Vom Angriff kalt erwischt
Handelsblatt vom 26.09.2008
von Reppesgaard, Lars

Renommierte Webseiten verbreiten Schadsoftware, weil die Betreiber die Sicherheit vernachlässigen. Cyberkriminelle funktionieren so Onlineshops, Unternehmensauftritte und Internetzeitungen in Virenschleudern um - und nehmen dabei zunehmend populäre Seiten ins Visier. Dabei sind längst passende Schutz-Lösungen auf dem Markt.


Im September erwischte es die Leser von Businessweek. Beim Besuch der Internetseite des bekannten US-Wirtschaftsmagazins infizierten sie ihre Rechner mit Schadsoftware - heruntergeladen von russischen Servern. Hacker hatten die Seiten im Online-Jobbereich des Magazins manipuliert, so dass die Webseite den ahnungslosen Besuchern einen Trojanercode unterjubelte. Den Angriff aus dem Netz entdeckte nicht Businessweek selbst, sondern Computerexperten des Sicherheitssoftware-Anbieters Sophos wurden darauf aufmerksam.

Das renommierte Magazin befindet sich in bester Gesellschaft. Immer häufiger rücken populäre Internetportale und Onlineshops ins Visier von Cyberkriminellen. Neun von zehn Webseiten, die Schadenscode transportieren, sind einem Sophos-Report zufolge keine von Hackern betriebenen Seiten, sondern etablierte Angebote. Das Unternehmen stöbert derzeit pro Tag mehr als 16000 neu infizierte Webseiten auf.

Der letzte Großangriff geschah im April. Damals entdeckten Computerexperten der Unternehmen Websense und F-Secure hunderttausende kürzlich infizierte Webseiten. Auch das Internetangebot der ARD missbrauchten Angreifer schon einmal für ihre Zwecke. Erst einem Softwareentwickler für eine Internet-Fernsehzeitschrift fiel dies auf - die ARD nahm darauf die infizierten Teile ihres Webangebots vom Netz. Immer populärer werden sogenannte "SQL-Injection"-Angriffe - das Mittel der Wahl auch beim Angriff auf den Businessweek-Auftritt. Dabei durchsuchen Hackerprogramme Webseiten automatisch nach Lücken. Die Schwachstelle sind Eingabefelder, in denen Surfer zum Beispiel Suchanfragen, Namen, Adressen oder Bestellnummern eintippen. Diese Felder sind oft mit Datenbanken verbunden. Dort generieren Programme Antworten auf Suchanfragen und geben Auskunft darüber, ob Artikel verfügbar sind.

Oft sind die Eingabefelder aber nicht korrekt programmiert. Sie dürften beispielsweise weder Semikolon, Klammer noch Anführungszeichen akzeptieren. "Die Sonderzeichen können bei Oracle - oder Microsoft-SQL-Datenbanken im Hintergrund Aktionen auslösen" , sagt Stefan Strobel, Geschäftsführer des auf Computersicherheit spezialisierten Beratungsunternehmens Cirosec in Heilbronn. Die Unternehmenssysteme können dann ein Eigenleben entwickeln. Wer dieses Einfallstor offen lässt, erlaubt es Hackern, dass sie Daten mitlesen oder bei ähnlich funktionierenden "Cross-Site-Scripting"-Attacken eigenen Code hinterlassen. Die so eingeschleusten Programme sind oft Spionage-Anwendungen, die auf die Rechner der Internetsurfer überspringen und alle Tastatureingaben mitlesen. So kommen Cyberkriminelle an Kundendaten, Kontonummern und Kreditkarteninformationen.

Sicherheitsfachleute kritisieren, dass viele Seitenbetreiber bei der Absicherung ihrer Angebote schlampen. Viele Unternehmen hätten bis heute nicht ihre Hausaufgaben in Sachen Webseitensicherheit erledigt, sagt Experte Strobel. Dabei sei das Problem der SQL-Attacken bereits seit 2002 bekannt. "Bei 90 Prozent aller Firmen, die wir prüfen, finden wir Cross-Site-Scripting. 25 Prozent sind anfällig für SQL-Injektionen", sagt Strobel. "Und wir prüfen nur die Webseiten großer und etablierter Unternehmen. Wie sicher zum Beispiel die vielen kleinen Onlineshops sind, wissen wir gar nicht."

Die Wahrscheinlichkeit, dass etliche gut besuchte Webangebote tatsächlich ein Sicherheitsrisiko sind, ist daher groß. Dabei gibt es längst entsprechende Abwehrmittel auf dem Markt. Microsoft hat mit Scrawlr eine Software veröffentlicht, die nach SQL-Injection-Problemen auf Webseiten sucht. Trend Micro bietet dafür Secure-Site an. Komplett abblocken lassen sich trickreiche Code-Eingaben mit einer sogenannten Web-Application-Firewall, wie sie die Regensburger Firma Art of Defence als Zusatzsoftware für Webserver anbietet. Auch Securenet aus München und das kalifornische Softwareunternehmen Breach Security haben ähnliche Systeme entwickelt.

Wegen des großen Gefährdungspotenzials beim Online-Banking nehmen aber in der Regel nur Finanzinstitute den Aufwand auf sich, alle Seiten auf Schwachstellen zu untersuchen. Für die meisten anderen Webseitenbetreiber scheint das Thema Sicherheit hingegen keine Priorität zu besitzen. Vernünftig abgedichtet würden die Angebote selbst nach Hackerangriffen meist nicht, sagt Graham Cluley, Technologieanalyst bei Sophos. "Firmen, deren Webseiten von Attacken betroffen sind, säubern oft nur ihre Datenbanken - und werden dann ein paar Stunden später erneut infiziert."