Posted on 11/01/2013 at 17:35

Tatort Internet

Industriemagazin

Die Zahl der Hackerangriffe steigt. Die gute Nachricht: Selbst vor professioneller Malware und Hacking-Plattformen können sich Betriebe wirkungsvoll schützen.

Schwachstellen in Web-Anwendungen, nicht gepatchte Server und Software: Sie sind nach wie vor die bedeutendste Zielscheibe für Attacken aus dem Internet. „Aber die Angreifer erkennen zunehmend das Potenzial von Social Media und mobilen Technologien“, fasst Martin Krammer, IBM Österreich, die Erkenntnisse des aktuellen X-force Report von IBM zusammen, „Malware wird immer häufiger über oder mit Hilfe von Informationen aus sozialen Netzwerken verbreitet. Diese Schadsoftware öffnet unbemerkt einem Angreifer den Einstieg in Unternehmen.“ Die Betreiber der sozialen Netzwerke haben dementsprechend ihre Sicherheitsbemühungen erhöht. Trotzdem werden Benutzerkonten auf den kriminellen Marktplätzen im Web zum Kauf angeboten. Einige gehören konkreten Personen, deren Userdaten gehackt wurden, andere Personen sind frei erfunden, erscheinen jedoch durch realistische Profile und eine große Anzahl an Kontakten sehr realistisch. Im besten Fall werden diese Profile nur dafür verwendet, mehr „Likes“ zu generieren oder gefälschte Kundenbewertungen abzugeben. Im Normalfall stecken jedoch oft kriminelle Machenschaften dahinter – das Online Äquivalent zum gefälschten Ausweis also.

Hack as a Service. Bis zu 80.000 Angriffsversuche verzeichnen die aus geklügelten Schutzsysteme von T-Systems allein auf das Rechenzentrum Wien – pro Tag. „Allerdings sind das Attacken unterschiedlichster Qualität“, sagt Thomas Masicek von T-Systems in Österreich, „das Spektrum der Angreifer reicht von jungen Amateuren, sogenannten Skript-Kiddies, die es einmal probieren möchten, bis hin zu professionell durchgeführten Angriffsversuchen.“ Die Wahrscheinlichkeit, einem Angriff zum Opfer zu fallen, sofern wirksame Sicherheitssysteme fehlen, hat die letzten Jahre stetig zugenommen, erklärt Masicek: „Man muss heute über keine spezifischen IT-Kenntnisse mehr verfügen, man muss nur wissen, wo die professionellen Anbieter zu finden sind.“ Denn Hacking-Plattformen werden im Web zunehmende Nutzung von mobilen Endgeräten exponiert die Unternehmens-IT. Damit gewinnen Zugriffs- und Datenschutzmaßnahmen an Bedeutung. Den Zugriff auf die Unternehmensdaten zentral zu regeln und exakt einzuschränken, ist aber eine logistische Herausforderung. „Identity & Access Management, kurz IAM, bietet nicht nur umfassenden Schutz, es vereinfacht die Prozesse rund um die Benutzer- und Berechtigungsverwaltung erheblich“, sagt Hannes Pfneiszl, Raiffeisen Informatik, „es birgt also auch Einsparungspotenziale.“

Zu den IAM-Anwendungen gehören auch Mitarbeiterausweise mit integrierter Kunde tatsächlich eine Transaktion tätigt.“ Für die Händler wiederum zählt, dass sie auf einen Partner zurückgreifen können, der jahrelange Erfahrungen mit dem Bezahlen im Internet hat und über das Know-how verfügt, um die zahlungsfreudigen Kunden von jenen zu trennen, die mit Vorsicht zu genießen sind. „Die richtige Einschätzung der Zahlungsbereitschaft ist vor allem eine Frage der Erfahrung“, sagt Toch, „die haben wir. Wirecard CEE beschäftigt sich mit dem Zahlen im Web schon, seit es den E-Commerce gibt.“

Auf Augenhöhe mit Banken. Auch die SOFORT AG hat sich dem sicheren Bezahlen im Internet verschrieben. „Unser Bezahlverfahren, die Sofortüberweisung, funktioniert nach dem Prinzip des Onlinebankings“, sagt Christian Renk, „der Kunde bestätigt mit einem TAN, den er über einen anderen Kanal, heute meist ein Mobiltelefon, erhält.“ Die einmalige Verwendbarkeit und die zeitlich beschränkte Verfügbarkeit des TAN gewährleisten die hohe Sicherheit der Bezahlung. Renk unterstreicht das mit einem Blick zurück: „Seit Gründung der SOFORT AG 2005 hatten wir keinen einzigen Betrugsfall bei PIN und TAN zu verzeichnen – eine lupenrein weiße Weste.“

Der Aufwand, den die SOFORT AG treibt, um ihren guten Ruf aufrechtzuerhalten, ist beträchtlich. Der Zahlungsdienstleister lässt sich nicht nur regelmäßig vom TÜV überprüfen und führt die beiden TÜV-Siegel „Geprüfter Datenschutz“ und „Geprüftes Zahlungssystem“, seit letztem Jahr ist er auch nach der ISO 27001 zertifiziert. „Sicherheitstechnisch stehen wir damit auf Augenhöhe mit dem Bankensektor“, betont Renk, „Der Aufwand ist unumgänglich. Einen dunklen Fleck auf der Weste können wir uns nicht leisten.“

Pressemeldung downloaden