Hackerangriff auf Spiele-Offensive.de

Inhaber Frank Noack stellt sich den Fragen

ein spielerischer Artikel von Michael Weber - 06.02.2014
Messestand der Spiele-Offensive auf der Messe in Essen - Foto Reich der Spiele

Frank, am Wochenende kam es zu einem Hackerangriff auf die Spiele-Offensive.de und die angeschlossenen Shops. Was ist passiert und wie habt ihr das bemerkt?
"Hacker haben sich Zugang zu den Kundendatensätzen unserer Shops verschafft. Sie haben unsere Shops sehr systematisch nach Schwachstellen abgesucht und es schließlich auch geschafft, in die Datenbank einzudringen. Das Ganze hat insgesamt 13 Stunden gedauert und wurde sehr professionell ausgeführt. Selbst der Zeitpunkt des Angriffs wurde vermutlich sehr genau ausgewählt, um möglichst unbemerkt zu agieren, denn wir waren zu dieser Zeit in Nürnberg auf der Spielwarenmesse. Die Angreifer waren offenbar gut vorbereitet.
Aufgefallen ist der Angriff am Montagnachmittag durch Phishing-Versuche bei der E-Mail-Adresse eines unserer eigenen Test-Accounts. Wir haben dann sofort mit der Suche danach begonnen, wie das passieren konnte und konnten den Verlauf des Angriffs am Dienstagmorgen sehr genau rekonstruieren und auch den Schaden bestimmen."

Dieser Datenraub klingt brisant, was bedeutet das für eure Kunden?
"Die geraubten Daten, die die Angreifer verwerten können, also Namen und E-Mail-Adressen, werden vermutlich für Phishing-E-Mails und Spam verwendet werden. Erste solcher E-Mails sind bereits im Umlauf.
Bei vielen Kunden wurde außerdem das Passwort ihres Kundenkontos, allerdings in einer verschlüsselten Form, gestohlen. Aufgrund der Kryptoverfahren, die wir verwenden, ist es nicht möglich, das Passwort im Klartext wiederherzustellen. (Für Kryptologen: Wir verwenden eine Ein-Weg-Verschlüsselung mit dynamischem Salt und Iterationsgrad)."

Welche Daten genau sind betroffen und müssen Kunden Angst vor ungewünschten Kontobewegungen haben?
"Es wurden Vornamen, Namen, E-Mail-Adressen und ggf. verschlüsselte Passworte kopiert. Wir haben keine Hinweise gefunden, die darauf hindeuten, dass Kontodaten gestohlen wurden. Von daher rechne ich nicht damit, dass so etwas passiert. Abgesehen davon kann man unerlaubten Bankeinzügen problemlos widersprechen, so dass hierdurch auch kein Schaden entstehen würde."

Wie können sich Kunden nun vor Missbrauch durch gestohlene Daten schützen? Müssen sie selbst aktiv werden?
"Die betroffenen Daten selbst können sie jetzt nicht mehr schützen. Ihre Namen und E-Mail-Adressen sind den Angreifern jetzt bekannt. Wenn sie das gleiche Passwort wie bei der Spiele-Offensive.de auch woanders einsetzen, sollten sie dieses sicherheitshalber auch dort ändern.
Wichtig ist außerdem, sehr aufmerksam bei ankommenden E-Mails zu sein. Die Adressen werden mit hoher Wahrscheinlichkeit verwendet werden, um Phishing-Mails zu versenden. Dabei versuchen die Angreifer die Kunden durch geschickt gestaltete E-Mails dazu zu bringen, ihre Passworte, z. B. für PayPal, auf einer gefälschten Webseite einzugeben, um die gewonnen Daten dann für kriminelle Zwecke zu nutzen. Deswegen sollte man die Adresse solcher Zahlungsanbieter im Zweifel immer selbst im Browser eingeben, anstatt in E-Mails auf einen Link zu klicken."

Ihr habt eure Kunden frühzeitig und sehr umfassend informiert. Wie schwer ist euch dieser Schritt gefallen, da es sich ja um eine Schwachstelle im System handelte.
"Es war für uns von Anfang an selbstverständlich, unsere Kunden so schnell wie möglich zu informieren. Vor allem, um sie vor möglichen Phishing-Attacken zu warnen. Da die Angreifer die korrekte Anrede unserer Kunden kennen, werden die Phishing- E-Mails täuschend echt aussehen. Wir haben also die unmittelbare Sicherheitslücke, die die Angreifer genutzt haben, geschlossen und gleich darauf mit dem Versand der E-Mails begonnen."

Können die Kunden zukünftig weiter unbesorgt bei euch shoppen?
"Ja. Wer bereits ein Kundenkonto hat, kann es auch weiterhin nutzen und wer noch keines hat, und ganz sicher gehen möchte, der kann ohne Kundenkonto bestellen. Eine einhundertprozentige Sicherheit der Daten wird es leider nie irgendwo im Internet geben."

Brettspiele-Newsletter von Reich der Spiele abonnieren