Appell nach dem Hack: „Arbeiten Sie mit Profis!“

Was tun, wenn der eigene Online-Shop gehackt wird und ausfällt? Florian Heinemann wurde mir seiner Firma CampusPoint Hacking-Opfer. Schnelles und überlegtes Handeln ist im Moment des Angriffs notwendig und natürlich ein sicherheitsorientiertes Betriebskonzept. Über seine Learnings aus dem Sicherheitsvorfall spricht er im Interview.

Florian Heinemann ist Geschäftsführer eines Unternehmens, dass Opfer eines Hackerangriffs wurde. Nur durch viel Glück kamen er und seine Firma CampusPoint relativ unbeschadet davon. Der Schwerpunkt von CampusPoint liegt auf dem Vertrieb von IT-Geräten für Forschung und Lehre, doch ausgerechnet zum Semesterstart wurde der Online-Shop gehackt und fiel aus. In diesem IT Security Update schilderte er bereits, wie das passieren konnte. Im folgenden Gespräch erzählt Heinemann, was er daraus gelernt hat und worauf es für kleinere Unternehmen in solchen Situationen ankommt.

• Dank eines ausgeklügelten Betriebskonzepts war der Ecommerce-Shop nach rund 30 Minuten wieder online.
• Security-Patches sollten immer schnellstmöglich installiert werden; jede Verzögerung stellt ein Risiko dar.
• Kundendaten brauchen besonderen Schutz. Vermeidbare Daten sollten nicht gar nicht erst erhoben werden, denn dann können sie auch nicht gestohlen werden.

In welcher Situation traf Sie der Angriff und wie sind Sie damit umgegangen?

Wie im Videogespräch ausgeführt, war der Kern des Problems ein veraltetes Shop-System. Ich habe die Firma erst im Februar des Jahres, in dem der Hack stattfand, übernommen. Aber das Shopsystem war veraltet. Zum Zeitpunkt des Hacks war uns das bereits bekannt und wir bereiteten uns darauf vor, das System umzustellen. Wir haben es auch von vornherein so aufgestellt, dass dort keine Kundendaten lagern. Wir arbeiten mit einer Schnittstelle ins Warenwirtschaftssystem, dort liegen die Daten. Zahlungsdaten fallen gar nicht erst an, da unsere Kunden nur per Paypal oder Vorkasse zahlen können.

Die Vorbereitungen der Umstellung auf das neue System waren so angelegt, dass wir mit dem alten Shop noch durch den Semesterstart gehen können, denn das ist für uns die Zeit mit dem größten Umsatz. Aber nach dem Vorfall mussten wir die Umstellung beschleunigen und haben Nächte durchgearbeitet, um möglichst vor dem Semesterstart fertig zu werden. Das haben wir nicht ganz geschafft, aber ein paar Tage später waren wir mit dem neuen System online.

Haben Sie zur Bewältigung des Hacks externe Hilfe in Anspruch genommen?

Direkt am Morgen danach bin ich zum Anwalt gegangen, um zu klären, welche Optionen bestehen, was ich machen muss und was nicht. Er hat dann viele entsprechende Fragen gestellt und schließlich empfohlen, dass ein detaillierter Bericht erstellt wird. Den haben wir später gemeinsam erörtert und festgestellt, dass keine Maßnahmen notwendig sind.

Unser IT-Dienstleister verfügt über das notwendige Security-Know-How für solche Situationen, daher war keine weitere externe Unterstützung notwendig. Er hat den Schaden analysiert und ein Dossier erstellt, in dem niedergeschrieben ist, was passiert war und welche Datenbewegungen es wann gab.

Wie ist es Ihnen gelungen, schon 30 Minuten nach dem Ausfall des Shop-Systems wieder online zu sein?

Wir arbeiten nach der Methodik Blue-Green-Deployment, das heißt, wir halten immer das aktuelle Release beziehungsweise die aktuelle Version sowie die zwei vorangegangenen Versionen auf dem Server vor. Das erlaubt uns, sehr schnell auf ein älteres Release zurückzuwechseln. Es musste nur die Verknüpfung von der aktuellen Version auf die Vorversion geändert werden, um wieder lauffähig zu sein. Da wir zumeist kurze Versionszyklen haben, gab es dabei keinen nennenswerten Feature-Loss und das System konnte kurz darauf wieder vollständig genutzt werden.

Welche Konsequenzen haben Sie aus dem Vorfall gezogen?

Wir haben einen Budget- und Pflegeplan aufgestellt, in dem festgelegt ist, wann wir eine neue Version erwarten und wie viel Geld wir dafür brauchen. Wenn ein Sicherheitspatch kommt, lassen wir alles stehen und liegen, prüfen das Update und spielen es ein. Das ist teilweise sehr aufwendig. Wir haben das aber monatlich fest eingeplant. Diese Sichtweise hatten wir vorher nicht, das mussten wir uns erst mal erarbeiten. Das läuft in Kooperation mit unserem Dienstleister, der dafür extra Zeit und Budget veranschlagt hat. Wir müssen jedes Mal alle Funktionen durchtesten, beispielsweise die vielen separat zu buchbaren Konfigurations- und Ausstattungsoptionen. Dafür haben wir einen Ablaufplan entwickelt, der Seite für Seite abgearbeitet wird. Zwei Mitarbeiter müssen dafür extra Arbeitszeit blocken.

Intern haben wir die Passwortregeln verschärft; nun ist zum Beispiel mehr Komplexität notwendig. Wir stellen jetzt jedem Mitarbeiter einen Passwort-Safe zur Verfügung, um mit der Menge an komplexen Passwörtern umgehen zu können. Außerdem haben wir bei den Cloud-Diensten die Sicherheitseinstellungen verschärft.

Für unsere Mitarbeiter haben wir regelmäßige verpflichtende Awareness-Schulungen eingeführt. Wir achten sehr darauf, dass das gemacht wird. In regelmäßigen Briefings lassen wir uns von einem Dienstleister erklären, welche Bedrohungen gerade aktuell auftreten. Das hat auch dazu geführt, dass wir einen Betrugsversuch, der per E-Mail startete, verhindern konnten. Da wäre sonst eine ganze Palette mit Notebooks verschwunden. Wir konnten dazu beitragen, dass später die Betrugsbande aufgeflogen ist und festgenommen werden konnte.

Hatte der Angriff noch zu anderen Effekten geführt?

Im Nachgang haben wir auch festgestellt, dass wir häufig von Bots attackiert werden. Deshalb haben wir ein Art Bot-Blocker vorgeschaltet, der so etwas herausfiltert. Seitdem untersuchen wir auch die Bounce-Rate, also Besucher, die vom Shop abgelehnt werden. Diese Rate ist recht hoch. Dies erfolgt anhand von Auffälligkeiten, etwa wenn im Datenstrom chinesische Schriftzeichen auftauchen. Wir blocken auch aktiv IP-Nummern, wenn wir merken, dass von dort verstärkt auffällige Anfragen kommen.

Was sollten Dritte daraus lernen, was würden Sie nach diesen Erfahrungen anderen empfehlen?

Das Wichtigste: Keine Updates aufschieben, niemals. Das hat sich bei mir bis in die private Welt durchgesetzt. Ich gehe jetzt permanent davon aus, dass Updates immer einen Sinn haben. Ich bin froh, dass wir eigenes Personal mit Sicherheits-Know-how haben und einen Dienstleister mit Fachkenntnissen, dem wir vertrauen können. Das Vertrauen ist wichtig, das muss da sein. Partnerschaften basieren auf Vertrauen. Darauf würde ich achten, dass ein Dienstleister Security-Know-how hat und vertrauenswürdig ist. Im Internet nimmt nach meiner Wahrnehmung die Bedrohung ständig zu. Wenn man online agiert, muss man immer mit wachem Verstand unterwegs sein, sowohl als Kunde, als auch als Anbieter oder Betreiber.

Autor: Uwe Sievers