Cequence veröffentlicht neue brisante Daten im Hinblick auf die Sicherheit der Webseiten von Reiseveranstaltern und der Hotelbranche. Cyberkriminelle nutzen den erhöhten Datenverkehr während der Urlaubssaison zunehmend als Deckmantel für ihre Angriffe.
Das Cequence CQ Prime Threat Research Team unterzog die Top-10-Websites des Reise- und Gastgewerbes einem Test mit Cequence API Spyder. Das SaaS-basierte Erkennungstool bietet Unternehmen einen Einblick in ihre öffentlich zugänglichen Ressourcen aus der Perspektive eines potenziellen Angreifers. Auf diese Weise können sie nach außen sichtbare Edge- und Cloud-Infrastrukturen, Anwendungs-Stacks, API-Hosts sowie Sicherheitslücken identifizieren.
Das Threat-Research- und Threat-Analyst-Team von Cequence hat branchenübergreifend ein einheitliches Muster beobachtet: Mit dem erhöhten Website-Traffic während einer Hochsaison, wie zur Urlaubs- und Ferienzeit im Reise- und Gastgewerbe, geht ein Anstieg von Cyberangriffen einher. Die von Cloud-Security-Anbieter Vercara zur Verfügung gestellten Daten zum Domain Name System (DNS) und zu DDoS (Distributed Denial of Service)-Angriffen bestätigen diese Feststellung, da sowohl die Zunahme der Anfragen als auch der Angriffe mit Zeiten erhöhter Online-Aktivität korrelieren. Die wichtigsten Erkenntnisse in der Übersicht:
- Kritische Sicherheitslücken sind allgegenwärtig: Alle zehn führenden Unternehmen des Reise- und Gastgewerbes wiesen schwerwiegende, öffentlich zugängliche Schwachstellen auf. 91 % der kritischen Schwachstellen konnten die Experten von Cequence bei vier Unternehmen verorten, von denen die meisten einen MitM (Man-in-the-Middle)-Angriff ermöglichen würden. Bei einer solchen Attacke fangen Angreifer die Kommunikation zwischen Nutzern und Unternehmen ab und manipulieren sie.
- Viele Server waren ungewollt öffentlich zugänglich: In 80 % der untersuchten Unternehmen gab es öffentlich zugängliche Non-Production- oder interne Application-Server. Sie werden in der Regel nicht überwacht und nicht aktiv verwaltet, sodass sie Angreifern als Eingangstor dienen könnten. Eines der Unternehmen hatte über 300 solcher Server.
- „Cloud Sprawl“ vergrößert die Angriffsfläche: Sogenannter Cloud Sprawl, also unübersichtliche Cloud-Umgebungen, entsteht oft durch Firmenübernahmen, Informationssilos zwischen Abteilungen oder den Mangel einer definierten Cloud-Strategie. Diese Umstände können zu einer Ausbreitung von öffentlich zugänglichen Cloud-Instanzen führen und die Angriffsfläche für Cyberkriminelle vergrößern. Die führenden Webseiten des Reise- und Gastgewerbes nutzten zwischen 5 und 21 verschiedene Hosting-Anbieter, was die Komplexität des Cloud-Managements verdeutlicht.
- Ferienzeit ist Hackerzeit: Die Sommerferien sind vorbei und bald beginnt die Winterreisesaison. Für Cyberkriminelle startet damit die Hochsaison: In dieser Zeit wurden 2023 auch die meisten DNS-Anfragen und DDoS-Angriffe des gesamten Jahres verzeichnet – fast doppelt so viele wie üblich.
Während Unternehmen daran arbeiten, diese Schwachstellen zu beheben, müssen sie sich auch auf den kommenden Payment Card Industry Data Security Standard (PCI DSS) Version 4.0 vorbereiten, dessen Anwendung ab dem 31. März 2025 verpflichtend wird. Bei Nichteinhaltung des PCI DSS drohen erheblichen Geldstrafen, Bußgelder und Probleme bei Kartentransaktionen. Es kann zudem zu einem erhöhten Risiko von Datenschutzverletzungen kommen, was den Ruf eines Unternehmens schädigt und das Vertrauen der Kunden untergräbt. Unternehmen müssen daher der Stärkung ihrer API-Sicherheit Priorität einräumen, proaktive Maßnahmen zur Minderung dieser Risiken ergreifen und Schutzmaßnahmen sowohl gegen manuelle als auch automatisierte KI-Angriffe einsetzen. Auch Reisende sollten wachsam bleiben und strenge Cybersicherheitspraktiken verinnerlichen, um ihre persönlichen und finanziellen Daten zu schützen.
„Reisende sind insbesondere in der Haupturlaubszeit gefährdet, denn Cyberkriminelle nutzen sie gnadenlos aus, um zuzuschlagen“, warnt William Glazier, Director of Threat Research bei Cequence. „Unsere Untersuchungen zeigen, dass es auch in diesem Winter wieder zu schwerwiegenden Bedrohungen kommt. Verbrauchern drohen finanzielle Verluste, Identitätsdiebstahl und Probleme während der Reise, während Unternehmen mit Reputationsschäden und rechtlichen Folgen rechnen müssen. Um das allgemeine Risiko zu mindern, sollten Reiseveranstalter und Unternehmen des Gastgewerbes ihre API-Sicherheit erhöhen und entsprechende Initiativen vorantreiben. Reisenden kann ich nur raten, beim Buchen ihres Urlaubs stets wachsam zu bleiben und so restriktiv wie möglich mit ihren Daten umzugehen.“
(pd/Cequence)