Gratis-Download

Es gibt ein Thema im Datenschutz, das Datenschutzverantwortliche gern vor sich herschieben. Die Rede ist vom Verzeichnis von Verarbeitungstätigkeiten.

Jetzt downloaden

Kriminelle hacken hunderttausende Webseiten

 
Datenschutz gehackte Webseiten

Von Wolfram von Gagern,

Ich bin in den letzten Tagen selbst beim ganz normalen „durchs Internet surfen“ über zwei Homepages gestolpert, die gehackt worden sind. „Privat“ ist mir das vorher schon sehr lange nicht mehr passiert. Es ist nicht auszuschließen, dass diese Homepages Ziel einer automatisierten SQL-Injection-Attacke geworden sind, mit der Kriminelle in letzter Zeit hunderttausende von Webseiten manipuliert haben.

Injektion mit JavaScript-Tags

Dabei wurden die Webseiten mit injizierten JavaScript-Tags mit Links wie <script src=xy ></script> versehen, wobei xy oft beispielsweise dem Link zur Website: Lizamoon entsprach. Besucher dieser Webseiten bekamen dann unter Umständen eine weitere Seite zu Gesicht, in der ein vorgeblicher Viren-Scanner eine Infektion des Systems vorgaukelte.

Ziel: Verbreitung von Scareware

Die aufgeschreckten Besucher sollen so zum Kauf bzw. Download dubioser Antiviren-Produkte ohne Funktion animiert werden (sogenannte Scareware). Nicht selten kommt im Gefolge eines solchen Programms dann noch ein Trojaner mit auf den PC. Im aktuellen Fall handelte es sich allerdings um relativ ungezielte SQL-Injection-Attacken, was dazu führte, dass die Links zum Teil an falschen Stellen injiziert wurden, was wiederum zur Folge hat, dass die beabsichtigte Wirkung nicht zum Tragen kommt. Dennoch sollten Betreiber von Webservern ihre Webseiten auf ähnliche Links hin untersuchen.

Lücke ausfindig machen

Im Falle einer Infizierung gilt es natürlich, die SQL-Injection-Lücke zu finden, durch die sich die Inhalte einschmuggeln ließen. Unter Umständen kann es genügen, eine aktuelle Version der benutzten Webanwendung zu installieren, möglicherweise muss man sich auch professionelle Hilfe holen und die Anwendung von einem Code-Auditor oder Penetration-Tester untersuchen lassen.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen.

Datenschutz
Produktempfehlungen

Ihr 15-Minuten-Training fürs digitale Office

IT-Know-how und Praxistipps für Datenschutzbeauftragte!

Werden Sie jetzt HR-Experte und kurbeln Sie Ihre Karriere an!

Katharina Münks gesammelte Büro-Kolumnen aus der working@office

Das Magazin für Datenschutz und Datensicherheit!

Jobs