Unternehmen machen es Hackern oft leicht

Unternehmen machen es Hackern oft leicht

Datendiebstahl und Hacker-Angriffe sorgen immer wieder für Schlagzeilen in den Medien. Erst im Dezember 2018 beispielsweise hatte ein Hacker persönliche Daten von Prominenten im Internet verbreitet. Nur einen Monat später tauchten unzählige E-Mail-Adressen und Passwörter in einem Hacker-Forum auf. Der überwiegende Teil solcher Daten wird aus Firmendatenbanken gestohlen. Dabei machen es Unternehmen Hackern oft auch recht einfach.

Anzeige

Unternehmen machen es Hackern oft leicht

Datenklau in gewaltigen Dimensionen

Wie die zuständigen Behörden feststellten, ist für die Attacke zum Jahresende 2018 ein 20 Jahre alter Hacker aus Hessen verantwortlich. Unter dem Decknamen “Orbit” veröffentlichte er persönliche Daten wie E-Mail-Adressen, Handynummern und Chat-Nachrichten über einen Messenger-Dienst.

Unter den Opfern waren Politiker, Journalisten, Musiker, Internet-Sternchen und andere Prominente. Die Medien betitelten die Aktion mit Begriffen wie Mega-Hack oder Mega-Cyber-Angriff. Doch verglichen mit dem Datendiebstahl, der Mitte Januar 2019 unter dem Namen “Collection #1” bekannt wurde, war der Hack des 20-jährigen Hessen nur eine kleine Nummer.

Collection #1 ist eine Datensammlung, in der sich rund 1,16 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern befinden. Insgesamt sind es 87 Gigabyte an Daten, verteilt auf gut 12.000 Dateien. Woher die Daten stammen und wie aktuell sie sind, ist zwar unklar.

Doch fest steht, dass die Daten aus den verschiedensten Quellen stammen und in mehreren Beutezügen über einen längeren Zeitraum zusammengetragen wurden. Besonders erschreckend ist, dass Millionen von Datensätzen nur ein einziges Mal auftauchen. Die Sammlung enthält also keineswegs nur gängige E-Mail-Adressen und simple Standardpasswörter.

Geraten solche sensiblen Daten in die falschen Hände, eröffnen sich damit jedenfalls unzählige Möglichkeiten, um Rechner auszuspionieren und sich fremde Accounts zu Eigen zu machen.

Unternehmen machen es Hackern oft leicht

Meist nutzen Hacker für ihre Angriffe IT-Systeme und Datenbanken von Unternehmen. Die Medien berichten auch überwiegend über Datenlecks bei großen Firmen und namhaften Unternehmen. Denn in solchen Fällen ist nicht nur die Aufmerksamkeit größer, sondern es sind in aller Regel weit mehr Personen betroffen als bei Angriffen auf vereinzelte Privatrechner.

Das Problem an der ganzen Sache ist, dass die IT-Sicherheit bei vielen Unternehmen nicht ausreicht. Die Systeme sind schlecht geschützt, die Software weist Sicherheitslücken auf. Für Hacker wird es damit einfach, Rechner auszuspionieren, Computer zu sabotieren oder Daten zu klauen.

Natürlich lässt sich eine solide IT-Sicherheit nicht ohne Investitionen bewerkstelligen. Doch grundlegende Sicherheitsmaßnahmen sind auch ohne großen Aufwand möglich.

Schutz vor XSS

Hacker verschaffen sich vielfach über die Webseite Zugang zu einem Unternehmen. Deshalb ist hier auch der erste Ansatzpunkt für Sicherheitsmaßnahmen. Um die Webseite sicherer zu machen, sollten die Server so konfiguriert werden, dass Dritte möglichst wenig Informationen vom Webserver abfragen können. Server-Protokolle und Verzeichnisse auf dem Server sollten Dritte gar nicht einsehen können.

Stehen auf der Webseite ausfüllbare Formulare bereit, sollten die Webformulare ebenfalls abgesichert sein. Dazu sollten die Eingaben auf Relevanz geprüft und anschließend verschlüsselt werden.

Auf diese Weise ist sichergestellt, dass die Übertragung der Daten an den Webbrowser, über den Dritte Zugang erhalten, geschützt erfolgt. Das ist deshalb wichtig, weil den Hackern so das sogenannte Cross Site Scripting erschwert wird.

Besucher lesen auch gerade folgenden Beitrag:  Vergleichsportale richtig nutzen - Infos und Tipps

Cross Site Scripting oder kurz XSS gehört zu den häufigsten Angriffsmethoden von Hackern. Dabei nutzen die Angreifer eine Sicherheitslücke auf dem Client oder Server, um einen Schadcode zu installieren. Anschließend wird es möglich, Webseiten zu verändern, den Browser zu übernehmen oder vertrauliche Daten abzurufen.

Dabei ist das XSS eine aktive Angriffsform, die als Basis für weitere Attacken dienen kann. Das XSS funktioniert, wenn eine Internetanwendung Daten entgegennimmt und diese ohne ausreichende Prüfung weiterleitet oder verarbeitet. Die Skripte kommen so nämlich zum Server oder Browser und werden dort ausgeführt. Da beim Cross Site Scripting gängige Skriptsprachen wie JavaScript zum Einsatz kommen, besteht eine Schutzmaßnahme darin, die Ausführung von Scripten wie eben JavaScript zu verbieten.

Außerdem sollten die Quellcodes des Servers abgesichert und alle Daten, die der Server verarbeitet, vor einer Ausführung überprüft werden. Das wiederum ist möglich, indem Listen mit erlaubten Daten erstellt oder gewisse Skript-Zeichen automatisch umgewandelt werden.

Der IT-Grundschutz als Basis für die Sicherheit

Eine weitere Sicherheitsmaßnahme besteht darin, auf Anwendungen zu verzichten, die einen ungeschützten Zugriff auf das Backend zulassen. Dadurch wird es nämlich möglich, Firewalls zu umgehen. Außerdem können gravierende Sicherheitslücken die Folge sein.

Auch eine strikte Trennung von Back- und Frontend zählt zu den grundlegenden Sicherheitsmaßnahmen. Alle Bereiche der Webseite, auf die von außen zugegriffen werden kann, sollten möglichst keine Verbindung zu den inneren Strukturen haben. Denn jede Schnittstelle, an der Informationen zwischen dem Back- und dem Frontend ausgetauscht werden, ist ein möglicher Angriffspunkt für Hacker.

Um die IT-Sicherheit zu gewährleisten und stets auf einem aktuellen Stand zu halten, braucht es eigentlich IT-Experten. Doch gerade kleine und mittlere Unternehmen haben oft nicht die Mittel, um eine eigene IT-Abteilung auf die Beine zu stellen. Andererseits führt im Zeitalter der Digitalisierung an entsprechenden Investitionen letztlich kein Weg vorbei.

Denn wenn es zu einem Datendiebstahl kommt, haftet das betroffene Unternehmen. Um an diesem Punkt Hilfestellung zu bieten, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Konzept für den IT-Grundschutz erarbeitet. Dieses Konzept definiert die Anforderungen an die IT-Sicherheit und benennt Vorgehensweisen, Methoden, Sicherheitsmaßnahmen und Tools für verschiedene Profile.

Mehr Ratgeber, Tipps und Anleitungen:

Anzeige

Thema: Unternehmen machen es Hackern oft leicht

-

Übersicht:
Fachartikel
Verzeichnis
Über uns

it datenbanken99

Besucher lesen auch gerade folgenden Beitrag:  Mögliche Folgen von Identitätsdiebstahl im Netz
Autoren Profil:
FB/Twitter
Letzte Artikel von Autoren Profil: (Alle anzeigen)

Mehr Themen:

  1. KI-basierte Code-Sicherheit: Wie KI-Systeme unser digitales Leben sicherer machen KI-basierte Code-Sicherheit: Wie KI-Systeme unser digitales Leben sicherer machen Beitrag: In unserer digitalen Welt sind wir ständig von potenziellen Sicherheitsrisiken umgeben. Für Hackerangriffe und Datendiebstahl sind viele Anwendungen und Systeme anfällig. KI-basierte Code Security Systeme sind eine mögliche Lösung für dieses Problem. Diese Systeme sind in der Lage, durch die...
  2. Was ist Cross Site Scripting? Was ist Cross Site Scripting? Cyber-Kriminelle nutzen verschiedene Angriffsmethoden, um Daten abzufangen, Anwendungen zu stören oder anderen Schaden anzurichten. Eine dieser Methoden ist das sogenannte Cross Site Scripting. Was sich dahinter verbirgt und wie die Angriffsmethode funktioniert, erklären wir in diesem Beitrag. Was ist Cross Site Scripting? Das Cross Site...
  3. Vorsicht bei illegalen Online-Lotterien! Vorsicht bei illegalen Online-Lotterien! Der berühmte 6er im Lotto – wer hätte ihn nicht gerne? Kein Wunder also, dass viele Menschen in der Hoffnung auf einen großen Gewinn regelmäßig ihr Glück bei Lotterien versuchen. Und im Zeitalter des Internets ist das ganz bequem von zu Hause aus möglich. Es ist...
  4. 5 Tipps für gute Backlinks 5 Tipps für gute Backlinks Backlinks sind ein hilfreiches Mittel, um die Reichweite einer Webseite zu erhöhen und die Besucherzahlen zu steigern. Außerdem können Backlinks die Position in den Ergebnislisten der Suchmaschinen spürbar verbessern. Nur sind hochwertige Backlinks nicht so einfach zu kriegen. Und ein systematischer Linkaufbau ist nicht von...
  5. Gut ein Jahr DSGVO – ein Fazit Gut ein Jahr DSGVO – ein Fazit Hinter der Datenschutz-Grundverordnung, kurz DSGVO, verbirgt sich eine Richtlinie, die EU-weit umgesetzt wird. Ende Mai 2018 endete die Übergangsfrist, seitdem muss die Umsetzung abgeschlossen sein. Dabei schlug die DSGVO hohe Wellen und versetzte die Internetgemeinde in helle Aufregung. Es gab die Befürchtung, dass...
  6. Content-Ideen für IT-Dienstleister und Services – Social Media und Homepage Content-Ideen für IT-Dienstleister und Services – Social Media und Homepage Hier finden sie Ideen zu Posts und Content für IT-Dienstleister, Unternehmen und IT-Services. Passen sie unseren Kalender einfach auf ihre Produkte, Arbeiten, Dienstleistungen und Bedürfnisse an. Unser Content-Kalender liefert Ideen für das ganze Jahr. Über Letzte Artikel FB/TwitterAutoren Profil:Inhaber bei...

Veröffentlicht von

Autoren Profil:

Gerd Tauber - Programmierer, Samuel Wilders IT- Experte und Markus Berthold Inhaber einer Medienagentur, Ferya Gülcan Inhaberin Onlinemedien-Agentur, Christian Gülcan Inhaber Artdefects Media Verlag, schreiben hier Wissenswertes zum Thema IT, Internet, Hardware, Programmierung, Social-Media, Software und IT-Jobs.

Kommentar verfassen