Security

Vernetzt und sicher

Der Wettlauf vom Cyber-Igel und Cyber-Hase

Wenn wir in der Vergangenheit an das Thema Hacker gedacht haben, sind uns in der Regel Szenarien eingefallen wie z. B. Wirtschaftsspionage – manch einer wundert sich, in China Automobile zu finden, die europäischen optisch sehr ähnlich sind – oder natürlich die Versuche des Ausspähens der Passwörter inklusive des Online-Banking-Zugriffs auf dem Rechner in den eigenen vier Wänden.

2010 haben wir dann mit Stuxnet ein neues Szenario der Hacker-Angriffe kennengelernt: ein Computerwurm, der zuerst unter dem Namen RootkitTmphider beschrieben wurde und speziell für ein System zur Überwachung und Steuerung (SCADA-System) der Firma Siemens – die Simatic S7 – entwickelt wurde, um gezielt in die Steuerung von Industrieanlagen einzugreifen. Vermutet wurde seinerzeit, dass dies in 2010 im iranischen Atomprogramm geschehen ist, da es hier zu außerplanmäßigen Störungen gekommen ist. Es gibt Hypothesen, welche sogar davon ausgehen, dass Stuxnet gezielt entwickelt worden ist, um die Leittechnik der Urananreicherungsanlage in Natanz oder des Kernkraftwerks Buschehr zu stören.

Bei dieser für die damalige Zeit neuen Qualität von Hacker-Angriffen – Stuxnet wird auch gleichgesetzt mit dem „digitalen Pearl Harbour“ – wird deutlich: Cyber-Krieg ist keine Vision mehr, sondern spätestens seit dem Jahr 2010 ein real existierendes Bedrohungsszenario über den Weg der IT.

Neue Qualität der Angriffe

2013 enthüllte der ehemalige Geheimdienstmitarbeiter Edward Snowden die internationalen Überwachungsaktivitäten der National Security Agency (NSA), die seit spätestens 2007 in großem Umfang die Telekommunikation und dabei insbesondere das Internet verdachtsunabhängig überwacht haben soll.

Und heute? Die Digitalisierung unserer Arbeitswelt schreitet rasant voran, jeder ist mit jedem, alles mit allem vernetzt, Stichworte dazu sind Social Media Networks, B2B (Business to Business), B2C (Business to Consumer), Industrie 4.0, um nur einige sogenannte „Buzzwords“ zu nennen. Die Gründe für mehr oder weniger professionelle Angriffe auf Industrie und Wirtschaft liegen auf der Hand. Wo aber liegen die Interessen der Angreifer auf öffentliche Institutionen? Die Frage nach den Gründen für Angriffe stellt sich jedoch erst an zweiter Stelle. Die jüngste Vergangenheit lehrt uns, dass die ganze Bandbreite an Interessen – vom einfachen Spieltrieb bis zu professionellen, politischen und wirtschaftlichen Interessen – in vollem Umfang auch auf öffentliche Institutionen zielen:

  • Computerviren im Bundestag – was war die Motivation der Angreifer?
  • Zugriff auf die Server der KfZ-Zulassungsstellen in Hessen und Rheinland-Pfalz – was wollten die Angreifer damit erreichen?

Die Kernfrage ist doch, wie kann man sich vor Angriffen jeglicher Art schützen, was ist zu tun, um IT sicherer zu machen als sie heute ist. Hinzu kommt der aktuelle Handlungsbedarf in rechtlicher Hinsicht; Stichwort dazu ist das IT-Sicherheitsgesetz (ITSiG) als Vorschlag der Bundesregierung, einen Mindeststandard für die IT-Sicherheit zu vereinbaren und eine Meldepflicht für IT-Störfälle einzuführen.

IT-Sicherheit in der Bank – ein Beispiel

Ist IT heute trotz der unzähligen Sicherheitskonzepte und installierten Software-Produkte nicht sicher genug? Dazu möchte ich ein einfaches Beispiel heranziehen:

Als Mitarbeiter im Backoffice einer Bank bearbeitet und prüft Herr Peter jeden Tag zahlreiche Kreditanträge. Eines Morgens hat er eine E-Mail von einer Person in seinem Postfach, die vorgibt, ihn neulich auf einer Veranstaltung in Berlin kennengelernt zu haben. Tatsächlich war er auch dort, nur an den Absender der Mail kann er sich nicht mehr erinnern, da Herr Peter an diesem Tag mit unzähligen Personen gesprochen hat. Trotzdem klickt er auf den beigefügten Link – plötzlich springt ein Pop-up-Fenster im Browser auf, das Herr Peter, ohne es weiter zu beachten, einfach wegklickt. Es war ein Sicherheitshinweis des Browsers. Damit nimmt das Übel seinen Lauf.

Denn was Herr Peter nicht bemerkt: Im Hintergrund seiner Desktop-Umgebung hat sich durch das Wegklicken des Pop-ups ein Kommunikationskanal vom Rechner des Angreifers zu Peter geöffnet. Hierbei wurden reguläre Sicherheitsmechanismen wie Firewalls oder Anti-Viren-Scanner ausgehebelt. Über diesen Kommunikationskanal wird nun eine Schad-Software installiert, die über das Internet eine sichere und konstante Verbindung zwischen dem Netzwerk der Bank und einem Server z. B. in Osteuropa aufbaut.

„IT-Sicherheit darf keine Ansammlung von Werkzeugen in Verbindung mit unzeitgemäßen Regularien sein.“

Jörg Prings, Geschäftsbereichsleiter Öffentlicher Dienst der PROFI AG

Dort sitzen die Cyber-Kriminellen, die Herrn Peter die Malware über die Webseite „untergejubelt“ haben. Sie hatten Wochen zuvor sein Profil bei Facebook, LinkedIn und Twitter ausgespäht und so erfahren, dass er in Berlin auf einer Veranstaltung war. Mit dieser Information konnten sie die fingierte Spear-Phishing-E-Mail erstellen, die ihn dazu verleitete, den auf die infizierte Webseite führenden Link anzuklicken.

Nach der Installation der Malware können sich die Cyber-Kriminellen über Herrn Peters Rechner in aller Ruhe Zugang zum Netzwerk der Bank verschaffen und dieses nach Informationen, Datenbanken oder angeschlossenen Geräten durchstöbern. Herr Peter ahnt nichts davon und auch bei der IT-Abteilung bleibt das Eindringen unbemerkt – Monate verstreichen.

In dieser Zeit finden die Angreifer massenhaft achtlos in Textdateien abgespeicherte Zugangsdaten zu verschiedenen internen Systemen der Bank. Leichtsinnig als Textdateien im lokalen Dateisystem abgelegt, sind sie ein gefundenes Fressen für die Hacker.

Ein paar Wochen später schließlich gelingt es den Cyber-Kriminellen, eine der Datenbanken mit den gefundenen Passwörtern zu knacken – der Jackpot: Die gehackte Datenbank ist eine Fundgrube für wertvolle Kundeninformationen, die auf dem internationalen Schwarzmarkt viel Geld wert sind. Dann geht alles ganz schnell: In vielen kleinen Datenpaketen schleusen die Hacker ihre „Beute“ aus dem Netzwerk über das Internet auf ein von ihnen kontrolliertes System. Durch die Stückelung des Downloads bleibt die Aktion in der IT-Abteilung unbemerkt. Zusätzlich entfernen sie nach der Exfiltration der Daten alle im System der Bank installierten Schadprogramme. So weiß hinterher niemand, dass jemals ein Angriff stattgefunden hat – Herr Peter schon gar nicht.

Ungewöhnlich? Sicherlich nicht. Dieses Beispiel soll deutlich machen, dass IT-Security bei jedem Nutzer der Informationstechnologie selbst beginnt; nur dann können IT-Security-Konzepte, Monitoring und Abwehrmechanismen wirkungsvoll greifen. Ist also das Benutzerverhalten der Schlüssel zu 100 Prozent IT-Sicherheit? Natürlich nicht, denn IT ist von Menschen „gebaut“, eine Firewall von Menschen entwickelt und programmiert und Menschen machen Fehler. Die daraus entstehenden Sicherheitslücken in den Programmen auf allen Rechnern dieser Welt ermöglichen es Hackern, in IT-Systeme und Programme einzudringen, trotz achtsamer Anwender und installierter Schutzmechanismen. Ein Wettlauf mit der Zeit, wie Cyber-Hase und Cyber-Igel: Entdeckt der Hacker die Sicherheitslücke bei dem System-/Programm-Hersteller, bevor dieser mit einem Security Patch die Sicherheitslücke schließen kann?

Politische Ziele im Fokus

Gilt das alles auch für den öffentlichen Dienst? Spätestens seit dem Angriff auf den Bundestag ist klar geworden, dass ausschließlich politische Ziele im Fokus der Hacker stehen, mit dem Hintergrund, wirtschaftliche Vorteile für das eigene Land zu erzielen. Z. B. werden gezielt Behörden ausspioniert, die Fördermittel vergeben.

Hier stellt sich die Frage nach dem „Warum“. Für andere Nationen ist es wichtig, zu erfahren, welche Unternehmen in Deutschland innovativ am Markt agieren und wachsen. Erste Informationen finden sich hierzu sicher leicht im Netz.

Danach sind z. B. Fördermittelanträge für wachsende Unternehmen, welche in Bundes- und Landesbehörden bearbeitet werden, ein wichtiger Indikator für die Angreifer. Diese Information motivieren die Angreifer, ihre Hacker-Attacken auf Ministerien und Behörden gezielt anzusetzen und sich durch das Ausspionieren von Fördermittelprogrammen, Steuervergünstigungen, Wirtschaftsförderung und Fördermittelanträgen eine Matrix für weitere Rückschlüsse auf interessante Unternehmen zu schaffen. Meist interessieren sich die Angreifer hier für die begünstigten Unternehmen, da diese die lukrativsten und innovativsten am Markt sind und folglich dann Ziele weiterer Angriffe werden.

Der IT-Planungsrat hat daher nun festgeschrieben, dass alle Bundesländer bis 2016 CERTs (Computer Emergency Response Team) für ihre Behörden aufbauen müssen.

Wichtigstes Hindernis in der täglichen Arbeit ist, dass ähnlich wie in der Industrie auch die Behörden den Angreifern meist zeitlich hinterherlaufen. Außerdem sind die Ressourcen, welche Behörden aufbringen können, im Vergleich zu den Möglichkeiten der Angreifer unverhältnismäßig klein.

Dementsprechend bedarf es einer weiteren, schnellen Bereitstellung von personellen, technischen und finanziellen Mitteln im öffentlichen Dienst, um dieser Unverhältnismäßigkeit Herr zu werden. Die Mittelzuführung gestaltet sich in der Praxis durch die langen Haushaltszeiträume und die festen Strukturen teilweise schwierig.

Tatsächliche Risiken

Was also kann man generell tun, um in diesem immerwährenden Wettrüsten mithalten zu können? Natürlich müssen alle Maßnahmen, seien sie technischer oder organisatorischer Natur, immer auch in Relation zum konkreten Risiko stehen. Doch genau an dieser Stelle tun sich oft die ersten Defizite auf: Was sind denn die tatsächlichen Risiken, denen die betreffende IT ausgesetzt ist? Was sind denn die kritischen Daten, auf welchen Systemen befinden sie sich und welche Auswirkungen hätte ein Verlust an Vertraulichkeit, Integrität oder Verfügbarkeit? All dies sind klassische Fragen, die am Anfang eines Prozesses zur Bewertung, Verbesserung und fortlaufenden Pflege der eigenen IT-Sicherheit stehen.

Zusammen mit diversen anderen Themen, Prozessen und Regelungen entsteht auf diese Weise ein Informationssicherheits-Management-System (ISMS). Ob dieses nun bis zur Zertifizierung auf Basis BSI Grundschutz oder ISO 27001 fortgeführt wird, muss im jeweiligen Einzelfall betrachtet werden. Zuallererst muss aber erkannt werden, dass IT-Sicherheit keine Ansammlung von Werkzeugen in Verbindung mit oft entweder unzeitgemäßen oder rein situativ-reaktiven Regularien mehr sein darf. Das ISMS soll in erster Linie dazu dienen, als Rahmenwerk für die IT-Sicherheit das zu ermöglichen, was IT-Sicherheit heute sein muss: ein permanenter Prozess, der dem Zyklus „Plan-Do-Check-Act“ folgt. Natürlich ist die Voraussetzung für einen echten Mehrwert dabei immer, dass es sich nicht um ein reines Papierwerk handelt, welches den Bezug zur alltäglichen Realität in der Behörde verloren hat.

Vielmehr muss es als Framework einen Rahmen bieten, der es den Beteiligten ermöglicht, die technischen und organisatorischen Änderungen schneller, effektiver und vor allem immer am realen Schutzbedarf orientiert einzusetzen. Auf diese Weise entwickelt sich IT-Sicherheit von einer Sammlung aus Werkzeugen und Regelungen zu einem lebendigen Prozess, der den rasanten Entwicklungen auf der Gegenseite etwas entgegenzusetzen hat.

Ob sich an die Umsetzung eine formale Zertifizierung anschließt oder die bestehenden Leitfäden nur als inhaltliche Hilfestellung verwendet werden, steht auf einem ganz anderen Blatt. Die Frage jedoch, ob Informationssicherheit eines stetig fortgeführten, individuellen Management-Prozesses bedarf, wird von jedem Sicherheitsvorfall aufs Neue eindeutig beantwortet.

Und trotzdem werden wir uns auch weiter erfolgreichen Angriffen und Störfällen ausgesetzt sehen, dem Cyber-Hasen und dem Cyber-Igel.

Marcus Hock (links),
Senior Consultant, CISSP der PROFI AG


Jörg Prings (rechts),
Geschäftsbereichsleiter Öffentlicher Dienst der PROFI AG