INTERNET WORLD Business





Management-Thema Sicherheit

Wer eine Online-Präsenz hat, muss sich proaktiv um Sicherheitsfragen kümmern. Studien zeigen, dass die Gefahr zunimmt, Opfer eines Cyberangriffs zu warden

Die Zahl ist beachtlich und sorgte für Schlagzeilen: Mindestens 500 Millionen Yahoo-Nutzerkonten sind von einer Hackerattacke betroffen, die bereits im Jahr 2014 stattfand. Doch erst im September 2016 ging der Internet-Konzern Yahoo damit an die Öffentlichkeit. Gestohlen wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Die Untersuchung des Angriffs dauert noch an. Der Imageschaden ist enorm. Welche Konsequenz dieses Sicherheitsdebakel für die geplante Übernahme des Konzerns durch den US-Kommunikationsanbieter Verizon hat, ist bis dato noch offen.

Wer genau hinter dem Angriff steht, ist nicht bekannt. Yahoo bezeichnet den Angreifer nicht näher als „state-sponsored actor“ – der Angriff gehe demnach von einer Regierung aus. Die betroffenen Nutzer wurden benachrichtigt und aufgefordert, ihre Passwörter zu ändern und ihr Nutzerkonto nach verdächtigen Aktivitäten zu durchforsten. Der Vertrauensverlust für den Anbieter dürfte riesig sein, auch deswegen, weil die Attacke an sich schon zwei Jahre zurückliegt. Yahoo muss sich fragen lassen, warum die Nutzer erst jetzt über diesen Angriff informiert und nicht schon früher gewarnt wurden.

Und noch ein zweiter Cyberangriff sorgt gerade für Schlagzeilen, wenn auch eher in Fachkreisen: Der Blog des amerikanischen Sicherheitsforschers Brian Krebs (www.krebsonsecurity.com ) wurde Ziel des größten bislang bekannten DDoS-Angriffs. Bei Distributed-Denial-of-Service-Attacken (DDoS) wird die Netzinfrastruktur so mit Datenpaketen überflutet, dass sie überlastet ist und die Server schließlich in die Knie gehen. Das führt dazu, dass normale Seitenaufrufe nicht mehr durchkommen und die betroffene Webseite für die Nutzer entweder nur mit langer Verzögerung oder gar nicht mehr zur Verfügung steht. Für Unternehmen, deren Business vom Internet abhängt, ein hohes Risiko.

Größte bisher bekannte DDoS-Attacke

Angriffe auf die Webseite von Brian Krebs gab es bereits in der Vergangenheit, weil der Autor unter anderem über kriminelle Aktivitäten im Cyberspace berichtete. Deshalb wurde der Blog vom Content-Delivery-Netzwerk Akamai bislang kostenlos geschützt. Doch im September prasselten rund 665 Gigabit pro Sekunde ein. Wie außergewöhnlich groß dieser Angriff war, macht ein Blick in den „State of the Internet Security Report Q2 2016“ von Akamai klar. Dieser vierteljährlich erscheinende Bericht bietet Einblick in die cyberkriminellen Aktivitäten, die auf der Akamai Intelligent Platform beobachtet wurden. Demnach verzeichnete Akamai am 20. Juni mit 363 Gigabit pro Sekunde den bis zu diesem Zeitpunkt schwersten DDoS-Angriff auf einen seiner Kunden.

Die jüngste Attacke war jedoch so heftig, dass der Gratisschutz des Blogs für das Unternehmen schlicht zu teuer wurde, berichtete die amerikanische Zeitung „Boston Globe“. Wenn solche Angriffe andauern, rede man definitiv über mehrere Millionen Dollar für Cybersecurity-Dienste zitiert der „Boston Globe“ Josh Shaul, Vice President Web Security bei Akamai. Krebs äußerte Verständnis dafür, dass Akamai sich entschied, seine Webseite nicht länger zu schützen. Der Sicherheitsdienstleister habe seine Webseite während der vergangenen vier Jahre gegen zahllose Angriffe verteidigt. Diese jüngste Belagerung sei fast doppelt so schwerwiegend gewesen wie die vom Unternehmen bislang gesehenen Attacken. Die Entscheidung sei nötig geworden als deutlich wurde, dass der Angriff auf den Sicherheitsblog ein Ausmaß annahm, das Probleme für die zahlenden Kunden des Unternehmens bedeuten würde.

Der Security-Blog ist inzwischen wieder erreichbar und wird nun von Googles „Project Shield“ geschützt, einem Programm, mit dem der Suchmaschinen-Riese die kritische Berichterstattung von unabhängigen Journalisten kostenlos gegen DDoS-Attacken (und damit auch gegen Zensur) schützt.

Neue Dimension der Bedrohung

Diese beiden Beispiele machen deutlich, welche Dimensionen Cyberattacken inzwischen angenommen haben. DDoS-Angriffe gibt es zwar bereits seit 20 Jahren, doch viele Unternehmen setzen sich nicht mit dem Risiko auseinander, Ziel eines Angriffs zu werden. So berichtet Arbor Networks, Anbieter von Cybersicherheits-Dienstleistungen, dass die wenigsten Unternehmen Maßnahmen zur Erkennung und Abwehr von DDoS-Angriffen implementiert haben. Ein Großteil verlasse sich auf die vorhandene Sicherheitsinfrastruktur wie Firewalls und Intrusion-Prevention-Systeme (IPS).

Akamais Berichte zeigen, dass DDoS-Angriffe von Quartal zu Quartal zunehmen. Im zweiten Quartal 2016 registrierte das Unternehmen über 4.900 Angriffe, im Vorquartal lag die Zahl bei 4.523 Attacken, ein Anstieg um neun Prozent.

Ralf Gehrke, Director Presales für die Region Europa bei Akamai Technologies, empfiehlt Organisationen, vorbeugend zu handeln. Jedes Unternehmen sollte durch eine Business-Impact-Analyse ermitteln, welche Auswirkungen ein Cyberangriff haben könnte. Zudem sei die Bereitschaft wichtig, proaktiv Schutzmaßnahmen zu ergreifen. Viele Unternehmen wenden sich an Akamai Technologies, wenn sie akut von einer Cyberattacke betroffen sind. Akamai könne zwar relativ schnell helfen, doch der größte Stolperstein sei, dass es in vielen der betroffenen Unternehmen keine klaren Zuständigkeiten gebe. Dann sei der Zeitfaktor eine Herausforderung. „Wenn ein Unternehmen unvorbereitet angegriffen wird, herrscht dort meist ein Durcheinander“, berichtet Gehrke, „wir stellen dann ein strukturiertes Projektmanagement zur Verfügung.“

DerAngriff ist meist nur der erste Schritt

Häufig folgt auf einen Angriff eine Erpressung: Unternehmen erhalten Drohbriefe und werden aufgefordert, einen Geldbetrag zu zahlen, sonst werde der Angriff fortgesetzt und intensiviert. Gerade für E-Commerce-Unternehmen stellen Erpresser eine große Bedrohung dar. Gesprochen wird darüber jedoch nicht gern. Ausgeführt werden die Cyberattacken oft über angemietete Botnetze.

Gehrke weist auf eine weitere Gefahr hin: „DDoS-Attacken sind zunehmend Ablenkungsmanöver, um darauf die Aufmerksamkeit zu lenken, während parallel andere Angriffe stattfinden.“ Dabei werden dann Kundendaten oder Firmengeheimnisse gestohlen.

Paul Kaffsack, Chief Operating Officer und Mitgründer von Myra Security, Anbieter eines Content-Delivery-Networks und Sicherheitsdienstleister, bestätigt, dass Erpressungen zunehmen – auch von kleineren Shops. „Während der Sommermonate war es etwas ruhiger, aber zum Jahresende wird es wieder zunehmen“, prognostiziert er. Viele Shops gehen davon aus, dass es sie nicht treffen werde, berichtet Kaffsack. Das Risiko, Angriffen ausgesetzt zu sein, wird auch durch die ständig wachsende Zahl von vernetzten Geräten, Stichwort Internet of Things (IoT), höher. „Man kann diese vernetzten Geräte dazu nutzen, umfangreiche Angriffe zu verüben – eingesetzt als IoT-Botnetz“, erklärt Kaffsack.

Ein Grund, der Unternehmen davon abhält, einen Sicherheitsdienstleister zu beauftragen, sind die Kosten. Genaue Angaben zu den monatlichen Kosten für die Absicherung von Unternehmenswebseiten machen weder Paul Kaffsack von Myra Security noch Ralf Gehrke von Akamai. Die Begründung lautet, dass jede Sicherheitslösung individuell sei und unter anderem von den Besucherzahlen der Webseite beziehungsweise des Shops abhängt.

Sicherheitsaspekten zu wenig Beachtung zu schenken kann jedoch im Falle eines Angriffs teuer werden, wenn zum Beispiel der Shop nicht mehr erreichbar ist und dadurch Umsatz verloren geht. Sven Ehrmann, Unit-Direktor Transaktion bei der E-Commerce-Agentur Nexum, weist darauf hin, dass es keinen hundertprozentigen Schutz gebe, professionelle Hoster würden jedoch hohe Sicherheitsstandards bieten. Zudem können Shops ihre Sicherheitsmaßnahmen durch Audits von externen Anbietern dokumentieren lassen. „Das bringt Vertrauen und zeigt Professionalität“, meint er. ❚


Aponeo hat als Versandapotheke einerseits Zugriff auf die üblichen Kundendaten wie Namen oder Adresse, andererseits aber auch auf sensible Informationen über die Gesundheit der Kunden. Im Interview erklärt Patrick Luig, Geschäftsführer von Pharmahera, der Service-Agentur von Aponeo, wie die Apotheke Kundendaten schützt.

„Security-Technologie muss den aktuellen Standards entsprechen“

Patrick Luig

Geschäftsführer von Pharmahera, Service-Agentur für Aponeo Deutsche Versand-Apotheke

www.aponeo.de

Wie gehen Sie bei Aponeo generell mit dem Aspekt Sicherheit des Shops um?

Patrick Luig: Aus der Warenkorbhistorie lassen sich bei Apotheken Rückschlüsse auf die Gesundheit der Menschen ziehen, und Gesundheitsdaten sind ein hohes Gut. Umso wichtiger ist es, dass wir das Thema Datensicherheit ernst nehmen.

Ob Verschlüsselung der Daten oder Zugriffsbeschränkungen via IP-Adressencheck: Unsere Security-Technologie muss immer den aktuellen Standards entsprechen. Damit sind dann aber erst mal nur die Basics gesetzt, die jeder Shop heute braucht. Darauf bauen wir auf, indem wir uns regelmäßig bewusst angreifen lassen. Aponeo beauftragt Unternehmen mit sogenannten Penetrationstests. Sie sind vom BSI entsprechend zertifiziert. An den Ergebnissen sehen wir, wo wir uns noch verbessern müssen. Da sich die Technik auf beiden Seiten – Angriff und Abwehr – permanent weiterentwickelt, ist das ein Endlosthema.

Kennen Sie Fälle, in denen Online-Shops aus dem Internet mit DDoS-Attacken angegriffen wurden?

Luig: Das Problem kennt im Grunde jeder, der im Netz Waren oder Dienstleistungen verkauft. Allerdings scheint das Thema noch immer oft ein Tabu zu sein. Wir hören meist auch nur von den wenigen Fällen, die es in die Medien schaffen.

Ein Schweizer Lebensmittel-Online-Händler soll in diesem Jahr Ziel gewesen sein. Oft kommen die Attacken in massiven Wellen und richten sich gleichzeitig an verschiedene Shops eines Segments oder mehrere Töchter eines Mutterkonzerns. Online-Apotheken sind auch immer wieder mal wieder im Fokus. Den Fällen, die bekannt werden, steht wahrscheinlich eine gigantische Dunkelziffer gegenüber.

Wurde Aponeo schon angegriffen?

Luig: Ja. Wir sind vor einigen Jahren einmal angegriffen worden. Wenn man das noch nie erlebt hat, dann ist das keine einfache Situation. Da herrscht dann schon eine ziemliche Aufregung unter den Kollegen. Wobei man das nicht mit dem Thema Datensicherheit verwechseln darf. Ein DDoS-Angriff zielt ja darauf ab, den Zugang zum Shop zu verstopfen. Das ist etwas anderes als Datendiebstahl.

Wie haben Sie darauf reagiert?

Luig: DDoS liegt im Verantwortungsbereich des Hosters. Der Angriff richtet sich ja nicht gegen die Applikation beziehungsweise das Programm, mit dem der Shop gebaut ist. Betroffen ist die Infrastruktur, also die Straße zum Shop. Wenn hier der Verkehr manipuliert wird und die Straße dicht ist, dann haben die Sicherheitssysteme des Hosters nicht funktioniert – oder nicht schnell genug funktioniert. Wir haben uns damals sofort mit unserem Hoster ausgetauscht. So unerfreulich die Situation war, so erfreulich transparent war zumindest die Informationspolitik. Wir wussten sofort, wie lange wir ungefähr durchhalten mussten.

Daran zeigt sich natürlich auch: Letztendlich muss das Zusammenspiel funktionieren. Auch wenn wir in der Pflicht sind, weil zum Beispiel die Sicherheit des Shops in Gefahr ist. Beide müssen die Abwehr gemeinsam angehen und genau wissen, wo und wie je nach Art des Angriffs an der jeweiligen Schnittstelle übergeben wird.

Weitere Bilder
comments powered by Disqus