(Berlin, xx.06.2014) Der jüngste Datendiebstahl von rund 1,2
Milliarden Nutzerprofilen im Internet mit Benutzername und Passwort
weist nach Einschätzung der mikado ag deutlich darauf hin, dass viele
Websites gegen solche Angriffe nur unzureichend gesichert sind. Das
Beratungshaus plädiert deshalb für eine großflächige Initiative mit
Penetrationstests der Websites vor allem von Unternehmen und
behördlichen Einrichtungen. Ein häufiges Verfahren bei
missbräuchlichen Zugriffen auf interne Datenbanken ist die
sogenannte SQL Injection, bei der etwa über die Kontaktformulare der
Websites Zugang zu den Datenbanken erlangt wird.
„Wie das neuerliche Beispiel zeigt, reicht eine ständig wiederholte
Warnung vor den Sicherheitsproblemen im Internet nicht aus, wenn
niemand die notwendigen Konsequenzen daraus zieht“, kritisiert
mikado-Vorstand Wolfgang Dürr. Er betont, dass Unternehmen in der
Verantwortung stehen, für die erforderliche Sicherheit der
Kundendaten zu sorgen. „Lediglich mit dem Zeigefinger auf
Bösewichte im Internet zu zeigen lenkt häufig davon ab, dass die
eigenen Hausaufgaben nicht sorgsam genug gemacht wurden“,
kritisiert er.
Aus diesem Grund fordert Dürr von Branchenverbänden und anderen
Meinungsbildnern eine Awareness-Kampagne für sichere Websites.
Schließlich seien Kundendaten die entscheidende Währung in der
digitalen Welt, die zwangsläufig ein hohes Kriminalitätspotenzial zur
illegalen Beschaffung von Informationen erzeuge. „Deshalb muss bei
den Verantwortlichen von Unternehmen und Behörden die Sensibilität
dafür gesteigert werden, ihre Websites auf ihre Sicherheit hin zu
überprüfen.“ Dies sei nicht einmal eine kostenaufwändige
Angelegenheit, betont der Security-Spezialist. So könnten viele
Websites über einen soliden Penetrationstest für einige Hundert Euro
darauf hin überprüft werden, ob und welche Sicherheitslücken
bestehen.
Dazu gehören auch unerlaubte Zugänge mittels der sogenannten SQL
Injection. Dabei versucht der Angreifer, beispielsweise über die
elektronischen Formulare von Websites, eigene Datenbankbefehle in
das Unternehmensnetzwerk einzuschleusen. Das Ziel besteht darin,
Daten auszuspähen, sie im eigenen Sinne zu verändern oder die
Kontrolle über den Server zu erlangen. So lassen sich bei einer
unzureichend geschützten Website in einem Feld des
Kontaktformulars Befehle an die Datenbank übertragen. Dabei werden
die Kontaktdaten dann nicht wie normalerweise vorgesehen
gespeichert, sondern der Server erhält beispielsweise den Befehl,
sämtliche Tabellen in der zugrunde liegenden Datenbank an den
Angreifer zu übertragen. Auf diese Weise erhält er einen direkten
Zugriff auf eine Vielzahl gespeicherter Benutzerdaten.