Kategorie: #DigitalMondayBlog

Webseiten österreichischer Top-Unternehmen einfaches Ziel für Hacker

Warum werden österreichische Webseiten angegriffen?

Cyberattacken werden eine immer größere Bedrohung für Unternehmen in aller Welt. Die dabei angerichteten Schäden erreichen noch nie dagewesene Ausmaße.

[1]

So berichtet das amerikanische „Center for Strategic and International Studies“ von einem globalen Schaden in der Höhe von 400 Milliarden US Dollar.

[2]

Maßgeblich ist dieser Anstieg darauf zurückzuführen, dass Cyberattacken auf Unternehmen immer öfter automatisiert durchgeführt werden. Hochentwickelte Schadprogramme kontaktieren systematisch Webseiten und testen, ob Sicherheitslücken vorhanden sind. Wenn sie fündig werden verändern sie die verwundbare Webseite um sich tief im Programmcode zu verbergen.

[3]

Alexander Mitter

Ist eine Webseite erst einmal „geknackt“ haben Hacker viele Möglichkeiten, um daraus Kapital zu schlagen:

[4]

In Industrie und Finanz werden Webseiten häufig als Sprungbrett genutzt um in besser gesicherte Systeme vorzudringen. Dazu können Passwörter gestohlen oder Viren unauffällig über die vertraute Unternehmensplattform verteilt werden.

Andere Cyber-Kriminelle nutzen die E-Mailfunktion vieler Internetseiten um illegale Werbemails zu versenden. Laut dem Schweizer Non-Profit Unternehmen Spamhaus

[5]

ist mittlerweile ein großer Teil des globalen Spamaufkommens dieser Methode zuzuschreiben.

Für Firmen mit Online-Shops ist das Risiko besonders groß. Eine Angriffsmethode namens „Ransomweb“ verschlüsselt beispielsweise gespeicherte Kundendaten unbemerkt um Monate später hohe Lösegelder für die Entschlüsselung zu erpressen.

[6]

Ablauf und Gegenmaßnahmen

All diese Cyberattacken eint, dass sie anfangs nicht sichtbar sind. Untersuchungen zeigen, dass ein Einbruch nur Sekunden oder Minuten dauert, das Problem aber oft erst Monate später entdeckt wird.

[7]

Über Wochen und Monate hinweg können Hacker im Verborgenen arbeiten um langsam und unauffällig ihre Ziele zu erreichen. Wenn Unternehmen davon erfahren, ist es für Gegenmaßnahmen meist zu spät und die Cyber-Kriminellen sind nicht mehr auffindbar.

Um diese Schäden zu verhindern müssen Unternehmen ihre IT Systeme einerseits überwachen, andererseits bekannte Sicherheitslücken in eingesetzter Software schnell schließen.

Zu wenig Bewusstsein für Sicherheitsrisiken

Der exponierteste Teil einer Unternehmens-IT ist per Definition die öffentliche Webseite. Sie ist Visitenkarte und Werbemittel zugleich. Eine Untersuchung der Sicherheitsvorkehrungen bietet allerdings ein erschreckendes Bild:

In den letzten Jahren stieg die Nutzung von standardisierten Webapplikationen laufend. Mittlerweile werden über 40% aller Webseiten weltweit mit sogenannten „Content Management Systemen“ (CMS) betrieben.

[8]

Diese ermöglichen eine einfache Administration der Webseiten, müssen allerdings regelmäßig aktualisiert werden um darin entdeckte Sicherheitslücken zu schließen. Laut unserer Untersuchungen werden diese unbedingt notwendigen Wartungen aber kaum durchgeführt. 89% der untersuchten CMS waren veraltet.

[9]

Auch österreichische Top-Unternehmen angreifbar
In Österreich ist die Nutzung von standardisierten Webapplikationen geringer, aber auch hier setzen 22% der Top 150 Unternehmen auf diese Technologie. Die Wartung dieser Webseiten ist jedoch ähnlich nachlässig: 71% Webapplikationen sind nicht auf aktuellem Stand. Dadurch sind sie anfällig für automatisierte Cyberattacken und eine leichtes Ziel für Hacker.

Eine automatisierte Analyse der offensichtlichsten Sicherheitslücken ist für einen Experten in unter 10 Minuten für mehrere Dutzend Webseiten möglich. Die Dunkelziffer von Sicherheitslücken, die erst bei genauerer Analyse zu erkennen sind, ist dramatisch höher.

Blick in die Zukunft

Mit der steigenden Bedeutung des Internets selbst in traditionellen Industriesektoren muss auch das Bewusstsein für die damit verbundenen Risiken steigen. Ohne Wartung und zielgerichteten Schutz können Webseiten zu massiven Sicherheitsrisiken werden. In Deutschland hat der Gesetzgeber bereits reagiert und verpflichtete durch das IT-Sicherheitsgesetz kommerzielle Webseitenbetreiber zu Vorkehrungsmaßnahmen bei einem Strafrahmen bis zu 50.000€.

[10]

Noch teurer wird es, falls personenbezogene Daten zum Beispiel aus Webshops ab 25. Mai 2018 abfließen: Der Strafrahmen laut der dann schlagend werdenden Datenschutz Grundverordnung beträgt bis zu 25 Millionen Euro oder 4% des globalen Jahresumsatzes.

Aber auch ohne gesetzliche Sanktionen können Angriffe auf Webanwendungen selbst Großunternehmen ins Wanken bringen: Der aktuelle Fall des amerikanischen Konzerns Equifax,

[11]

bei dem Kreditkarten-, Sozialversicherungs- und Ausweisnummern von mehr als Hundert Millionen US-Amerikanern sind in falsche Hände gelangt sind, ist ein warnendes Beispiel.

________________________________________________________________________________________________________________________________________________________________________

Alexander Mitter ist CEO von Nimbusec GmbH. Die 2013 gegründete Nimbusec GmbH entwickelte mit Nimbusec ein Sicherheitsprodukt zur Überwachung von Webapplikationen, um gehackte Webauftritte und Manipulationen frühzeitig zu erkennen und dadurch Imageverlusten und materiellen Schäden vorzubeugen. Das junge Team aus IT-Experten sorgt durch ständige Forschung und Weiterentwicklung dafür, im schnell wachsenden Bereich der Informationstechnologie immer einen Schritt voraus zu sein und die Sicherheit von Webauftritten durch eine übersichtliches und einfach zu bedienendes österreichisches Produkt zu gewährleisten.


[1] https://www.cert.at/static/downloads/reports/cert.at-jahresbericht-2014.pdf p.8ff
[2] http://csis.org/files/attachments/140609_rp_economic_impact_cybercrime_report.pdf
[3] https://blog.nimbusec.com/what-is-a-webshell/?lang=en
[4] http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
[5] http://www.spamhaus.org/news/article/718/stop-spammers-from-exploiting-your-webserver
[6] https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html
[7] http://www.verizonenterprise.com/DBIR/2014/reports/rp_dbir-2014-executive-summary_en_xg.pdf p.22
[8] http://w3techs.com/technologies/history_overview/content_management/all/y
[9] https://blog.nimbusec.com/webseite-gehackt-selbst-schuld/#more-551
[10] http://www.heise.de/ct/ausgabe/2015-20-Das-neue-IT-Sicherheitsgesetz-ist-heiss-umstritten-2793458.html
[11] https://www.heise.de/newsticker/meldung/Hacker-Jackpot-Credit-Bureau-Equifax-gehackt-3824607.html

Mehr #DigitalMondayBlog

Barrierefreie Kunstvermittlung
29 Jan 2024 |
#DigitalMondayBlog , Bildung
Das Wiener Forschungszentrum VRVis setzt sich seit mehr als einem Jahrzehnt mit digitalen Innovationen auseinander, um allen Menschen gleichermaßen Kunst- und Kulturerfahrungen zu ermöglichen. So erstellt das Forschungsteam mittels einer sof...
weiterlesen
4 frische Automatisierungsideen für 2024
5 Jan 2024 |
#DigitalMondayBlog
#PowerAutomate In Gesprächen mit anderen wird schnell klar, dass das Potential der Power Platform, allem voran mit Power Automate und PowerApps, kaum angezweifelt wird. Vielerorts fehlt es jedoch an Ideen, welches Projekt man denn j...
weiterlesen
Künstliche Intelligenz im Berufsalltag: Mehr als nur ein Trend
5 Dez 2023 |
#DigitalMondayBlog
Was genau ist überhaupt generative KI und wie kann sie im Unternehmen helfen? In einer Welt, die immer digitaler wird, spielt Künstliche Intelligenz (KI) eine immer größere Rolle. Vor allem die Generative KI ist...
weiterlesen
Digitale Kompetenz: Ein Schlüssel zur Zukunft
28 Nov 2023 |
#DigitalMondayBlog , Bildung
Digitale Kompetenz ist längst nicht mehr nur eine Fähigkeit für Tech-Enthusiast*innen. Es ist der Schlüssel, um in der heutigen Welt erfolgreich zu bestehen. Zu den Vorreitern in Wien, die dieses Bewusstsein im Bildungsbereich vorantre...
weiterlesen
Digitalisierung? Gendergerecht!
28 Nov 2023 |
#DigitalMondayBlog , Bildung
Digitalisierung ist nicht automatisch gendergerecht, sondern eine sozial und politisch gestaltbare Entwicklung. Das Frauenservice Wien (MA 57) setzt auf vie...
weiterlesen
FH Technikum Wien: Digitale IT-Security Grundbildung
27 Nov 2023 |
#DigitalMondayBlog , Bildung
Im Studienjahr 2022/2023 wurde der Grundstein für die Projektreihe „Digitale IT-Security Grundbildung mit Prof. Banana“ im Master...
weiterlesen