Fünf gute Vorsätze für sichere IT-Systeme in 2018
Ein Gastbeitrag von Andreas Sperber, Sicherheitsexperte der aramido GmbH
Erpressung durch Hacker
An einem Dienstagmorgen erhalten wir einen Anruf. Der Anrufer ist Betreiber eines Online-Shops, der täglich mehrere hundert Bestellungen erhält und über dieses Portal auch Zahlungen hierfür abwickelt. Er berichtet uns schockiert, dass er gehackt wurde. Er habe eine E-Mail erhalten, worin der Hacker von „schwerwiegenden Sicherheitsproblemen“ spricht. Als Beweis habe er Auszüge aus der Datenbank und auch unverschlüsselte Kennwörter erhalten. Würde er die Lösegeldforderung in Höhe von 25 Bitcoins (zum damaligen Kurs etwa 100.000 Euro) nicht zahlen, würde der Hacker die Daten im Darknet verkaufen. Der Ansehensverlust bei seinen treuen Kunden sei nicht auszumalen.
Als Beratung für Informationssicherheit sind wir auf solche Fälle spezialisiert. Wir nehmen uns dem Vorfall sofort an und führen eine sogenannte Incident Response durch. Es ist wichtig nachzuvollziehen was der Angreifer getan hat, welche Daten er erbeuten konnte und ob es mehrere Einfallstore gibt. Zunächst erstellen wir eine Sicherung der Daten, mit denen wir die digitale Forensik durchführen. Es stellt sich heraus, dass über einen längeren Zeitraum massiv Angriffe auf die Datenbank durchgeführt wurden. Bei diesen Injection-Angriffen wurden neben personenbezogenen Daten auch Bestelldaten und Zahlungsinformationen gestohlen. Hinzu kommt, dass die Kennwörter der Shop-Kunden nur durch ein veraltetes Verfahren geschützt wurden.
Wir stellen fest, dass der Shop wichtige Sicherheitsaktualisierungen nicht eingespielt hat. Es wurden auch diverse Plug-ins und Individualentwicklungen in das System eingebaut, für die es teilweise überhaupt keine Aktualisierungen gibt. Mit dem Auftraggeber besprechen wir, wie die Lücken geschlossen werden können. Ebenso beschreiben wir in unserem Abschlussbericht Sofortmaßnahmen zu Dingen, die uns während der Untersuchung aufgefallen sind. Neben einer Strafanzeige, dem Hinweis auf datenschutzrechtliche Aspekte, wie einer etwaigen Meldepflicht bei der Landesdatenschutzbehörde und die Information betroffener Kunden, schlagen wir Maßnahmen zur Absicherung des Shops vor.
Fünf gute Vorsätze für das neue Jahr
Wer vermeiden will, dass man früher oder später Opfer eines Hackerangriffs wird, muss sich aktiv um Informationssicherheit kümmern. Wir stellen deshalb fünf gute Vorsätze für sichere IT-Systeme in 2018 vor.
1. Sichere Umsetzung von Softwareprojekten
Lassen Sie Ihr Softwareprojekt sicher umsetzen: Nehmen Sie bei der Projektplanung auch Anforderungen an die IT-Sicherheit auf, die von erfahrenen Entwicklern umgesetzt werden. Im beschriebenen Fall hätten eine korrekte Validierung von Benutzereingaben und die Verwendung von sogenannten Prepared Statements bei Datenbankabfragen das schwerwiegende Sicherheitsproblem verhindert. Wenn Standardprogramme wie Content Management Systeme verwendet werden, sollte deren Konfiguration gehärtet werden, um bei Bekanntwerden von Sicherheitslücken wenig Angriffsfläche zu bieten. Die OWASP Top 10 sensibilisieren für die häufigsten Sicherheitsrisiken.
2. Installation von Aktualisierungen
Installieren Sie sicherheitskritische Aktualisierungen unverzüglich, nicht erst nach einigen Tagen oder gar Wochen. Gerade bei Standardsoftware wie WordPress oder Magento werden bekannt gewordene Schwachstellen sehr schnell ausgenutzt. Jedes Softwaresystem hat zudem ein Haltbarkeitsdatum, nachdem Hersteller keine Aktualisierungen mehr veröffentlichen. Behalten Sie dieses Datum in Erinnerung und sorgen Sie rechtzeitig für adäquaten Ersatz.
3. Benutzermanagement und sichere Kennwörter
Sorgen Sie für sichere Authentifikationsverfahren. Wenn eine Anmeldung nur mit Benutzernamen und Passwort abgesichert werden kann, sollte darauf geachtet werden ein besonders langes Passwort zu wählen. Dieses sollte zudem nicht mehrfach für unterschiedliche Systeme verwendet werden. Besser sind Mehrfaktor-Verfahren, bei denen sich der Benutzer neben dem Passwort ein Einmalkennwort per App generieren lässt. Jeder Benutzer sollte unbedingt einen eigenen Zugang haben. Dadurch können Benutzerrechte so eingerichtet werden, dass Benutzer ihre Aufgaben problemlos durchführen können, jedoch auch nicht mehr.
4. Vorbereitung auf Notfälle
Seien Sie auf den Fall der Fälle vorbereitet. Diese Vorfälle müssen nicht notwendigerweise böswillige Hackerangriffe sein – dem Datenverlust durch unbeabsichtigtes Löschen muss genauso begegnet werden. Systeme können so aufgebaut werden, dass Hacker nur geringe Schäden anrichten können. Konnten sie in ein System eindringen, muss eine Eindämmung stattfinden und der Betreiber muss sofort informiert werden. Sorgen Sie auch für regelmäßige und funktionierende Backups , um Datenverlust zu verhindern.
5. Software verpflichtet
Wer Dienste im Internet betreibt, muss sich um sie kümmern. Neben den beschriebenen Aktualisierungen müssen regelmäßig Logdateien überprüft werden, ob bei der Anwendung ein Fehler vorliegt. Durch diese Dateien kann ebenso erkannt werden, ob es Angriffsversuche auf die Anwendung gibt. Schließlich sollte das System auch regelmäßig einer Sicherheitsprüfung unterzogen werden. Monatliche Schwachstellenscans und sogenannte Penetrationstests nach wesentlichen Änderungen decken Schwachstellen auf, die geschlossen werden können, bevor sie von Hackern ausgenutzt werden.
Unser Auftraggeber hat sich entschlossen nicht auf die Lösegeldforderung einzugehen. Er hat vielmehr souverän den Vorfall an seine Kunden kommuniziert und sofort an der Absicherung des Online-Shops gearbeitet. Das Landeskriminalamt hat die Ermittlungen aufgenommen. Mit den eingeführten Absicherungsmaßnahmen ist der Shop für zukünftige Hackerangriffe gewappnet.
Sicherheitsexperte aramido GmbH