Immer mal wieder tauchen in den Medien Nachrichten auf, dass ein Anbieter gehackt wurde und die Angreifer Daten ausgelesen haben. Um das Vertrauen der Anwender nicht aufs Spiel zu setzen, sollten jene Anbieter darauf achten, dass ihre Systeme sicher sind.
Wo wir überall Daten hinterlassen
Jeder ist bei diversen Online-Diensten angemeldet. Das kann ein E-Mail-Provider sein, ein soziales Netzwerk, ein Online-Shop oder etwas anderes. Fakt ist jedenfalls, dass dort in der Regel eine E-Mail-Adresse nebst Benutzername und Passwort hinterlegt sind. Je nachdem, was es sonst noch gibt, können es auch mehr Daten sein – bei Online-Shops wird naturgemäß noch eine Postanschrift benötigt und nicht selten sind auch Kreditkartendaten hinterlegt. All das sind sensible Daten, die gut geschützt werden wollen.
Wie kommt ein Angreifer an die Daten?
Häufig werden nur einzelne Accounts gehackt – oder der Angreifer bekommt die Logindaten auf dem Silbertablett serviert: Stichwort Phishing. Unter einem Vorwand bekommt der Anwender eine Spam-Mail, die behauptet, die Daten müssen abgeglichen werden. Tatsächlich landet er aber auf einer gefälschten Webseite, auf der die Daten an die Angreifer weitergeleitet werden. Ein anderer Fall ist die Bruteforce-Attacke: Kennt der Angreifer die E-Mail-Adresse oder den Benutzernamen, probiert er systematisch alle Passwörter, bis das System zufrieden ist. Seltener wird der Dienst im Ganzen gehackt, aber dann ist der Schaden natürlich ungleich größer.
Sicherheitslücken werden ausgenutzt
Falls der Dienst im Ganzen gehackt wird, sind meist Sicherheitslücken dafür verantwortlich. Ungefilterte Datenbankabfragen oder unsichere Dienste auf dem Server dienen dann als Einstiegstore in die Weiten der Datenbank, die dann ausgelesen wird. Für den Anwender bedeutet das, dass er im Falle eines Bekanntwerdens des Angriffs überall dort sein Passwort ändern sollte, wo dasselbe zum Einsatz kam. Außerdem sollten die Aktivitäten der Kreditkarte beobachtet werden und unrechtmäßige Abbuchungen der Bank gemeldet werden.
Wie schützt sich der Anbieter?
Vier Augen sehen bekanntlich mehr als zwei. Das ist der Grund, warum Unternehmen wie Blue Frost Security ihre Dienste anbieten und Angebote auf Sicherheitsmängel hin untersuchen. Dabei wird unter kontrollierten Bedingungen getestet, ob es einem Angreifer gelingen kann, in das System einzudringen und Daten auszulesen, die ihm eigentlich verborgen bleiben sollten. Dadurch werden gezielt Angriffe gefahren, die mögliche Sicherheitslücken aufdecken. Auch der Quellcode selbst kann untersucht werden. So findet man dann noch weitere Einfallstore, die durch bloßes Ausprobieren vielleicht nicht direkt aufgefallen wären. Immerhin sind viele Sicherheitslücken nicht ganz so einfach ausnutzbar und benötigen oft noch weitere günstige Randbedingungen.
Technische Maßnahmen
Verschiedene Angriffe kann der Anbieter schon abwehren, indem er relativ leicht umsetzbare Anpassungen an seinem Login-System vornimmt. So kann man die Anzahl fehlgeschlagener Anmeldeversuche limitieren, indem man nach einer bestimmten Anzahl ein CAPTCHA verlangt oder die IP oder gar das ganze Konto sperrt, wobei die Sperre nach einer bestimmten Zeit oder durch Anklicken eines Freischaltlinks in einer E-Mail aufheben lässt. Relativ neu ist der Login in zwei Schritten. Hierbei wird neben Benutzername/E-Mail und Passwort noch ein Code benötigt, der per SMS, E-Mail oder Smartphone-App zum Anwender kommt. Dadurch wird das Anmelden einer unberechtigten Person massiv erschwert.
Datenschutz sollte ein wichtiges Thema sein
Ein Dienstanbieter sollte von sich aus ein gesteigertes Interesse daran haben, die Daten, die ihm anvertraut werden, zu schützen. Nicht nur, dass ein Angreifer Kundendaten auslesen könnte, auch eigene geheime Geschäftsdaten könnten davon betroffen sein. Außerdem ist ein erfolgreicher Hackerangriff immer mit einem Vertrauensverlust verbunden. Passiert dies häufiger, suchen sich die Kunden einen anderen Anbieter, was schlecht für das Geschäft ist. Allein deshalb ist es ratsam, in die Sicherheit des eigenen Angebots zu investieren.