Das Ziel ist Ihr Onlineshop Adrian Janotta Security Research Was Sie tun sollten wenn es passiert Es vergeht mittlerweile kaum ein Tag, an dem in den Medien nicht von einer größeren Cyberattacke oder gar einem „neuen“ Cyberkrieg die Rede ist. Während sich viele Medienberichte sowie entsprechende Angriffe aus dem Netz um aktuelle politische Konflikte drehen, also die Aggressionen u. a. auch politisch oder ideologisch begründet sind, stehen insbesondere Unternehmen mit steigender Tendenz immer wieder im Fokus der virtuellen Attacken und werden von Medien oft nicht geachtet. Anoncoder ist hier besonders erwähnenswert. Das Hacker Team hat es insbesondere auf Unternehmen und Shops abgesehen. Bei Anoncoders handelt es sich um Anonyme Programmeirer aus Russland, Sie hacken Shops allerdings bereits auf der ganzen Welt. Unsere beobachtungen gehen bereits auf Februar diesen Jahres zurück. (Wir berichten darüber in unserem Blog auf Dotcomsecurity) Neben der schlichten monetären Bereicherung beispielsweise durch mafiöse Erpressung spielen im Hintergrund auch verstärkt Konkurrenzkampf und Wirtschaftsspionage eine Rolle. Halt macht das Ganze auch nicht vor kleinen und mittleren Unternehmen (KMU), die einen Onlinevertrieb betreiben. Grund genug also, sich dem Thema mal ein wenig anzunehmen. Die Cyberangriffe allein in diesem Jahr zeigen: Wer sein Geld im Internet verdient, muss für etwaige Angriffe aus dem WWW gewappnet sein. Denn nicht nur Hacks im großen Stil haben teure Konsequenzen – auch kleine Vorfälle können Webshopbetreiber empfindlich treffen. Unerlaubte Übergriffe auf die eigenen Daten und Systeme müssen dringend verhindert werden, denn: Kundendaten sind neben Geldmitteln und Lagerbestand das kostbarste Gut eines OnlineShops – jede Adresse ist bares Geld wert. Werden Kundendaten gehackt, veröffentlicht und im schlimmsten Fall sogar missbraucht, geht es dem Online-Händler an den Kragen – Eigenschäden und Schadenersatzforderungen seitens Dritter inklusive. Mal abgesehen davon, dass fast täglich über Cyberattacken in diversen Medien berichtet wird empfehlen ich und mein zum einen auf die aktuellen Gefahren für Online-Shops durch Botnets bzw. DDos-Attacken (2.200 allein 2014 in Deutschland) und geben zum anderen Ratschläge, wie im Falle eines möglichen oder akuten Angriffs reagiert werden sollte. Dotcomsecurity 2015 Pflichten nach dem Angriff Doch ein Angriff auf den Webshop kostet nicht nur Geld – sondern vor allem auch Zeit. So kommen nach einem Hackerangriff häufig viele Arbeiten und Pflichten auf den Shopbetreiber oder das Unternehmen zu: • Ein externer Computer-Forensik-Experte muss engagiert werden, der ermittelt, wie die Hacker ins System eindringen konnten und welche Seiten bzw. welche Daten betroffen sind. Er kümmert sich auch darum, dass die Sicherheitslücke geschlossen wird. • Die Systeme müssen wiederhergestellt werden, damit das Geschäft wieder aufgenommen werden kann – hierfür ist gegebenenfalls die Wiederherstellung des Shops notwendig. • muss eine Strafanzeige gegen den Angreifer gestellt werden. • Aufgrund der behördlichen Meldepflicht muss die Datenschutzbehörde (in Bayern z.B. das LDA)über den Vorfall informiert werden, was umfangreiche Fragebögen nach sich ziehen kann. • Im Zusammenhang mit der behördlichen Meldepflicht muss ggf. ein spezialisierter Anwalt zur Unterstützung bei rechtlichen Fragen zum Umgang und Kommunikation mit den Datenschutzbehörden eingesetzt werden; im Worst Case fallen außerdem Kosten für die strafrechtliche Verteidigung an. • Besonders wichtig ist es, mit den verunsicherten Kunden zu sprechen und umfangreiche Informationsmöglichkeiten für deren Fragen zur Verfügung zu stellen (z.B. Einrichtung eines Call-Centers) und Krisenmanagement-Maßnahmen. • Die Bereitstellung von Kreditschutz- und Kreditüberwachungsdienstleistungen muss organisiert werden. Adrian Janotta | Dotcomsecurity.de Beim Betrieb eines Webshops können jedoch nicht nur die Online-Händler selbst, sondern auch Dritte (z.B. Shopkunden) geschädigt werden, die infolgedessen Anspruch auf Schadenersatz erheben. Im Unterschied zum stationären Handel sind im Versandhandel Personen- und Sachschäden selten – hier überwiegen die Vermögensschäden (Vermögensschäden = finanzielle Nachteile). Zu Schadenersatzforderungen kann es wegen verschiedenster solcher Vermögensschäden kommen: • der Verletzung gewerblicher Schutzrechte wie Marken-, Domain-, Lizenz-, Urheber-, Namens- und Persönlichkeitsrechten; • rechtsverletzender Veröffentlichungen (z.B. im Online-Shop, in sozialen Medien oder auf Blogs) im Zusammenhang mit Produkten und Dienstleistungen; • Kennzeichenverletzungen (so genanntes „passing off“); • Rechtsverletzungen durch Verlinkungen oder das „Framing“ anderer Webseiten; • Verstößen gegen Wettbewerbsrecht und Werbung; • Datenrechtsverletzungen: Verstößen gegen Geheimhaltungspflichten; Schäden durch schadhafte Codes (z.B. Viren); Zugriff Dritter auf Kundendaten. Maßnahmen vor einem Angriff: Kündigt sich eine Aggression gegen Ihren Shop an, zum Beispiel durch einen massiven Anstieg des Traffics (mögliche Testphase eines baldigen „echten“ DDos-Angriffs) oder durch eine Erpresser-EMail, dann melden Sie diese Vorkommen unbedingt der Polizei. Gehen Sie grundsätzlich niemals auf Forderungen ein und lassen Sie sich ggf. von Ihrem Provider vorbeugend eine neue IP-Adresse zuweisen. Maßnahmen während eines Angriffs: Erfolgt akut ein Angriff auf Ihren Online-Shop, setzen Sie sich umgehend mit dem Provider in Verbindung, um den Traffic-Ansturm soweit machbar abzublocken. Bilden Sie ein Notfallteam, damit beispielsweise das Geschehen so genau wie möglich dokumentiert werden kann. Achtung: Nicht selten dienen die Angriffe auch der Ablenkung! Während sich Ihr Team um Schadensbegrenzung des offensichtlichen Angriffs bemüht, könnten es die Täter derweil auf andere Bereiche des Systems abgesehen haben, die in dem Fall vielleicht unbeaufsichtigt sind – häufiges Ziel: die Kundendaten. Adrian Janotta | Dotcomsecurity.de Adrian Janotta | Dotcomsecurity.de Maßnahmen nach einem Angriff: Erstatten Sie Anzeige bei der Polizei und stellen Sie den Ermittlern Ihre gesammelten Daten zum gesamten Vorgang zur Verfügung. Eine transparente Kommunikation zwischen Unternehmen, Partnern und Kunden wird generell empfohlen. Zwar fürchten viele Shops nachvollziehbarerweise um Vertrauensverluste insbesondere bei Kunden, aber genau auf diese Ängste, die ggf. in Vertuschung und erfolgreicher Erpressung enden, zielen es die Täter natürlich auch ab. Also es besser mit Offenheit sowie der Erstellung eines Notfallplans für die Zukunft versuchen. Mögliche Vertuschungsversuche, zum Beispiel auch von Datendiebstählen, bieten zudem noch weitere, teilweise viel effektivere Erpressungsansätze. Typischerweise endet eine erfolgreiche Erpressung auch ohnehin nicht mit einer Aggression, sondern führt zu immer höhere Forderungen. Häufig verlangen die Täter zunächst eher geringe Geldsummen, testen damit die „Zahlungswilligkeit“ des Betreibers aus und ziehen dann beim kriminellen Erfolg die Forderungshöhe rasch an. Ergo: Wer sich nicht dauerhaft zum Opfer der mafiösen Schutzgelderpressung machen lassen will, sollte grundsätzlich keiner Forderung nachgeben und das Geld lieber in geeignete Sicherheitsmaßnahmen investieren. Das raten nicht nur die befragten Sicherheitsexperten des Artikels, sondern empfiehlt auch die Polizei. Wir unterstützen Sie bei diesen Vorgängen. Adrian Janotta Dotcomsecurity.de (+49 89) -21 54 586 -9
© Copyright 2024 ExpyDoc
