Wie Webhoster ihre Systeme vor Erpressungen schützen können
So wie einer der großen Webhoster 1blu Opfer von Hackern wurde, sind fast alle Unternehmen gefährdet, die Kundendaten erheben. Statt nur im Falle einer Panne zu handeln, wäre mit einem proaktiven Sicherheitsmanagement schon viel gewonnen.
Einmal im Spiegel und anderen Leitmedien zitiert zu werden, das ist für viele PR-Manager der Traum. Beim Berliner Webhoster 1blu wurde die rege Presseresonanz allerdings eher zum Albtraum. Denn das Unternehmen wurde Opfer von Datendiebstahl und Erpressung, so wie bereits hunderte namhafte Firmen zuvor. Bei 1blu verschafften sich unbekannte Angreifer Zugang zu vertraulichen Daten, darunter massenhafte Kundendaten inklusive Zugangsdaten für den Kundenlogin, für E-Mail-Konten, FTP, MySQL, 1blu-Drive sowie persönliche Daten. Sie verlangen die Zahlung einer hohen Geldsumme, anderenfalls drohen sie mit einer Veröffentlichung der erbeuteten Daten.
Die Berliner räumten ein, dass eine fehlerhafte Serverkonfiguration den Angreifern ein sukzessives Ausspähen der mehrstufigen Systemarchitektur ermöglichte. Zwar würden die Daten zum Großteil verschlüsselt gespeichert, die Verschlüsselung konnte jedoch offensichtlich vom Hacker entschlüsselt werden. Erleichtert wurde der Zugriff dadurch, dass die internen Vorgaben zur Sicherheit von Keys und Passwörtern von einzelnen Mitarbeitern nicht eingehalten wurden, zitiert das IT-Sicherheitsunternehmen Radarservice. Den aktuellen Fall nutzt das in Wien beheimatete Unternehmen für eine Schwachstellenanalyse.
Aus Sicht der Kunden von 1blu stufen die Experten die Entwendung von Passwort-Daten als dramatisch ein. Vor allem Privatpersonen verwenden oftmals gleiche Passwörter für verschiedene Zugänge, zum Beispiel für Emailkonten, Onlinehändler, Onlinebanking oder ihre PCs im Beruf. Für Angreifer sei es ein leichtes, die erbeuteten Daten automatisiert auf verschiedensten Portalen nach dem Prinzip »trial and error« auszuprobieren und so die Identität ihrer Opfer anzunehmen. Nutzer von Webservices des Berliner Hosters 1blu sollten jetzt ihre Zugangsdaten für diese Services und gegebenenfalls auch die Login-Daten zu anderen Konten ändern.
Das bei 1blu benutzte Verschlüsselungsverfahren hat sich nicht bewährt. Das kann laut Radarservice daran liegen, dass der Angreifer im Unternehmensnetzwerk viel Zeit verbringen konnte, bevor er entdeckt wurde. Vergleichbar wäre dieser Fall mit dem Diebstahl von 130 Millionen Kunden bei Adobe in 2013. Adobe nutzte das Verfahren des Verschlüsselns, nicht des »Hashings« (=die Verwendung von Algorithmen bei der Verschlüsselung). So verschlüsselte Adobe damals alle Passwörter mit Triple DES (3DES). Hierbei ist es möglich, dass ein Angreifer die Schlüssel errät. Sind alle Passwörter mit dem gleichen Schlüssel verschlüsselt, werden sie leichter sichtbar. Eine wesentliche Erleichterung beim Erraten der Schlüssel geben Kunden dem Angreifer unbewusst, in dem sie gleiche Passwortabfolgen verwenden (zum Beispiel 123456 oder namederwebseite123).
Millionenfacher Datendiebstahl geschieht nicht über Nacht. Angreifer, so die Erfahrung von Radarservice, halten sich monatelang im Netzwerk auf. Sie suchen Wege, um an die oftmals durch mehrere Sicherheitsmechanismen geschützten Daten heranzukommen. Haben sie diese Daten gefunden, entwenden sie sie möglichst unauffällig, das heißt sukzessive in kleinen Mengen über einen langen Zeitraum. Die Sicherheitsmechanismen - vom Virenschutz über die Firewall bis zur Netzwerküberwachungssoftware - schlagen so keinen Alarm. Sie decken alle ihre jeweiligen, ganz speziellen Einsatzgebiete ab und arbeiten nebeneinander, nicht zusammen und nicht als selbstlernende Systeme. Sie werden von professionellen Angreifern schlichtweg überlistet.
Unternehmen sind laut den Experten von Radarservice mit ihrer eigenen IT immer noch zu sehr auf die Abwehr fiktiver Gefahren konzentriert. Sie müssten eigentlich ihren Fokus auf das proaktive Aufspüren von Sicherheitslücken und das zeitnahe Erkennen von Angriffen auf Ihre IT richten. Diese Herangehensweise sei die einzige Möglichkeit, den Schaden für Kunden und das eigene Unternehmen im Angriffsfall zu begrenzen.
