Staaten und Unternehmen haben die Lektionen von 2011 nicht gelernt

SicherheitSicherheitsmanagement

Die Sicherheitslandschaft hat sich 2011 gewandelt. Großunternehmen und Staaten haben in puncto Sicherheitslücken einen gehörigen Denkzettel erhalten, aber Taten sind bislang kaum gefolgt, sagt Eric Doyle.

Das vergangene Jahr ging für so manche Apple-Fans mit einer Verspätung los. Die Weckfunktion, die sie auf ihren funkelnagelneuen iPhones eingestellt hatten, versagte. Und das war erst der Anfang eines ereignisreichen Jahres.

Ein Weckruf ganz anderer Art war entlang der Südküste des Mittelmeers zu hören, als die Reichen und Mächtigen während der Aufstände im Rahmen des “Arabischen Frühlings” entmachtet wurden. Zum ersten Mal spielten das Organisationsptenzial des Internets, Social Networking und die globale Verbreitung von Mobiltelefonen eine Rolle bei der Koordinierung von Protesten und paramilitärischen Offensiven.

Revolution und Plünderung

Einmal mehr trugen die verschlüsselten Nachrichten auf den Blackberry-Geräten von RIM dazu bei. Verschlüsselung kann im digitalen Zeitalter sowohl im positiven als auch im negativen Sinn eingesetzt werden. 2010 haben mehrere Regierungen nach Terroranschlägen in Indien Druck auf RIM ausgeübt, um Zugang zu den geheimen Daten auf den Servern des Unternehmens zu erlangen. Als der öffentliche Ungehorsam sein Haupt erhob, haben die arabischen Maghreb-Staaten einen direkteren Weg gewählt, indem sie versuchten, den Zugang zum Internet und Telekommunikations-Netzen abzuschneiden.
Das Vorgehen der Regierungen wurde von anderen Staaten weithin verurteilt. Großbritannien beschwerte sich massiv über diese Menschenrechtsverletzungen, aber als es im eigenen Land Probleme gab und es in vielen Städten zu Plünderungen und Verwüstungen kam, machte die britische Regierung schnell die sozialen Netzwerke als Schuldigen aus und entwarf Pläne, die Kommunikationsnetze abzuschalten, sollte es in der Zukunft zu ähnlichen Ausschreitungen kommen.

Regierungen gerieten ebenfalls in den Schlagzeilen, als das Thema internationale Spionage im Internet für Aufregung sorgte und Projekten auf nationaler Ebene zum Schutz von Unternehmen, Regierungsbehörden und den geplanten intelligenten Stromnetzen daraufhin rege Aufmerksamkeit und Geldmittel zuteil wurden. Die Situation bei den Stromnetzen ist besonders beunruhigend, da Angriffe auf die SCADA-Systeme (supervisory control and data acquisition) mit Schadprogrammen wie Stuxnet und seinen Varianten, zum Beispiel Duqu, das ganze Jahr über nicht abrissen.

Es steht außer Frage, dass ein erfolgreicher Angriff auf das Stromnetz ein Land ernsthaft in Bedrängnis bringen würde und es wurde deutlich, dass kein System sicher ist. Sogar Rechensysteme, die mittels “Air Gap” isoliert sind, das heißt, die nicht ans Internet angeschlossen sind, können einem Angriff zum Opfer fallen, wenn USB-Speichermedien ohne angemessene Vorkehrungen benutzt werden.

Der Beweis für die Anfälligkeit von Systemen wurde in erster Linie erbracht durch die Erfolgsserie der Hackergruppe Anonymous. 2011 hat gezeigt, dass Sicherheitslücken in vielen Formen auftreten können, angefangen vom Diebstahl der Secure-Sockets-Layer-Zertifikate (SSL) über den öffentlich gewordenen Datendiebstahl bei Sony bis hin zu Hackerangriffen auf Militär- und Polizeieinrichtungen.

Es ist richtig, dass nach Bekanntwerden dieser Exploits mehrere Festnahmen erfolgten, aber diese Maßnahme gleicht dem Zuhalten von zwei oder drei Löchern bei einem Nudelsieb – und selbst die verstopften Löcher bleiben nur solange dicht, bis frischer Hackernachwuchs bereit steht. Laut Berichten ist der Erfolg von Anonymous größtenteils auf schlechte Sicherheitspraktiken zurückzuführen. Mitglieder der Gruppe müssen das Hackerhandwerk lediglich auf der Stufe eines “Script Kiddies” beherrschen, um schwachen Passwortschutz auszuhebeln oder einen SQL-Injection-Angriff zu starten.

Flöhe hüten

Anstatt Flöhe zu hüten, was anscheinend der derzeitige Ansatz der Behörden ist, wäre es wesentlich sinnvoller, mehr in Weiterbildung und Aufklärung zu investieren. RSA, ein auf den Bereich Sicherheit spezialisiertes Tochterunternehmen von EMC, unternahm nach seiner peinlichen Mitteilung vom letzten März einige Schritte, um ein nützliches Forum ins Leben zu rufen, um dort den aktuellen Stand der IT-Sicherheit zu diskutieren. Dort können Unternehmen hinter verschlossenen Türen ihr Herz ausschütten, ohne sich wegen schlechter Publicity Gedanken machen zu müssen.

Es müssen nun Taten folgen, denn die Großangriffe halten nun schon zwei Jahre lang an, und bislang scheint wenig unternommen worden zu sein. Daniel Cuthbert, Assessment Manager bei SensePost, behauptete auf der SecureData-Konferenz im November letzten Jahres, dass man mit 500.000 US-Dollar (zirka 400.000 EUR) ein Team einkaufen könne, das in der Lage sei, 90 Prozent aller IT-Netzwerke zu knacken.

Da die Reaktionen auf sich warten lassen, wird sich 2012 an der Situation voraussichtlich nicht viel ändern. Die Schwachstellen in IT-Systemen werden schwieriger zu finden sein, daher bedarf eines eines ausgeklügelteren Vorgehens, um in die Netzwerke der oberen zehn Prozent der “sicheren” Unternehmen einzudringen; der Rest wird für die Sicherheitslücken, die übersehen wurden, büßen müssen. Es hat den Anschein, dass Anonymous weiter erfolgreich sein wird und dass auch weiterhin Exploits auftauchen werden. Unternehmen müssen akzeptieren, dass eine Internetpräsenz auch ein potenzielles Angriffsziel sein kann und dass eine zweite Sicherheitsebene nötig ist, da eine Ebene allein keine Sicherheitsgarantie darstellt.

Unverschlüsselte Daten sind am meisten gefährdet, aber Unternehmen scheinen nur ungern Geld für diese zusätzliche Sicherheitsmaßnahme ausgeben zu wollen. Dies erinnert mich an die gute alte Zeit, als niemand Datensicherungssysteme kaufen wollte, um Daten vor Festplattencrashs oder schlimmeren Unglücken zu schützen. Schließlich haben die Firmen nachgegeben, als sie das enorme Ausmaß der Lage erkannten. Wie lange wird es diesmal dauern, bis Führungskräfte und IT-Abteilungen erkennen, welche Konsequenzen die Tatenlosigkeit für sie nach sich ziehen wird?