Sicherheit braucht den Faktor Mensch
Schlägt bei mir als Sicherheitsexperte die Paranoia durch oder ist es tatsächlich so, dass die Bösen im Hackerkrieg die Oberhand gewinnen? Seit Stuxnet scheinen die Geschichten um gehackte Rechner, Datenlecks, massive Cyberangriffe und dubiose Aktivitäten seitens der »Computermafia« sowie der Staatsgewalt kein Ende mehr zu nehmen.
Der aktuelle Internet Security Threat Report von Symantec zeigt, dass den immer häufiger zum Einsatz kommenden Cloud-Technologien, die Unternehmen bezahlbare, bisher ungeahnte Rechenleistung zur Verfügung stellen, die Schattenwelt der Anti-Cloud gegenübersteht – ein Netzwerk von Online-Diensten, die einen Schwarzmarkt für Produkte und Dienstleistungen bereitstellen.
Die dunkle Seite des Marktes
Der zunehmende Reifegrad dieses Marktes kann daran gemessen werden, dass viele der »Firmen«, die sich darin tummeln, Logos für ihre Produkte gestaltet haben – teilweise deswegen, weil manche dieser Programme tatsächlich Tools sind zur Durchführung von Penetrationstests, wobei diese allerdings ganz einfach zu digitalen Waffen umfunktioniert werden können. Die Ambivalenz dieser Produkte macht es möglich, dass echte Schadsoftware ganz offen verkauft werden kann, solange der folgende Warnhinweis in der Beschreibung auftaucht: »Dieses Programm dient rein zu Schulungs- und Forschungszwecken. Der Urheber dieser Software übernimmt keine Verantwortung dafür, falls diese Software für illegale Zwecke verwendet wird – die Haftung übernimmt der Benutzer.«
Dieser Hinweis gibt den Produkten den Anschein der Seriosität, aber davon abgesehen setzen die Firmen in ihrem Kampf um Kunden auf konkurrenzfähige Preisstrukturen. Mehrfach-Installationen des Trojaners Zeus auf einem einzigen Rechner können bis zu beinahe 6000 Euro kosten, wobei einzelne Module zu Preisen zwischen 350 Euro und 1500 Euro erhältlich sind. Die aus Russland stammende Lade- und Verschlüsselungsroutine für Botnets namens Golod, die unter Windows läuft, kostet in der Grundausstattung mit kostenlosem Upgrade-Service circa 420 Euro, für einen Aufpreis von 630 Euro wird Kundenbetreuung rund um die Uhr dazugeliefert.
Rechnet man noch heimliche Aktivitäten von verschworenen Cyberbanden und die Spionagetätigkeit internationaler Agenten hinzu, erscheint einem der Wilde Westen wie ein Kindergeburtstag.
Obwohl Hacker digitale Brechstangen und virtuelle Vorschlaghämmer in ihrem Arsenal haben, ist es oft gar nicht nötig, die Cybertüren mit Gewalt zu öffnen. Mit etwas sanfter Überredungskunst können sie zum Ziel gelangen, ohne die IT-Wachhunde aufzuwecken.
Das zu EMC gehörende Sicherheitsunternehmen RSA Security musste Lehrgeld zahlen, als ein mit Schadsoftware versehenes Spreadsheet im Rahmen eines Phishing-Angriffs gezielt an Mitarbeiter der unteren Hierarchieebenen verschickt wurde. Einfache Angestellte gelten als anfälliger für Cyber-Attacken, da in dieser Personengruppe im Allgemeinen weniger Bewusstsein für Sicherheitsrisiken vorhanden ist, allerdings verfügen diese Mitarbeiter auch nur über begrenzte Zugriffsrechte, was gemeinhin eine angemessene Schadensbegrenzungsmaßnahme darstellt.
Für RSA begann das Problem mit dieser Schlussfolgerung. Sobald einer der Mitarbeiter die Phishing-E-Mail mit dem Spreadsheet öffnete, konnten die Hacker einen Trojaner installieren. Das bedeutet, dass die Personaldaten jedes einzelnen Mitarbeiters, der die E-Mail öffnete, den Hackern übermittelt wurden; mittels weiterer Social-Engineering- und Hack-Aktivitäten innerhalb des Firmennetzwerks konnten sie ihre Zugriffsrechte erweitern.
Das heimliche Vorgehen der Hacker und ihre Hartnäckigkeit zahlten sich aus – bald hatten sie sich wie Maulwürfe zu RSAs geheimen SecurID-Seed-Daten durchgegraben.
RSA hat wohl den in dieser Situation häufig gemachten Fehler begangen, anzunehmen, dass das Verriegeln von Fenster und Türen die Korridore des Firmennetzwerks schützen würde. Man könnte dies damit vergleichen, bei einem Haus Schlösser und Riegel anzubringen, aber im Inneren keinen Bewegungsmelder zu installieren – oder nicht zu überprüfen, ob das System wie vorgesehen funktioniert.
Wahrscheinlich hat RSA ein Log-Verwaltungsprogramm im Einsatz, aber die Logs wurden nicht vernünftig überprüft und analysiert. Angesichts der Geschwindigkeit, mit der das Unternehmen eine Ursachenanalyse des Angriffs vorlegen konnte, kann davon ausgegangen werden, dass sämtliche Informationen bereits vorlagen.
Mentaler Schlagabtausch
Sicherheit ist ein mentaler Schlagabtausch, bei dem Unternehmen gegen Horden von äußerst intelligenten und gerissenen Gegnern antreten, die nicht einfach durch Technik schachmatt gesetzt werden können. Sowohl der Netzwerkverkehr als auch die Zugangsberechtigungen müssen überwacht werden, ungewöhnliche Vorkommnisse müssen Alarm auslösen. Aber all dies ist keinen Pfifferling wert, wenn nicht ein Mensch auf die Hinweise reagiert.
Computer sind hervorragend dafür geeignet, Zahlenmaterial zu verarbeiten und herauszufinden, wo der Fehler liegt, sollte es bei den Zahlen zu Diskrepanzen kommen. Dadurch wirken sie intelligent, tatsächlich aber folgen sie einfach nur einer vorprogrammierten Logik. Hacker tun dies nicht.
Die Angreifer sind Meister der Unlogik. Ein Beispiel dafür ist ein Angriff per Fuzzing-Software. Dabei wird ein Computersystem mit den verschiedensten Nonsens-Daten bombardiert, solange bis Sicherheitslücken im Server oder der Firewall sichtbar werden. Erfahrene und einfallsreiche Hacker können dann diese Schwachstellen ausnutzen. Solche Angriffsversuche können abgewehrt werden, wenn man die Anzeichen erkennt und die Angreifer, die das Unternehmen ins Visier genommen haben, überlistet. Dazu ist ein ähnlich trickreicher Verstand gefordert, dessen Kreativität von einer Maschine nie ersetzt werden kann.