Nach Meinung von Jennifer Granick, Litigation Director am Center for Internet and Society der Stanford Law School, wird die Sicherheit von den Unternehmen oft vernachlässigt, weil diese eher auf schnelles Geld aus sind.
E-Commerce-Unternehmen sind „während des Dot.Com-Booms wie Pilze aus dem Boden geschossen und online gegangen. Dabei haben sie nur auf das Geld geschaut und keinen Gedanken an die Sicherheit verschwendet“, sagte sie. „Sie waren ausschließlich mit ihrem Marketing beschäftigt, statt ihre Websites abzusichern.“ „Doch selbst wenn sie ihre Websites gegen Angriffe geschützt haben, sind sich viele Unternehmen nicht bewusst, wie wichtig es ist, im Falle einer Straftat das Beweismaterial zu sichern. Damit schwindet auch jegliche Hoffnung, einen der Eindringlinge dingfest machen zu können“, meinte Bruce Smith, ein Ermittler für Pinkerton Consulting & Investigations und ehemaliger FBI-Agent, der sechs Jahre lang an Fällen von Computer-Kriminalität gearbeitet hat.
„Es kommt häufig vor“, so Smith, „dass Agenten die Weblogs einer durch Hacking betroffenen Firma durchsehen und keinerlei Einträge finden, so dass sich die Spur des Eindringlings sofort verliert. Manchmal passiert es auch, dass der Online-Händler die Logdateien aus Versehen löscht und so die Spuren des Hackers mit anderen Daten überschreibt. Häufiger ist allerdings, dass die Log-Funktion gar nicht erst aktiviert wird, da dies die Performance der Website verschlechtern könnte.“
„Man hofft immer auf das Beste, wenn man einen Blick in die Logdateien wirft“, sagte Smith. „Manchmal hat man Glück, manchmal nicht.“
Darüber hinaus geht oft wertvolle Zeit verloren, wenn Unternehmen zu lange zögern, die zuständigen Stellen sofort nach einem Einbruch zu informieren. Der Grund dafür ist, dass oft betriebliche Interessen wichtiger genommen werden als die Strafverfolgung.
„Einfach nur Angst“, sagte Smith. „Die Unternehmen wollen nicht zugeben, dass sie Opfer eines Hackers geworden sind. Man kann sich die schlechte Presse vorstellen: Da erzählt jemand seinen Kunden, die eigene Website sei sicher, und gleichzeitig macht sich dort ein Hacker zu schaffen.“
Sicherheitsexperten kritisierten Egghead scharf, da die Firma wochenlang überprüfte, ob persönliche Kundendaten gefährdet waren. Ein Unternehmen mit gut funktionierendem Logsystem hätte nach Meinung von Sicherheitsspezialisten in der Lage sein müssen, das Ausmaß des Angriffs innerhalb von ein paar Tagen festzustellen. Dies hätte den Banken Kosten von 5 bis 25 US-Dollar für jede vorsichtshalber neu ausgestellte Kreditkarte gespart.
„Es gibt einige Punkte, von denen wir uns wünschen, wir hätten sie rechtzeitig vor dem Angriff erledigt“, sagte Jeff Sheahan, ehemaliger CEO von Egghead. „Wir waren überzeugt, über ein engmaschiges Kontrollsystem zu verfügen. Wir haben uns selbst gefragt, wie wir so etwas nur übersehen konnten. Wir haben uns einfach zu sehr auf andere Dinge konzentriert und nicht bemerkt, dass ein ziemlich großes Risiko bestand.“
Andere Online-Unternehmen täten gut daran, aus den Fehlern von Egghead zu lernen, denn die Zahl der Hacker-Angriffe nimmt stetig zu. Um diesen Trend zu beziffern, veröffentlichte Clements von CardCops falsche Kreditkarten-Nummern im Internet und verbreitete dann auf den von sog. „Cardern“ (Händlern von gestohlenen Kreditkarten) frequentierten Websites das Gerücht, dass eine Website diese Informationen versehentlich preisgegeben habe.
In weniger als einer halben Stunde hatte die Website 74 Besucher aus 31 Ländern. Innerhalb von wenigen Tagen war die Besucherzahl auf 1.600 gestiegen. Niemand weiß, wie viele der Besucher kriminelle Absichten hatten, doch Clements ist überzeugt, dass dies bei der Mehrzahl der Fall war.
„Da draußen im Internet tobt ein regelrechter Krieg“, sagte er, „und am Ende werden die Strafverfolger dabei den Kürzeren ziehen.“
Sie ermöglichen eine Remotecodeausführung. Angreifbar sind Acrobat DC, 2024 und 2020 sowie Reader DC und…
Die öffentlich bekannte und bereits ausgenutzte Schwachstelle erlaubt eine Rechteausweitung. Betroffen sind alle unterstützten Versionen…
Der neue Quantenchip Willow löst eine Herausforderung, an der seit 30 Jahren gearbeitet wird. Google…
Es erstellt kurze Videoclips aus Textaufforderungen. Sora steht ab sofort Abonnenten von ChatGPT Plus und…
Telekom bietet als erstes Unternehmen kommerzielles Angebot mit Teuken-7B von OpenGPT-X.
Zur Arbeitserleichterung umgehen Mitarbeiter unter anderem Cybersicherheitsrichtlinien. Dazu gehört wie Wiederverwendung von Kennwörtern für geschäftliche…