Datenklau: Unternehmen sparen an Sicherheitschecks ihrer Websites Datenklau: Unternehmen sparen an Sicherheitschecks ihrer Websites - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


14.08.2014 pi

Datenklau: Unternehmen sparen an Sicherheitschecks ihrer Websites

Unzureichend gesicherte Kontaktformulare auf Websites böten einen relativ einfachen Zugang zu internen Datenbanken, warnt die mikado ag vor einem altbekannten Problem.

© Nabil BIYAHMADINE - Fotolia.com

Der jüngste Datendiebstahl von rund 1,2 Milliarden Nutzerprofilen im Internet mit Benutzername und Passwort weist nach Einschätzung des Unternehmens mikado ag deutlich darauf hin, dass viele Websites gegen solche Angriffe nur unzureichend gesichert sind. Das Beratungshaus plädiert deshalb für eine großflächige Initiative mit Penetrationstests der Websites vor allem von Unternehmen und behördlichen Einrichtungen. Ein häufiges Verfahren bei missbräuchlichen Zugriffen auf interne Datenbanken ist die SQL Injection, bei der etwa über die Kontaktformulare der Websites Zugang zu den Datenbanken erlangt wird.

"Wie das neuerliche Beispiel zeigt, reicht eine ständig wiederholte Warnung vor den Sicherheitsproblemen im Internet nicht aus, wenn niemand die notwendigen Konsequenzen daraus zieht", kritisiert mikado-Vorstand Wolfgang Dürr. Er betont, dass Unternehmen in der Verantwortung stehen, für die erforderliche Sicherheit der Kundendaten zu sorgen. "Lediglich mit dem Zeigefinger auf Bösewichte im Internet zu zeigen lenkt häufig davon ab, dass die eigenen Hausaufgaben nicht sorgsam genug gemacht wurden", kritisiert er. 

Aus diesem Grund fordert Dürr von Branchenverbänden und anderen Meinungsbildnern eine Awareness-Kampagne für sichere Websites. Schließlich seien Kundendaten die entscheidende Währung in der digitalen Welt, die zwangsläufig ein hohes Kriminalitätspotenzial zur illegalen Beschaffung von Informationen erzeuge. "Deshalb muss bei den Verantwortlichen von Unternehmen und Behörden die Sensibilität dafür gesteigert werden, ihre Websites auf ihre Sicherheit hin zu überprüfen." Dies sei nicht einmal eine kostenaufwändige Angelegenheit, betont der Security-Spezialist. So könnten viele Websites über einen soliden Penetrationstest für einige Hundert Euro darauf hin überprüft werden, ob und welche Sicherheitslücken bestehen. 

Dazu gehören auch unerlaubte Zugänge mittels der oben bereits erwähnten SQL Injection. Dabei versucht der Angreifer, beispielsweise über die elektronischen Formulare von Websites, eigene Datenbankbefehle in das Unternehmensnetzwerk einzuschleusen. Das Ziel besteht darin, Daten auszuspähen, sie im eigenen Sinne zu verändern oder die Kontrolle über den Server zu erlangen. So lassen sich bei einer unzureichend geschützten Website in einem Feld des Kontaktformulars Befehle an die Datenbank übertragen. Dabei werden die Kontaktdaten dann nicht wie normalerweise vorgesehen gespeichert, sondern der Server erhält beispielsweise den Befehl, sämtliche Tabellen in der zugrunde liegenden Datenbank an den Angreifer zu übertragen. Auf diese Weise erhält er einen direkten Zugriff auf eine Vielzahl gespeicherter Benutzerdaten. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Bacher Systems EDV GmbH

    Bacher Systems EDV GmbH mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: