Datendiebstahl und Hacker sind aktuell wieder im Fokus der Medien und der Gesellschaft. Im Dezember hatte ein mittlerweile identifizierter Hacker aus Hessen persönliche Daten von bekannten Persönlichkeiten über Twitter verbreitet. Mitte Januar sind nun hunderte Millionen von E-Mail-Adressen und Passwörtern in einem Hacker-Forum aufgetaucht. Der Großteil dieser Daten wird über Unternehmensdatenbanken abgezweigt. Das Problem:
Viele Unternehmen sind leichte Beute für Hacker.
Die Behörden aus Hessen ermittelten einen 20-Jährigen mit dem Decknamen „Orbit“ als Urheber der Veröffentlichungen persönlicher Daten auf Twitter. Darunter waren Politiker, Journalisten, Rapper und YouTube-Stars. Die Medien sprachen von einem „Mega-Hack“. Im Vergleich zum nun öffentlich gewordenen Fall „Collection #1“ war es allerdings eher ein Mini-Hack. Collection #1 ist eine Sammlung von 1,16 Milliarden Kombinationen aus E-Mail-Adressen und Passwörtern; 87 Gigabyte auf 12.000 Dateien verteilt. Dabei handelt es sich um eine Sammlung aus mehreren zusammengetragenen Datendiebstählen, die auch bereits einige Jahre zurückliegen.
Die Quellen der Hacker sind in aller Regel Unternehmen. In den Medien werden vor allem Datenlecks von großen Unternehmen behandelt, weil die Aufmerksamkeit hier größer ist. Allerdings sind viele Unternehmen schlecht geschützt und können somit für Kriminelle oder Spione zugänglich sein. Die Software, die sie nutzen, weist Sicherheitslücken auf. Hacker haben es einfach, Daten zu stehlen oder Rechner zu sabotieren. Dabei müssen Unternehmen nicht gleich ein Darlehen aufnehmen, um die nötige Sicherheit zu erreichen. Jedoch sind Investitionen in die IT-Sicherheit notwendig, um diese Probleme zu lösen.
Absicherung der Webseite vor Hackern: Wichtige Punkte
Zunächst ist es wichtig, die eigene Webseite sicherer zu machen, da die Hacker über diese häufig den Zugang zum Unternehmen erlangen. Dafür ist es notwendig die Server so zu konfigurieren, dass möglichst wenig Informationen des Webservers für Dritte abzufragen sind. Weiterhin sollten Server-Protokolle und Verzeichnisse, die auf dem Server liegen, überhaupt nicht für Dritte einsehbar sein.
Wer Eingaben in Webformulare auf seiner Webseite zulässt, sollte diese ebenfalls absichern. Die Eingaben sollten auf Relevanz geprüft und verschlüsselt werden. Nur so können die Daten geschützt an den Webbrowser gesendet werden, der Dritten den Zugang ermöglicht. Dies wird als Cross-Site-Scripting (XSS) bezeichnet und gilt als eine der häufigsten Angriffsmethoden von Hackern.
Weiterhin sollten keine Applikationen verwendet werden, die einen ungeschützten Zugriff auf das Backend des Unternehmens ermöglichen. Dadurch können Firewalls umgangen werden und schwerwiegende Sicherheitslücken entstehen. Viele Unternehmen wissen jedoch nicht über die Sicherheitsstandards der verwendeten Webapplikationen Bescheid.
Ein weiterer Punkt, der häufig vernachlässigt wird, ist die Trennung von Backend und Frontend. Webseitenbereiche, die einen Zugriff von außen ermöglichen, sollten möglichst strikt von den inneren Strukturen getrennt werden. Jeder Punkt, an denen Informationen zwischen Back- und Frontend ausgetauscht werden, stellt für einen Hacker einen Angriffspunkt dar.
Dies sind jedoch nur erste Sicherheitsvorkehrungen. In der Regel ist eine eigene IT-Abteilung notwendig, um die IT-Sicherheit auf dem nötigen Stand zu halten. Viele kleine und mittelständische Unternehmen können sich dies allerdings nicht leisten. Sie müssen es aber, denn im Falle eines Datendiebstahls müssen die Unternehmen dafür haften. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) empfiehlt daher das Konzept des IT-Grundschutzes. Die Vernachlässigung der Sicherheit ist auch ein Grund dafür, warum Deutschland die Digitalisierung skeptisch betrachtet.
EXTRA: Warum Deutschland die Digitalisierung skeptisch betrachtet
This content is very nice!
Ein gutes Logo ist wirklich entscheidend für den ersten Eindruck eines Unternehmens. Ich habe mich selbst schon oft gefragt, welche…
Auch für mich als Freiberufler gestaltet sich die Projektarbeit für Auftraggeber mit zertifiziertem QM sehr viel einfacher und zielführender als…