Hackerangriff auf einen eCommerce-Shop – Ein Praxisbericht über Ablauf, Konsequenzen und Kosten

Joachim A. Hader, Inhaber der secudor GmbH berichtet über einen realen Fall eines erfolgten Hackerangriff auf einen eCommerce-Shop. Er erläutert wie der Angriff durchgeführt wurde, was die Auswirkungen waren und welche Konsequenzen der Shop-Inhaber für sich daraus gezogen hat.

Internetauftritte sind täglich Angriffen aus dem Internet ausgesetzt, die von unterschiedlichsten Typen von Angreifern ausgeführt werden:

• professionelle Hacker, die finanzielle Interessen haben
• Script Kiddies, die sich ausprobieren wollen
• staatliche Stellen, die an Know-how interessiert sind
• Marktbegleiter, die an Interna von Wettbewerbsunternehmen interessiert sind

Je nach Typ und Angriffsziel nutzen die Täter unterschiedlichste Methoden, Tools und Werkzeuge die ständig Schwachstellen finden und nutzen. Einen 100%-igen Schutz vor Angriffen kann derzeit kein Administrator und kein System der Welt gewährleisten. Opfer eines erfolgreichen Angriffs zu werden, ist nur eine Frage der Zeit. Die Gefahren zu kennen und Schutzmaßnahmen zu ergreifen ist für Unternehmen existenziell. Aber viele Unternehmer denken immer noch: Mich trifft es nicht!

Was ist passiert?

Ein Hacker hat das Backend (die Datenbank) eines eCommerce-Shops übernommen, die dahinterliegenden Kundendaten (Login-Informationen mit verschlüsselten Passwörtern, Bestellungen, usw.) kopiert und die administrativen Zugänge, durch Veränderung der Administratoren-Passwörter, blockiert. Damit hatten der Inhaber und die Administratoren des Shops keinerlei Zugriff bzw. Kontrolle mehr über den Shop.

Der Inhaber erhielt eine E-Mail mit einer Lösegeldforderung in Bitcoins. Falls keine Zahlung erfolgt, wollte der Erpresser die Kundendaten veröffentlichen und die Datenbank löschen. Nach Zahlung des Lösegelds gab der Erpresser den Shop wieder frei.

Wie konnte das passieren?

Verschiedene Funktionen der Shop-Software waren offen für Angriffe über SQL-Befehle (SQL-Injection – Erläuterung am Ende des Beitrags). Weiterhin waren die Passwörter der Shop-Administratoren nicht ausreichend komplex gestaltet. Die Shop-Software war veraltet und derart kundenspezifisch angepasst, dass das Einspielen von Sicherheits-Updates nahezu unmöglich war. All das machte es dem Erpresser leicht in das System einzudringen und es zu übernehmen.

Erste Hilfe für Shop-Betreiber – Schaden begrenzen und Beweise sichern

Der Eigner des Shops informierte uns unverzüglich nach Eintreffen der Lösegeldforderung. Die Aufklärung von Bedrohungen und Angriffen auf Internetauftritte (Digitale Forensik) ist eines unserer Hauptarbeitsgebiete. Unser Security-Team hat im Rahmen einer Ersthilfe (Incident-Response) Sofortmaßnahmen ergriffen, um den Schaden zu begrenzen und Beweise zu sichern. Der Inhaber des Shops wurde von uns unterwiesen, wie er seinen Informationspflichten gegenüber den Behörden – speziell der Datenschutzaufsichtsbehörde des Bundeslandes – nachkommen muss. Dies ist nach § 42a BDSG und § 15a TMG zwingend gefordert, wenn Kundendaten betroffen sind. Darüber hinaus haben wir mit ihm einen Plan entwickelt, wie er den Shop schnellstens wieder für seine Kunden verfügbar machen kann.

Welcher Schaden ist entstanden?

• Umsatzverlust durch Ausfall bzw. reduzierte Performance des Shops für ca. zwei Wochen verursacht durch den Angreifer, durch die Analysen und Penetrationstest und Anpassungen von Teilen des Shop
• Kosten für Digitale Forensik (Spurensuche, Beweissicherung, Gutachtenerstellung)
• Kosten für Penetrationstest (Schwachstellen finden und Maßnahmen planen)
• Kosten für Entwickler, um die Schwachstellen zu beseitigen
• Imageverlust und Vertrauensverlust, durch die geforderte Informationspflicht (Bundesdatenschutzgesetz, Telemediengesetz) an die betroffenen Kunden
• Schadenersatzansprüche von betroffenen Kunden und ein Bußgeld stehen auch noch im Raum

Welche Erkenntnisse hat der Shop-Betreiber aus dem Vorfall gewonnen?

Die Erfahrung war für den Shop-Besitzer fundamental und tiefgreifend. Für den sicheren  und kundenorientierten Betrieb des eCommerce-Shops braucht er nicht nur Konzepte für Design, SEO, Navigation, Produktinformationen, Bezahlsysteme, Anbindung an Social-Media-Kanäle usw., sondern auch ein funktionierendes Konzept für die Absicherung (Fachbegriff: Härtung) des Shops gegen Cyber-Angriffe. Dazu gehören das Management von Updates (Wann und wie sind Updates einzuspielen? Wie wird getestet?), die Absicherung der Kommunikation (Wie wird die Kommunikation zwischen Backend und Frontend abgesichert?) und vieles mehr.

Künftig wird er regelmäßig eine Gefährdungsanalyse in Form eines Penetrationstests und Codereviews von einer Dritten Stelle durchführen lassen. Die Entwickler werden in Form einer Entwicklungsrichtlinie angewiesen, bei Veränderungen und Implementierung von neuen Funktionen auf sicherheitskonforme Codierung zu achten (z.B. Validierung von Eingaben und Ausgaben). Regelmäßige Information der Verantwortlichen in Entwicklung und Betrieb über aktuelle Schwachstellen und Angriffsziele, sowie ein Frühwarnsystem in Falle eines Angriffs runden sein Sicherheitskonzept ab.

Mit diesen Maßnahmen werden Schwachstellen frühzeitig identifiziert, bzw. vermeiden. Die Eintrittswahrscheinlichkeit von Angriffen lässt sich deutlich senken und die Risiken und Folgen, die im Falle eines erfolgreichen Angriffs auf die Internetseite eintreten könnten, mildern.

Zusammenfassend kann ich sagen, daß die Kosten für eine proaktive und regelmäßige Überprüfung auf Schwachstellen (Gefährdungsanalyse)  in keinem Verhältnis zum immensen Aufwand und den Kosten für einen Schadensfall stehen.   Ohne die Kosten für den drohenden Imageverlust genau beziffern zu können, schätzen wir die Schadenshöhe auf mindestens ca. 50.000 €. Die über 20.000 Kunden wurden über den Vorfall und die Maßnahmen informiert und reagierten überwiegend positiv: Sie schätzen, dass sich der Shop-Betreiber um Sicherheit und Transparenz bemüht und aus Fehlern lernt.   Joachim A. Hader, secudor GmbH