In der heutigen Welt ist es fast unmöglich, sich ein Unternehmen ohne irgendeine Verbindung zum Internet vorzustellen - eine Website, E-Mail, Mitarbeiterschulung, CRM (Kundenbeziehungsmanagement), CMS (Content Management System) usw. Es vereinfacht und beschleunigt den Bestellvorgang, die Suche nach neuen Kunden, die Suche und Aufbewahrung von Aufzeichnungen und dergleichen.
Einige Unternehmen verwenden vorgefertigte Lösungen, andere stellen Fachleute ein, um unternehmensspezifische Tools zu erstellen, und einige entscheiden sich für die Entwicklung von Software, die zur Lösung ihrer täglichen Aufgaben erforderlich ist. Mit der Zeit hat jeder seine eigene Website, E-Mail, seine ersten Kunden werden in eine Datenbank eingegeben und Manager können die täglichen Aktivitäten des Unternehmens verfolgen. Leider ignoriert eine überwältigende Mehrheit der Unternehmen die Tatsache, dass jeder Server, jede Website, jede E-Mail-Adresse ein potenzielles Ziel für Hacker ist. Die am häufigsten verwendete Ausrede lautet: Unser Geschäft ist zu klein, wer könnte möglicherweise an unseren Daten interessiert sein? Ist es wirklich so?
Nein, nein. Diese Art des Denkens ist einer von vielen Fehlern, die das moderne Internet immer anfälliger machen. Moderne „digitale“ Kriminelle denken nicht zu viel darüber nach, wen sie angreifen. Es ist ihnen egal, ob Sie einen eigenen Online-Shop, einen Videoblog über Kätzchen oder ein Forum für Eishockeyfans in den Vororten von Südflorida haben.
Die zweite beliebte Ausrede, die viele Unternehmen verwenden, um ihre Web-Schwachstelle zu ignorieren, ist: Web-Sicherheit ist zu teuer! Auch eine falsche Aussage. Die Kosten für das Pentesting beginnen bei 99 US-Dollar für unser Unternehmen.
Um zu zeigen, wie anfällig die Internetpräsenz ist, haben wir auf unserem Server in einer neu erstellten Subdomain einen „Honeypot“ (einen Tracker, der Hackeraktivitäten analysiert und verfolgt) installiert. Innerhalb von 5 Tagen haben wir über 40.000 Scans aus mehr als 30 Ländern aufgezeichnet. Ungefähr ein Drittel aller dieser Scans versuchte eine Infiltration. Ich möchte Sie daran erinnern, dass die von uns verwendete Adresse neu erstellt wurde und nie veröffentlicht wurde!
Schauen wir uns Beispiele an, wie Hackerangriffe stattfinden können und welche Auswirkungen sie auf Ihr Unternehmen haben können. Wir werden auch darauf eingehen, welche Maßnahmen Sie ergreifen sollten, um den Angriff zu verhindern oder zumindest Ihre Gefährdung zu minimieren, einschließlich rechtlicher Konsequenzen (ja, Hackerangriffe können zu rechtlichen Problemen für Sie und Ihr Unternehmen führen).
Beispiel 1
Unternehmen A hat eine Visitenkarten-Website mit Informationen zum Unternehmen und einem Feedback-Formular erstellt. Sie haben diese Website selbst entwickelt, ohne dass Webdesigner involviert waren. Infolgedessen wurde ein Datenüberprüfungsfehler gemacht: Die Site schickte eine Bestätigung an die eingegebene E-Mail-Adresse mit der folgenden Meldung: „Mr. / Frau X, danke für deine Nachricht 'hier war der zitierte Text' “. Hacker verwendeten dieselbe Form von Nachrichten, um Links zu Websites mit schädlichem Inhalt zu versenden, wobei sie Adressen aus der Spam-Liste als Absender verwendeten. Die Domain wurde als Spam-Mailer blockiert und es dauerte mehrere Tage, um die Domain zu entsperren und von den Spam-Listen großer Mail-Server auszuschließen.
Das Problem wurde von unseren Experten mithilfe automatisierter Tests für 99 US-Dollar identifiziert, die eine detaillierte Fehlerbehebung beinhalteten.
Beispiel 2
Unternehmen B bestellte eine Website bei einem professionellen Webdesigner-Team, mietete einen Server bei einem ISP und installierte ihn. Zur Übertragung der Daten wurde eine lizenzierte Software installiert. Später wurde eine Beschwerde über einen inkonsistenten Scan eingereicht, der von der IP-Adresse des Unternehmensservers ausgeführt wurde. Die Website von Unternehmen B wurde sofort blockiert. Nach dem Pentesting wurde festgestellt, dass der ISP den Standardbenutzernamen und das Standardkennwort (admin / admin) nicht ändern konnte. Angreifer konnten den Server leicht infiltrieren und die Software von Unternehmen B für illegale Aktivitäten verwenden.
Nachdem der Server entfernt und zurückgesetzt wurde, erlaubte der Anbieter die weitere Nutzung der Website. Die Kosten betrugen 349 US-Dollar.
Beispiel 3
Unternehmen C hat ein Bestellsystem entwickelt, mit dem Kunden Daten hochladen können. Beim Erstellen eines Zugriffspunkts wurde ein technischer Fehler gemacht, der es Hackern ermöglichte, alle Daten von allen ihren Clients mithilfe einer SQL-Injection zu stehlen. Infolgedessen wurde Unternehmen C für eine Woche aus dem Geschäft genommen, und finanzielle Verluste wurden auf Zehntausende von Dollar entschädigt. Der oben genannte technische Fehler wurde von unserer Firma entdeckt. Die Kosten für das Pentest betrugen 2.500 USD.
Dies sind nur einige Beispiele. Es gibt Dutzende, wenn nicht Hunderte von Angriffsoptionen. Wie Sie diesen Beispielen entnehmen können, hätte es diese Unternehmen viel weniger gekostet, einen Hackerangriff zu verhindern, als sich mit den Folgen eines Hackings zu befassen.
Fragen Sie die Experten, was zu tun ist, um unangenehme Situationen zu vermeiden. Und denken Sie daran, dass es leider keine unverwundbaren Systeme gibt.