Kosten gespart – Daten geklaut: Hackerangriff auf Zollfahndung und andere Polizeibehörden

Viele IT-Mitarbeiter und Administratoren müssen sich tagtäglich mit den Problemen Ihrer Anwender herumschlagen und „nebenbei“ noch den ein oder anderen Server administrieren. In Zeiten von täglichen Berichten über Hackerangriffe sollte man hier das Thema „IT-Sicherheit“ nicht zu schnell auf die leichte Schulter nehmen. Vor allem um „Kosten zu sparen“ ist die Systemsicherheit nicht immer der richtige Verbündete.

Wie heise online und andere Nachrichtendienste heute berichteten, wurde ein Server der Zollfahndung durch Hacker übernommen und vertrauliche Daten von dort entwendet. Ursächlich wurde ein XAMPP-Server ausgemacht, den man als Produktionsmaschine eingesetzt hatte.

Den verantwortlichen Mitarbeitern fehlten entweder Zeit oder Geld (oder auch beides) um einen Server einzurichten und diesen entsprechend abzusichern. Gerade bei einem Entwicklungs- und Testsystem wie XAMPP sollte man ganz klar keinen produktiven Einsatz erwägen, schon gar nicht mit so sensiblen Daten. Hier wurde also am falschen Ende gespart – mit mehr als peinlichen Folgen…

Wie Sie Webserver sicher einrichten und trotzdem Kosten einsparen können

Die von den „apache friends“ für verschiedene Betriebssysteme (X) zur Verfügung gestellten Distributionen für den Apache Webservers inkl. mySQL, PHP und Perl (XAMPP) sind ohne Zweifel erstklassig. Allerding zum Testen und Entwickeln von Webanwendungen etc. (das wird auch auf der Homepage explizit ausgewiesen). Bei diesem System sind alle Schnittstellen und damit Einfallstore möglichst offen gestaltet und somit ein leichtes Opfer für Hacker.

Wer also einen eigenen Webserver produktiv betreiben möchte, sollte sich entweder an einen professionellen Dienstleister wenden oder gleich einen eigenen Server (z.B. LAMPP basierend auf Linux) aufsetzen und entsprechend absichern.

Der Aufwand um einen XAMPP-Server für eine Produktionsumgebung abzusichern übersteigt vermutlich den Zeit- und Ressourceneinsatz, der beim Neuinstallieren eines eigenen Systems anfallen würde. Somit sollten hier nicht unbedacht Kosten eingespart werden. Am Ende des Tages hätte ein vernünftiges System den Angriff wohl eher verhindert (und damit die Image- und Folgeschäden gespart) und trotz anfänglichem Mehraufwand in der Gesamtbetrachtung einen erheblichen Beitrag zur Kosteneinsparung und Imagepflege geliefert.

Carsten Knoop

Über Carsten Knoop

Inhaber von www.audatis.de einem auf Datenschutz + Datensicherheit spezialisierten Beratungshaus, Ex-CISO (Chief Information Security Officer) der Bertelsmann AG; Datenschutzbeauftragter + Datenschutzauditor (TÜV); IT-Security Beauftragter + Manager (TÜV)
Dieser Beitrag wurde unter Datenschutzpannen abgelegt und mit , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar