Immer wieder liest man von Einbrüchen in Serversysteme von Unternehmen und dem Diebstahl sensibler Daten. Dass diese Angriffe namhafte Firmen mit einem großen Kundenstamm treffen, ist beunruhigend.

Jüngstes Beispiel ist der US-Softwarehersteller Adobe. Bei einem offenbar groß angelegten Angriff kamen nicht nur der Quellcode von einigen Adobe-Programmen, sondern auch die Daten von ca. 2,9 Millionen Kunden abhanden. Darunter die Benutzer-IDs, verschlüsselte Passwörter sowie Kreditkartendaten. Zugriff auf unverschlüsselte Kreditkartendaten hat nicht bestanden – jedenfalls geht Adobe davon aus.

Das Unternehmen hat inzwischen die Passwörter seiner Kunden zurückgesetzt. Dies sei eine reine Vorsichtsmaßnahme. Die Begründung: es könne nicht ausgeschlossen werden, dass sich die Angreifer trotz Verschlüsselung dieser Daten doch Zugriff darauf verschafft haben. Das lässt hoffen für die Kreditkartendaten... Immerhin bietet Adobe seinen US-amerikanischen Kunden an, die betroffenen Kreditkarten ein Jahr lang kostenlos zu überwachen. Versuch der Schadensbegrenzung.

Die entwendeten Quellcodes betreffen u.a. die Produkte Acrobat und ColdFusion, aber es gibt bislang keine Hinweise auf Manipulation. Auch wurden bislang keine gezielten Angriffe auf Schwachstellen in den Programmen (sog. Exploits) registriert.

Das ganze Ausmaß des Schadens ist noch nicht abzusehen, die Zeit wird es an den Tag bringen. Was bleibt, ist ein ungutes Gefühl, insbesondere, was Zahlungsvorgänge im Internet betrifft - naturgemäß von jeher ein sensibles Thema. Vorfälle wie bei Adobe machen es Handeltreibenden nicht einfacher, Vertrauen in Online-Kauf- und Zahlungsabwicklungen aufzubauen und zu erhalten.

So wird sich Adobe die Frage gefallen lassen müssen, warum hausintern erst ab Mitte September in dem Vorfall ermittelt wurde, wenn der Einbruch allem Anschein nach schon im August erfolgte. Systeme zur Angriffserkennung (Intrusion Detection) müssten viel schneller Alarm schlagen – so sie denn eingesetzt und mit Sachverstand betrieben werden. Wie kann es sein, dass bei einem solch großen Kundendatenbestand und so sensiblen Daten ein Angriff in diesem Ausmaß so lange unentdeckt bleibt?

Das A und O für den Internet-Handel sind und bleiben sorgfältige Sicherheitsmaßnahmen, ohne Wenn und Aber. Selbst dann wird man Angriffe nicht zu 100% ausschließen können, hat aber die Chance Schlimmeres zu verhindern. Hier sind klar die Unternehmen in der Pflicht, für eine entsprechende Sicherung und engmaschige Überwachung ihrer Systeme und Daten zu sorgen, nicht nur dann, wenn sie persönliche und Zahlungsdaten verwalten – aber dann erst recht. Ansonsten haben die Kunden zu Recht kein Vertrauen in den Online-Handel.

Quelle:
Einbruch bei Adobe: Millionen Kundendaten sowie Sourcecode von ColdFusion und Acrobat geklaut (heise.de)