Cequence warnt Urlauber
Reiseveranstalter von Cyberattacken betroffen
Eine Studie von Cequence zeigt, dass alle Top-10-Webseiten des Reise- und Gastgewerbes von großen Sicherheitslücken betroffen sind. 91 Prozent der kritischen Schwachstellen liegen bei vier Unternehmen.
Cequence, Spezialist für API-Sicherheit und Bot-Management, hat brisante Daten im Hinblick auf die Sicherheit der Webseiten von Reiseveranstaltern und der Hotelbranche veröffentlicht. Cyberkriminelle nutzen den erhöhten Datenverkehr während der Urlaubssaison offenbar zunehmend für ihre Angriffe.
Das hauseigene Threat-Research-Team unterzog die Top-10-Websites des Reise- und Gastgewerbes einem Test mit dem Cequence API Spyder. Das SaaS-basierende Erkennungs-Tool bietet Unternehmen einen Einblick in ihre öffentlich zugänglichen Ressourcen aus der Perspektive eines potenziellen Angreifers. Auf diese Weise können sie nach außen sichtbare Edge- und Cloud-Infrastrukturen, Anwendungs-Stacks, API-Hosts sowie Sicherheitslücken identifizieren.
Ergebnis des Tests war ein einheitliches Muster: Mit dem erhöhten Website-Traffic während einer Hochsaison, wie zur Urlaubs- und Ferienzeit im Reise- und Gastgewerbe geht ein Anstieg von Cyberangriffen einher. Die von Cloud-Security-Anbieter Vercara zur Verfügung gestellten Daten zum Domain Name System (DNS) und zu DDoS (Distributed Denial of Service)-Angriffen bestätigen diese Einschätzung, da sowohl die Zunahme der Anfragen als auch der Angriffe mit Zeiten erhöhter Online-Aktivität korrelieren.
Die wichtigsten Erkenntnisse in der Übersicht:
- Kritische Sicherheitslücken sind allgegenwärtig: Alle zehn führenden Unternehmen des Reise- und Gastgewerbes wiesen schwerwiegende, öffentlich zugängliche Schwachstellen auf. 91 Prozent der kritischen Schwachstellen konnten die Experten von Cequence bei vier Unternehmen verorten, von denen die meisten einen MitM (Man-in-the-Middle)-Angriff ermöglichen würden. Bei einer solchen Attacke fangen Angreifer die Kommunikation zwischen Nutzern und Unternehmen ab und manipulieren sie.
- Viele Server waren ungewollt öffentlich zugänglich: In 80 Prozent der untersuchten Unternehmen gab es öffentlich zugängliche Non-Production- oder interne Application-Server. Sie werden in der Regel nicht überwacht und nicht aktiv verwaltet, sodass sie Angreifern als Eingangstor dienen könnten. Eines der Unternehmen hatte über 300 solcher Server.
- „Cloud Sprawl“ vergrößert die Angriffsfläche: Sogenannter Cloud Sprawl, also unübersichtliche Cloud-Umgebungen, entsteht oft durch Firmenübernahmen, Informationssilos zwischen Abteilungen oder den Mangel einer definierten Cloud-Strategie. Diese Umstände können zu einer Ausbreitung von öffentlich zugänglichen Cloud-Instanzen führen und die Angriffsfläche für Cyberkriminelle vergrößern. Die führenden Webseiten des Reise- und Gastgewerbes nutzten zwischen fünf und 21 verschiedene Hosting-Anbieter, was die Komplexität des Cloud-Managements verdeutlicht.
- Ferienzeit ist Hackerzeit: Die Sommerferien sind vorbei und bald beginnt die Winterreisesaison. Für Cyberkriminelle startet damit die Hochsaison: In dieser Zeit wurden 2023 auch die meisten DNS-Anfragen und DDoS-Angriffe des gesamten Jahres verzeichnet – fast doppelt so viele wie üblich.
Unternehmen arbeiten zwar daran, diese Schwachstellen zu beheben, müssen sich jedoch auch auf den kommenden Payment Card Industry Data Security Standard (PCI DSS) Version 4.0 vorbereiten, dessen Anwendung ab dem 31. März 2025 verpflichtend wird.
Bei Nichteinhaltung des PCI DSS drohen erheblichen Geldstrafen, Bußgelder und Probleme bei Kartentransaktionen. Es kann zudem zu einem erhöhten Risiko von Datenschutzverletzungen kommen, was den Ruf eines Unternehmens schädigt und das Vertrauen der Kunden untergräbt. Unternehmen müssen daher der Stärkung ihrer API-Sicherheit Priorität einräumen, proaktive Maßnahmen zur Minderung dieser Risiken ergreifen und Schutzmaßnahmen sowohl gegen manuelle als auch automatisierte KI-Angriffe einsetzen. Auch Reisende sollten wachsam bleiben und strenge Cybersicherheitspraktiken verinnerlichen, um ihre persönlichen und finanziellen Daten zu schützen.
„Reisende sind insbesondere in der Haupturlaubszeit gefährdet, denn Cyberkriminelle nutzen sie gnadenlos aus, um zuzuschlagen“, warnt William Glazier, Director of Threat Research bei Cequence. „Unsere Untersuchungen zeigen, dass es auch in diesem Winter wieder zu schwerwiegenden Bedrohungen kommt. Verbrauchern drohen finanzielle Verluste, Identitätsdiebstahl und Probleme während der Reise, während Unternehmen mit Reputationsschäden und rechtlichen Folgen rechnen müssen. Um das allgemeine Risiko zu mindern, sollten Reiseveranstalter und Unternehmen des Gastgewerbes ihre API-Sicherheit erhöhen und entsprechende Initiativen vorantreiben. Reisenden kann ich nur raten, beim Buchen ihres Urlaubs stets wachsam zu bleiben und so restriktiv wie möglich mit ihren Daten umzugehen.“
Lesen Sie mehr zum Thema
