Sicherheits-Risiko Mitarbeiter
Artikel erschienen in Swiss IT Magazine 2006/15
Heinz Johner, Information Security Consultant bei IBM Schweiz, zeichnet ein beängstigendes Bild der aktuellen IT-Sicherheitslage. Einen modernen Angriff auf die IT-Sicherheit – so Johner – könne man sich heute nicht mehr wie einen Banküberfall vorstellen, der, noch bevor die Sicherheitsmassnahmen greifen, möglichst schnell zum Ziel führen soll. Vielmehr erinnern die Ausführungen des IBM-Manns an einen High-Tech-Thriller.
«Der moderne Angreifer lässt sich Zeit, sehr viel Zeit. Ein Angriff dauert nicht mehr ein paar Minuten, sondern Monate. Der Angreifer hält sich im Verborgenen, er lauscht, überwacht, befragt unauffällig und geschickt andere Mitarbeiter, und er führt den Angriff in vielen kleinen Schritten aus. Er lernt vielleicht zufällig ein wichtiges System-Passwort, nutzt es aber nicht sofort für einen Angriff, sondern installiert sich nur ein kleines Stück Software, das ihm erst später hilfreich sein wird. So schleicht er sich mit kleinen, unscheinbaren und schwer erkennbaren Schritten zielsicher in ein System ein», erzählt Johner. Mit dieser Strategie bleibe sogar der eigentliche Angriff dann vielleicht lange Zeit unerkannt, während gegen den schnellen Angriff im Stil eines Banküberfalls wirksame Abwehrmassnahmen entwickelt und implementiert wurden.
Wie geschickt heute teils vorgegangen wird, zeigt Johner an folgendem Beispiel: «Ein Angreifer kann sich fast mit Sicherheit darauf verlassen, dass ein herrenloser USB-Stick irgendwann von einem glücklichen und nichtsahnenden Finder in einen PC oder Laptop gesteckt wird, wodurch geschickt versteckte Spionagesoftware an jeder Firewall und jedem Virenscanner vorbei eingeschleust werden kann. Die Abwehr gelingt nicht mehr nur mit technischen Mitteln.»
Gegen diese menschlichen Faktoren gibt es keine Software, und so bekommt man – egal welchen Sicherheits-Spezialisten man nach den heute aktuellen Bedrohungen fragt – immer ein und dieselbe Antwort: Mitarbeiter und deren mangelnde Sensibilisierung. «Einen gewissen Grundschutz mit Policies, Firewall und Virenscanner hat mittlerweile fast jedes Unternehmen», führt Magnus Kalkuhl, Virenanalytiker bei den Kaspersky Labs aus. «Nachholbedarf besteht bei den Angestellten: Auch heute noch werden viele Mailanhänge bedenkenlos geöffnet und wichtige Dateien auf unverschlüsselten Datenträgern transportiert. Viele dieser Probleme liessen sich mit einfachen Schulungen innerhalb des Unternehmens aus der Welt schaffen.» Um gegen die Sicherheitsbedrohungen der Zukunft gewappnet zu sein, reiche es nicht, einmal im Jahr die Sicherheitsrichtlinien zu aktualisieren, so Kalkuhl weiter. «Mit jedem neuen Mitarbeiter, jeder neuen Software und jeder neuen Hardware ändert sich auch die Sicherheitslandschaft eines Unternehmens. Es ist illusorisch zu glauben, dass ein IT-Administrator diese Verantwortung nebenbei erledigen könnte. Deswegen sollte mindestens ein Mitarbeiter einzig und allein für das Thema IT-Sicherheit abgestellt werden.»
Johner von IBM spricht von zwei Strategien, um die IT-Sicherheit künftig gewährleisten zu können: Die Bewusstseinsschulung der Mitarbeiter und der Einsatz neuer technischer Hilfsmittel. «Die Bewusstseinsschulung muss sehr feinfühlig geschehen, ist aber mindestens so erfolgsversprechend wie reine technische Massnahmen und in der Regel kosteneffizienter.» Jedoch müsse darauf geachtet werden, dass kein Klima des Misstrauens und der Überwachung entsteht. Technische Abwehrmassnahmen wiederum würden dadurch raffinierter, dass sie gesammelte Informationen über einen längeren Zeitraum speichern und analysieren. So lassen sich neue Verhaltensmuster auch dann erkennen, wenn eine Attacke schleichend erfolgt.
Doch egal, wie intensiv Unternehmen ihre Mitarbeiter sensibilisieren und welches Augenmerk auf die IT-Security gelegt wird; die Entwicklungen, die in der Hacker- und Angreifer-Szene verfolgt werden, sind beängstigend. So berichtet beispielsweise Diego A. Boscardin, Managing Director bei Symantec Schweiz, von einer Kommerzialisierung der Schwachstellenrecherche und einem wachsenden virtuellen Schwarzmarkt, auf dem Wissen und Technologien rund um Schwachstellen in krimineller Absicht gehandelt werden. «Es ist also damit zu rechnen, dass Schwachstellen vermehrt und viel schneller ausgenützt werden.» Auch das Problem der DoS-basierten (Denial of Service) Erpressungsversuche, welche über Botnets (siehe Seite 49) ausgeführt werden, sind laut Boscardin bereits eine beträchtliche Gefahr. «Ausserdem erwartet Symantec künftig vermehrt Phishing-Versuche und Schadcode, die Instant Messaging zu ihrer Verbreitung nutzen. Enterprise-Messaging-Management-Lösungen werden also immer wichtiger.»
Für Magnus Kalkuhl liegen die Entwicklungen der Zukunft darin, dass sich der Trend weg von klassischen, destruktiven Viren hin zu den mit finanziellen Absichten im Hintergrund arbeitenden Trojanern fortsetzen wird. Zunehmen werde dabei die Zahl der handgemachten Malware, die speziell auf einzelne Unternehmen zugeschnitten ist. Kalkuhl: «Existiert von einem Trojaner weltweit nur ein Exemplar, gelangt es auch nicht in die Viruslabs der AV-Hersteller und wird somit nicht in den Signaturdatenbanken aufgenommen. Hier ist eine starke Heuristik, die Malware signatur-unabhängig erkennt, zunehmend wichtiger.»
Marco Marchesi, Sicherheitsexperte und CEO der Firma ISPIN, spricht daneben noch zwei weitere Security-Trends beziehungsweise
-Probleme an. Zum einen das Thema mobile Geräte, wo heute die Situation herrscht, dass Daten häufig unverschlüsselt gespeichert oder unsicher dorthin übertragen werden. «Im Bereich Mobile Security sollte deshalb sorgfältig mit Profis eine Lösung entwickelt und diese konsequent durchgesetzt werden.» Zum anderen bringt er die Problematik des Identity & Access Management aufs Parkett. «Viele, wenn nicht sogar die meisten Firmen, können heute nicht mit Gewissheit sagen, ob sämtlichen Mitarbeiter die richtigen Zugriffsrechte besitzen oder dass ehemalige Mitarbeiter keine Berechtigungen mehr haben.» Hier heisst es, die Situation sorgfältig zu analysieren und mit geeigneten Produkten eine pragmatische Realisierung vorzunehmen.
Während es für mittlere und grosse Unternehmen zusammenfassend unabdingbar scheint, Mitarbeiter intensiv zu schulen und zu sensibilisieren, die Technik auf dem neuesten Stand zu halten und Leute zu beschäftigen, die sich ausschliesslich ums Thema IT-Security kümmern, werden KMU vor Probleme gestellt. Das weiss auch Diego A. Boscardin: «Für KMU wird es immer schwieriger, ihre Unternehmensdaten umfassend zu schützen. Die Sicherheitsanforderungen sind die gleichen wie bei Grossunternehmen, bei Budget und Personal liegen sie aber meistens niedriger. Wir empfehlen daher Lösungen, die weniger Verwaltung erfordern und mehrere Funktionen in einem Produkt kombinieren.» Und die beiden Experten Marchesi und Johner fügen übereinstimmend an, dass auch KMU Awareness-Trainings für Mitarbeiter durchführen sollten. Marchesi: «Damit können Risiken minimiert werden, auch wenn keine technischen Lösungen eingesetzt werden.» Und Heinz Johner ergänzt, dass neue technische Hilfsmittel zunächst noch aufwendig und im KMU-Bereich nicht kosteneffizient seien. «Hier werden Modelle zum Einsatz kommen, welche den KMU-Betrieben den Einsatz solcher Hilfsmittel durch externe Spezialisten vereinfachen und im externen Betrieb auch kosteneffizient ermöglichen.»
Keinesfalls darf aber vergessen werden, dass die jedem Internetnutzer bekannten Gefahren sprich Virenepidemien, Spam, Spyware etc. nach wie vor präsent sind. So hat zwar die Zahl der Massenangriffe dank der getroffenen Abwehrmassnahmen deutlich abgenommen, wie IBM-Spezialist Johner abschliessend ausführt. «Das bedeutet aber keinesfalls, dass man davor keine Angst mehr zu haben braucht.»
So wird nebst hochkomplizierten oder gezielten Angriffen sowie solchen, welche Social-Engineering-Komponenten beinhalten, gezielt auch auf bekannte Probleme hingewiesen, welche heute und in Zukunft verstärkt ausgenutzt werden. Messagelabs beispielsweise warnt für das laufende Jahr vor einer steigenden Anzahl Phishing-E-Mails und neuen Techniken wie Phishing-Trojanern, die auf einen Rechner geschleust und erst nach einer gewissen Zeit beziehungsweise beim Aufrufen einer bestimmten Website aktiv werden. Auch neue Probleme mit Instant Messaging (IM) werden angesprochen. Die wachsende Anzahl IM-Clients und die zunehmende Standardisierung mache es leichter, Spam, Viren und Trojaner über Messaging-Plattformen zu verteilen. Mobile Security dürfte Sicherheitsexperten ebenfalls zunehmend beschäftigen, was mit der wachsenden Verbreitung drahtloser Kommunikation im öffentlichen Raum und mangelndem Sicherheitsbewusstsein begründet wird. Zu guter Letzt zählt Messagelabs auch noch die zunehmende Popularität von Domain Hopping auf. Spam-Versender würden gezielt den Einsatzzeitraum der von ihnen verwendeten Webadressen verkürzen. So werde es für Abwehrsysteme schwieriger, Spam aussen vor zu halten.
Nicht zu vergessen ist die Spyware-Problematik. Webroot berichtete im Mai 2006 bereits von einem alarmierenden Anstieg von infizierten Rechnern. Vor wenigen Wochen wurde dies von Ironport bestätigt, zudem wurde darauf hingewiesen, dass die Spyware-Verbreitung immer raffinierter wird. Immer häufiger würden Community-Websites wie MySpace dazu missbraucht, Spyware auf die Rechner der Opfer zu bringen. Im zweiten Quartal 2006 seien 89 Prozent aller Rechner mit Spyware verseucht gewesen im Schnitt finde man 30 Varianten auf einem Rechner.
Solche Zahlen zeigen: Security mit all ihren Aspekten ist trotz der Tatsache, dass die meisten Unternehmen eigentlich relativ gut geschützt sind, nach wie vor ein grosses Thema vielleicht ein grösseres als je zuvor.
Was die Anwender Beschäftigt: Welches Security-Problem bereitet Ihnen aktuell am meisten Kopfzerbrechen?