Aachen - Internet-Shops im Visier der Cybergangster

Internet-Shops im Visier der Cybergangster

Von: Uli Ries
Letzte Aktualisierung:
2_02132615_2132616.jpg

Aachen. Neben allerlei rechtlichen Vorgaben müssen Betreiber von Online-Shops ihre digitale Auslage auch technisch sichern. Schließlich geht es um Kundendaten, Bezahlinformationen - und das eigene Renommee.

Dass im Wochentakt irgendwo auf der Welt Kundendaten geklaut werden, dürfte sich inzwischen weitgehend herumgesprochen haben. Die Kette an Meldungen über gehackte Datenbanken oder nach einer Datenpanne im großen Stil ausgetauschte Kreditkarten reißt nicht ab. In der Regel stecken Cyber-Kriminelle hinter den Einbrüchen, die mit einer ganz eigenen Art des E-Commerce ihren Lebensunterhalt bestreiten: Die Diebe verkaufen die erbeuteten Login-Daten (Benutzernamen, Passwörter, E-Mail-Adressen) und natürlich auch Kreditkarten- und Bankinformationen meistbietend in Untergrundforen. Der prominente Hacker Dan Kaminsky bringt es auf den Punkt: „Wir kämpfen nicht länger gegen Kids. Heute werden wir von Menschen angegriffen, die selbst Kinder haben - und sie ernähren müssen.”

Ähnlich wie Privatanwender, die per massenhaft versandte Phishing-E-Mail Opfer von Datendieben werden, werden auch Online-Shops nur sehr selten einzeln aufs Korn genommen. Nur die Platzhirsche wie Amazon, Ebay oder Paypal dürften regelmäßig gezielt angegriffen werden. Kleinere E-Commerce-Angebote werden dagegen vollautomatisch attackiert, etwa indem ein Skript automatisch per Suchmaschine Installationen einer bestimmten Shop-Software-Version aufspürt, in der eine leicht zu missbrauchende Schwachstelle bekannt ist. Ebenso automatisch geschieht dann der Einbruch ins System mittels dieser Lücke. Wen die Cyber-Diebe da genau ausnehmen, dürfte sie in den wenigsten Fällen interessieren. Wichtig ist ihnen nur, dass möglichst viele verwertbare Daten abgesaugt werden können.

Ist die Cyber-Attacke erfolgt, zwingt Paragraf 42 des Bundesdatenschutzgesetzes den Betroffenen, seine Datenpanne der Aufsichtsbehörde zu melden. Sprechen keine Sicherheitsbedenken dagegen, müssen auch die Betroffenen sofort informiert werden. Im Fall eines Online-Shops sind dies alle Kunden, deren Daten vorgehalten wurden. Sind die Betroffenen nicht individuell bekannt - beispielsweise weil keine Postanschrift vorliegt -, muss ein mindestens halbseitiger Hinweis in mindes-tens zwei bundesweit erscheinenden Tageszeitungen erfolgen. Laut Preisliste kostet eine solche Anzeige in der „Frankfurter Allgemeinen Zeitung” 40.000 Euro oder mehr - sehr viel Geld für eine Datenpanne. Unterbleibt die Benachrichtigung, sind Bußgelder möglich, die den Preis der Anzeigen um ein Mehrfaches übertreffen.

„Eine Studie belegt, dass sich Kunden von Online-Shops Sicherheitsmaßnahmen wünschen, mit denen sie personenbezogene Daten beziehungsweise Kreditkartendaten vor ungewünschtem Zugriff schützen können”, sagt Jochen Klotz, Senior Technical Consultant beim Verschlüsselungsspezialisten RSA. „In der Praxis gehen Kunden aber doch eher den einfachen Weg und verwenden Passwörter anstelle von sicheren Tokens oder Chipkarten. Es sind also Sicherheitsmaßnahmen gefordert, die Zahlungsdaten vor Betrug schützen, das Kaufverhalten aber nicht beeinträchtigen.”

Eine dieser Maßnahmen ist das Verschlüsseln der Datenbanken, in denen die Informationen gespeichert werden. Jede gängige Datenbank lässt sich codieren. Passwörter sollten zudem niemals im Klartext gespeichert werden, sondern nur ihr Hash-Wert. Zum Erzeugen des Hash wird oft der MD5-Algorithmus verwendet, der inzwischen jedoch nicht mehr zeitgemäß ist. Durch Hinzufügen einer vom Anwender eingegebenen, zufälligen Zeichenkette (Salt) lässt sich aber auch eine Brute-Force-Attacke auf MD5-Hashes spürbar verlangsamen. Werden zu kurze Passwörter zudem durch Key Stretching künstlich verlängert, erhöht sich der Aufwand für den Cracker noch einmal. Aus Tagen können so Jahre werden, die zum Knacken der Passwörter oder anderer Datenbankeinträge nötig sind.

Eine weitere Möglichkeit ist das Verschlüsseln und Virtualisieren von Kundendaten, kurz „Tokenization”. Hierbei werden die sensiblen Daten durch Ersatzwerte verschlüsselt, die dann für Transaktionen genutzt werden. Die Kreditkartendaten befinden sich nur kurze Zeit verschlüsselt im System des Händlers. „Sollten Unbefugte an diese Daten gelangen, können sie sie nicht auf die ursprünglichen Zahlungsdaten eines Kunden zurückführen”, erklärt RSA-Mann Klotz. Sein Arbeitgeber hat mit dem „RSA SafeProxy” ein Produkt im Angebot, das sich um die Tokenization der kritischen Daten kümmert.

Zwar ist SSL (Secure Sockets Layer) im vergangenen Jahr durch die spektakulären Angriffe auf schlecht gesicherte Zertifizierungsstellen (Certificate Authorities = CAs) ins Gerede gekommen. Grundsätzlich ist SSL aber immer noch das Mittel der Wahl. Wer im Jahr 2012 mit Kunden- oder Kreditkarteninformationen hantiert und deren Transfer nicht per SSL verschlüsselt, handelt verantwortungslos und sollte von Käufern gemieden werden. SSL sichert nicht nur den Datentransfer zwischen Client und Server ab, es stellt auch die Authentizität des Shop-Betreibers sicher. Wer seinen Kunden ein noch größeres Gefühl der Sicherheit vermitteln will, lässt sich ein Extended-Validation-(EV-)Zertifikat ausstellen und wählt eine renommierte CA wie Verisign oder Thawte.

Regelmäßige Penetrationstests der eigenen Shop-Infrastruktur sind ratsam. Nur so wird die verwendete Software auf die gleiche Art und Weise unter die Lupe genommen, wie es auch ein Angreifer tun würde. Diese Art Test kann entweder durch einen spezialisierten Dienstleister erfolgen, oder man greift - entsprechende Kenntnis der Materie vorausgesetzt - selbst zu Schwachstellen-Scannern wie Metasploit.

Um stets über neue Schwachstellen in der installierten Software - Shop-System, Datenbanken, CMS, zugrunde liegendes Betriebssystem, Web-Server und so weiter - informiert zu bleiben, empfiehlt sich das Abonnement eines kommerziellen Informationsdienstes, wie ihn beispielsweise Secunia oder Symantec bieten. Anhand der gelieferten Informationen kann dann die eigene Bedrohungslage bestimmt werden. Außerdem lässt sich auf Basis der Daten die Frage beantworten, welche Systeme aufgrund des erhöhten Risikos zuerst mit Sicherheits-Updates versehen werden müssen.

Noch mehr Sicherheit verspricht Zwei-Faktor-Authentisierung, wie sie im Unternehmensumfeld schon seit Jahren durch die RSA-Tokens bekannt ist. Nachdem die Tokens aber vielen Kunden zu umständlich sind - Paypal gab die Passwort-Generatoren einige Zeit lang aus - kam beispielsweise Symantec auf die Idee eines softwarebasierten Tokens. Unter dem Namen Symantec Validation and ID Protection Service (VIP) bietet das Unternehmen einen Cloud-Dienst, der nicht nur von Größen wie Ebay oder Paypal genutzt werden kann. Laut Thomas Hemker, Sicherheitsstratege bei Symantec Deutschland, ist VIP auch für kleinere Shop-Betreiber interessant. Bezahlt wird pro registrierten Kunden, und es muss lediglich eine Gateway-Lösung installiert werden. Den Rest erledigt der Cloud-Service. Die Kunden des Shops können die Einmal-Passwörter entweder per Smartphone-App generieren oder auch vom PC aus. Der Dienst steht den Käufern kostenfrei zur Verfügung.

Symantecs Informationsdienst Deepsight liefert zudem auch IP-Adressen, von denen Attacken ausgingen. Per SCAP (Security Content Automation Protocol)-Feed oder XML-Datei können diese Informationen automatisch in entsprechende Firewall- oder IPS-/IDS-Komponenten eingespeist werden. Symantec-Mann Hemker weiß, dass vor allem Komponenten zum Absichern der Infrastruktur wie Web-Application- Firewalls oder leistungsfähige IPS-/IDS-Komponenten sehr teuer und kaum für kleinere E-Commerce-Anbieter tauglich sind. Seine Empfehlung lautet daher: „Am besten ist es, wenn der Hoster des Shop-Systems entsprechende Komponenten betreibt und sie zum Teil des Hosting-Angebots macht.”

© IDG / In Zusammenarbeit mit computerwoche.de
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert