Datenklau: Unternehmen sparen an Sicherheitschecks ihrer Websites
Unzureichend gesicherte Kontaktformulare auf Websites bieten einen
relativ einfachen Zugang zu internen Datenbanken
(IINews) -
(Berlin, xx.06.2014) Der jüngste Datendiebstahl von rund 1,2
Milliarden Nutzerprofilen im Internet mit Benutzername und Passwort
weist nach Einschätzung der mikado ag deutlich darauf hin, dass viele
Websites gegen solche Angriffe nur unzureichend gesichert sind. Das
Beratungshaus plädiert deshalb für eine großflächige Initiative mit
Penetrationstests der Websites vor allem von Unternehmen und
behördlichen Einrichtungen. Ein häufiges Verfahren bei
missbräuchlichen Zugriffen auf interne Datenbanken ist die
sogenannte SQL Injection, bei der etwa über die Kontaktformulare der
Websites Zugang zu den Datenbanken erlangt wird.
„Wie das neuerliche Beispiel zeigt, reicht eine ständig wiederholte
Warnung vor den Sicherheitsproblemen im Internet nicht aus, wenn
niemand die notwendigen Konsequenzen daraus zieht“, kritisiert
mikado-Vorstand Wolfgang Dürr. Er betont, dass Unternehmen in der
Verantwortung stehen, für die erforderliche Sicherheit der
Kundendaten zu sorgen. „Lediglich mit dem Zeigefinger auf
Bösewichte im Internet zu zeigen lenkt häufig davon ab, dass die
eigenen Hausaufgaben nicht sorgsam genug gemacht wurden“,
kritisiert er.
Aus diesem Grund fordert Dürr von Branchenverbänden und anderen
Meinungsbildnern eine Awareness-Kampagne für sichere Websites.
Schließlich seien Kundendaten die entscheidende Währung in der
digitalen Welt, die zwangsläufig ein hohes Kriminalitätspotenzial zur
illegalen Beschaffung von Informationen erzeuge. „Deshalb muss bei
den Verantwortlichen von Unternehmen und Behörden die Sensibilität
dafür gesteigert werden, ihre Websites auf ihre Sicherheit hin zu
überprüfen.“ Dies sei nicht einmal eine kostenaufwändige
Angelegenheit, betont der Security-Spezialist. So könnten viele
Websites über einen soliden Penetrationstest für einige Hundert Euro
darauf hin überprüft werden, ob und welche Sicherheitslücken
bestehen.
Dazu gehören auch unerlaubte Zugänge mittels der sogenannten SQL
Injection. Dabei versucht der Angreifer, beispielsweise über die
elektronischen Formulare von Websites, eigene Datenbankbefehle in
das Unternehmensnetzwerk einzuschleusen. Das Ziel besteht darin,
Daten auszuspähen, sie im eigenen Sinne zu verändern oder die
Kontrolle über den Server zu erlangen. So lassen sich bei einer
unzureichend geschützten Website in einem Feld des
Kontaktformulars Befehle an die Datenbank übertragen. Dabei werden
die Kontaktdaten dann nicht wie normalerweise vorgesehen
gespeichert, sondern der Server erhält beispielsweise den Befehl,
sämtliche Tabellen in der zugrunde liegenden Datenbank an den
Angreifer zu übertragen. Auf diese Weise erhält er einen direkten
Zugriff auf eine Vielzahl gespeicherter Benutzerdaten.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Seit mehr als drei Jahrzehnten beschäftigt sich die mikado mit dem
effizienten Management und der kompromisslosen
Informationssicherheit. Bis Ende 2013 wurden hierzu über 2.800
Projekte realisiert. Möglich wurde dieser jahrzehntelange Markterfolg von
mikado durch eine kontinuierlich gelebte Strategie, auf fachlichen
Vorsprung zu setzen und dabei Sicherheitslösungen immer konsequent
aus der Blickrichtung der Kunden zu entwickeln. Eine weitere
Besonderheit stellt die Ausrichtung dar, durch Nutzung des eigenen
Frameworks miLEAN die Projekte schlanker als üblich zu realisieren.
Zum Kundenstamm gehören u. a. Bundesministerien, Volkswagen,
Investitionsbank Berlin, Total, KfW Kreditanstalt für Wiederaufbau,
Sparkassen und Volksbanken. Firmensitz der mikado ag ist Berlin.
mikado ist Mitglied bei BITKOM und dem SIBB.
denkfabrik groupcom gmbh
Robin Heinrich
Pastoratstr. 6, 50354 Hürth
Tel. +49 2233 / 6117-75
robin.heinrich(at)denkfabrik-group.com
www.denkfabrik-group.com
Datum: 13.08.2014 - 14:15 Uhr
Sprache: Deutsch
News-ID 1095679
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Robin Heinrich
Stadt:
Hürth
Telefon: 492233611775
Kategorie:
Datensicherheit
Meldungsart: PresseMitteilung
Versandart: Veröffentlichung
Freigabedatum: 13.08.2014
Dieser Fachartikel wurde bisher 305 mal aufgerufen.
Der Fachartikel mit dem Titel:
" Datenklau: Unternehmen sparen an Sicherheitschecks ihrer Websites"
steht unter der journalistisch-redaktionellen Verantwortung von
Robin Heinrich (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).