COMPASS MAGAZINE #10
COMPASS MAGAZINE #10

PENG, PENG SIE HAT’S ERWISCHT Angst, dass Sie gehackt wurden? Das ist wahrscheinlich bereits geschehen.

Technologische Fortschritte ermöglichen es, Informationen problemlos über diverse Plattformen, Geräte und Datenzentren zu teilen. Zwar ist dieses Vorgehen schnell, praktisch und effizient, aber es birgt auch ein hohes Risiko, gehackt, ausgespäht oder bestohlen zu werden.

Obwohl die meisten Unter­nehmen nur ungern öffentlich bekannt geben, dass sie Opfer von Cyberkriminellen geworden sind, gibt es in letzter Zeit fast täglich Berichte über solche Angriffe.

Zu den im Jahr 2013 gehackten Unternehmen zählen Google und Facebook, Sony Pictures, Acer Europe, Fifth Third Bank, Ubisoft, die World Wildlife Foundation, die Militärpolizei in Kambodscha und sogar die New York Times.

Das Risiko eines Hackerangriffs steigt täglich. Firmen stellen Produktmodelle und Mitarbeiterdaten online, ermöglichen den Zugang zu Finanzdiensten und sogar den Eingriff in die Steuerung von solch sensiblen Systemen wie Kraftwerken und Chemieanlagen. Sie gewähren auch immer mehr Menschen – Mitarbeitern, Auftragnehmer, Kunden – von unzähligen privaten Geräten aus den Zugriff auf das Firmennetzwerk.

Das ist ein unwiderstehlicher Mix für Hacker, die von verschiedensten Gründen und unterschiedlichsten Zielen angetrieben werden. Eine klitzekleine Schwachstelle –beispielsweise eine E-Mail, die von einem arglosen Mitarbeiter geöffnet wird – ermöglicht es einem geduldigen Hacker, die Backend-Datenbank zu plündern und die wertvollsten firmen­internen Informationen zu stehlen. Fachleute sind sich einig, dass es keine Frage ist, ob Ihr Firmennetz gehackt wird. Es ist vielmehr eine Frage, wann es passiert.

GEFAHR ABSCHÄTZEN

Im März 2013 hat Trustwave, ein Unter­nehmen aus Chicago im US-Bundesstaat Illinois, das Firmen hilft, auf unberechtigte Netzwerkzugriffe zu reagieren, folgende ernüchternde Feststellung getroffen: „Nahezu jede Branche, jedes Land und jede Art von Daten waren 2012 in irgendeiner Weise in einen Datensicherheits­verstoß involviert.“ Norton, ein Anbieter von Antivirusprogrammen, schätzt die durch globale Cyberkriminalität verursachten Kosten auf 388 Milliarden US-Dollar; ein Wert, der an die im weltweiten Drogenhandel erwirtschafteten 411 Milliarden US-Dollar heranreicht.

In seinem „2013 Data Breach Investigations Report“ (DBIR) hat der Netzbetreiber Verizon mit Unterstützung von 18 öffentlichen und privaten Strafverfolgungseinrichtungen und Datenschutzorganisationen weltweit allein für 2012 ermittelt, dass 44 Millionen Datensätze von Verstößen betroffen waren. Und dabei wurden nur jene gezählt, bei denen die Datenschutzverletzung eindeutig nachgewiesen werden konnte. Die tatsächliche Zahl ist wahrscheinlich deutlich größer.

Der Datenverlust kann für die betroffenen Firmen ernste finanzielle Folgen haben. Die genauen Kosten variieren je nach Dauer des unberechtigten Zugriffs und Art der gestohlenen Daten. Sie sind auch stark von der geografischen Lage des geschädigten Unternehmens abhängig.

Ungeachtet des finanziellen Schadens sind solche Netzwerkangriffe äußerst störende Ereignisse. „Ob das Unternehmen eine Chemiefabrik oder ein Kernkraftwerk betreibt, ein Finanzdienstleister oder eine medizinische Einrichtung ist, die Auswirkungen eines solchen Übergriffs sind dieselben“, sagt Bala Venkat, Chief Marketing Officer bei Cenzic, einer Sicherheitsfirma für Webapplikationen aus Campbell, Kalifornien (USA). „Der Verlust vertrau­licher, sensibler Daten und finanzieller Vermögenswerte sowie mögliche Ge­fahren für die Betriebs­sicherheit sind die primären Auswirkungen.“

Quelle; RISK Data Breach Investigations Report von Verizon 2013
Natürlich sind in einer Arztpraxis andere Vorkehrungen gegen Hackerangriffe notwendig als in Chemie- oder Kernkraftwerken, die vor Angriffen durch ausländische Spione geschützt werden müssen. Beim Schutz der digitalen Vermögenswerte ist nach Meinung von Wade Baker, dem geschäftsführenden Direktor von RISK (Researching and Investigating Solutions Knowledge) bei Verizon, eine Lösung nach dem Eine-für-Alles-Prinzip nicht geeignet, weil diese einige Firmen nicht ausreichend schützen würde, während andere wahrscheinlich zu viel für diesen Schutz bezahlen würden.

„NAHEZU JEDE BRANCHE, JEDES LAND UND JEDE ART VON DATEN WAREN 2012 IN IRGENDEINER WEISE IN EINEN DATENSICHERHEITSVERSTOSS INVOLVIERT."

TRUSTWAVE NETWORK-INTRUSION CONSULTING COMPANY

„Die Unternehmen müssen sich fragen: ‘Welche Gruppen wollen mich möglicherweise angreifen? Welche Daten habe ich und wer könnte sich dafür interes­sieren?’“, so Baker. „Sobald Sie sich darüber im Klaren sind, sollten Sie sich fragen: ‘Welcher Techniken bedienen sich diese Gruppen meines Wissens nach?’ Mit dieser Vorgehensweise wird es Ihnen leichter fallen, Ihre Vorkehrungen bezüglich der Gefahren und Schwachstellen, die zum Problem werden könnten, zu priorisieren.“

PROFIL EINES HACKERS

Selbst wenn Hacker gar nicht an den Daten interessiert sind, die das angegriffene Unternehmen zu schützen versucht, nutzen sie doch gerne schlecht gesicherte Systeme, um von dort An­griffe auf lohnendere Ziele – beispiels­weise eine Bank, das Stromnetz eines Landes oder ein zentral gesteuertes Verkehrssystem – zu starten.

Die Ziele und Taktiken variieren je nach Art und Motivation der jeweiligen Gruppe. Der DBIR hat herausgefunden, dass es organisierte Banden oft auf Finanzunterlagen und Hardware-Ressourcen abgesehen haben, die weiterverkauft werden können. Cyberspione sind im Allgemeinen an geistigem Eigentum und Betriebs-geheimnissen interessiert. Hacktivist-Gruppen wie WikiLeaks wollen die anvisierten Firmen bloßstellen oder ein vermeintliches oder tatsächliches Fehlverhalten aufdecken.

„Wir haben festgestellt, dass die Unternehmen wissen müssen, wer ihre Feinde sind und was diese zu ihren Angriffen motiviert“, sagt Shahbaz Khan, Manager für Global Response der in Malaysia ansässigen International Multilateral Partnership Against Cyber Threats (IMPACT), einem Ausführungsorgan der UN-Sonderorganisation ITU (International Telecommunication Union). „Wenn man weiß, wer einem schaden möchte und was die Angreifer zu finden hoffen, kann man sein Unternehmen und seine Daten besser schützen.

OBEN IN DER CLOUD

Aber was ist, wenn Ihre Daten gar nicht innerhalb Ihrer Firma lagern? Cloud Computing-Dienste, bei denen die Daten und Anwendungen der Kunden auf zentralen Serverfarmen liegen, werden immer beliebter, weil sie die Unternehmen dabei unterstützen, die vorhandene redundante Dateninfrastruktur zu be­seitigen, deren Wartung und Sicherung sehr kostenintensiv ist. Cloud-Anbieter kommen den Bedürfnissen der mobilen Gesellschaft von heute nach, indem sie es den Arbeitnehmern ermöglichen, über das Internet von überall auf der Welt auf wichtige Projekte und Ressourcen zugreifen zu können.

Viele Sicherheitsexperten haben bereits davor gewarnt, dass die Verlagerung von Daten und Projekten in die Cloud ganz spezielle Sicherheitsrisiken birgt, weil dadurch ein Großteil vieler Unternehmensdaten an einem einzigen Ort konzentriert ist und dies eine nahezu unwiderstehliche Versuchung für Hacker darstellt. Im Gegensatz dazu vergleichen andere Fachleute Cloud Computing mit einem Banktresor, in dem man seine wertvollsten Besitztümer einlagern könne. „Eine Bank ist bestimmt besser ausgestattet als ein Wohnhaus, weil die sichere Verwahrung eine ihrer Hauptaufgaben ist“, sagt Guillaume Lovet, Senior Manager des EMEA Threat Response Teams bei Fortinet, einem Netzwerksicherheitsunternehmen aus Sunnyvale, Kalifornien (USA).

Chris Pogue, Leiter Digitale Forensik und Incident Response bei Trustwave, hat bisher nicht feststellen können, dass die Cloud-Dienste ein vorrangiges Angriffsziel für organisierte Kriminelle sind – noch nicht zumindest. „Momentan gibt es nicht viele cloud-basierte Sicherheitsverstöße, aber das könnte sich bald ändern“, so Pogue. „Ich glaube, die Technologie ist noch zu neu, als dass Unternehmen durch Eindringlinge in die Cloud schwer getroffen werden könnten.

“Dies könne sich laut Pogue ändern, wenn mehr Unternehmen ihre Daten in die Cloud verschieben. „Die meisten Hacker, die daran interessiert wären, suchen nach Daten, die sie schnell weiterverkaufen können. Doch derzeit lagert ein Großteil dieser Daten noch nicht in der Cloud.“

SIE SIND DRIN ... WAS NUN?

Wenn jemand Ihr System gehackt hat, haben alle Sicherheitsvorkehrungen versagt. In diesem Fall können Sie das unberechtigte Eindringen nur erkennen, wenn Sie Anomalien im Verhalten oder der Kommunikation des Netzwerks oder der Arbeitsplatzrechner bemerken. Einige sehr gefährdete Firmen beschäftigen Sicherheitsexperten, die den Datenverkehr im Netz nach verdächtigen Mustern durchkämmen, die auf Hackeraktivitäten hinweisen.

Sobald ein Übergriff entdeckt wird, sollte als erstes der Netzwerkstecker gezogen werden, rät Lovet von Fortinet. Dann müssen die betroffenen Systeme identifiziert und isoliert werden, damit von dort aus keine anderen Systeme angegriffen oder infiziert werden können.

„Jetzt beginnt der Job der Forensiker“, sagt Lovet. „Dazu gehört eine umfangreiche Offline-Analyse der Festplatten. Es ist in der Tat nicht sinnvoll, ein gefährdetes System sich selbst analysieren zu lassen, weil es absichtlich falsche Informationen generieren könnte.“

Wenn man Angreifer nicht komplett fernhalten kann, sollte man Sicherheits­verstöße minimieren, indem man sich vorab darauf vorbereitet und bereit ist, schnell zu handeln. Experten sind sich einig, dass eine solide Verteidigungsstrategie auf mehreren, überlappenden Maßnahmen basiert, die Sicherheitstechnologie, Menschen und Prozesse einschließen.

„Wenn Sie große Geheimnisse schützen müssen, benötigen Sie mehr als nur eine starke Barriere“, sagt Kahn von IMPACT. „Jedes Sicherheitssystem kann einmal versagen und Sie können es sich nicht leisten, schutzlos zu sein. Wenn Sie diesen Schutz nicht sicherstellen können, sollten Sie darüber nachdenken, Ihre wertvollen Daten aus dem Firmennetzwerk zu entfernen.“

Zweitens sollten Sie sich nicht mit dem zufrieden geben, was alle anderen tun. „Die bisher bewährten Praktiken anzu­wenden, ist für die Abwehr heutiger Gefahren nicht ausreichend“, sagte Kahn. „Tun Sie alles, was erforderlich ist. Und folgen Sie nicht nur dem Herdentrieb.“

1.1 Milliarde

Seitdem Verizon vor neun Jahren damit begann, Daten zu Sicherheitsverstössen zu sammeln, hat es 2.500 Übergriffe und 1.1 Milliarden betroffene Datensätze gezählt.

Drittens rät Kahn den Unternehmen, kreativ zu werden. „Scheuen Sie sich nicht davor, Maßnahmen zu ergreifen, die andere ignorieren. Die Geräteauthentifi­zierung – mit Trusted Platform Modulen – ist beispielsweise eine starke Kontrollinstanz, die relativ leicht umzusetzen und zu verwalten ist, jedoch kaum genutzt wird. Es ist besser, mehrere suboptimale Lösungen zu kombinieren, als nach einer optimalen, einzelnen Sicherheitsinstanz zu suchen.“

Und letztens müssen die Unternehmen nach Ansicht von Kahn einen Notfallplan erstellen und dessen Umsetzung üben. „Das ist mehr als ein normaler Notfallplan, um die Geschäftsaktivitäten fortzuführen, das ist ein Worst-Case-Szenario. Es geht nicht darum, sich von zufälligen Betriebsunterbrechungen zu erholen. Vielmehr geht es um kluge Lösungen im Falle von Extremsituationen und erheblichen Verlusten.“

Wim Remes, Managing Consultant bei IoActive, einer Software- und Hardwaresicherheitsfirma aus Seattle, Washington (USA), glaubt, dass die wichtigste Fähigkeit, die jedes Unternehmen besitzen sollte, das schnelle Umschalten in den Reaktionsmodus ist.

„In jeder größeren Firma sollte es ein bereichsübergreifendes Team geben, das Gefahren und Ereignisse überwacht und behandelt. Dies hat zum Ziel, vom Panikmodus-Modell wegzukommen, das wir leider noch allzu oft vorfinden, und ein Gefahrenbewusstsein in der gesamten Geschäftsabwicklung zu verankern“, sagt Remes. „Ist diese Fähigkeit vorhanden, kann ein Unternehmen rasch und mit minimalen Auswirkungen auf die Betriebsabläufe reagieren.“

Brian Krebs veröffentlicht seine Beiträge auf KrebsonSecurity.com, einer Nach­richtenseite, die sich gründlich recherchierten Neuigkeiten und Untersuchungen zur Cybersicherheit ver­schrieben hat. Er ist außerdem Autor des bald erscheinenden Buchs Spam Nation, das den Aufstieg und Fall der größten Imperien für Internetkriminalität nachverfolgt.

 

STAATLICH GEFÖRDERTES HACKING

Die in Alexandria, Virginia (USA), ansässige Sicherheitsberatungsfirma Mandiant hat 2013 die Cyber-Welt wachgerüttelt, als sie in einem Bericht die staatliche Förderung von Hackern in China aufdeckte, deren Ziel der Diebstahl von Betriebsgeheimnissen ist.

Mandiant berichtete, dass 150 Unternehmen gehackt wurden, darunter auch The Coca-Cola Company und Lockheed Martin. Die schockierendste Enthüllung: Diese Gruppe war nur eine von rund zwei Dutzend chinesischer Teams, die es auf Unternehmen weltweit abgesehen haben.

Richard Bejtlich, der leitende Sicherheitsbeauftragte von Mandiant, sagte, dass ungefähr 40% der Fortune-1000-Unternehmen weltweit ständige Ziele von solchen „Advanced Persistent Threat“-Angriffen (APT) durch Hackergruppen sind, die von der chinesischen Regierung gesponsert werden. „Diesen Gruppen wird gesagt: Das ist die Mission und das sind die Informationen, die wir wollen. Geht los und findet sie“, so Bejtlich.

Für APT-Angriffe braucht man straff organisierte, zielstrebige Hacker, die bisher unbekannte Schwachstellen in der Soft- und Hardware finden und ausnutzen, um in die Netzwerke ihrer anvisierten Zielfirmen einzudringen.

„Diese Angriffe können sich über Jahre hinziehen“, sagt Bejtlich. „Wenn das Ziel seinen Schutz verstärkt, dringen die APT-Gruppen eben über die Geschäftspartner der Zielfirma ein. Sobald diese Partner die Löcher gestopft haben, versuchen es die Angreifer möglicherweise über einen ausgelagerten Technologieanbieter. Wenn Ihre Firma von einem Staat oder einem APT-Angreifer als Ziel auserkoren wurde, muss Ihrem Vorstand klar sein, dass dies ein immerwährendes Problem sein wird.“

von Brian Krebs Zurück zum Seitenbeginn
von Brian Krebs

Den vollständigen Bericht Data Breach Investigations Report von Verizon aus dem Jahr 2013 finden Sie unter: www.verizonenterprise.com/DBIR/2013