Webseiten österreichischer Top-Unternehmen einfaches Ziel für Hacker

Geschrieben von Office DCW am in #DigitalMondayBlog, Home

Warum werden österreichische Webseiten angegriffen?
Cyberattacken werden eine immer größere Bedrohung für Unternehmen in aller Welt. Die dabei angerichteten Schäden erreichen noch nie dagewesene Ausmaße. [1] So berichtet das amerikanische „Center for Strategic and International Studies“ von einem globalen Schaden in der Höhe von 400 Milliarden US Dollar. [2] Maßgeblich ist dieser Anstieg darauf zurückzuführen, dass Cyberattacken auf Unternehmen immer öfter automatisiert durchgeführt werden. Hochentwickelte Schadprogramme kontaktieren systematisch Webseiten und testen, ob Sicherheitslücken vorhanden sind. Wenn sie fündig werden verändern sie die verwundbare Webseite um sich tief im Programmcode zu verbergen. [3]

Alexander Mitter

Ist eine Webseite erst einmal „geknackt“ haben Hacker viele Möglichkeiten, um daraus Kapital zu schlagen: [4] In Industrie und Finanz werden Webseiten häufig als Sprungbrett genutzt um in besser gesicherte Systeme vorzudringen. Dazu können Passwörter gestohlen oder Viren unauffällig über die vertraute Unternehmensplattform verteilt werden.

Andere Cyber-Kriminelle nutzen die E-Mailfunktion vieler Internetseiten um illegale Werbemails zu versenden. Laut dem Schweizer Non-Profit Unternehmen Spamhaus [5] ist mittlerweile ein großer Teil des globalen Spamaufkommens dieser Methode zuzuschreiben.

Für Firmen mit Online-Shops ist das Risiko besonders groß. Eine Angriffsmethode namens „Ransomweb“ verschlüsselt beispielsweise gespeicherte Kundendaten unbemerkt um Monate später hohe Lösegelder für die Entschlüsselung zu erpressen. [6]

Ablauf und Gegenmaßnahmen
All diese Cyberattacken eint, dass sie anfangs nicht sichtbar sind. Untersuchungen zeigen, dass ein Einbruch nur Sekunden oder Minuten dauert, das Problem aber oft erst Monate später entdeckt wird. [7] Über Wochen und Monate hinweg können Hacker im Verborgenen arbeiten um langsam und unauffällig ihre Ziele zu erreichen. Wenn Unternehmen davon erfahren, ist es für Gegenmaßnahmen meist zu spät und die Cyber-Kriminellen sind nicht mehr auffindbar.

Um diese Schäden zu verhindern müssen Unternehmen ihre IT Systeme einerseits überwachen, andererseits bekannte Sicherheitslücken in eingesetzter Software schnell schließen.

Zu wenig Bewusstsein für Sicherheitsrisiken
Der exponierteste Teil einer Unternehmens-IT ist per Definition die öffentliche Webseite. Sie ist Visitenkarte und Werbemittel zugleich. Eine Untersuchung der Sicherheitsvorkehrungen bietet allerdings ein erschreckendes Bild:
In den letzten Jahren stieg die Nutzung von standardisierten Webapplikationen laufend. Mittlerweile werden über 40% aller Webseiten weltweit mit sogenannten „Content Management Systemen“ (CMS) betrieben. [8] Diese ermöglichen eine einfache Administration der Webseiten, müssen allerdings regelmäßig aktualisiert werden um darin entdeckte Sicherheitslücken zu schließen. Laut unserer Untersuchungen werden diese unbedingt notwendigen Wartungen aber kaum durchgeführt. 89% der untersuchten CMS waren veraltet. [9]

Auch österreichische Top-Unternehmen angreifbar
In Österreich ist die Nutzung von standardisierten Webapplikationen geringer, aber auch hier setzen 22% der Top 150 Unternehmen auf diese Technologie. Die Wartung dieser Webseiten ist jedoch ähnlich nachlässig: 71% Webapplikationen sind nicht auf aktuellem Stand. Dadurch sind sie anfällig für automatisierte Cyberattacken und eine leichtes Ziel für Hacker.


Eine automatisierte Analyse der offensichtlichsten Sicherheitslücken ist für einen Experten in unter 10 Minuten für mehrere Dutzend Webseiten möglich. Die Dunkelziffer von Sicherheitslücken, die erst bei genauerer Analyse zu erkennen sind, ist dramatisch höher.

Blick in die Zukunft
Mit der steigenden Bedeutung des Internets selbst in traditionellen Industriesektoren muss auch das Bewusstsein für die damit verbundenen Risiken steigen. Ohne Wartung und zielgerichteten Schutz können Webseiten zu massiven Sicherheitsrisiken werden. In Deutschland hat der Gesetzgeber bereits reagiert und verpflichtete durch das IT-Sicherheitsgesetz kommerzielle Webseitenbetreiber zu Vorkehrungsmaßnahmen bei einem Strafrahmen bis zu 50.000€. [10] Noch teurer wird es, falls personenbezogene Daten zum Beispiel aus Webshops ab 25. Mai 2018 abfließen: Der Strafrahmen laut der dann schlagend werdenden Datenschutz Grundverordnung beträgt bis zu 25 Millionen Euro oder 4% des globalen Jahresumsatzes.

Aber auch ohne gesetzliche Sanktionen können Angriffe auf Webanwendungen selbst Großunternehmen ins Wanken bringen: Der aktuelle Fall des amerikanischen Konzerns Equifax, [11] bei dem Kreditkarten-, Sozialversicherungs- und Ausweisnummern von mehr als Hundert Millionen US-Amerikanern sind in falsche Hände gelangt sind, ist ein warnendes Beispiel.

________________________________________________________________________________________________________________________________________________________________________

Alexander Mitter ist CEO von Nimbusec GmbH. Die 2013 gegründete Nimbusec GmbH entwickelte mit Nimbusec ein Sicherheitsprodukt zur Überwachung von Webapplikationen, um gehackte Webauftritte und Manipulationen frühzeitig zu erkennen und dadurch Imageverlusten und materiellen Schäden vorzubeugen. Das junge Team aus IT-Experten sorgt durch ständige Forschung und Weiterentwicklung dafür, im schnell wachsenden Bereich der Informationstechnologie immer einen Schritt voraus zu sein und die Sicherheit von Webauftritten durch eine übersichtliches und einfach zu bedienendes österreichisches Produkt zu gewährleisten.

[1] https://www.cert.at/static/downloads/reports/cert.at-jahresbericht-2014.pdf p.8ff
[2] http://csis.org/files/attachments/140609_rp_economic_impact_cybercrime_report.pdf
[3] https://blog.nimbusec.com/what-is-a-webshell/?lang=en
[4] http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
[5] http://www.spamhaus.org/news/article/718/stop-spammers-from-exploiting-your-webserver
[6] https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html
[7] http://www.verizonenterprise.com/DBIR/2014/reports/rp_dbir-2014-executive-summary_en_xg.pdf p.22
[8] http://w3techs.com/technologies/history_overview/content_management/all/y
[9] https://blog.nimbusec.com/webseite-gehackt-selbst-schuld/#more-551
[10] http://www.heise.de/ct/ausgabe/2015-20-Das-neue-IT-Sicherheitsgesetz-ist-heiss-umstritten-2793458.html
[11] https://www.heise.de/newsticker/meldung/Hacker-Jackpot-Credit-Bureau-Equifax-gehackt-3824607.html