Anonymous Deutschland hat den Querdenker Attila Hildmann erneut gehackt. Auf dem Blog „AnonLeaks“ wird erklärt, dass die Aktivistinnen und Aktivisten von „Anonymous“ eigentlich nur die Website von Attila Hildmann angreifen wollten, aber man sich dann letztendlich dazu entschieden hat, sich den ganzen Hoster vorzunehmen – weil das einfacher gewesen sein soll.
Beim Versuch die Seite zu kapern, konnte Anonymous sich in tiefere Ebenen des Webhosters vorarbeiten und deckte dabei Schwachstellen des Hosters und grundlegende Datenprobleme auf. Im Folgenden soll es um die Vorgehensweise des Hackers gehen und wie es überhaupt dazu kam.
In der Regel gehen Angreifer den direkten Weg und suchen eine Sicherheitslücke auf der Zielseite. Findet man keine, weitet man die Suche auf umliegende Systeme aus und versucht von dort aus die Zielseite anzugreifen. Eigentlich sollte dies durch die Segmentierung der Kundenspaces und der Datenbankserver nur schwer möglich sein. Bei Hildmanns Webseitenhoster Prosite war das jedoch nicht der Fall. Die Hacker-Aktivisten kommentierten den Anbieter und dessen mangelnde Sicherheitsvorkehrungen nur mit: „Das ist ein Nudelsieb, aber kein Hoster“.
Zu dem eigentlichen Vorgehen und der von den Aktivisten verwendeten Sicherheitslücke selbst werden eher weniger Details preisgegeben. Man habe wohl eine verwundbare Joomla-Instanz ausgenutzt und durch weitere Lücken einen Vollzugriff auf die Administrationswerkzeuge des Hosters erhalten. Darüber hinaus konnten die Hacker sämtliche Datenbanken von Kunden des Hosters durch Root-Zugänge verwalten. Dies beinhaltete die Zugangsverwaltung der Kunden, Gründe für deren Sperrung, die Klimaregelung und Webcams des Rechenzentrums, aber auch die Datenbank des Messaging-Dienstes Mattermost. Über diesen versendete das Team von Prosite unter anderem auch Passwörter, die Anonymous somit im Klartext auslesen konnte.
Letzten Endes hatte man Zugriff auf sämtliche Kundendaten – von den Stammdaten bis hin zu den Kreditkartendaten inklusive des CVC-Codes, die alle in einer einzigen Datenbanktabelle in den eigenen Systemen gespeichert wurden. Von Seitens der Hacker wird Prosite eine Selbstanzeige wegen des massiven Datenschutzverstoßes im Sinne der DSGVO empfohlen.
Empfehlung für Unternehmen
Unabhängig davon wo Daten gespeichert werden, ob inhouse oder in einem externen Rechenzentrum, bleibt die Verantwortung für die Einhaltung des Datenschutzes und der Informationssicherheit bei der verantwortlichen Stelle. In der Regel wird die konforme Umsetzung durch eine vertragliche Grundlage geregelt, die technische und organisatorische Vereinbarungen beinhaltet.
Die Verantwortung zur Prüfung dieser Regelungen obliegt dem Eigentümer der Daten. Um diesen Prozess abbildbar zu gestalten, können Nachweise eingeholt werden, beispielsweise ISO27001 Zertifikate. Diese Vorgehensweise unterstützt auch die Hoster selbst, weil damit Einzelprüfungen der Kunden ausbleiben.
Wir empfehlen bei der Planung von externen Datenspeicherungen einen Prozess zu etablieren, der die wichtigsten technischen und organisatorischen Anforderungen prüft. Beispielsweise die Möglichkeit zum Abschluss eines Datenschutzvertrages, eines Nachweises zur Einhaltung der Informationssicherheit, bestehende Zugriffsrechte durch den Dienstleister oder Standorte der Rechenzentren.
Weitere Maßnahmen stehen in Abhängigkeit mit der Sensibilität der Daten und den Stabilitätsanforderungen an den Dienst. In jedem Fall sorgen alle Präventivmaßnahmen für eine Minimierung von zukünftigen Risiken.