Bei der Hetzner Online AG wurde durch einen Informanten eine Datenlücke offenbart, die vermutlich auch von Dritten für einen unautorisierten Eingriff in die Datenbanken genutzt werden konnte: "Vor geraumer Zeit wurden bei uns aufgrund einer sicherheitsrelevanten Schwachstelle in unseren Systemen Passwortdaten ausgespäht. Diese Sicherheitslücke wurde bereits vor einigen Monaten aufgrund von fortlaufenden Sicherheitsupdates auf unseren Servern geschlossen. Kürzlich wurden diese Passwortdaten wieder aufgegriffen und sich damit Zugang zu unseren Systemen verschafft. Danach wurde ein Journalist in den Vorfall einbezogen.", meldete Hetzner auf ihrer Status-Webseite.
Ein Glück, dass die Sicherheitslücke aufgedeckt werden konnte und auch von Seiten Hetzner's sofort reagiert wurde. itratos, eine Internet-Agentur, die sich unter Anderem auf Web Application Security spezialisiert hat, berichtet aus eigener Erfahrung, dass Betreiber oft nur zufällig und erst nach Monaten einen Angriff erkennen. Dann ist es allerdings oft zu spät. Betrüger können nämlich bis zur Entdeckung mit den erbeuteten Daten frei agieren. Betroffene Kunden sollten nun ihre Passwörter ändern und in nächster Zeit ihre Kontobewegungen und Kreditkartennutzung beobachten, je nachdem was sie bei Hetzner als Zahlungsarten gespeichert haben. Hetzner hat am Tag der Mitteilung auch die Datenaufsichtsbehörde kontaktiert. Aktuelle Informationen zum Angriff und zu den Ermittlungen finden sich auf hetzner-status.de.
Inzwischen kommt auch Lob von Kunden der Hetzner Online AG für den transparenten Umgang. Das zeigt, wie wichtig Datenschutz und Sicherheit im E-Commerce-Bereich sind und deckt sich mit den Ergebnissen der Quelle-Trendstudie "Webshopping 2009". In dieser ist "Sicherheit und Datenschutz" mit 25,5 % das Kriterium Nummer Eins bei der Auswahl eines Online-Shops.
Angriffe auf Online-Shops finden oft über den Weg der Webanwendungen statt. Trotzdem ist Web Application Security für Viele ein blinder Fleck in der Internetsicherheit. Command-Injection- oder "Man-in-the-Middle"-Attacken nutzen die für Nutzereingaben offenen Schnittstellen der Internetseiten als Einfallstore, um in die Datenbanken einzubrechen. Besonders beliebt sind Kreditkarten-Informationen; aber auch Passwörter, Adressen und Kontodaten, neue Produktideen oder Unternehmensgeheimnisse werden gestohlen. Hier helfen normale Firewalls nicht weiter. Eine software-basierte Web Application Firewall wird benötigt. Diese soll die Web-Anwendung in dem Moment schützen, wenn sie für Angriffe offen ist Eine solche Web Application Firewall ist das PHPIDS (PHP-Intrusion Detection System) für PHP-basierte Webanwendungen. Dazu bietet itratos nicht nur ein Forum, sondern auch generell fachliche Unterstützung für den Bereich Web Application Security: von der Beratung bei der Projektplanung, über Security Audits bis hin zu Mitarbeiterschulungen. Mit einer Vorlaufzeit von zwei bis drei Wochen kann der Service von itratos auch flexibel eingesetzt werden. Zum Test auf Sicherheitslücken steht ein internationales Team von vier erfahrenen und der Projektleitung seit Jahren persönlich bekannten Pentestern aus Deutschland, Großbritannien und Spanien zur Verfügung.
Links:
Status der Ermittlungen zum Angriff:
http://hetzner-status.de
Problem Web Application Security:
http://www.tecchannel.de/...
Quelle-Trendstudie "Webshopping 2009":
http://www.shopbetreiber-blog.de/...
Itratos-Service zur Sicherheit von Web-Anwendungen:
http://www.itratos.de/...
PHP-Intrusion Detection System (PHPIDS)
https://phpids.org/
Forum für PHPIDS und Web Application Security:
http://forum.itratos.de/...
Über Hetzner:
Hetzner Online ist ein professioneller Webhosting-Dienstleister und erfahrener Rechenzentrenbetreiber. Seit 1997 stellt das Unternehmen Privat- und Geschäftskunden leistungsstarke Hosting-Produkte sowie die nötige Infrastruktur für den reibungslosen Betrieb von Websites zur Verfügung. Durch die Kombination aus stabiler Technik, attraktiven Preisen und flexiblen Support- und Serviceleistungen baut Hetzner Online seine Marktposition im In- und Ausland kontinuierlich aus.
Ein Glück, dass die Sicherheitslücke aufgedeckt werden konnte und auch von Seiten Hetzner's sofort reagiert wurde. itratos, eine Internet-Agentur, die sich unter Anderem auf Web Application Security spezialisiert hat, berichtet aus eigener Erfahrung, dass Betreiber oft nur zufällig und erst nach Monaten einen Angriff erkennen. Dann ist es allerdings oft zu spät. Betrüger können nämlich bis zur Entdeckung mit den erbeuteten Daten frei agieren. Betroffene Kunden sollten nun ihre Passwörter ändern und in nächster Zeit ihre Kontobewegungen und Kreditkartennutzung beobachten, je nachdem was sie bei Hetzner als Zahlungsarten gespeichert haben. Hetzner hat am Tag der Mitteilung auch die Datenaufsichtsbehörde kontaktiert. Aktuelle Informationen zum Angriff und zu den Ermittlungen finden sich auf hetzner-status.de.
Inzwischen kommt auch Lob von Kunden der Hetzner Online AG für den transparenten Umgang. Das zeigt, wie wichtig Datenschutz und Sicherheit im E-Commerce-Bereich sind und deckt sich mit den Ergebnissen der Quelle-Trendstudie "Webshopping 2009". In dieser ist "Sicherheit und Datenschutz" mit 25,5 % das Kriterium Nummer Eins bei der Auswahl eines Online-Shops.
Angriffe auf Online-Shops finden oft über den Weg der Webanwendungen statt. Trotzdem ist Web Application Security für Viele ein blinder Fleck in der Internetsicherheit. Command-Injection- oder "Man-in-the-Middle"-Attacken nutzen die für Nutzereingaben offenen Schnittstellen der Internetseiten als Einfallstore, um in die Datenbanken einzubrechen. Besonders beliebt sind Kreditkarten-Informationen; aber auch Passwörter, Adressen und Kontodaten, neue Produktideen oder Unternehmensgeheimnisse werden gestohlen. Hier helfen normale Firewalls nicht weiter. Eine software-basierte Web Application Firewall wird benötigt. Diese soll die Web-Anwendung in dem Moment schützen, wenn sie für Angriffe offen ist Eine solche Web Application Firewall ist das PHPIDS (PHP-Intrusion Detection System) für PHP-basierte Webanwendungen. Dazu bietet itratos nicht nur ein Forum, sondern auch generell fachliche Unterstützung für den Bereich Web Application Security: von der Beratung bei der Projektplanung, über Security Audits bis hin zu Mitarbeiterschulungen. Mit einer Vorlaufzeit von zwei bis drei Wochen kann der Service von itratos auch flexibel eingesetzt werden. Zum Test auf Sicherheitslücken steht ein internationales Team von vier erfahrenen und der Projektleitung seit Jahren persönlich bekannten Pentestern aus Deutschland, Großbritannien und Spanien zur Verfügung.
Links:
Status der Ermittlungen zum Angriff:
http://hetzner-status.de
Problem Web Application Security:
http://www.tecchannel.de/...
Quelle-Trendstudie "Webshopping 2009":
http://www.shopbetreiber-blog.de/...
Itratos-Service zur Sicherheit von Web-Anwendungen:
http://www.itratos.de/...
PHP-Intrusion Detection System (PHPIDS)
https://phpids.org/
Forum für PHPIDS und Web Application Security:
http://forum.itratos.de/...
Über Hetzner:
Hetzner Online ist ein professioneller Webhosting-Dienstleister und erfahrener Rechenzentrenbetreiber. Seit 1997 stellt das Unternehmen Privat- und Geschäftskunden leistungsstarke Hosting-Produkte sowie die nötige Infrastruktur für den reibungslosen Betrieb von Websites zur Verfügung. Durch die Kombination aus stabiler Technik, attraktiven Preisen und flexiblen Support- und Serviceleistungen baut Hetzner Online seine Marktposition im In- und Ausland kontinuierlich aus.
