Joachim A. Hader, Inhaber der secudor GmbH berichtet über einen realen Fall eines erfolgten Hackerangriff auf einen eCommerce-Shop. Er erläutert wie der Angriff durchgeführt wurde, was die Auswirkungen waren und welche Konsequenzen der Shop-Inhaber für sich daraus gezogen hat.
Internetauftritte sind täglich Angriffen aus dem Internet ausgesetzt, die von unterschiedlichsten Typen von Angreifern ausgeführt werden:
Je nach Typ und Angriffsziel nutzen die Täter unterschiedlichste Methoden, Tools und Werkzeuge die ständig Schwachstellen finden und nutzen. Einen 100%-igen Schutz vor Angriffen kann derzeit kein Administrator und kein System der Welt gewährleisten. Opfer eines erfolgreichen Angriffs zu werden, ist nur eine Frage der Zeit. Die Gefahren zu kennen und Schutzmaßnahmen zu ergreifen ist für Unternehmen existenziell. Aber viele Unternehmer denken immer noch: Mich trifft es nicht!
Ein Hacker hat das Backend (die Datenbank) eines eCommerce-Shops übernommen, die dahinterliegenden Kundendaten (Login-Informationen mit verschlüsselten Passwörtern, Bestellungen, usw.) kopiert und die administrativen Zugänge, durch Veränderung der Administratoren-Passwörter, blockiert. Damit hatten der Inhaber und die Administratoren des Shops keinerlei Zugriff bzw. Kontrolle mehr über den Shop.
Der Inhaber erhielt eine E-Mail mit einer Lösegeldforderung in Bitcoins. Falls keine Zahlung erfolgt, wollte der Erpresser die Kundendaten veröffentlichen und die Datenbank löschen. Nach Zahlung des Lösegelds gab der Erpresser den Shop wieder frei.
Verschiedene Funktionen der Shop-Software waren offen für Angriffe über SQL-Befehle (SQL-Injection – Erläuterung am Ende des Beitrags). Weiterhin waren die Passwörter der Shop-Administratoren nicht ausreichend komplex gestaltet. Die Shop-Software war veraltet und derart kundenspezifisch angepasst, dass das Einspielen von Sicherheits-Updates nahezu unmöglich war. All das machte es dem Erpresser leicht in das System einzudringen und es zu übernehmen.
Der Eigner des Shops informierte uns unverzüglich nach Eintreffen der Lösegeldforderung. Die Aufklärung von Bedrohungen und Angriffen auf Internetauftritte (Digitale Forensik) ist eines unserer Hauptarbeitsgebiete. Unser Security-Team hat im Rahmen einer Ersthilfe (Incident-Response) Sofortmaßnahmen ergriffen, um den Schaden zu begrenzen und Beweise zu sichern. Der Inhaber des Shops wurde von uns unterwiesen, wie er seinen Informationspflichten gegenüber den Behörden – speziell der Datenschutzaufsichtsbehörde des Bundeslandes – nachkommen muss. Dies ist nach § 42a BDSG und § 15a TMG zwingend gefordert, wenn Kundendaten betroffen sind. Darüber hinaus haben wir mit ihm einen Plan entwickelt, wie er den Shop schnellstens wieder für seine Kunden verfügbar machen kann.
Die Erfahrung war für den Shop-Besitzer fundamental und tiefgreifend. Für den sicheren und kundenorientierten Betrieb des eCommerce-Shops braucht er nicht nur Konzepte für Design, SEO, Navigation, Produktinformationen, Bezahlsysteme, Anbindung an Social-Media-Kanäle usw., sondern auch ein funktionierendes Konzept für die Absicherung (Fachbegriff: Härtung) des Shops gegen Cyber-Angriffe. Dazu gehören das Management von Updates (Wann und wie sind Updates einzuspielen? Wie wird getestet?), die Absicherung der Kommunikation (Wie wird die Kommunikation zwischen Backend und Frontend abgesichert?) und vieles mehr.
Künftig wird er regelmäßig eine Gefährdungsanalyse in Form eines Penetrationstests und Codereviews von einer Dritten Stelle durchführen lassen. Die Entwickler werden in Form einer Entwicklungsrichtlinie angewiesen, bei Veränderungen und Implementierung von neuen Funktionen auf sicherheitskonforme Codierung zu achten (z.B. Validierung von Eingaben und Ausgaben). Regelmäßige Information der Verantwortlichen in Entwicklung und Betrieb über aktuelle Schwachstellen und Angriffsziele, sowie ein Frühwarnsystem in Falle eines Angriffs runden sein Sicherheitskonzept ab.
Mit diesen Maßnahmen werden Schwachstellen frühzeitig identifiziert, bzw. vermeiden. Die Eintrittswahrscheinlichkeit von Angriffen lässt sich deutlich senken und die Risiken und Folgen, die im Falle eines erfolgreichen Angriffs auf die Internetseite eintreten könnten, mildern.
![]() |
Zusammenfassend kann ich sagen, daß die Kosten für eine proaktive und regelmäßige Überprüfung auf Schwachstellen (Gefährdungsanalyse) in keinem Verhältnis zum immensen Aufwand und den Kosten für einen Schadensfall stehen.
Ohne die Kosten für den drohenden Imageverlust genau beziffern zu können, schätzen wir die Schadenshöhe auf mindestens ca. 50.000 €. Die über 20.000 Kunden wurden über den Vorfall und die Maßnahmen informiert und reagierten überwiegend positiv: Sie schätzen, dass sich der Shop-Betreiber um Sicherheit und Transparenz bemüht und aus Fehlern lernt.
Joachim A. Hader, secudor GmbH
|