Sicherheit durch Information
Online-Hacks nicht länger totschweigen

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Tony Westbrook appelliert an Unternehmen, ihre Erfahrungen mit Web- Attacken nicht zu verheimlichen, sondern gemeinsam zu nutzen, um zahlenden oder spendenden Online-Kunden die gebotene Sicherheit zu verschaffen.

Volkssport: Kreditkarten-Abräumen

Sicherheit durch Information

Pünktlich zum Weihnachtsfest wurde wieder einmal die Website eines britischen Wohltätigkeitsverbands von Hackern angegriffen, die damit Daten von 2000 Kreditkarten für eine missbräuchliche Nutzung erbeuten konnten – genau zur rechten Zeit, um an die Dringlichkeit zu erinnern, den vorweihnachtlichen Spenden-Boom auf sicheren Boden zu stellen. In Deutschland hat es erwartungsgenäß Security-Websites getroffen – und viele Privatanwender, die vergaßen, sich zu schützen.

Natürlich ist das Sicherheitsproblem Dauergast im Kopf eines jeden professionellen IT-Fachmanns – zu Hause genauso wie am Arbeitsplatz. Bei bargeldloser Bezahlung in Geschäften mussten sich Kreditkartenbenutzer bis zum letzten Jahr mit den leicht kopierbaren Magnetstreifen auf ein System verlassen, das ganz und gar nicht sicher war.

Vor allem in Restaurants und vielen anderen Dienstleistungsunternehmen wurde dem Kunden die Karte häufig aus der Hand genommen, um sie im Raum nebenan zu überprüfen. Da bekommt manch einer ein mulmiges Gefühl – nicht zu unrecht.

Die Einführung von Chipkarten mit Geheimzahl hat das Risiko des “Skimming”, wie das Abräumen des Kontos auch genannt wird, nicht ganz eliminieren können, denn immer noch können Chipkarten kopiert werden. Aber zumindest wurde es erschwert, es sei denn, der Dieb hat auch Zugriff auf Ihre PIN. Und drahtlose Kartenleser, in die Sie als Kunde an der Kasse Ihre PIN eingeben, haben zumindest den Vorteil gebracht, dass Sie Ihre Karte im Blickfeld behalten.


Gangster steigen auf Online um

Sicherheit durch Information

Diese direkten Bezahl-Aktionen per Karte sind also etwas sicherer geworden. Kriminelle mussten deshalb notgedrungen ihre Betrügereien auf den Online-Handel verlegen. Und dort sind wir bis heute tatsächlich ziemlich machtlos gegenüber der Anonymität und Flüchtigkeit von Ganoven, die es von überall auf der Welt auf unser Geld abgesehen haben.

Aus verständlichen Gründen wurde kaum etwas darüber bekannt, wie die Hacker im aktuellen Fall des britischen Wohlfahrtsverbands beim Knacken der Website vorgegangen sind. Die Website-Betreiber gaben lediglich an, ein sicheres Verschlüsselungsverfahren für die Übertragung und Speicherung von schützenswerten Daten verwendet zu haben. Und hier setzt meine Kritik an. Natürlich wäre es fatal, sämtliche Details jedes neuen Hacks an die große Glocke zu hängen, aber könnte es nicht für einen Website-Administrator oder auch den Benutzer äußerst hilfreich sein, wenn er ein paar grundlegende Dinge wüsste, die er tun kann, um zumindest diese Art von Angriff ein zweites Mal zu verhindern?

Ich selbst war ähnlich frustriert, als vor ein paar Jahren meine Kreditkartendaten geklaut wurden. Ich hätte zu gerne gewusst, wie und wo es passierte, um eine mögliche Wiederholung zu vermeiden. Aber das Aufklärungsteam meiner Kreditkartengesellschaft war nicht geneigt, mir irgendetwas darüber zu verraten. Mit welchem Ergebnis? Es geschah tatsächlich noch ein zweites Mal, und da ich nicht wusste, wie ich ein “aller guten Dinge sind drei” verhindern sollte, schränkte ich meinen Kreditkartengebrauch drastisch ein.


Verschweigen hilft nur Kriminellen

Sicherheit durch Information

Die traurige Realität ist, dass heute nur ein kleiner Bruchteil solcher Hacks überhaupt an die Öffentlichkeit gelangt, da die Unternehmen mehr um ihren Ruf bangen als sich um eine Verfolgung der Hacker und Aufdeckung ihrer Methoden zu kümmern.

Aber letztlich nützt es wohl keinem etwas, wenn Attacken dieser Art einfach totgeschwiegen werden. Die Anbieter müssen damit rechnen, dass die Häufigkeit zunimmt, wenn die zugrunde liegenden Probleme nicht angegangen werden. Und vor allem wird es mit dem exponentiell ansteigenden Boom dieser Branche bald ein Ende haben, wenn das Vertrauen der Öffentlichkeit in Online-Käufe schwindet.

Es muss ein Weg gefunden werden, Informationen über solche Vorkommnisse zu sammeln und gemeinsam zu nutzen. Zumindest den Entwicklern der Sicherheitssysteme sollten diese Informationen nicht vorenthalten werden, denn sie sind es schließlich, auf deren Produkte wir uns verlassen wollen, wenn wir per Kreditkarte online einkaufen. Dasselbe gilt für Website-Administratoren, die, mit mehr Wissen ausgestattet, möglicherweise weitere Attacken verhindern könnten.