Cyberangriffe gefährden Betriebe
Eine wirkungsvolle vorbeugende, technische Maßnahme wäre hierbei die Nutzung eines sogenannten Headless Content Management Systems (CMS), um flexibel vielfältige Kundenerlebnisse zu schaffen, Kommunikationskanäle zu bespielen und gleichzeitig die Inhalte und (Kunden-)Daten wesentlich besser zu schützen. „API-first lautet daher die Devise!“, erläutert der IT-Fachmann.
Cyberangriffe nehmen zu
Der „Lagebericht Security 2022“ weist darauf hin, dass weltweit 65 Prozent der Unternehmen deutlich mehr Angriffe registriert hätten. Hierbei gerieten die „Sicherheitsteams“ vielfach an ihre Belastungsgrenzen. Sie müssten viel Arbeitszeit aufwenden, Personal abstellen und Geld in die Hand nehmen, um die hierdurch entstandenen Schäden zu beheben.
Auch hierzulande seien vielfältige Cyberattacken zu beobachten, die Schadenssummen von über 200 Milliarden Euro pro Jahr verursachten, wie eine aktuelle Bitkom-Studie verdeutlicht. So seien beispielsweise derzeit die „IT-Systeme der IHK-Organisation“ deutschlandweit gestört. Die IHK-Verbände seien Anfang August dieses Jahres Opfer einer Cyberattacke geworden. Die Auswirkungen sind seit Wochen weiterhin erkennbar, wie der Deutsche Industrie- und Handelskammertag (DIHK) auch auf den eigenen Webseiten andeutet.
„Vermutlich werden auch die Angriffsversuche von Cyberkriminellen noch zunehmen“, befürchtet der Geschäftsführer des Dortmunder IT-Unternehmens, Frederik Scheele. Dabei spiele es keine Rolle, wie groß oder klein ein Betrieb sei. „Jedes Unternehmen, jede Organisation oder Institution kann das Ziel eines Hackerangriffs werden.“ Dabei hätten es Cyberkriminelle häufig auf die Daten Dritter wie beispielsweise Kundendaten abgesehen, offenbart die Bitkom-Studie.
Die Bedrohungen der IT sind hierbei vielfältig, sei es durch:
- die Streuung von Ransomware. Gemeint ist hier eine Schadsoftware, die nachhaltig den Zugriff auf eigene Systemdateien oder persönliche Dateien verhindert. Beispielsweise seien in den letzten Jahren Unternehmen des Gesundheitswesens Ziele schwerwiegender Ransomware-Angriffe gewesen, die zur Unterbrechung lebenswichtiger Versorgungsketten geführt habe (Vergleiche hierzu Akamais „Ransomware Threat Report 2022“, S. 9).
- DDoS-Attacken (Distributed Denial-of-Service), um gezielt fremde Netzwerkressourcen durch permanente System-Anfragen zu überlasten und dadurch den Betriebsablauf nachhaltig zu stören, wie das beim Angriff auf die IT-Systeme der IHK-Organisation der Fall gewesen sein soll.
- Brute-Force-Angriffe nach dem Trial-and-Error-Prinzip, um Passwörter, verborgene Webseiten oder Benutzernamen zu identifizieren beziehungsweise zu dechiffrieren. Hierbei können abwechslungsreiche Kombinationen aus mindestens 14 Zeichen (Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen) enorm helfen, einen Brute-Force-Angriff parieren zu können.
Headless CMS: ausbaufähig und flexibel
Ein Headless CMS unterscheidet sich deutlich von klassischen Content Management Systemen wie WordPress, Typo3 oder Magento, indem es im Gegensatz zu solchen Systemarchitekturen auf die Verbindung mit einem Frontend (Head) verzichtet. Es besteht lediglich aus einem Backend, das von einem Frontend abgeschnitten ist und somit als kopflos beschrieben werden könne (Headless).
„Die im Backend hinterlegten Inhalte lassen sich über eine oder mehrere sogenannte API(s) (Application Programming Interface) an verschiedene Benutzeroberflächen (Frontends) ausspielen“, erläutert Scheele. Dabei ist es gleichgültig, um welche möglichen Kommunikationskanäle es sich handele. Die Kompatibilität der Module sei durch die Schnittstellen grundsätzlich gegeben.
Die für die User sichtbaren und nutzbaren Benutzeroberflächen (Frontends) können sein:
- Webseiten,
- Newsletter,
- Applikationen,
- Online-Shops,
- POS-Systeme oder
- soziale Netzwerke.
Die APIs fungieren somit als Vermittlerinnen zwischen den einzelnen Medien. Vielfach werden diese flexiblen Schnittstellen auch als REST-API (Representational State Transfer) oder RESTful-API bezeichnet. Im Prinzip handelt es sich hiermit um Brücken, die es ermöglichen, Informationen mit anderen Anwendungen auszutauschen.
Headless CMS bietet Schutz vor Cyberangriffe
Häufig fungieren Webseiten, Applikationen, Software oder E-Mails als mögliche Einfallstore für Cyberkriminelle. Wenn es Hackern gelingen sollte, über eine Sicherheitslücke eines Kommunikationskanals in das IT-System eines Betriebs einzudringen, dann bleiben trotzdem die anderen Dienste und ihre Backend-Systeme bei einem Headless CMS davon unberührt und gesichert.
Allein durch die Trennung des Frontends vom Backend ist ein Headless CMS wesentlich sicherer als viele klassische CMS. Eine Verbindung wird lediglich geschaffen durch die APIs, die sich um den Datentransfer zwischen dem Backend und den unterschiedlichen webbasierten Anwendungen kümmern. Dabei definieren wiederum die Endpunkte den Ort des Datenaustausches in der API. Nur diese Endpunkte erlauben es, mit einer API zu interagieren.
Somit kommt hier ein weiterer signifikanter Sicherheitsaspekt eines Headless CMS ins Spiel, wie Frederik Scheele ausführt: „Ein Zugriff auf das IT-System eines Betriebs über eine API ist ohne Kennung von Endpunkten und mithilfe standardisierter Sicherheitseinstellungen sehr unwahrscheinlich.“
Quellen:
Akamai Internet Station (abgerufen: 30.08.2022): „Willkommen bei ihrer Adresse für globalen Netzwerktraffic und Sicherheitsdaten von der weltweit größten Edge-Plattform“. In: https://www.akamai.com/de/internet-station
Akamai Ransomware (06/2022): Threat Report H1 2022. 29-seitiges PDF. Erhältlich über: https://www.akamai.com/de
Bitkom (31.08.2022): 203 Milliarden Euro Schaden pro Jahr durch Angriffe auf deutsche Unternehmen. In: https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022
Bitkom (31.08.2022): Wirtschaftsschutz 2022. Achim Berg, Präsident Bitkom e.V. In: file:///C:/Users/Admin/Downloads/Bitkom-Charts_Wirtschaftsschutz_Cybercrime_31.08.2022.pdf
Deutscher Industrie- und Handelskammertag – DIHK (19.08.2022; Update: 02.09.2022): IT-Systeme der IHK-Organisation noch weitgehend heruntergefahren. In: https://www.dihk.de/de/it-systeme-der-ihk-organisation-noch-weitgehend-heruntergefahren-77018.
Martin Holland (04.08.2022): Cyberangriff: IHK-Verbände weitgehend offline, auch telefonisch nicht erreichbar. In: https://www.heise.de/news/Cyberangriff-IHK-Verbaende-weitgehend-offline-auch-telefonisch-nicht-erreichbar-7202061.html
Bert Kondrus (26.08.2022): Ransomware & Cyberangriffe aktuell heute 2022. Hackerangriffe auf Unternehmen, Firmen, Organisationen und Behörden – Deutschland, Österreich, Schweiz & weltweit. In: https://konbriefing.com/de-topics/cyber-angriffe.html
Melanie Staudacher (12.08.2022): Ursache geklärt: IHK fährt deutschlandweit die IT-Systeme herunter. In: https://www.csoonline.com/de/a/ihk-faehrt-deutschlandweit-die-it-systeme-herunter,3674080
Melanie Staudacher (25.08.2022): Cyberangriff in Deutschland 2022. Diese Unternehmen hat’s schon erwischt. Ransomware, Brute Force, DDoS und Co. Diese Unternehmen wurden in diesem Jahr bereits von Cyberkriminellen attackiert. In: https://www.csoonline.com/de/a/diese-unternehmen-hat-s-schon-erwischt,3674038
Splunk (abgerufen: 25.08.2022): Lagebericht Security 2022. Globale Studie: Aktuelle Security-Prioritäten bei Cloud-Integrität, Fachkräftemangel und den dringendsten Angriffsvektoren. In: https://www.splunk.com/de_de/campaigns/state-of-security.html.
Sunzinet (2022): Headless CMS. Die Funktionen und Vorteile des Content Management Systems der Zukunft. Whitepaper. 18-seitiges PDF. Erhältlich über: https://lp.sunzinet.com/de/headless-cms-die-funktionen-und-vorteile-des-content-management-systems-der-zukunft
Standpunkt digital setzt seinen Wachstumskurs fort und gewinnt mit Frederik Scheele einen neuen weiteren „Geschäftsführenden Gesellschafter“. Angefangen hat der IT-Spezialist im Jahr 2019 beim Dortmunder Unternehmen als Betreuer umfangreicher Online-Projekte, zum Beispiel für die LBS West oder für die Veltins Brauerei. Nur zwei Jahre später wurde ihm schon die gesamte operative Leitung als COO (Chief Operating Officer) des Betriebs übertragen. Äußerst erfolgreich beackerte Scheele das gewachsene Aufgabenfeld, sodass er von Juli 2022 an in die Geschäftsleitung berufen wurde.
standpunkt digital ist ein mittelständisches Unternehmen mit zurzeit 20 Mitarbeiter:innen in Dortmund. Die Schwerpunkte sind Software- und Vertriebslösungen für beispielsweise Unternehmen aus der Finanz- und Versicherungsbranche. Dazu zählen die LBS – Bausparkasse der Sparkassen oder die AOK Gesundheitskasse. Ebenfalls gehören neben beispielsweise Veltins regionale Energieunternehmen wie die AVU… Aktiengesellschaft für Versorgungsunternehmen zum persönlichen Kundenkreis.
standpunkt digital GmbH & Co. KG
Chemnitzer Str. 20 – 22
44149 Dortmund
Telefon: +49 (231) 937002-0
Telefax: +49 (231) 937002-10
http://www.standpunkt.com
Medien- und Öffentlichkeitsarbeit
Telefon: +49 2305 9 41 50 44
E-Mail: post@pr-socialmedia.ruhr
Geschäftsführer, Chief Operating Officer
E-Mail: scheele@standpunkt.com