Internet Retailing sprach mit Richard Werner, Product Marketing Manager EMEA des Sicherheitsanbieters Trend Micro.
Internet Retailing: Welche Gefahren drohen Online-Shops von Retailern – und von welcher Seite?
Richard Werner, Produktmarketingmanager für die Region EMEA bei Trend Micro.
Richard Werner: Ich würde Gefahren in zwei Kategorien einteilen.
- Materielle Schäden: Diese Schädigungen entstehen z.B. durch den auf sie zurückführbaren Verlust von Kundendaten (wie z.B. Kreditkarteninformationen) oder falls Sie fahrlässig in Strafttaten wie z.B. die Verbreitung von Malware einbezogen werden. Auch „Aufräumarbeiten“ wie das nachträgliche Ändern von Webseiteninhalten oder Patchen fallen in diesen Bereich.
- Die zweite Kategorie sind Rufschäden. Schon jetzt steht das Internet nicht in dem Ruf besonders Vertrauenserweckend zu sein. Schon scheinbar unbedeutende Zwischenfälle lassen an der Glaubwürdigkeit einer Seite zweifeln. Viele Nutzer überlegen heute genau, wie und wo sie sensible Daten wie eben Kreditkarten eingeben. Eine einmal in Veruf geratene Webseite wird deshalb oft gemieden und es dauert lange sich diesen Kundenstamm wieder zu erarbeiten.
Aus technischer Sicht sind hier insbesonders zwei Techniken zu nennen:
- SQL Injection: ist eine Technik durch Eingabe von gefakten Befehlen Zugriffe auf Datenbanken zu erlangen. Beispiel: Die Eingabemaske eines Webshops ist direkt mit einer SQL Datenbank verknüpft. Durch Eingabe einer mathematisch logischen Gleichung können ungepatchte Datenbanken ausgetrickst und um Zugriffsberechtigungen betrogen werden. Auch schwache Passwörter spielen hier eine Rolle.
- Cross site scripting: Ist eine Technik den HTML code einer Seite den Bedürfnissen eines Angreifers anzupassen. In eher harmlosen Fällen wird die Seite dann mit Weltanschauungen des Angreifers versehen. In kritischen Fällen die Seite selber zur Verbreitung von Malware verwendet.
Derartige Techniken werden von professionellen Hackern durchgeführt. Allerdings können sie auch als „Dienstleistungen“ bezogen werden.
Internet Retailing: Nehmen diese Gefahren in letzter Zeit zu? Aus wirtschaftlichen Gründen?
Richard Werner: Die Problematik hier ist die ungeheuer hohe Dunkelziffer. Kaum ein Webshop Betreiber oder ein Betroffener wird die Öffentlichkeit suchen um auf das eigene Versagen hinzuweisen obwohl dies gesetzlich mittlerweilen sogar vorgeschrieben ist. So gelingt es selten Verbrecher, die noch dazu global operieren zu fassen. Ein Aufsehen erregender Fall war hier im Jahre 2008 die Verhaftung von Albert Gonzalez, dem es über einem Zeitraum von 18 Monaten gelang mehr als 130 Millionen Kreditkartendetails zu entwenden. Leider nimmt die Zahl der Angriffe zu. Zum Glück änder sich aber auch das Sicherheitsdenken vieler Webseitenbetreiber.
Internet Retailing: Und woher bezieht Trend Micro diese Erkenntnisse?
Richard Werner: Trend Micro beschäftigt sich seit mehr als 10 Jahren mit der Sicherheit rund um das Internet. Als wir anfingen waren Mailviren noch die Hauptbedrohung. Mit der steigenden Popularität und der wachsenden Nutzung dieses Mediums gab es allerdings auch gewaltige Veränderungen im Bereich der „Malwarenutzung“ bzw. des Hackings. Wo wir früher sogenannte „Skriptkiddis“ hatten, die mehr oder weniger „gespielt“ haben müssen wir heute von Menschen ausgehen, die sehr genau wissen was sie machen und gezielt alle Register ziehen um anzugreifen. Wenn man es etwas pathetisch ausdrücken möchte befinden wir uns heute in einer Art „Krieg“ gegen Hacker oder auch den „Cyber Underground“.
Wie in jedem Konflikt ist der Schlüssel zum Erfolg so viel Informationen über den Gegner zu haben wie möglich. Trend Micro hat deshalb schon früh (2005) damit angefangen Angriffe zu analysieren und Quellen sowie Ursachen zu ergründen. Unsere Scanner haben mittlerweilen alle die Option uns als Frühwarnsystem über möglicherweise gefährliche Webseiten und Umtriebe zu informieren was uns auch von weltweit mehr als 18 Millionen Kunden (Installationen) erlaubt wird. So können wir auf neue Szenarien schnell reagieren und unsere Kunden schützen. Das sogenannte Trend Micro „Smart Protection Network“ umfasst dabei Informationen aus dem Mail, Web und Filebereich.
Internet Retailing: Warnt Trend Micro seine Kunden? Falls ja, wie und wie schnell und in welchem Umfang?
Richard Werner: Im Bereich Webshops hängt es von der eingesetzten Lösung ab wie und im welchem Umfang Warnungen durchgeführt werden. So bieten wir derzeit Systeme an, die fehlende Patches und andere mögliche Eintrittspunkte automatisiert erkennt und zumindest temporär beheben. Alternativ können wir auch gezielte Sicherheitsüberprüfungen durchführen um Ihnen zu bestätigen, daß Ihre Systeme sicher und nicht angreifbar sind, bzw. darstellen welche Vorfälle auftreten.
Dies schließt auch Tatbestände wie unsichere Passwörter, fehlende Sicherheitspatches, etc. ein. Im Falle von gezielten Webseitenmissbrauch z.B. der Verteilung von Malicious Code wurden/werden verschiedene Firmen von uns über dies unterrichtet. Die Erfahrung zeigt jedoch, daß Webadministratoren in vielen Fällen erst reagieren, wenn sie durch staatliche Stellen dazu gezwungen werden.
Internet Retailing: Was sollten Online-Retailer unternehmen, um diesen Gefahren zu begegnen,
Richard Werner: sofern sie in ihrem eigenen wie auch im Interesse ihrer Kunden handeln wollen?
Zunächst geht es darum herauszufinden ob und in welchem Maße Sicherheitslücken vorhanden sind. Dies kann über sogenannte Security Audits erfolgen. Sodann muss man Technologien und auch Techniken betrachten die diese Probleme beheben. Für Online Retailer bieten die PCI-DSS (Paymentcard Industry Data Security Standards) Anforderungen einen guten Ausgangspunkt. Hier werden Grundlagen bzw. Soll-Anforderungen an Ihre Systeme genau dargestellt.Trend Micro kann Sie bei der Umsetzung dieser Richtlinien unterstützen und/oder die richtige Umsetzung bestätigen.
Internet Retailing: Welche Services und Produkte bietet Trend Micro den Online-Retailern an? Seit wann?
Richard Werner: Wir bieten folgende Produkte an:
- Deep Security: ist ein Produkt welches Sie zur Absicherung von Serversystemen, Einhaltung von Securityrichtlinien und Umsetzungen des PCI-DSS Standards verwenden können. Dieses Produkt ist seit etwa 2 Jahren erhältlich und hat erst jüngst ein neues Release erfahren.
- Vulnerability Management Service: Ist eine Möglichkeit Systeme „On Demand“ oder kontinuierlich auf mögliche Schwachstellen zu überprüfen und Ihnen eine genaue Aufstellung von fehlenden Komponenten zu geben. Das Produkt ist seit etwa einem Jahr auf dem Markt.
- Unsere Enterprise Security Suiten: Diese Produktsuiten enthalten unsere klassischen Scan methoden die auf allen Ebenen die optionale Teilnahme an unserem Frühwarnsystem offerieren. Die Suiten bestehen aus Einzelprodukten die seit mehreren Jahren erfolgreich im Markt vertreten sind.
Internet Retailing: Wie können Shopbetreiber ihre virtualisierte Infrastruktur mit Lösungen von Trend Micro schützen?
Richard Werner: Die optimale Lösung zu finden kann mit unter je nach Anforderung variieren. Das zuerst empfohlene Produkt ist allerdings Deep Security, welches Ihnen ein umfangreiches Arsenal an Funktionen offeriert. Hierzu gehören virtuelles Patching, Integritätsüberprüfungen, Virenschutz und andere Optionen. Richtig eingesetzt ermöglicht DeepSecurity die Erfüllung der technisch bezogenen PCI Richtlinien.
