| Internet-Shops im Visier der Cybergangster | |
| Passwörter nicht im Klartext abgespeichern | |
| Mehr Sicherheit mit Tokens auf Softwarebasis |
Dass im Wochentakt irgendwo auf der Welt Kundendaten geklaut werden, dürfte sich inzwischen weitgehend herumgesprochen haben. Die Kette an Meldungen über gehackte Datenbanken oder nach einer Datenpanne im großen Stil ausgetauschte Kreditkarten reißt nicht ab. In der Regel stecken Cyber-Kriminelle hinter den Einbrüchen, die mit einer ganz eigenen Art des E-Commerce ihren Lebensunterhalt bestreiten: Die Diebe verkaufen die erbeuteten Login-Daten (Benutzernamen, Passwörter, E-Mail-Adressen) und natürlich auch Kreditkarten- und Bankinformationen meistbietend in Untergrundforen. Der prominente Hacker Dan Kaminsky bringt es auf den Punkt: "Wir kämpfen nicht länger gegen Kids. Heute werden wir von Menschen angegriffen, die selbst Kinder haben - und sie ernähren müssen."
Ähnlich wie Privatanwender, die per massenhaft versandte Phishing-E-Mail Opfer von Datendieben werden, werden auch Online-Shops nur sehr selten einzeln aufs Korn genommen. Nur die Platzhirsche wie Amazon, Ebay oder Paypal dürften regelmäßig gezielt angegriffen werden. Kleinere E-Commerce-Angebote werden dagegen vollautomatisch attackiert, etwa indem ein Skript automatisch per Suchmaschine Installationen einer bestimmten Shop-Software-Version aufspürt, in der eine leicht zu missbrauchende Schwachstelle bekannt ist. Ebenso automatisch geschieht dann der Einbruch ins System mittels dieser Lücke. Wen die Cyber-Diebe da genau ausnehmen, dürfte sie in den wenigsten Fällen interessieren. Wichtig ist ihnen nur, dass möglichst viele verwertbare Daten abgesaugt werden können.
Ist die Cyber-Attacke erfolgt, zwingt Paragraf 42 des Bundesdatenschutzgesetzes den Betroffenen, seine Datenpanne der Aufsichtsbehörde zu melden. Sprechen keine Sicherheitsbedenken dagegen, müssen auch die Betroffenen sofort informiert werden. Im Fall eines Online-Shops sind dies alle Kunden, deren Daten vorgehalten wurden. Sind die Betroffenen nicht individuell bekannt - beispielsweise weil keine Postanschrift vorliegt -, muss ein mindestens halbseitiger Hinweis in mindes-tens zwei bundesweit erscheinenden Tageszeitungen erfolgen. Laut Preisliste kostet eine solche Anzeige in der "Frankfurter Allgemeinen Zeitung" 40.000 Euro oder mehr - sehr viel Geld für eine Datenpanne. Unterbleibt die Benachrichtigung, sind Bußgelder möglich, die den Preis der Anzeigen um ein Mehrfaches übertreffen.
