Schadcode auf der Webseite? - 28. Mai 2020

Schlechtes erkennen

Wenn man nicht gerade arbeitstechnisch tief in der IT vergraben ist, sind Computer, Webseiten und Software benötigte Werkzeuge, die einfach funktionieren müssen. Meistens tun sie das ja auch. Was aber, wenn sich unbemerkt Angreifer in Ihre Infrastruktur eingeschlichen haben und sie für kriminelle Zwecke missbrauchen?

Im prähistorischen Internet, also ungefähr vor ca. 10 bis 15 Jahren, haben
Angreifer Seiten “defaced”, wenn sie den Server erfolgreich knacken konnten. Defacing war nichts anderes als digitales Graffiti. Die meist statische Originalwebseite wurde durch eine ebenso statische Seite mit Botschaften der Angreifer ersetzt – etwa durch simple Nachrichten wie “XXX woz here – SysAdmin, fix ur server”. Damit war allen Beteiligten – Kunden, Serverbetreiber, Partner – sofort klar, dass etwas passiert war und dringender Handlungsbedarf besteht.

Als sich dann der kriminelle Untergrund besser digitalisiert hatte, wurden
diese Defacements schnell weniger; denn damit ist einfach kein Geld zu machen. Stattdessen lautet seither die Strategie nach einem erfolgreichen Webserver-Einbruch, vertrauliche Informationen abzuziehen und/oder die angegriffene Webseite um eigene, bösartige Skripts zu erweitern.

Vertrauensverlust durch unerkannt platzierte Malware

Diese kurzen Schnipsel (meist in möglichst unleserlichem JavaScript) sorgen dafür, dass Besucher der Webseite Dinge herunterladen, die sie nicht wollen: Schadcode in der einen oder anderen Form, und das meist völlig unbemerkt von einer Webseite, der sie vertrauen.

Das macht die Situation für Webseitenbetreiber doppelt gefährlich: Einerseits fungiert ihr Webauftritt als Malware-Lieferant, und andererseits
kann dies auch zu einem massiven Vertrauensverlust bei Kunden und Partnern führen.

Was kann man  tun, um nicht selbst  in eine solche Situation zu geraten?

Für entsprechende Analysen ist das benötigte Tiefenwissen häufig nicht
vorhanden und sie kosten Zeit, die man lieber für den eigentlichen
Geschäftszweck verwenden möchte.

DATEV kann seine Mitglieder hierbei unterstützen. Mit Hilfe unseres Partners Nimbusec können wir automatisch erkennen, wenn der Webauftritt einer Kanzlei kompromittiert wurde und Malware ausgeliefert wird. Selbst Defacements oder andere Probleme, zum Beispiel mit der Verschlüsselung von Daten beim Transport, werden hier zyklisch aufgedeckt und gemeldet. Üblicherweise können die bösartigen Artefakte sofort identifiziert werden und der Kanzlei klare Informationen für deren IT-Dienstleister mitgegeben werden.

Unabhängig davon ist es aber in jedem Fall für jedes Büro und jedes Geschäft ein echter Vorteil, sich vor so einem Fall – der hoffentlich nicht eintreten wird – mit den wichtigsten Prozessen vertraut zu machen. Notieren Sie sich am besten, wen Sie bei Kenntnisnahme eines solchen Falles für die Behebung ansprechen müssen – wie ist die Support-Rufnummer Ihrer Webagentur? Wann sind deren Servicezeiten? Wen können Sie bei Ihrem Provider im Notfall kontaktieren, um die Seite vielleicht offline zu nehmen? 

Wenn Sie diese Informationen im Fall des Falles zur Hand haben, sparen Sie wertvolle Zeit für die Behebung des Problems.

Mehr dazu

Beratungen zur IT-Strategie: https://www.datev.de/it-strategie

Zum Autor

SH
Stefan Hager

DATEV eG, Bereich Internet Security

Weitere Artikel des Autors