Am vergangenen Sonntag habe ich u.a. einer Firma in Österreich eine E-Mail geschickt, in der ich sie auf zwei Lücken, in dem von ihnen selber entwickelten CMS, hinwies. Eine betrifft mal wieder Cross-Site Scripting und die zweite Lücke ist ein Download-Script, welches es ermöglicht beliebige Dateien runterzuladen. Gestern hat diese Firma sogar geantwortet:

vielen Dank für Ihr E-Mail. Das sind alte, aber ernste Bugs, die nun behoben wurden.

Um XSS-Lücken auszunutzen braucht man schon etwas Zeit und Geduld, entsprechende Verbreitungskanäle, Opfer die verseuchte Links anklicken (reflektives XSS), etc. Aber um ein fehlerhaftes Script zum Download aller Dateien auszunutzen braucht man nur etwas Kenntnis über die Stellen an einem Server, wo sensible Dateien gespeichert sind, hier braucht der Angreifer keine Mithilfe eines Opfers.

Warum lässt eine Firma bekannte Bugs in ihrem eigenen Content Management System über Jahre hinweg ungefixt und verkauft es trotzdem weiter?

Die Firma meint wahrscheinlich, dass noch nie ein Kunde zu Schaden gekommen ist, weil sich bisher kein Kunde beschwert hat. Und nur weil irgendein Korinthenkacker sie nun auf Lücken hingewiesen hat, müssen sie tätig werden – “So ein Mist aber auch.”


Warum sind so viele persönliche Daten unter Kriminellen im Umlauf? Wurden die Millionen von Kreditkartendaten primär durch Einbrüche in die Server der Banken und Kreditkartenunternehmen gewonnen?

Sehr große Firmen sind sich dem PR-GAU bewusst, wenn Kundendaten abhanden kommen. Diese Unternehmen haben das Geld und die Manpower um Angriffe abzuwehren und ihre Systeme so zu gestalten, dass Angreifer nur sehr schwer an sensible Daten gelangen. Die Skandale der letzten Jahre hatten i.d.R. etwas mit dem Überschreiten der Befugnisse zur Datensammlung über Mitarbeiter zutun – sie waren selten Ursache von Sicherheitslücken.

Bei kleinen und mittleren Unternehmen sieht dies vollkommen anders aus. Ein PR-GAU verläuft meist im Sande der regionalen/lokalen Medien und wird erfolgreich ausgesessen. Die IT-Systeme der KMU beinhalten aber Lücken, die einem Angreifer die Tränen des Glücks in die Augen treiben. Der Angreifer bekommt dann zwar nicht, mit einem Hack, die Millionen von Datensätze geliefert, aber dafür so schnell und einfach, das es sich unterm Strich doch wieder lohnt.

Welche Sicherheitslücken in den Systemen der KMU schlummern und wie leicht man an deren Daten kommt, ist den kriminellen Hackern bewusst. Sie wissen auch, dass das Sicherheitsbewusstsein bei dieser Klientel noch nicht richtig ausgebildet ist. So lange wie ein Unternehmer die Lücken nicht im eigenen Portemonnaie bemerkt, so lange sind sie für ihn nicht vorhanden.