststellten, ist für die Attacke zum Jahresende 2018 ein 20 Jahre alter Hacker aus Hessen verantwortlich. Unter dem Decknamen “Orbit” veröffentlichte er persönliche Daten wie E-Mail-Adressen, Handynummern und Chat-Nachrichten über einen Messenger-Dienst.
Unter den Opfern waren Politiker, Journalisten, Musiker, Internet-Sternchen und andere Prominente. Die Medien betitelten die Aktion mit Begriffen wie Mega-Hack oder Mega-Cyber-Angriff. Doch verglichen mit dem Datendiebstahl, der Mitte Januar 2019 unter dem Namen “Collection #1” bekannt wurde, war der Hack des 20-jährigen Hessen nur eine kleine Nummer.
Collection #1 ist eine Datensammlung, in der sich rund 1,16 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern befinden. Insgesamt sind es 87 Gigabyte an Daten, verteilt auf gut 12.000 Dateien. Woher die Daten stammen und wie aktuell sie sind, ist zwar unklar.
Doch fest steht, dass die Daten aus den verschiedensten Quellen stammen und in mehreren Beutezügen über einen längeren Zeitraum zusammengetragen wurden. Besonders erschreckend ist, dass Millionen von Datensätzen nur ein einziges Mal auftauchen. Die Sammlung enthält also keineswegs nur gängige E-Mail-Adressen und simple Standardpasswörter.
Geraten solche sensiblen Daten in die falschen Hände, eröffnen sich damit jedenfalls unzählige Möglichkeiten, um Rechner auszuspionieren und sich fremde Accounts zu Eigen zu machen.
Unternehmen machen es Hackern oft leicht
Meist nutzen Hacker für ihre Angriffe IT-Systeme und Datenbanken von Unternehmen. Die Medien berichten auch überwiegend über Datenlecks bei großen Firmen und namhaften Unternehmen. Denn in solchen Fällen ist nicht nur die Aufmerksamkeit größer, sondern es sind in aller Regel weit mehr Personen betroffen als bei Angriffen auf vereinzelte Privatrechner.
Das Problem an der ganzen Sache ist, dass die IT-Sicherheit bei vielen Unternehmen nicht ausreicht. Die Systeme sind schlecht geschützt, die Software weist Sicherheitslücken auf. Für Hacker wird es damit einfach, Rechner auszuspionieren, Computer zu sabotieren oder Daten zu klauen.
Natürlich lässt sich eine solide IT-Sicherheit nicht ohne Investitionen bewerkstelligen. Doch grundlegende Sicherheitsmaßnahmen sind auch ohne großen Aufwand möglich.
Schutz vor XSS
Hacker verschaffen sich vielfach über die Webseite Zugang zu einem Unternehmen. Deshalb ist hier auch der erste Ansatzpunkt für Sicherheitsmaßnahmen. Um die Webseite sicherer zu machen, sollten die Server so konfiguriert werden, dass Dritte möglichst wenig Informationen vom Webserver abfragen können. Server-Protokolle und Verzeichnisse auf dem Server sollten Dritte gar nicht einsehen können.
Stehen auf der Webseite ausfüllbare Formulare bereit, sollten die Webformulare ebenfalls abgesichert sein. Dazu sollten die Eingaben auf Relevanz geprüft und anschließend verschlüsselt werden.
Auf diese Weise ist sichergestellt, dass die Übertragung der Daten an den Webbrowser, über den Dritte Zugang erhalten, geschützt erfolgt. Das ist deshalb wichtig, weil den Hackern so das sogenannte Cross Site Scripting erschwert wird.
Cross Site Scripting oder kurz XSS gehört zu den häufigsten Angriffsmethoden von Hackern. Dabei nutzen die Angreifer eine Sicherheitslücke auf dem Client oder Server, um einen Schadcode zu installieren. Anschließend wird es möglich, Webseiten zu verändern, den Browser zu übernehmen oder vertrauliche Daten abzurufen.
Dabei ist das XSS eine aktive Angriffsform, die als Basis für weitere Attacken dienen kann. Das XSS funktioniert, wenn eine Internetanwendung Daten entgegennimmt und diese ohne ausreichende Prüfung weiterleitet oder verarbeitet. Die Skripte kommen so nämlich zum Server oder Browser und werden dort ausgeführt. Da beim Cross Site Scripting gängige Skriptsprachen wie JavaScript zum Einsatz kommen, besteht eine Schutzmaßnahme darin, die Ausführung von Scripten wie eben JavaScript zu verbieten.
Außerdem sollten die Quellcodes des Servers abgesichert und alle Daten, die der Server verarbeitet, vor einer Ausführung überprüft werden. Das wiederum ist möglich, indem Listen mit erlaubten Daten erstellt oder gewisse Skript-Zeichen automatisch umgewandelt werden.
Der IT-Grundschutz als Basis für die Sicherheit
Eine weitere Sicherheitsmaßnahme besteht darin, auf Anwendungen zu verzichten, die einen ungeschützten Zugriff auf das Backend zulassen. Dadurch wird es nämlich möglich, Firewalls zu umgehen. Außerdem können gravierende Sicherheitslücken die Folge sein.
Auch eine strikte Trennung von Back- und Frontend zählt zu den grundlegenden Sicherheitsmaßnahmen. Alle Bereiche der Webseite, auf die von außen zugegriffen werden kann, sollten möglichst keine Verbindung zu den inneren Strukturen haben. Denn jede Schnittstelle, an der Informationen zwischen dem Back- und dem Frontend ausgetauscht werden, ist ein möglicher Angriffspunkt für Hacker.
Um die IT-Sicherheit zu gewährleisten und stets auf einem aktuellen Stand zu halten, braucht es eigentlich IT-Experten. Doch gerade kleine und mittlere Unternehmen haben oft nicht die Mittel, um eine eigene IT-Abteilung auf die Beine zu stellen. Andererseits führt im Zeitalter der Digitalisierung an entsprechenden Investitionen letztlich kein Weg vorbei.
Denn wenn es zu einem Datendiebstahl kommt, haftet das betroffene Unternehmen. Um an diesem Punkt Hilfestellung zu bieten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Konzept für den IT-Grundschutz erarbeitet. Dieses Konzept definiert die Anforderungen an die IT-Sicherheit und benennt Vorgehensweisen, Methoden, Sicherheitsmaßnahmen und Tools für verschiedene Profile.
Mehr Ratgeber, Tipps und Anleitungen:
- Die Unterschiede zwischen Künstlicher Intelligenz, Machine Learning und Deep Learning
- Die Technologie-Trends 2019
- Langsames Internet: Was tun?
- Kostenfalle: Gemieteten Router gut aufheben!
- Die 5 wichtigsten Punkte bei einem geschäftlichen Internetanschluss
- Wissenswertes und aktuelles zum Rundfunkbeitrag
- Fake-Bewertungen erkennen – 10 Tipps
- Analoges Kabelfernsehen wird abgeschaltet – was tun?
Thema: Unternehmen machen es Hackern oft leicht
Übersicht:
Fachartikel
Verzeichnis
Über uns
- Woran erkenne ich einen Fake-Shop? - 8. Oktober 2024
- Was bedeutet das neue KI-Gesetz in der Praxis? - 10. September 2024
- Vorsicht vor Clickbait-PDFs! - 8. August 2024