Die Seite aus dem Zwischenspeicher von Google, dem Cache, ist der Ansatzpunkt für die nächsten Schritte des Hackers: Auch wenn keine kompletten Verzeichnisse erscheinen, genügt es, dass die Suchmaschine einzelne Dateinamen preisgibt – über die sich zuweilen die Dateien selbst finden lassen. „Besonders kritisch wird es, wenn so auf Kunden- oder Kreditkartendaten zugegriffen wird, was schon geschehen ist“, berichtet Kroma. So gesehen sollte peinlichst bei der Gestaltung oder Aktualisierung der Firmen-Homepage darauf geachtet werden, welche Daten verlinkt sind, denn der Suchroboter einer Suchmaschine sucht Webseiten systematisch nach Daten ab, die über Links verknüpft sind.
Die massentaugliche Hackermethode ist auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bekannt. „Im Grunde gibt es diese Möglichkeit, seitdem es Suchmaschinen gibt“, sagt BSI-Sprecher Matthias Gärtner. Es genügten schon Sekunden, in denen Daten auf einem öffentlich zugänglichen Netzrechner gespeichert werden, um die Sicherheit zu gefährden. Beliebt ist auch das riskante Manöver, eine neue Homepage zu Testzwecken online gehen zu lassen, um dann erst Fehlerhaftes und Internes herauszunehmen. Inzwischen legt eine Suchmaschine womöglich eine Kopie im Cache ab (siehe „Klickbares Datenversteck“ am Ende des Artikels).
Gärtners dringender Rat lautet daher: „Man sollte unternehmensinterne Daten nie auf dem Webserver ablegen, auch nicht für kurze Zeit, da sie von dort zu leicht von Fremden ausgelesen werden können.“ Interne und externe Daten sollten grundsätzlich auch auf ganz verschiedenen Rechner liegen – dann werden Geheimnisse auch bei Fehleinstellung durch einen Netzbetreuer nicht sichtbar.
Lesen Sie weiter auf Seite 3: Auf einen Blick: Klickbares Datenversteck
