Spielen Sie Russisch-Roulette mit Ihren Kundendaten?

Wir schreiben das Jahr 2015. Der Web-Entwickler Ihres Vertrauens wird mit der Erstellung einer neuen Website betraut. Ihr professioneller WordPress-Webmaster kennt sich aus: Für sein Lieblings-CMS schnürt er sich sein ganz persönliches Wunsch-Paket zusammen. Die Verwaltung der MySQL-Datenbanken soll dabei das beliebte und weitverbreitete „Adminer“ erledigen. Ein Werkzeug für die Verwaltung einer Datenbank. Und damit ist er nicht alleine. Weltweit werden hunderttausende Websites mit dem beliebten Database-Management Tool betrieben. Leichter, effizienter, bequemer: Einfach besser als der Rest. Die Seite geht online und Ihrer Erfolgsgeschichte steht nichts im Weg. Wir springen in die Gegenwart.

Die Gegenwart

TAG 1

Im Jahr 2023 angekommen: Ihre Website ist seit mehreren Jahren online und blüht. Deckte Ihre neue Website zu Anfang lediglich Präsentationszwecke ab, hat sie sich mittlerweile zum erfolgreichsten Vertriebskanal Ihres Unternehmens gemausert. Der Woo-Commerce-Erweiterung Ihrer WordPress-Seite sei Dank, hat sich das Vorhaben mehr als nur bezahlt gemacht. Dank Ihrer Online-Präsenz konnten Sie die Umsatzzahlen in schwierigen Krisenseiten nicht nur halten, sondern sogar steigern. Heute ist Ihre Website das wertvollste Werkzeug in Ihrem Vertriebs-Mix. Vom High-Potential zum absoluten Top-Performer in weniger als 5 Jahren. Sie lieben Ihren Webmaster und Ihre Kunden lieben Sie. Ihre Datenbanken quellen regelrecht über. Und der morgige Tag verspricht noch bessere Zahlen.

TAG 2

„/a.php“ as a;
a.a(a TEXT);
a.a(a) VALUES(‘<?php ..’);

TAG 3

Nichts geht mehr. Seit heute Morgen liegt Ihre Website auf Eis. Ihr zuvor gefeierter Webmaster schwitzt und Ihre Umsätze schmelzen. Und das ist erst der Anfang. Ihr WordPress-Dashboard ist nicht aufrufbar. Ein kompletter Kontrollverlust. Der Umsatzverlust ist dabei ihr kleinstes Problem. Tausende Einträge von Kundendaten befanden sich auf Ihrer Website: Persönliche Information, Zahlungsinformation, sensible Unternehmensdaten und Präferenzen ihrer Kunden sind für Sie nicht mehr erreichbar. Schlimmer noch: Womöglich wurden die Daten abgegriffen. Dass Google Sie aufgrund Ihres Problems auf die Blocklist setzt, wird neben rechtlichen Konsequenzen, die Ihrem Unternehmen durch den Data-Breach drohen, fast zur Nebensache. Ihr über die Jahre aufgebautes SEO-Ranking rauscht ins Bodenlose. In letzter Konsequenz nimmt Ihr Host Ihre Website offline.

Was ist passiert?

In einfacher Sprache: Dritte haben sich eine Lücke im System zu Nutze gemacht. In Ihrem Fall war es eine „Adminer“ Sicherheitslücke, welche mithilfe eines Updates leicht geschlossen hätte werden können. Was sich nach einem einfachen Update anhört, gestaltet sich in der Arbeitspraxis allerdings nicht immer ganz so leicht. Besonders mit der Zeit gewachsene Systeme können so zu Organisations- und Wartungsriesen heranwachsen. Bei individuellen Code-Anpassungen, Abhängigkeiten einzelner Plug-Ins oder Applikationen lehrt der Update-Button auch so manch erfahrenem Webmaster das Fürchten.
In unserem Fall ist es jedoch noch einfacher. Eine veraltete Version von Adminer wurde im Stammverzeichnis Ihrer Website abgelegt und vergessen zu aktualisieren. Ohne Dokumentation seitens des Webmasters geriet die Installation in Vergessenheit und löste dadurch einen Data-Breach auf Ihrer Website aus. Nicht Ihre Website, Ihr WordPress oder WooCommerce wurde gehackt, sondern eine undokumentierte Installation von Adminer im Jahr 2015 hat sich zu einem Sicherheitsrisiko entwickelt.
Ein kleiner Trost bleibt Ihnen dabei; Sie sind garantiert nicht alleine. Auch heute machen sich tausende von Websites durch veraltete Tools & Software zur Zielscheibe von Angriffen. Auch unser Beispiel aus dem Jahr 2015 macht dabei keine Ausnahme und eine mehrere Jahre alte Sicherheitslücke beschert so manchem Unternehmen noch heute eine böse Überraschung.

Wie schützen?

Eine der wichtigsten Qualitäten von internex bleibt der Umgang mit Daten und die Sicherheitskonzepte unseres Unternehmens. Als B2B-Dienstleister sind die uns anvertrauten Daten unser höchstes Gut. Auch wir können aber nur das sicherste Fahrzeug für unsere Kunden bauen. Gelenkt wird es von Ihnen. Erinnern Sie Ihren Webmaster daran regelmäßig das Document-Root Ihrer Website zu prüfen und veraltete oder nicht mehr in Verwendung befindliche Applikationen und Tools zu aktualisieren oder entfernen. Wie sie sich langfristig erfolgreich gegen Angriffe wie am Beispiel von „Adminer“ schützen können, erfahren Sie aus angegebenem Anlass in unserem Best Practice Guide im Document-Root.