Aktuelles, Branche, Produkte - geschrieben von dp am Montag, Dezember 8, 2014 18:31 - noch keine Kommentare
Alle Jahre wieder: WebShops zur Weihnachtszeit beliebte Ziele von Hacker-Angriffen
Penetrationstests simulieren Attacken und können rechtzeitig Schwachstellen der IT-Infrastruktur aufdecken
[datensicherheit.de, 08.12.2014] Etwa 33 Millionen Bundesbürger werden nach Angaben des BITKOM ihre Weihnachtsgeschenke 2014 online kaufen. Millionen Daten also, die für Hacker gerade zur Weihnachtszeit ein lukratives Geschäft sind – Passwörter, Kreditkartendaten und Geburtsdaten etwa sind besonders beliebt.
Materielle und immaterielle Schäden für Webshops
Gestohlene Daten werden entweder verkauft oder die Datendiebe gehen damit selbst auf Kosten der Bestohlenen einkaufen, warnt Philipp Reger, Vorstandsassistent (Vertrieb) bei der Profihost AG. Für Webshops sei es in jedem Falle nicht nur ein immenser wirtschaftlicher Schaden, sondern vor allem auch ein hoher Vertrauensverlust.
Konsequente Verschlüsselung der Kommunikation
Um Schaden zu vermeiden, können und müssen Shop-Betreiber einige Maßnahmen zur Absicherung ihres Unternehmens, ihrer Daten und der Daten ihrer Kunden selbst durchführen. Dazu zählen neben einer Grundsicherung – etwa dem Einsatz einer Firewall, der konsequenten Verschlüsselung der Kommunikation mit SSL-Zertifikaten oder Passwortregeln für Käufer – beispielsweise auch der Einsatz von „Session Cookies“ und die Nutzung sicherer Bezahlverfahren.
Shopbetreiber, die als Zahlungsart Bankeinzug oder Kreditkarte anbieten, sollten sich der Sensibilität dieser Daten bewusst sein und z.B. einen zertifizierten „Payment Service Provider“ zu Abwicklung der Transaktionen wählen, rät Reger. Website-Betreiber sollten grundsätzlich die Nutzer-Daten so speichern, dass sie für unbefugte Dritte möglichst unbrauchbar sind, also im Idealfall verschlüsselt und unknackbar. Hierzu stünden diverse kryptografische Hash- und Salt-Funktionen zur Verfügung, die über Zusatzmodule auch mit vielen beliebten Content-Management-Systemen genutzt werden könnten.
Die Sicherheitsmaßnahmen seien übrigens für Besuchern und Kunden „sichtbar“ und gäben Vertrauen – ein Schloss-Symbol in der Browser-Leiste oder die grüne Adressleiste zeugten davon, dass persönliche Informationen verschlüsselt an den Anbieter übertragen werden.
Interne und externe Täter
Oft sei es hilfreich, aus einer neutralen Position heraus und mit dem nötigen Fachwissen die Server-Sicherheit von Außen zu prüfen. Profihost z.B. stelle mit sogenannten Penetrationstests dabei die IT-Sicherheit mit simulierten Angriffen auf die Systeme und IT-Infrastruktur auf die Probe. Das Ziel dabei sei, mögliche Schwachstellen zu erkennen und frühzeitig zu handeln, so Reger.
Beim Penetrationstest werden eine Hosting-Umgebung, das darunterliegende System, der SSH- und FTP-Zugang sowie die Login-Bereiche aus Sicht eines unangemeldeten Besuchers auf ihre Sicherheit hin überprüft. Die simulierte Attacke geschehe immer von verschiedenen Angriffspunkten aus – einerseits werde versucht, das System aus der Sicht eines x-beliebigen Besuchers heraus zu manipulieren, andererseits werde überprüft, ob unbefugte Zugriffe durch Mitarbeiter des Unternehmens möglich sind. Denn häufig seien es leider auch Mitarbeiter, die in einem Unternehmen versehentlich oder zum eigenen Vorteil unberechtigt auf Daten zugriffen und diese womöglich missbräuchlich nutzten, erklärt Reger.
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren