Bericht • 10.10.2011

Hacker attackieren den Handel und verunsichern die Kundschaft

Hackerangriffe auf Handelsunternehmen machten in den letzten Wochen Schlagzeilen. Zu den Opfern gehören Rewe, Penny und Marktkauf. Aber das Thema ist nicht neu. Hacker gibt es schon fast so lange wie das Internet und der Handel ist längst nicht das einzige Opfer. Experten fordern nach wie vor, mehr in die IT-Sicherheit zu investieren.

Durch Hackerangriffe haben bereits zwei Drittel der deutschen Unternehmen Firmengeheimnisse verloren. Das ist ein Ergebnis des „Sicherheitsreport 2011“, den das Institut für Demoskopie Allensbach und das Centrum für Strategie und Höhere Führung im Auftrag der Telekom-Tochter T-Systems durchgeführt hat. Danach sind 15 Prozent der Unternehmen „häufig“ das Ziel solcher Attacken, 20 Prozent „gelegentlich“ und 29 Prozent „selten“. Befragt wurden ein repräsentativer Bevölkerungsquerschnitt und Führungskräfte aus Politik und Wirtschaft.

Der „Sicherheitsreport“ zeigt: Die Angst der Deutschen vor Internet-Kriminalität wächst: 70 Prozent befürchten den Missbrauch ihrer Daten. Computerviren und EC-Karten-Betrug fürchten 60 Prozent. Dabei stehen die Gefahren aus dem Internet für die befragten Personen auf einer Stufe mit Arbeitslosigkeit und Atomunfällen, liegen aber noch vor der Angst vor Terroranschlägen oder Naturkatastrophen. Führungskräfte aus Wirtschaft, Politik und Verwaltung sehen das Risiko von Computerviren oder Missbrauch von Daten bereits jetzt deutlich höher als klassische Gefahren wie Krankheit, Kriminalität oder Katastrophen.

Große Namen und große Pannen

Neue Ängste wurden in letzter Zeit durch Hacker-Angriffe auf bekannte Konzerne und große Handelsunternehmen geschürt. Sony musste sein gesamtes Playstation-Netz am 20. April abschalten, nachdem Hacker die Daten von rund 100 Millionen Kunden gestohlen hatten. Es dauerte knapp einen Monat, bis der Konzern die Plattform langsam wieder startete; bis alles wieder funktionierte, vergingen weitere Wochen. Groß war der finanzielle Verlust, noch größer der Verlust an Vertrauen.

Im Mai stahlen Hacker bei Neckermann.de. Abgegriffen wurden bei dem Versandhaus die Daten von 1,2 Millionen Gewinnspielteilnehmern. Den Kriminellen fielen nach Unternehmensangaben Namen und E-Mail-Adressen von Nutzern vorwiegend aus Deutschland in die Hände.

Im Juli war Rewe das Opfer eines Datendiebs, der Kundendaten im Internet veröffentlichte. Der 23-jährige Verdächtige vom Niederrhein stellte sich ein paar Tage nach der Tat der Polizei. Betroffen waren 50.000 Kunden, die via Internet an Tauschbörsen und einer Fußballsammelbilder-Aktion teilgenommen hatten. Brisant: Neben Namen und E-Mail-Adressen wurden auch die Passwörter erbeutet. Viele Kunden nutzen identische Passwörter für verschiedene Online-Shops, für den E-Mail-Versand oder sogar für das Online-Banking – obwohl Experten davor immer wieder warnen. Bank- und Kreditkartendaten sind laut Rewe in den angegriffenen Datenbanken nicht gespeichert worden.

Zur Rewe-Gruppe gehört auch der Discounter Penny. Dieser wurde ebenso ausgespäht wie die Edeka-Tochter Marktkauf. In allen Fällen reagieren die Firmen ähnlich. Es wird betont, dass nicht alle sensiblen Daten gestohlen und dass die aufgedeckten Sicherheitslücken umgehend geschlossen wurden. Welches Ausmaß die Attacken haben, wird daher nicht immer klar. Dabei werden längst nicht alle Hackerangriffe publik. Firmen fürchten um ihren guten Ruf und verzichten auf Strafverfolgung.

Wer ist das nächste Opfer?

Das Fachmagazin „Der Handel“ spekulierte, wer das nächste Opfer sein könnte und hat als Schwachstelle den Apache-Server ausgemacht. Die Seiten von Marktkauf, Rewe und Penny werden damit betrieben. Auch die Edeka-Seite läuft mit dem meistbenutzten Webserver im Internet, ebenso die Karstadt-Seite, Media Markt, Kik und auch Deichmann.

Gefahren für Betreiber und Nutzer gehen häufig von einer veralteten Software der Online-Shops aus. Kriminelle haben zum Beispiel unzählige Online-Shops, die eine veraltete Softwareversion von „osCommerce“ nutzen, missbraucht, um Schadcode zu verbreiten. Heise Security identifizierte im August mehr als 4,5 Millionen infizierte Seiten, von denen 160.000 deutschsprachig waren. Durch die Sicherheitslücken der Shop-Software erhielten die Angreifer Zugriff auf die Konfigurationsoberflächen der Shops. So konnten sie Skript-Code einschleusen, der die User mit Malware infizieren sollte. Dazu nutzten sie bekannte Sicherheitslücken in Java, Adobe Reader, Windows Hilfecenter und Internet Explorer. Sowohl für die Sicherheitslücken in „osCommerce“ als auch für die anderen Programme existieren längst entsprechende Updates, die die Lücken geschlossen hätten.

Zu wenig Sicherheitspersonal

Laut einer Umfrage des Branchenverbandes Bitkom unter IT-Sicherheitsexperten fehlen in Deutschland Sicherheits-Fachleute. Der Mangel werde voraussichtlich in den kommenden Jahren deutlich größer werden. „Erfahrene Spezialisten für IT-Sicherheit sind schon heute schwer zu finden, das erschwert den Kampf von Unternehmen und Behörden gegen die wachsende Zahl der Cyberangriffe und bedroht mittelfristig den weltweit guten Ruf von 'IT-Security made in Germany'“, warnt Bitkom-Präsident Dieter Kempf. Der aktuelle Mangel an Sicherheitsexperten wirke sich schon heute aus. In vielen Unternehmen werde notwendigen Sicherheitsmaßnahmen nicht die gebührende Aufmerksamkeit entgegengebracht. So besitze nur jedes dritte mittelständische Unternehmen derzeit ein Sicherheitskonzept.

Sicherheitslücken im Internet gibt es seit es das Internet gibt. Und schon Ende der neunziger Jahre wurde die Wirtschaft vor finanziellen Schäden durch Hackerangriffe gewarnt. In der Zwischenzeit ist das Leben noch mehr von Online geprägt, sind noch mehr Daten gespeichert, sind die Gefahren noch größer. Das Gedeihen des Online-Handels hängt vom Vertrauen der Verbraucher ab. Daher tut der Handel gut daran, in IT-Sicherheit zu investieren. Darüber in Geschäftsberichten Rechenschaft abzulegen, sollte genauso zum guten Ton gehören wie soziale Verantwortung oder Nachhaltigkeit für unsere Umwelt.

René Schellbach, iXtenso.com

Themenkanäle: Sicherheit, Sicherheitsmanagement, IT-Sicherheit, Datenbanksicherheit