Beinahe täglich erreichen uns Meldungen über neue Datendiebstähle. Letzter Höhepunkt war die Meldung des Datenklaus aus den Bildertauschbörsen des Lebensmittelhändlers REWE. Besonders prekär, weil zum einen ein Teil der Daten von den Hackern veröffentlicht wurde und zum anderen, weil es sich beiden Nutzern dieser Webseite größtenteils um Kinder gehandelt haben dürfte. Noch ärgerlicher ist, dass Rewe diese Sicherheitslücke gut eine Woche vor dem Diebstahl zunächst per Mail, dann öffentlich gemeldet wurde.
Aber wie kommt es zu diesen vermehrten Sicherheitslecks? Sind immer mehr kriminelle Hacker mit aufwendigstem Equipment am Werk, die auch die kleinste Lücke finden? Eher nicht. In der Mehrzahl der bekannt gewordenen Fälle brauchten die Täter kaum mehr als einen Browser und die Sicherheitslücken, die sie ausnutzen, sind seit einem Jahrzehnt bekannte Fehlerquellen, die durch schlampige Programmierung immer wieder entstehen.
Ein Beispiel: Sie sind im Kundenbereich eines Webshops, also da, wo man die Adresse und evtl. das Passwort ändern kann. Sie sehen in der Adressezeile Ihres Browsers eine Zeile wie diese “http://www.shop.de/kundendaten.php&12345″ und sie erkennen, dass die Zahl 12345 Ihre Kundennummer ist. Jetzt werden Sie neugierig und ändern die Zeile, in dem Sie eine andere Kundennummer angeben. Die Shopssoftware müßte das abwehren bzw. Benutzername und Passwort dieses Kundenabfragen. Aber aufgrund fehlerhafter Programmierung geschieht das nicht, die Webseite zeigt Ihnen einfach die Kundendaten eines fremden Kunden an. Klingt unglaublich? Auf diese Art und Weise sollen der Citibank in den USA mehr als 200.000 Kundendatensätze mit Kredikartendaten gestohlen worden sein. [Artikel auf heise-online]
Die Mehrzahl aller Angriffe erfolgt über sogenannten SQL-Injections. Das kann theoretisch bei allen Webseiten funktionieren, die mit Datenbanken arbeiten. Das Grundprinzip ist auch hier einfach: Man schummelt dem System einen oder mehrere Datenbankbefehle unter. Die Möglichkeit hierzu besteht bei Dateneingaben oder auch über die URL, die Adresszeile im Browser. Ziel ist es meist, durch eine solche Attacke eine eigene Datei auf den fremden Server zu laden, mit deren Hilfe man dann Zugriff auf das System erhält. Wie das genau funktioniert, ist im Web hundertfach nachlesbar, teilweise in Kochbuchmanier mit genauen Anweisungen zum Nachmachen. Auf Links zu solchen Seiten verzichte ich aus nachvollziehbaren Gründen.
Solchen Angriffen kann man leicht einen Riegel vorschieben, in dem man Dateneingaben auf unzulässige Zeichenfolgen filtert. Ähnlich wird es auch mit der URL gemacht. Aber da die meisten Programmierer erst die gewünschten Funktionen programmieren und die Sicherheitsmaßnahmen erst nachrüsten, wenn der Rest funktioniert, bleibt die eine oder andere Lücke. Besonders gefährdet sind Webseitenbetreiber mit Software “von der Stange”, also Lösungen wie Joomla, Typo, WordPress oder ähnlichem. Zwar ist diese Software an sich sehr sicher und evtl. bestehende Lücken werden schnell geschlossen, aber das gilt nur die Grundsoftware und die ganze gängigen Plugins oder Addons. Viele andere Erweiterungen enthalten hin und wieder Fehler, die erst Monate nach Entdecken behoben werden. Oder unter Umständen gar nicht, weil der ursprüngliche Autor sich nun anderen Hobbies zugewandt hat. Glauben Sie nicht, dass solche Lücke nicht ausgenutzt werden können. In sogenannten Exploit-Datenbanken kann gezielt nach fehlerhaften Erweiterungen gesucht werden. Dank google ist das Auffinden von Webseiten, wo genau diese fehlerhafte Software genutzt wird, leichter als man denkt. Beim Bundesligisten Schalke 04 z.B. nutzen Unbekannte im Jahr 2009 gleich zweimal eine Sicherheitslücke des dort eingesetzten Contentmanagementsystems Typo aus, die jeweils nur einen Tag bekannt war.
Man hat den Eindruck, dass trotz solcher Vorfälle, die durch sämtliche Medien gingen, sich in vielen Firmen wenig getan hat. Die Liste der Firmen, denen allein in diesem Jahr Kundendaten abhanden kam, ist beängstigend lang und es sind viele bekannten und renomierte Firmen dabei. Noch erschreckender ist dabei, dass einigen Firmen nicht zum ersten Mal die Kundendaten gestohlen wurden, wie zum Beispiel dem Computerversender K&M, also einer IT-Firma, der man das Knowhow zum sicheren Betrieb von Servern durchaus zutraut.
Die wichtigste Grundregel gegen Datenklau ist die gleiche Regel, die man auch beim heimischen PC beherzigen sollte: Software immer auf dem neuesten Stand halten, Sicherheitsupdates SOFORT einspielen. Und bei selbstentwickeltem Code immer prüfen (oder prüfen lassen), ob die gängigen Hackmethoden abgefangen werden.
Solange diese bekannten Erkenntnisse aber ignoriert werden, dauert die “Ausbildung” zum erfolgreichen Hacker nur einen Nachmittag und wir lesen weiter von jeder Menge Daten, die geklaut wurden.
geschrieben von Holger
\\ tags: Datenklau, Datenschutz, Hacker, Handel, Kreditkartendaten, Meinung, Server, Sicherheitslücken, SQL Injection, Updates