deluxe-planet.com / Fachwissen / Fachlexikon

Viele Bedrohungen lassen sich ausschließlich auf dem Rechner des Kunden abfangen. Eine Informationsseite über Sicherheitsrisiken innerhalb Ihres Online-Angebots sollte das Thema “Sicherheit” klar und verständlich darlegen. Zusätzlich zu einer grundsätzlichen Erklärung der Probleme Spam, Viren und Trojaner sowie Phishing sollten Hinweise auf folgende Programme nicht fehlen:

* Anti-Spam-Software: Leistungsfähige Produkte erkennen auch anhand einfacher Code-Schnipsel in E-Mails, ob es sich hierbei um eine Spam- und/oder Phishing-E-Mail handelt.<

* Anti-Spam-Software: Produkte wie Spamassassin sind trainierbar und lernen selbstständig einmal als Spam/Phishing markierte E-Mails daraufhin sofort und dauerhaft auszufiltern.<

* Die in Windows XP ab Service Pack 2 integrierte Firewall sollte aktiviert sein. Infos dazu gibt es auf der Security-Seite von Microsoft. Kunden, die ältere Windows-Versionen einsetzen, sollten sich eine separate Software-Firewall zulegen. Eine Anti-Virus-Software, die sich täglich mehrfach aktualisiert, ist gegen Schädlinge empfehlenswert und sollte mit automatischen Updates gepflegt werden.

Schutz vor DDoS

Moderne, gut gewartete Firewalls erkennen heutzutage bereits recht früh, wenn sich eine DDoS-Attacke ankündigt, und können dann die Kommunikation unterbinden. Allerdings hat diese Methode einen entscheidenden Nachteil: Ist die Kommunikation unterbrochen, ist der Online-Service des Anbieters nicht mehr erreichbar. Ein leistungsfähiger Provider kann jedoch DDoS-Attacken mittels Load Balancing abfangen. Ein Load Balancer kann Anfragen sortieren und auf verschiedene Server verteilen und so der Attacke entgegenwirken. Bei der Auswahl eines Providers, der Ihren Server betreiben soll, ist es deshalb sinnvoll, auf solche Sicherheitsvorkehrungen zu achten.

Angriff auf den Datenaustausch

Eher dem herkömmlichen Bild eines Hacker-Angriffs entsprechen Methoden, sich Zugang zu einem Rechner zu verschaffen, auf dem Kundendaten liegen. Ist ein Server erst einmal in der Hand eines Angreifers, sind natürlich auch die Anwendungen und die darin ablaufenden Transaktionen mit dem Kunden nicht mehr sicher. Ein verbreiteter Weg, Zugang zur Kundendatenbank zu erhalten, ist ein Angriff über einen so genannten SQL Injection Bug auf die Datenbank selbst. Dabei wird eine Datenbankabfrage, wie sie die meisten Shop-Systeme andauernd generieren, so modifiziert, dass ausführbarer Programmcode auf den Server eingeschleust wird. Angriffe dieser Art sind nicht selten, sie werden allerdings oft verheimlicht; die Betroffenen melden solche Zwischenfälle aus Furcht vor Imageschäden zu selten den Behörden.

Im Gegensatz zur DDoS-Attacke liegt die Verantwortung für den Schutz vor SQL Injection Bugs direkt beim Webmaster beziehungsweise beim Systemadministrator. Er muss durch permanente Pflege die Software auf dem neuesten Stand halten und bei der Programmierung von Datenbankapplikationen darauf achten, dass Abfragen, die nicht den geforderten Standards entsprechen, sicher abgefangen werden. Das Stichwort lautet hier “Stored Procedures” – Datenbankabfragen, die nicht der erwarteten Syntax entsprechen, werden automatisch blockiert.

Phishing

Eine der größten Gefahren stellt derzeit das so genannte Phishing dar, das mittlerweile nicht mehr nur Banken betrifft. Die Kunden bekommen Mails, in denen sie aufgefordert werden, sich mit ihren Account-Daten auf dem (vermeintlichen) Portal ihrer Bank anzumelden. In Wirklichkeit ist das Portal gefälscht, die Daten landen auf den Festplatten krimineller Passwort-Diebe. Betroffen davon sind aber auch Handelsplattformen wie Ebay.

Während das US-Marktforschungsunternehmen Gartner schätzt, dass durch Phishing allein in den USA im Jahre 2005 ein Schaden von rund 2,75 Milliarden Dollar verursacht wurde, meldet die “Financial Times Deutschland”, dass deutsche Banken durch Phishing-Angriffe im letzten Jahr rund 70 Millionen Euro verloren haben. Seit Mitte 2005 beobachtet die Polizei in Baden-Würtemberg einen sprunghaften Anstieg von Phishing-Fällen. Sind im Jahre 2004 nur wenige Einzelfälle registriert worden, kamen bis Ende 2005 bereits 270 Fälle mit einem Gesamtschaden von rund 1,3 Millionen Euro zur Anzeige. Die Berliner Polizei berichtet über Fälle, in denen Schäden von bis zu 29.000 Euro entstanden sind.

Um gegen Phishing vorzugehen, müssen die Kunden besser aufgeklärt werden. Außerdem ist es eine Aufgabe der Mail-Provider, solche Mails zuverlässiger auszufiltern. Eine möglichst totale Phishing-Prävention bedeutet aber in letzter Konsequenz: Schicken Sie dem Kunden nie unaufgefordert eine Mail mit einem Link auf die eigene Website, in der Sie ihn auffordern, sich bei Ihnen mit seinen geheimen Anmeldedaten anzumelden – unter Marketing-Gesichtspunkten nicht ganz einfach.

Marko Rogge