- Anzeigen -


Sie sind hier: Home » Markt » Interviews

Kundenportale & Webseiten sind Schwachstellen


Experte Christian Book warnt: Web-Applikationen laden Hacker geradezu ein
Datendiebstahl durch russische Hacker keine Überraschung - Unternehmen oftmals zu sorglos

(21.08.14) - Am 6. August 2014 ist der mutmaßlich größte Datendiebstahl aller Zeiten bekannt geworden: Unbekannte Hacker sollen sich nach Angaben der US-amerikanischen IT-Firma Hold Security Zugang zu 1,2 Milliarden Passwörtern und Nutzernamen verschafft haben. Dies geschah über rund 420.000 Webseiten, darunter auch die Präsenzen großer Unternehmen. Für Christian Book, Senior Consultant beim IT-Beratungsunternehmen Ceyoniq Consulting, kommt der Vorfall wenig überraschend.

Frage: Hat Sie die Nachricht von dem mutmaßlichen Datendiebstahl überrascht?
Christian Book:
Der Diebstahl an sich nicht, der kolportierte Umfang hingegen schon. Generell gilt aber: Die Zahl der Hacker-Angriffe auf Web-Applikationen und das Ausmaß der damit verbundenen Schäden für Unternehmen und deren Kunden steigen.

Frage: Wo genau setzen die Hacker an?
Book:
Web-Applikationen wie Internetpräsenzen, Web-Shops oder Kundenportale sind für Hacker interessant. Diese Anwendungen enthalten häufig Programmierfehler, die ein Angreifer ausnutzen kann. Weit verbreitet sind beispielsweise sogenannte SQL-Injections, bei denen der Angreifer große Datenmengen beispielsweise mit Kundendaten oder Passwörtern aus Datenbanken stiehlt oder gezielt einzelne Datensätze manipuliert. Darüber hinaus bieten die Netzwerke der Unternehmen verschiedene Schwachstellen, von schlecht administrierten Firewall-Systemen bis hin zu Betriebssystemen, die nicht regelmäßig durch Updates aktualisiert werden.

Frage: Warum schützen sich die Unternehmen nicht ausreichend?
Book:
Einerseits ist vielen Unternehmen das Risikopotential nicht bewusst, da IT-Risikoanalysen insbesondere bei kleinen und mittelständischen Unternehmen nur selten durchgeführt werden. Andere Unternehmen denken, sie seien für Angreifer gar nicht interessant oder argumentieren, dass bisher noch nie etwas passiert sei. Nicht zuletzt scheitert das Thema Informationssicherheit in einigen Fällen an den Ressourcen. Es mangelt an ausgebildeten Fachkräften und den notwendigen Budgets.

Frage: Wie entwickelt sich das Bewusstsein für solche Gefahren?
Book:
Generell rückt das Thema Informationssicherheit in den letzten Jahren immer mehr in den Fokus. Schwerwiegende Hacker-Attacken auf große Konzerne wie Sony und die mediale Berichterstattung über Datenschutzverstöße schaffen ein Risikobewusstsein. Mit dem Bekanntwerden der NSA-Spionageprogramme wurde die Aufmerksamkeit noch einmal merklich erhöht. Wir registrieren seit einiger Zeit steigende Anfragen von kleinen und mittelgroßen Unternehmen.

Frage: Was können Unternehmen jetzt tun?
Book:
Die letztlich Betroffenen sind in erster Linie Privatpersonen. Für sie ist es jetzt abermals ratsam, wichtige Passwörter zu ändern. Tatsächlich aber sind es die Betreiber von Web-Anwendungen, die ihre Hausaufgaben machen müssen. Viele Beratungsunternehmen bieten entsprechende Sicherheitsprüfungen an, zum Beispiel sogenannte Penetrationstests, bei denen Hacker-Angriffe simuliert werden. So lässt sich oft relativ schnell feststellen, ob und wo Handlungsbedarf besteht.

Über Christian Book:
Christian Book ist Senior Consultant beim IT-Beratungsunternehmen Ceyoniq Consulting GmbH. Der studierte Wirtschaftsinformatiker arbeitet als "ethischer" Hacker und ist als sogenannter Penetrationtester vom International Council of Electronic Commerce Consultants (EC Council) lizenziert.
(Ceyoniq Consulting: ra)

Ceyoniq Consulting: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Interviews

  • DDoS-Attacken und Lösegeldforderungen

    Eine der jüngsten Erhebungen von Kaspersky Lab hat ergeben, dass Cyberkriminelle bei DDoS-Attacken von satten Margen profitieren. Bis zu 95 Prozent seien zu holen, so will Kaspersky herausgefunden haben. DDoS-Angriffe können dabei so ziemlich jeden Preis haben. Die Range reicht von 5 Dollar für eine 300-Sekunden Attacke bis zu 400 Dollar für eine 24 Stunden dauernde. Der durchschnittliche Preis für einen Angriff liegt bei rund 25 Dollar pro Stunde. Und die Experten der Kaspersky Labs haben noch etwas herausgefunden. Würde man bei einer Botnetz-basierten Attacke ein Netz von 1.000 Desktops zugrunde legen würde das den Anbieter etwa 7 Dollar pro Stunde kosten. Das heißt umgerechnet, dass Cyberkriminelle bei einer derartigen Attacke etwa 18 Dollar Profit pro Stunde machen. Dazu kommen dann gegebenenfalls noch Lösegeldforderungen, verbunden mit dem Angebot an das potenzielle Opfer die angedrohte Attacke noch verhindern zu können.

  • Cyberbedrohungen 2017

    Mit welchen Bedrohungen werden sich Unternehmen 2017 vermehrt konfrontiert sehen, welche von ihnen ist der "Spitzenreiter", was tut die Industrie und wie können sich Unternehmen am besten wappnen, wenn es insbesondere um DDoS-Angriffe geht? Dazu beantwortet Guido Erroi, Regional Director DACH beim Spezialisten für DDoS-Abwehr Corero Network Security acht Fragen. Die gesamte Bedrohungslandschaft wird 2017 weiterhin stark in Bewegung sein. Damit müssen sich Unternehmen und Institutionen verstärkt auseinandersetzen. Angreifer sind äußerst erfindungsreich. Und sie sind versiert darin bestehende Schwachstellen auszunutzen und neue Angriffsmethoden zu entwickeln. Das gilt nicht zuletzt für DDoS-Attacken. Die zugrunde liegenden Technologien werden intelligenter und zielgerichteter.

  • Phishing nach wie vor eine beliebte Methode

    Ein nach wie vor wichtiges Bedrohungsszenario sind Phishing-Attacken - sie haben bei Cyberkriminellen nichts an Beliebtheit eingebüßt. Banken und Bank-Kunden werden daher auch künftig Ziel von ausgeklügelten Phishing-Attacken sein. Inhalt dieser Attacken ist der Versuch durch die Kriminellen, die Marke, das Aussehen und den Auftritt eines Bankunternehmens so täuschend echt zu kopieren, dass Nutzer glauben, es bei gefälschten E-Mails mit dem echten Unternehmen zu tun zu haben. John Shier, Sicherheitsexperte bei Sophos, gibt in einem Interview eine Übersicht über die zu erwartenden Angriffe sowie über mögliche Schutzmaßnahmen sowohl durch die Banken selbst wie auch durch Verbraucher.

  • Gegen die "bösen Jungs" zurückschlagen

    Nicht nur das FBI vertritt die nicht ganz unstrittige These, dass Malware mit der richtigen, der "guten", Absicht eingesetzt, gar keine Malware im klassischen Sinne mehr ist. Aber ganz so einfach ist die Sache nicht. Troy Gill, Manager of Security Research und Senior Security Analyst AppRiver, zeigt sich kritisch.

  • IT-Sicherheit und Forensik

    Trotz aller Gefahren von Cyberkriminalität ist es ein hohes Gut unserer Demokratie, dass der Kernbereich privater Lebensgestaltung geschützt bleibt. Eine stärkere Regelung mahnte jüngst das Bundesverfassungsgericht an. Gefordert ist damit auch die verstärkte Weiterbildung derjenigen, die im Bereich IT-Sicherheit und Forensik tätig sind. Wings, der Fernstudienanbieter der Hochschule Wismar, bildet ab Herbst Cybercrime-Experten im neuen Fernstudiengang "Master IT-Sicherheit und Forensik" aus. Wir fragen Frau Professorin Antje Raab-Düsterhöft, Informatikerin und Studiengangsleiterin, und Herrn Professor Bodo Wiegand-Hoffmeister, Jurist und Rektor, zur Bedeutung dieses Urteils für unsere Gesellschaft und für alle in diesem Berufsfeld tätigen Personen.