Ausgangssituation
Das Internet bietet heute für Unternehmen eine unverzichtbare Plattform zur Kommunikation mit Ihren Kunden, zum Transport von elektronischen Gütern jedweder Art und zur Abwicklung von Bank- und Geldgeschäften. Die Vielzahl der am Markt befindlichen Anbieter –gerade im Hostingbereich- macht es Unternehmen nicht immer leicht, die für sie passende Hostinglösung zu finden. Oftmals ist die Budget-Situation in Unternehmen angespannt und am Markt werden Entscheidungen allzu oft ausschließlich unter finanziellen Aspekten getroffen, so dass oftmals bei der Auswahl des Hostings der Preis allein entscheiden ist. Sicherheitsaspekte treten dabei immer häufiger in den Hintergrund.
Dass die Mehrzahl der sich im Internet befindlichen Seiten Individual-Lösungen sind, macht die Aufgabe für betreuende Abteilungen nicht einfacher: Auf der einen Seite gibt es auf dem Hosting-Markt eine große Anzahl von Anbietern und auf der anderen Seite eine Vielfalt an Programmiersprachen, Datenbank-Systeme und Systemhäuser, die Applikationen erstellen. Aus dieser schier unübersichtlichen Vielzahl die optimale Lösung zu finden ist keine leichte Aufgabe.
Da das Internet kein rechtsfreier Raum ist und inzwischen auch verstärkt durch Staat, Justiz und Rechtsapparat kontrolliert wird, obliegt es jedem Anbieter von Internetinhalten auf die Einhaltung von rechtsstaatlichen Vorschriften und Gesetzen zu achten. Besonders brisant wird es, da das Internet keine Landes- oder Staatsgrenzen kennt. Ein Internetauftritt ist somit von überall her auf der Welt zugreifbar. Was zum einen ein gewaltiger Vorteil ist, kann sich auf der anderen Seite als Nachteil herausstellen: Neben gewünschter Benutzung können ungewünschte Zugriffe von überall her auf der Welt erfolgen – eben auch aus Ländern, die nicht im Einflussbereich staatlicher Behörden und Jusitzorganen stehen.
Da das Internet der Kommunikations- und Handelsraum der Neuzeit ist, ist es leider auch eine Tatsache, dass Menschen und Organisationen dieses Medium missbrauchen um sich selbst zu bereichern oder anderen Schaden zu bereiten.
- Angefangen von „Script-kiddies“, die versuchen ihr Wissen/Können dazu einzusetzen, möglichst prominente Websites zu „übernehmen“ und dort verfremdete oder eigene Inhalte zu posten (defacing) um dadurch „Ruhm und Ehre“ zu erlangen
- über „Hacker-Groups“ die Webspace benötigen, um illegale Inhalte auszutauschen
- bis hin zu strikt organisierten kriminellen Vereinigungen mit mafiösen Background die durch Computermanipulationen versuchen, an vertrauliche Daten zu gelangen um Unternehmen und deren Kunden zu schädigen, bzw. sich über Kreditkartenmissbrauch zu bereichern.
Hierbei wird immer öfter nicht nur ein direkter Datendiebstahl begangen, sondern auch Webauftritte manipuliert.
Auch moderne Virenscanner sind oftmals nicht in der Lage solche Bedrohungen abzuwenden, da Virenscanner zumeist ein „reagierendes“ System sind, d.h. wenn neue Bedrohungen auftauchen, reagieren die Hersteller von Antivirenprogrammen erst nach Bekanntwerden einer neuen Bedrohung, indem sie die neue Schadsoftware analysieren und Gegenmaßnahmen in ihre Software integrieren. Ähnlich wie bei einem Impfstoff: Für eine bis dato unbekannte Erkrankung, kann es noch keinen Impfstoff geben.
Hiervon ausgehend sieht man, dass die Computerkriminalität ein sich ständig ausbreitendes Problem darstellt und inzwischen ein Multimilliarden-Dollar Geschäft geworden ist.
Lösungsansätze
Ziel eines Unternehmens muss es deshalb sein, die Internetpräsenz und damit verbundene Dienste und Leistungen bestmöglich abzusichern. Hierzu gehört insbesondere der Schutz der im System gespeicherten sensiblen Informationen (z.B. Kundendaten).
Eine 100%ige Sicherheit der Systeme gegen Angreifer wird es dabei nie geben, jedoch sollte versucht werden, alle Lücken im System nach Bekanntwerden kurzfristig zu schließen, um die Möglichkeiten für Datenmissbrauch und andere Angriffe so gering wie möglich zu halten. Insbesondere bei von Angreifern besonders fokussierten Systemen mit sensiblen Daten bzw. mit Zahlungsverkehr ist eine erhöhte Wachsamkeit von extremer Bedeutung.
Eine regelmäßige Analyse der Gefahrenlage sollte als fester Bestandteil beim Betrieb der Systeme eingeplant werden und die daraus resultierenden möglichen Schutzmaßnahmen sollten kurzfristig umgesetzt werden.
ahhh kah! bietet deshalb als neuste Dienstleistung für seine Kunden einen WebsiteSecurityAudit:
Das Ziel ist, durch Analyse und Sicherung des Auftrittes und des Servers, diesen für potentielle Angreifer so uninteressant zu machen, dass er nicht angegriffen wird, dort keine Daten gestohlen werden können oder der Server missbräuchlich für Attacken gegen dessen Nutzer eingesetzt werden kann.
Nach einer Ist-Analyse wird zusammen mit dem Kunden das Gefahrenpotential besprochen und mögliche Sicherheitslöcher entfernt – sowohl auf der Serverplattform, als auch innerhalb der Programmierung.
Sollten Sie nähere Informationen wünschen, kontaktieren Sie uns doch einfach!
Noch keine Kommentare
RSS Feed für Kommentare zu diesem Artikel. TrackBack URL