2008: Das Jahr des Datendiebstahls
Anzahl der gestohlenen Daten steigt dramatisch. SQL-Injections derzeit grösstes Hacker-Einfallstor.
Gemäss dem "2009 Data Breach Investigations Report" des Risk-Teams des grossen Telekommunikationskonzerns 'Verizon' wurden im letzten Jahr rund 285 Millionen Datensätze durch Angriffe auf Computernetzwerke kompromittiert. 98 Prozent der erbeuteten Daten waren Kreditkartendaten, mit denen verhältnismässig einfach an Geld zu kommen ist. Vergleicht man die aktuellen Daten mit den Untersuchungen aus den Jahren 2004 bis 2007 (total 230 Millionen Datensätze), so hat sich die Anzahl der kompromittierten Daten damit vervierfacht. Kommt hinzu: Auch wenn die Zahl hoch erscheint - sie ist lediglich die Spitze des Eisberges. Die Studie erfasst nämlich lediglich 90 bestätigte Vorfälle, die im Rahmen von forensischen Untersuchungen durch Verizon Business ausgewertet wurden.
Finanzdienstleister und Retailer sind am meisten von Angriffen betroffen, heisst es im Report. So seien ganze 93 Prozent der 285 Millionen Datensätze auf Systemen von solchen Instituten kompromittiert worden. Zurückzuführen ist dies grösstenteils darauf, dass diese Firmen meist auch über Daten wie Kreditkartennummern etc. ihrer Kunden verfügen, die Hacker weiterverkaufen können. Allerdings stellen die Spezialisten einen Preiszerfall beim Verkauf solcher Daten fest. So seien für eine gestohlene, funktionsfähige Kreditkartennummer Mitte 2007 noch Preise zwischen zehn und 16 Dollar erzielt worden, heute gäbe es dafür nur noch rund 50 US-Cents pro Datensatz.
Interessant erscheint uns die Tatsache, dass es sich lediglich bei 17 Prozent um gezielt ausgeführte und technisch hochstehende Angriffe gehandelt haben soll. Allerdings entfallen auf diese Angriffe 94 Prozent aller gestohlenen Datensätze. Über 70 Prozent der Angriffe erfolgten von aussen, während 7 Prozent via Partner erfolgten (die einen anderen Zugriffsweg auf die Daten haben können). Als Partner sind gemäss dem Bericht etwa Zulieferer oder Wiederverkäufer eingestuft. Hackern wiederum wurden 64 Prozent der Angriffe zugeschrieben. Meist lägen den Versuchen Fehler von Mitarbeitern zugrunde, so dass die Angreifer ein das Netzwerk eindringen und danach Schadsoftware installieren konnten. Auffallend aber, dass 79 Prozent der Datensätze mit SQL-Injections erbeutet wurden. Bei SQL-Injections versucht der Angreifer beispielsweise über das "Suchen"-Feld auf Webseiten, eigene Datenbankbefehle einzuschleusen und so an entsprechende in der Datenbank gespeicherte Daten zu kommen. Gesamthaft wurden mehr als 99 Prozent der Daten via Angriffe auf Online-Systeme, meist direkt auf Datenbank-Server (75 Prozent), kompromittiert.
