Hacker-Angriff

Ein Schlaglicht auf den Traveltainment-Hack

Nicht nur Hacker arbeiten im Verborgenen, auch die betroffenen Firmen breiten gern den Mantel des Schweigens über diese Vorfälle. Zum Glück gibt es immer wieder Lücken, wie der Fall des Datendiebstahls bei Traveltainment zeigt.

von Georg Jegminat, 19.08.2013, 09:34 Uhr

Es muss schon etwas Spezielles auf sich haben mit den Koalitionen des Schweigens. Im Sport ist es das Doping, das die Beteiligten zusammenschweißt. Die Sportler sonnen sich mit Trainern, Betreuern und Funktionären im Erfolg erdopter Siege, und Ärzte und Pharmahändler machen ihr Geschäft. Die Mafia hat ihre Omertà. Das Gesetz des Schweigens ist Teil ihres Ehrenkodex. Nicht nur die Mitglieder schweigen. Mit Druck und Drohungen dehnen sie das Schweigegebot sogar auf Opfer und Zeugen ihrer Taten aus.

In Sachen Cyber-Kriminalität legen sich viele betroffene Firmen, also die Opfer, selbst das Schweigegebot auf – und vergrößern auf Dauer den Schaden. Dass Amateurhacker im Keller oder hochgerüstete IT-Hackerfirmen in den Tiefen Russlands oder China die Öffentlichkeit scheuen, ist nachvollziehbar. Auch die Cybercrime-Abteilungen der Polizeibehörden sind sicherlich nicht darauf versessen, frühzeitig öffentlich zu machen, welche Spuren sie verfolgen.

Aber dass auf Dauer eine große Heimlichtuerei veranstaltet wird, ist nicht gut. Denn das Schweigen leistet den Tätern Vorschub. Allein die Furcht vor Imageschäden treibt die Zudecker an.
Die gut ausgebildeten, professionellen IT-Spezialisten, die bei kriminellen Hackerfirmen angestellt sind, werden von der Polizei und den Agenten der Kreditkartenfirmen als hochintelligent und unglaublich lernfähig bezeichnet. Sie suchen nicht mehr einfach nach Schwachstellen in IT-Systemen, sondern programmieren für die einzelnen Hacks extra Werkzeuge. Dafür machen sie sich zuvor vertraut mit den anzugreifenden Systemen. Auch wie sie ihre Spuren weitgehend verwischen, wissen sie genau.

Ist es da der richtige Weg, Verbraucher und die Mitarbeiter außerhalb spezieller IT-Abteilungen in Unwissenheit einzulullen, damit sie ja nicht das Vertrauen verlieren? Jedes Kind wird vor den Risiken des Straßenverkehrs gewarnt, aber Verbraucher vor den Risiken des Geldverkehrs im Internet zu warnen, sollte lieber unterbleiben? Nein. Im Wettlauf mit Cyber-Kriminellen sollte schon die Vorsicht und Umsicht der Verbraucher und die Wachsamkeit von Unternehmensmitarbeitern bis hin zum Reisebüro-Counter eine Hürde vor Angriffen sein.

Doch diese Einsicht ist nicht weit verbreitet. Viele Firmen und Behörden in Deutschland waren schon betroffen. Gerüchten zufolge gilt das auch für die Touristik – vor dem digitalen Einbruch bei Traveltainment. Bei der Amadeus-Tochter will man bis heute, mit Verweis auf die Polizei und die eigenen Kunden, keine harten Fakten zu dem Hack nennen. Nun sind aber einige Fakten über die Datenschutzbehörden öffentlich geworden. Ein Journalist der IT-Zeitschrift "ct" hat bei den Landesdatenschützern ganz allgemein nach Fällen gefragt. Sind personenbezogene Daten betroffen, müssen Unternehmen die Fälle nämlich seit 2009 melden. 225 waren es in den vergangenen zwölf Monaten.

Und siehe da: In Sachsen mussten zwei Reisebüros und zwei Online-Agenturen Hackerangriffe melden, die "auf ein und denselben Auftragsdatenverarbeiter der Reisebranche" zurückgehen, also auf Traveltainment. Bei ihnen waren zusammen 3303 Personen betroffen. Nicht alle Datenschützer waren so offen. Und so bleibt im Nebel, wie hoch die fünfstellige Zahl der Personen ist, deren Kreditkartendaten bei Traveltainment abhanden kamen.

Dennoch sollte die Aufmerksamkeit der Branche, deren Vertrieb bereits in so starkem Maße vom Web abhängt, wie die Reisebranche ihre Sicherheitsmaßnahmen verstärken. Deshalb lädt die fvw zu ihrem Kongress in Köln Experten, auch einen Hacker, ein. Schweigen ist nämlich zu wenig.

Sebastian Schreiber (Syss) wird in Köln live Hacks vorführen. Sein Unternehmen wird regelmäßig von Firmen beautragt, die Sicherheit ihrer IT zu prüfen. Dabei erweitern sich die Einfalltore sogar, beispielsweise durch die Mobilgeräte der Mitarbeiter. Weitere Vorträge und eine Diskussion sollen aufzeigen, wie Reiseunternehmen Angriffe auf ihre IT und ihre Geschäfte im Internet erschweren können.

Kommentare

von anonym, 19.08.13, 10:05
Wir waren auch betroffen und haben auch brav an die Behörde gemeldet. Ich bin mir sicher, dass die Zahl im oberen 5-stelligen Bereich liegt. Wirklich ärgerlich fand ich, dass Traveltainment bis zum Schluss sogar den betroffenen Reisebüros gegenüber behauptet hat, dass ihnen keine konkreten Fälle von Mißbrauch der gestohlenen Daten bekannt sind, während alleine wir als eher kleines Unternehmen schon über 30 gemeldete Fälle unserer Kunden aufzeigen konnten und diese auch an Traveltainment weiter gegeben haben. Das ist genau die Art von Informationspolitik die es den Verbrechern tatsächlich immer leichter macht weiterhin erfolgreich zu bleiben.

von Jürgen Barthel, 19.08.13, 10:16
Einerseits ärgerlich, denn es gibt genügend Warnungen. So bspw. sollte man weder in Russland, noch in USA sensible Daten mitnehmen. Ein Vorstand unserer Industrie wurde vom "Department of Homeland Security" wieder zurück nach Europa geschickt, weil er sich weigerte, dem DHS Zugriff auf den Rechner zu gewähren ohne Information, wo diese Daten landen (insbesondere nicht beim U.S.-Konkurrenten). Diese Form der Informationsweitergabe an die eigene Industrie wird bis heute nicht ausgeschlossen. Die "Cloud" wird schon lange hinterfragt, mehr und mehr Unternehmen stellen aber vertrauliche Informationen bedenkenlos in Dropbox ein. Genauso aber, wie es bis heute keine "nutzerfreundliche" Möglichkeit gibt, kostenlos e-Mails von A bis Z zu verschlüsseln. Hier wird nun hoffentlich Bewegung in die Sache kommen. Nicht empfehlenswert leider sind halbseidene "Antworten" wie Whistle.IM für geschützten SMS-Verkehr, hier warnt der Chaos Computer Club (die 'guten' Hacker): http://hannover.ccc.de/~nexus/whistle.html Leider sind aber gute europäische Entwicklungen wie Skype längst von U.S. Firmen aufgekauft, womit Frau Merkels Idee, die europäische IT-Branche zu stärken ad absurdum geführt wird. Mir fällt da auch der Transrapid ein. Führende deutsche Technologie, in Europa nicht im Einsatz. Politischer Wille und Realität. Ein Freund aus Frankreich ist mit dem Unternehmens ins "Silikon Valley" (USA) übergesiedelt - die Bürokratie in Europa ist leider nicht sehr unternehmerfreundlich. Hier müsste ganz allgemein angesetzt werden (nicht nur in der IT) um Europa wieder konkurrenzfähiger zu machen. Was Traveltainment genauso beweist wie der NSA-Skandal. Die Europäer sind von der Vorreiter- in die Opferrolle gewechselt und es wird totgeschwiegen, damit es keiner merk(el)t.

von Skeptiker, 20.08.13, 10:35
Herr Jegminat, guter Beitrag, ich teile Ihre Meinung. Vielleicht nimmt das ja den Verlauf wie bei den Rückrufaktionen der Autohersteller. Die waren ja auch mal perdu, heute wird das eher positiv aufgenommen, wenn es nicht zu oft passiert. Noch früher wollten die ja nicht mal von Knautschzonen und Sicherheitsgurten was wissen. Die Kunden sollten Autos auf keinen Fall mit der Unfallgefahr assoziieren. Das hat sich entwickelt, und es gibt sicher noch Hoffnung fürs öffentliche Bewusstsein beim Thema Datensicherheit.

von Skeptiker, 20.08.13, 10:48
Das war aber ein ziemlicher Rundumschlag auf einen recht fokussierten Blogbeitrag, Herr Barthel. Wobei Sie ja zumeist recht haben. > mehr und mehr Unternehmen stellen aber vertrauliche Informationen bedenkenlos in Dropbox ein Es sind sogar nicht selten die Führungskräfte - die mit den sensibelsten Daten -, die sich über vermeintlich bürokratisch-kleinliche Vorschriften ihrer IT-Abteilungen hinwegsetzen und sich Freiheiten nehmen, für die ihre Mitarbeiter umstandslos gefeuert würden. > bis heute keine "nutzerfreundliche" Möglichkeit gibt, kostenlos e-Mails von A bis Z zu verschlüsseln Tja. Weil das aus Prinzip eben nicht beliebig "nutzerfreundlich" zu machen ist. Verschlüsseln bedeutet nämlich, dass man Schlüssel braucht, zum Chiffrieren der ausgehenden und Dechiffrieren der eingehenden Post, und das am besten nicht auf irgendeinem Server, sondern auf dem eigenen Rechner. Eben von A bis Z, nicht nur Transportverschlüsselung von Hop zu Hop per SSL ("https"). Was zwischen Kumpels (und Komplizen) noch irgendwie machbar ist, wird komplex, wenn Firmen miteinander sicher verschlüsselt mailen wollen. Natürlich können Sie das einem Dienstleister anvertrauen. Da haben eben gerade zwei davon ziemlich abrupt den Service eingestellt, weil sie von den Geheimdiensten ausgehoben werden sollten (oder wurden). Das ganze ist nicht so simpel, wie sich unsere (da haben Sie ganz recht) ahnungslosen Politiker das vorstellen. Dieselben, die sich auch eine deutsche oder europäische IT-Industrie herbeihalluzinieren. Die bittere Wahrheit ist, dass unsere IT-Infrastruktur zu 100,0% von amerikanischen (und, danke, ein paar chinesischen) Firmen abhängig ist, vom Netzwerkswitch über sämtliche Server bis zu den Officeprogrammen, einschließlich der Technologien. Was für ein erstaunliches Bedrohungspotential, nicht wahr? "Diese Lizenz von MS-Excel ist in Ihrem Land nicht mehr verfügbar. Wenden Sie sich an Ihren Administrator". Dagegen das bisschen Überwachung, ich bitte Sie....

0
Folgen Sie uns:
Top
© 2018 FVW Medien GmbH, Alle Rechte vorbehalten
Über uns FAQ Impressum AGB Datenschutz Kontakt Mediadaten