Datensicherheit ist ein Weg und nicht das Ziel

Cybercrime ist auf dem Vormarsch, ob es einem gefällt oder nicht. Hacker drängen mit spektakulären Angriffen immer mehr ins öffentliche Bewusstsein. Doch viele Unternehmen verschliessen nach wie vor die Augen.

Artikel erschienen in Swiss IT Magazine 2011/07

     

Von Kilian Zantop

Das australische Parlament, das französische Finanzministerium und auch die EU-Kommission wurden attackiert oder angezapft und SSL-Zertifikate sind ein begehrtes Gut. Namhafte Unternehmen wie Sony, aber auch Hersteller aus der IT-Sicherheitsbranche wie Barracuda Networks und RSA wurden zu Opfern von gezielten Datendiebstählen. Das Paradoxe: Gerade letztere beiden Unternehmen sollten mit dem Thema Datensicherheit eigentlich professioneller umgehen.

Sony und die Millionen von Kreditkarteninformationen

Inzwischen ist bekannt, dass bei Sony Kreditkartendaten inklusive Ablaufdatum und Prüfnummer auf illegalen Plattformen zum Kauf angeboten werden. Eine veraltete
Version eines Apache-Web-Servers sowie die fehlende Firewall machte es den Cyberkriminellen einfach. Fazit aus diesem Vorfall: In den USA überlegt sich anscheinend bereits ein Fünftel der Playstation-Kunden, zu Microsoft zu wechseln.

Barracuda Networks stellt freiwillig Kunden- und Mitarbeiterdaten zur Verfügung

Cyberkriminelle haben als Beweis für ihren Erfolg des Webseiten-Hacks die ergatterte Datenbank auszugsweise veröffentlicht. Das Schlimmste an dieser Geschichte: Barracuda Networks hat sich auf die Absicherung von Servern und Webapplikationen spezialisiert und betitelt sich selber als der weltweite Markführer für E-Mail- und Web-Sicherheit. Normalerweise werde der Webauftritt auch von einer der eigenen Web Application Firewall geschützt, doch an diesem speziellen Tag war diese für Wartungsarbeiten herunterfahren worden.

RSA und ihr wertvollstes Gut: Der eigene Algorithmus

RSA wirbt mit Zeilen wie «Combining business-critical controls in identity assurance, encryption and key management, SIEM, data loss prevention, and fraud protection” und »RSA brings visibility and trust to millions of user identities, the transactions that they perform, and the data that is generated». Peinlich, wenn gerade so einem Unternehmen der Source Code abhandenkommt.
Nach aktuellen Informationen handelte es sich bei diesem Vorfall um eine sogenannte APT «Advanced Persistant Threat», sprich ein fortgeschrittener, dauernder Ausspähangriff. Wir wollen hier nicht auf den ganzen Ablauf im Detail eingehen, jedoch wurde eine sehr gezielt und gut geschriebene «Phishing» Mail an einen Benutzer geschickt. Im angehängten Excel war ein Trojaner, der mithilfe einer 0-Day Lücke für Adobe Flash eine «Backdoor» installierte. Anschliessend wurden über mehrere Schritte die notwendigen Privilegien ergattert, um Daten zu sammeln. Diese wurden verschlüsselt und komprimiert, bevor sie nach aussen übertragen wurden. Diese Schritte zeigen schon, mit welchem Kaliber von Gegner heute gerechnet werden muss. Ein Komprimieren und Verschlüsseln von Daten sorgt dafür, dass DLP-, IDS- und IPS-Systeme, welche versuchen, im Inhalt bekannte Muster zu finden, wirkungslos bleiben, da sie den Inhalt nicht lesen können. Wie bereits erwähnt, ist jedoch das Pikanteste an dieser Story, dass RSA selber solche DLP-Systeme entwickelt und verkauft und damit sicherlich auch über die entsprechenden Spezialisten verfügen sollte. Diese «Werbekampagne» scheint nicht ganz den Zweck getroffen zu haben.

Was können Unternehmen daraus lernen?

1. Mail ist und bleibt gefährlich und wird wieder stärker mit gezielter Malware genutzt. Benutzer-Sensibilisierung ist und bleibt das A&O.

2. Internet-Zugang sollte kein Grundrecht sein; ein relevanter Geschäftsgrund für die Benutzung der User sollte bestehen.

3. Einfache Bequemlichkeit darf nicht zu einer «Outbound All Open Policy» führen.

4. Trennen und schützen der Netzwerksegmente, in welchen die Daten-Kronjuwelen liegen.

5. Überlegen sie sich gut, ob Browser-Erweiterungen für geschäftliche Zwecke wirklich notwendig sind (Adobe Flash Plug-In, Office Plug-Ins etc.)

Der Vorfall bei RSA zeigt einmal mehr, wie gross das Gefährdungspotential durch weitreichende Freiheiten und Privilegien ist, welche man heute den Benutzern zugesteht. Alle noch so guten Schutzmassnahmen können nicht verhindern, dass offengelassene Türen genutzt werden. Alles, was einem Benutzer erlaubt ist, kann der Angreifer ebenfalls nutzen, sobald er dessen Identität übernommen hat. Die Frage ist doch: Für wie viele der Benutzer im Betrieb ist es wirklich von geschäftlicher Relevanz, Dateien zu jedem Ziel im Internet übermitteln zu können? Oder generell Dateien ausserhalb des Unternehmensnetzwerkes lesen zu können?

Die Vorgehensweise von Cyberkriminellen

Professionelle Cyberkriminelle sind heute organisiert wie die Mafia. Es werden Strukturen aufgebaut, welche einem offiziellen Unternehmen inklusive Mitarbeitern gleich kommt – und dies auch mit offiziellem Handelsregister-Eintrag. IT-Sicherheitsunternehmen oder auch Softwareentwicklungsfirmen sind hierfür beliebte Geschäftszweige. Das klare Ziel lautet, möglichst viel Gewinn mit kriminellen Handlungen zu erzielen, ohne hierbei etwas dem Zufall zu überlassen.
Eine mögliche Variante ist das Anheuern von Mitarbeitern aus Unternehmen, welche als Ziel für einen Datendiebstahl ausgewählt werden. Der Mitarbeiter erhält hierbei ein nettes Sümmchen, damit er eine Malware einschleust, welche den Datendiebstahl ermöglicht. Die Malware wird dabei so entwickelt, dass sie einem einmaligen Muster entspricht, wofür keine bekannte Signatur besteht und damit auch von Antivirenprogrammen nicht erkannt wird.

Eine beliebte Variante ist auch das Einschleusen von Cyberkriminellen in Diskussionsrunden, sogenannte Stammtische, beispielsweise von Security Officers, welche sich einmal im Monat über alltägliche Probleme austauschen. Hier erfährt man viel über die in den Unternehmen eingesetzten Systeme wie beispielsweise die Firewall, das Antivirenprogramm etc. und kann anschliessend exakt die Schwachstellen ausnutzen, um sich den Zugang zu wertvollen Informationen zu beschaffen.


Ein ganz simples Beispiel aus den USA ist der Hack der WLANs von diversen Einzelhandelsfirmen wie Boston Market, Barnes & Nobles, TJX etc. Die Kunden bezahlten ahnungslos mit ihren Kreditkarten und waren sich nicht bewusst, dass diese Kreditkartendaten an zentrale Stellen übertragen werden. Das wäre ja auch nicht weiter schlimm, wenn diese WLANs nicht lediglich mit WEP verschlüsselt worden wären. Der Amerikaner Alber «Segvec» Gonzalez hatte zuvor diese Verschlüsselung mit seinem Notebook in wenigen Minuten geknackt und war damit ebenfalls Empfänger von all diesen Übertragungen.

Das Datenvolumen wächst und wächst

Der wirtschaftliche Abschwung hat den Aufschwung der weltweiten Informationsmenge überhaupt nicht beeinflusst – dies zeigt eine Studie von IDC, welche durch EMC gesponsert wurde:

- Die Datenmenge ist im 2009 laut IDC um 62 Prozent auf beinahe 800‘000 Petabyte (ein Petabyte entspricht einer Million Gigabyte) angewachsen

- Das «digitale Universum», wie es bezeichnet wird, wächst bis im Jahre 2020 auf 35 Billionen Petabytes und wird somit 44-mal grösser sein als noch im 2009

- Fast 75 Prozent des digitalen Universums sind lediglich Kopien – nur 25 Prozent sind anscheinend «Originale»

Der Schutz dieses digitalen Universums wird damit schwieriger werden als je zuvor.

Auch der Wert der Daten wächst und wächst

Die jährliche Studie von Ponemon Institute zeigt zudem, dass das digitale Universum weiter an Wert gewinnt:

- Eine Datenpanne kostete deutsche Unternehmen 2010 im Durchschnitt 3,4 Millionen Euro – 2009 waren es noch 2,6 Millionen Euro. Ein Wachstum um rund 31 Prozent.

- Die Kosten pro Datensatz beliefen sich auf rund 138 Euro. Auch hier eine Zunahme gegenüber dem Vorjahr von 6 Euro und gegenüber 2008 sogar eine Zunahme um 26 Euro.

Dennoch ist die Grundhaltung zum Thema Datensicherheit oftmals noch sehr passiv: Solange kein nennenswerter Vorfall stattgefunden hat, fühlt man sich sicher und investiert nicht in Schutzvorkehrungen. Diese Grundhaltung ist vor allem deshalb so praktisch, da deren Umsetzung sehr einfach ausfällt.

Das Thema Datensicherheit schreit nach Priorität

Was nützt die Verschlüsselung von E-Mails, wenn der Inhalt nicht geprüft wird? Was nützt E-Mail Content Filtering, wenn Mitarbeiter die Daten auf USB-Sticks speichern können? Was nützt ein verschlüsselter USB-Stick, wenn das Passwort auf einem Post-it notiert mitgeliefert wird? Notfalls können sensible Daten auch ausgedruckt und auf dem altertümlichen Postweg versendet werden. Es braucht mehrschichte Schutzlösungen und hierbei müssen sämtliche Datenwege abgesichert werden. Was nützt es, wenn man E-Mail, USB-Sticks und Drucker sicher macht, und Daten im öffentlichen Treppenhaus des Firmengebäudes über anzapfbare Netzwerkleitungen übertragen werden?


Der ISO/IEC 27001 Standard liefert einen guten Ansatz für erste Schutzmassnahmen und der erste Schritt wäre schon viel mehr, als heute oftmals vollzogen wurde: «CIA Triad». Dieses Trio steht für die Erhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Es wird zwar pausenlos über weitere Schutzmassnahmen debattiert, doch man sollte sich in erster Linie auf diese drei Kernziele konzentrieren und möglichst bald handeln.

Kilian Zantop

Kilian Zantop ist Chief Technical Officer bei der Barclay Technologies (Schweiz) AG. kilian.zantop@barclaytechnologies.ch



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER