Sicherheit im Onlineshop: Händler im Fadenkreuz

In Unternehmensnetzwerken, wie sie viele Händler nutzen, können IT-Verantwortliche virtuelle Desktops konfigurieren, bei denen sich die Mitarbeiter per Fernzugriff als Nutzer anmelden und einen begrenzten Zugriff auf bestimmte Programme erhalten. Bei korrekter Konfiguration ist ein virtueller Desktop vollständig vom physischen Server abgeschirmt, auf dem er ausgeführt wird. Benutzer kommen also nicht aus dem virtuellen Desktop „heraus“ und haben keinen direkten Zugriff auf den physischen Server. In manchen Fällen entstehen jedoch schon durch kleine Konfigurationsfehler Lücken in der Abschirmung, die es Angreifern ermöglichen, sie zu durchbrechen und sich direkten Zugriff auf den physischen Server zu verschaffen.

In jedem von Mandiant untersuchten Fall mit diesem Angriffsmuster wurde dieselbe Schwachstelle ausgenutzt: Für den Fernzugriff auf die Anwendung waren nur ein legitimer Benutzername samt Kennwort erforderlich, um weitreichenden Schaden anzurichten. Mit der Zwei-Faktor-Authentifizierung ließe sich dieses Einfallstor nahezu vollständig schließen.

Neue Tools, Methoden und Prozesse am POS

Die beobachteten Angreifergruppen nutzten teilweise bisher unbekannte Tools, Methoden und Prozesse. Dabei deckten sie eine große Bandbreite ab: Von wenig fortschrittlich agierenden Bedrohungsurhebern mit gängigen Schwarzmarkt-Tools bis hin zu technisch versierten Gruppen mit speziell auf bestimmte POS-Systeme abgestimmter Malware zum Abschöpfen von Kreditkartendaten offenbarte sich eine sehr heterogene Bedrohungslandschaft für Händler.

Bei den Untersuchungen konnte kein Zusammenhang zwischen den Fähigkeiten der Angreifer und ihrem Erfolg festgestellt werden. Insbesondere bei US-Einzelhändlern erwies sich Standard-Malware vom Schwarzmarkt zum Diebstahl von Kreditkartendaten als ebenso gefährlich wie vermeintlich professionelle Tools. Jede der von Mandiant untersuchten Angreifergruppen konnte die Umgebung ihres Ziels unbemerkt ausspionieren, sich Zugang zu den POS-Terminals verschaffen und die Malware für den Diebstahl der Kreditkartendaten dort installieren.

 Europäische Online-Händler sind vermeintlich einfacheres Angriffsziel

Während POS-Terminals in Europa längst einen in der Kreditkarte enthaltenen Prozessor-Chip und eine PIN zur Authentifizierung nutzen, hat sich das nach seinen Entwicklern Europay, MasterCard und Visa benannte EMV-Verfahren in den USA noch immer nicht durchgesetzt. So wird die Tür für Angreifer dort weiterhin offen gehalten. EMV-fähige Kreditkarten generieren einen eindeutigen Code für jede Transaktion und erschweren Angreifern das Durchführen falscher Transaktionen dadurch erheblich. Hieraus ergibt sich ein möglicher Grund dafür, dass sich Cyberkriminelle in Europa vermehrt auf vermeintlich leichtere Beute konzentrieren: Online-Shops.

In den Ländern, in denen standardmäßig EMV verwendet wird, beobachtete Mandiant 2014 einen deutlichen Anstieg von Angriffen auf E-Commerce-Unternehmen und Dienstleister, die Online-Zahlungen abwickeln.

Angriffe können nie ganz verhindert, aber erschwert werden

Durch die Anwendung der EMV-Technologie wird Angriffen auf den POS hierzulande weitgehend vorgebeugt. Doch sind es hier insbesondere die Online-Händler und Online-Zahlungsdienste, die mit einer zunehmenden Anzahl von Cyberangriffen konfrontiert werden. Weil Angreifer immer wieder neue Methoden finden, moderne Sicherheitsmaßnahmen zu umgehen und ihre Ziele zu verfolgen, kann es keine absolute Sicherheit vor Cyberbedrohungen geben. Dennoch gibt es Maßnahmen, die Angriffe erschweren und Sicherheitsexperten mehr Zeit geben können, Sicherheitslücken aufzudecken, zu untersuchen und zu reagieren, bevor einem Angriff schlimme Schäden folgen.

Netzwerke, die auf Fernzugriffsanwendungen setzen, können mit strengen Richtlinien für Kennwörter und Zwei-Faktor-Authentifizierung besser geschützt werden, als es bisher bei vielen Unternehmen Standard ist. Darüber hinaus kann das Risiko einer Malware-Infektion sicherheitskritischer Systeme minimiert werden, wenn auf diesen nur geprüfte und genehmigte Anwendungen ausgeführt werden dürfen. Als sicherheitskritisch sollten dabei vor allem sämtliche Jumpserver, Domänencontroller und Systeme gelten, auf denen Kreditkartendaten verarbeitet werden. Privilegierte Konten im Netzwerk, wie das des Systemadministrators, sind für Angreifer besonders interessant. Administratorkonten für verschiedene Systeme sollten deshalb unterschiedliche Kennwörter haben, um die Hürde für Angreifer so hoch wie möglich zu gestalten.

Wo Geld ist, bleiben auch Kriminelle nicht weit

Einzel- und Online-Händler gehören schon seit Langem zu den bevorzugten Zielen von Internetkriminellen, weil sie tagtäglich mit finanziellen Daten arbeiten. Angreifer nutzen zwar immer wieder neue Angriffsmethoden und das Medieninteresse an ihren Aktivitäten steigt, doch die Bedrohung durch Cyberkriminelle ist nicht neu und wird für die Branche auch in Zukunft eine große Herausforderung darstellen. Mit den richtigen Maßnahmen und dem Einsatz von bewährtem Know-how können Handelsunternehmen das Risiko durch Cyberangriffe und ihre Folgen jedoch deutlich verringern.

Von Frank Kölmel, Vice President Central & Eastern Europe bei FireEye

RSS Feed

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags