Aktuelle News

Innenminister de Maizière macht Online-Shops für Sicherheit ihrer Kunden verantwortlich

Von: | 19. Dezember 2014 | IT-Sicherheit
VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

Kurz vor Jahreswechsel hat Innenminister de Maizière noch etwas Lustiges Trauriges zum Thema E-Commerce und IT-Sicherheit gesagt. So plant die Bundesregierung ein IT-Sicherheitsgesetz, mit dem die kritische Infrastruktur des Internets geschützt werden soll. Innenminister de Maizière erklärte bei der Vorstellung des Gesetzesentwurfs, dass aber auch jeder Online-Shop in Zukunft mit neuen Vorschriften konfrontiert werde.

Schließlich könne laut de Maizière, jeder Online-Shop, also auch der kleinste unter den Kleinen, zu erheblichen, verheerenden Auswirkungen bei anderen führen. Nämlich dann, wenn man sich durch das Ansurfen von unsicheren Diensten Trojaner oder Viren einfängt.

Das neue IT-Sicherheitsgesetz könnte im zweiten Halbjahr 2015 in Kraft treten und damit die neuen Auflagen für Online-Shopbetreiber bringen. Grundlegend gelte es, dass ein Online-Shop auf dem „Stand der Technik“ gehalten werden müsse. So sollen Online-Händler, die einen eigenen Shop betreiben, die Sicherheit ihrer Kunden gewährleisten.

Die im Entwurf verlangten Vorkehrungen zur IT-Sicherheit müssten “den Stand der Technik berücksichtigen” und “wirtschaftlich zumutbar” sein. Eine solche Vorkehrung sei “insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens”.

Soweit, so gut und sogar nachvollziehbar. Aber wie soll dies überprüft werden und was ist denn “Stand der Technik”?. Golem hat dies anhand des Beispiels WordPress veranschaulicht. Die noch weit verbreitete Version 3 ist bekanntermaßen sicherheitsgefährdet. Kann also jeder abgemahnt werden, der WordPress nicht auf dem aktuellsten Stand hält? Wer soll das überprüfen und abmahnen?

Dürfen da am Ende Abmahnanwälte ran? – aber ich möchte ja nicht den Teufel an die Wand malen. Zumal dieser Punkt ja eben absolut unklar ist.

Nicht von dem Gesetz betroffen sind übrigens “nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine”, wie es in der Gesetzesbegründung heißt. Die sind ja vor Hackerangriffen geschützt und können daher keine Viren und Trojaner weiterverbreiten, wie wir alle wissen.

Mal ganz ehrlich – mir scheint das ja im Kern nicht falsch zu sein, dass Unternehmen für die Sicherheit Ihrer Webpräsenz verantwortlich sind. Da aber die Umsetzung für mein Verständnis komplett offen ist, klingt es für mich eher nach “Gewäsch” denn nach Plan.

 

SSL Sicherheitslücke: Im Weihnachtsgeschäft geht vielleicht mit Paypal nichts mehr

Von: | 17. November 2014 | IT-Sicherheit
VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

Kürzlich wurde eine Sicherheitslücke im alten SSL-3-Protokoll bekannt, weshalb Paypal die Unterstützung für das Protokoll am 03. Dezember 2014 daher vollständig deaktiviert, wie unter anderem t3n vergangene Woche berichtete. Dies bedeutet für Online-Händler die darauf nicht reagieren unter Umständen, dass ab diesem Tag keine Paypal-Zahlungen mehr möglich sind. Und dies in der umsatzstärksten Zeit.

t3n berichtet von bisher drei Shop Softwares, die davon betroffen sein können: OXID eSales, xt:commerce und Prestashop. Gut vorstellbar, dass noch bei weiteren Shopsystemen Handlungsbedarf besteht. t3n möchte dazu weiter berichten. Doch auch wenn Online-Händler eines der genannten drei Shopsysteme einsetzen, sind sie nicht zwangsweise betroffen. Dies hängt nämlich dann wiederum vom genutzten Zahlungsmodul ab.

Dennoch sollte für JEDEN Online-Händler gelten, sich sicherheitshalber mit seinem Shopsystem- oder Modul-Anbieter in Verbindung zu setzen und zu prüfen, ob er betroffen sein könnte.

Anmerkung: Dieser Artikel wurde am 17.11. aktualisiert, da ursprünglich bei manch Leser der Eindruck entstanden sein könnte, es gäbe bei Paypal eine Sicherheitslücke. Dies war nicht beabsichtigt und ist nicht der Fall

 

Weihnachtsgeschäft = Hochkonjunktur in Sachen Cybercrime?

Von: | 3. Januar 2014 | IT-Sicherheit
VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

Nach der Zwischenauswertung der aktuell laufenden Studie zu Cybercrime von ibi research  zu urteilen, nimmt für 70 % aller Teilnehmer das Thema “Informationssicherheit” einen hohen bis sehr hohen Stellenwert ein. Und das ist gut so, denn längst ist Cybercrime nicht mehr Sache einzelner Freaks, sondern in den Status eines “professionelles Geschäftsmodells” für weltweit operierende und gut organisierte Kriminelle gewechselt.

Es ist also keine Schande, wenn es einen trifft – im Gegenteil: allein Erpressungen mit DDoS treffen laut Studien-Zwischenstand fast 11% aller (zumindest aller Studienteilnehmer). Besonders zur Zeit des Weihnachtsgeschäftes hat  Cyber-Erpressung Hochkonjunktur, wie die letzten Jahre gezeigt haben, man denke nur an das drastische Beispiel von Conrad Elektronic in 2011. Doch Cyber-Crime beinhaltet noch viel mehr, als “nur” DDoS-Erpressung (Tipp: Unsere Ratgeber zu DDoS finden Sie hier und hier). Spätestens seit Google dafür die Tür geöffnet hat, kann auch über den Hebel Bad-SEO erpresst – oder ganz banal der Wettbewerb zeitweise aus dem Rennen geschossen – werden.

Die Zahlen der Zwischenauswertung ibi researchs vom 19.12.2013 ergeben in Sachen Cyber-Crime folgendes Bild:

Chart zu den Zahlen von ibi research

Wie verlieft Ihr Weihnachtsgeschäft? Lief alles reibungslos oder wurden auch Sie erpresst oder Opfer von Attacken?  Schreiben Sie uns – und nehmen Sie noch Teil an der Umfrage von ibi research unter http://www.ibi.de/isiec_2014

Herzlich aus Hürth
Nicola Straub

 

Wenn die eigene Website auf der Blacklist landet: PSW bietet Hilfe für Betreiber infizierter Seiten

Von: | 31. Mai 2013 | IT-Sicherheit
VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)

(Pressemitteilung): Es passiert meist schneller als gedacht: Unbekannte nutzen Schwachstellen von Websites aus, infizieren sie mit ihrem Schadcode und als Folge davon landen die betroffenen Seiten sehr schnell auf den wichtigsten Blacklists. Eine solche pflegt beispielsweise der Suchmaschinenriese Google. Auf dessen Safe-Browsing-Dienst greifen beliebte Browser wie Firefox und Chrome zurück und warnen den Anwender vor Sicherheitsrisiken, wenn er eine der gelisteten Websites besuchen möchte. „Besonders problematisch ist, dass viele Website-Betreiber meist gar nicht merken, dass ihre Seite zur Malware-Schleuder wurde“, erläutert Christian Heutger, Geschäftsführer der PSW GROUP GmbH & Co. KG. Ebenso wenig erfahren sie zeitnah von dem Blacklisting ihrer Website. In der Folge leidet die Reputation betroffener Websites massiv. Der Vertrauensverlust auf Seiten der Besucher ist groß. (more…)

 

SSL-gesicherte Onlineshops auf die neue Browserversion von Firefox vorbereiten

Von: | 17. Mai 2013 | IT-Sicherheit
VN:F [1.9.22_1171]
Rating: 5.0/5 (2 votes cast)

(Pressemitteilung): Die neue Version des beliebten Browsers Firefox wirft ihre Schatten voraus. Die 23. Auflage mit dem Code-Namen „Aurora“ soll am 17. Mai offiziell erscheinen. Vor diesem Hintergrund empfehlen die Internet Security-Spezialisten der PSW GROUP allen Website-Betreibern, die auf ihren Seiten das beim SSL-Einsatz erforderliche HTTPS-Protokoll verwenden, schon jetzt Vorbereitungen für die wesentliche Neuerung des Firefox 23 zu treffen: Den „Mixed Content Blocker“. Dieser sorgt dafür, dass SSL-gesicherte Seiten, in denen gemischte aktive Inhalte eingebunden sind, durch den Browser standardmäßig blockiert werden. Zu diesen Inhalten zählen neben Schriften auch JavaScript, CSS und Videoformate wie iFrame. (more…)

 

Jede Website kann zur Trojaner-Schleuder werden

VN:F [1.9.22_1171]
Rating: 5.0/5 (3 votes cast)

(Pressemitteilung): Dass Trojaner dazu eingesetzt werden, um die Online-Banking-Daten von Bankkunden auszuspionieren, ist nicht neu. Dass derartige Schadprogramme direkt über die Website eines Kreditinstitutes, in diesem Fall die zentrale Website der Sparkasse, verbreitet werden, das gab es hierzulande bisher nicht. Hacker hatten sich im Februar über eine Sicherheitslücke Zugriff auf die Seiten unter www.sparkasse.de verschafft und dort ihre Malware platziert. Kunden, die in dem fraglichen Zeitraum auf die Sparkassen-Website zugegriffen haben, können ihren Rechner durch den Besuch mit dem Trojaner infiziert haben. (more…)

 

Neues Gratis-Whitepaper „DDoS-Attacken – keine Panik, schnell reagieren“

Von: | 6. Februar 2013 | IT-Sicherheit,Shop Software
VN:F [1.9.22_1171]
Rating: 5.0/5 (2 votes cast)

Distributed Denial-of-Service-Attacken (DDoS-Attacken) auf Onlineshops finden oft ab Oktober statt, wenn für die Shop-Betreiber die wichtige, da umsatzträchtige, Weihnachtszeit beginnt. Die beiden kürzlich bekannt gewordenen Fälle des Online-Marktplatzes Dawanda und des Online-Händlers Noblego führen jedoch nur zu deutlich vor Augen, dass DDoS-Attacken jederzeit eine Bedrohung darstellen, die hohen Schaden bei den betroffenen Onlineshops verursachen können.

DDoS-Attacken sind einfach zu bewerkstelligen

Die Methode einer DDoS-Attacke ist vergleichsweise simpel: Ein Webserver (oder auch andere Services, wie FTP bzw. Mailserver) und das Netzwerk werden mit Anfragen schlicht überlastet.

Im Groben geschieht dies so: Normalerweise erhalten Webserver von dem Rechner eines Websitebesuchers aus eine Seitenanfrage, diese wird mit dem Ausliefern der angefragten Seite beantwortet. Bei einer DoS/DDoS-Attacke werden nun sehr viele Anfragen, meist über sogenannte Botnetze erzeugt, um so die technische Infrastruktur des Opfersystems zu überlasten. Die Systeme der Zielwebsite werden zunächst verlangsamt und können schließlich gar nicht mehr antworten (Denial of Service = den Dienst verweigern). Dies hat zur Folge, dass die Webseite nicht mehr ausgeliefert wird – Besucher sehen schlicht keine Inhalte mehr. (more…)

 

Der bvh berichtet über Ausmaß von DDoS-Attacken

Von: | 22. Dezember 2011 | IT-Sicherheit
VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)

Je teurer sich ein zeitweiser Shop-Ausfall für einen Händler gestaltet, desto leichter wird er sich erpressen lassen – nach dieser Devise scheinen sich Schutzgelderpressungen per DDoS-Attacken im Weihnachtsgeschäft zu häufen. Gestern berichteten beispielsweise der Webhoster Mittwald von massiven Attacken, die zu Ausfällen führten und die Shops der Conrad-Kette gingen ebenfalls gestern unter aggressiven Angriffen in die Knie.

Der Bundesverband des Deutschen Versandhandel e.V. berichtet von einer Umfrage des englischen Versandhandels-Verbandes IMRG, nach der rund 20% der E-Commerce-Unternehmen unter solchen Angriffen litten.

Als beruhigend sieht der bvh allerdings an, dass bei solchen Attacken zwar der Shop von außen lahm gelegt werde. Sensible Kundendaten könnten so aber nicht gewonnen werden… (more…)

 

Akut starke und erfolgreiche Massenangriffe auf osCommerce-Shops

Von: | 28. Juli 2011 | IT-Sicherheit
VN:F [1.9.22_1171]
Rating: 0.0/5 (0 votes cast)

AchtungBesitzer von osCommerce-Shops sollten diese dringend aktuell überprüfen und besonders gut im Auge behalten: Über eine Lücke, für die es noch keinen Patch gibt – laufen seit zwei Tagen starke Angriffe auf osCommerce-Shops. Gestern Mittag waren nach Angaben von iBusiness bereits mindestens 294 deutsche Onlineshops infiziert und verbreiteten in der Folge Malware. Eventuell sind auch andere Shopsysteme wie Zen-Cart betroffen.

Klick vergrößert

Klick vergrößert

Die Infizierung ist hier genau beschrieben: Infizierte Shopsysteme enthalten entweder einen eingebetteten iframe mit URL auf willysy.com oder direkt am TITLE-Tag eine Script -Einbettung mit URL von exero.eu (Abbildung von blog.armorize.com):
(more…)

 

Immer mehr deutsche PCs in kriminellen Händen

Von: | 13. Mai 2011 | IT-Sicherheit
VN:F [1.9.22_1171]
Rating: 5.0/5 (1 vote cast)

In unserem kürzlich veröffentlichten Gratis-Ratgeber “Nachgefragt: DDoS-Schutzgelderpressung – was tun?” beschrieben wir, dass die Methoden von Cyberkriminellen immer ausgefeilter werden: Bislang waren DDoS-Angriffe meist von Rechnern aus typischen “Angreiferländern” ausgeführt worden, so dass oft schon ein einfaches Blockieren der entsprechenden Länder-IPs ausreichte, um Angriffen die Schärfe zu nehmen. Mittlerweile aber wird immer öfter mittels Botnetzen in Deutschland angegriffen – ein einfaches “Aussperren von Länder-IPs” verbietet sich dann als Gegenmaßnahme, denn so würde der Shop auch allen echten Kunden verschlossen.

Für Kriminelle sind verseuchte (und damit fernsteuerbare) Computer in Deutschland mithin besonders wertvoll und deutsche Botnetze zu mieten war bislang vergleichsweise teuer. Doch die Preise könnten fallen, denn immer mehr Rechner werden hierzulande verseucht und von Kriminellen übernommen, wie Microsoft laut Heise News festgestellt hat: (more…)