Etwa 77 Millionen gestohlene Kundendaten bei Sony, über 40 Millionen entwendete Kreditkartendaten beim US-Dienstleister TJX Companies und viele weitere Datenlecks bei Staat und Wirtschaft bestätigen das Credo vieler Sicherheitsexperten: Die Frage ist nicht ob, sondern wann es das eigene Unternehmen treffen wird. Doch es gibt Licht am Ende des Tunnels: Wer IT-Sicherheit als fortlaufenden Prozess versteht, kann seine Daten auch erfolgreich schützen.
Diese Philosophie, die etwa dem Security Development Lifecycle (SDL) von Microsoft zugrunde liegt, brachte der anerkannte Kryptographie-Experte Bruce Schneier schon 2000 in einem vielfach zitierten Satz auf den Punkt:
"Security is a process, not a product."
Schneier ging es mit dieser Aussage vor allem darum, ein Bewusstsein dafür zu schaffen, dass es kein absolut sicheres System gibt und vermutlich auch nie geben wird. Ein Server, dessen Software letzte Woche noch aktuell war, kann schon heute neuen Angriffen gegenüber sperrangelweit offen stehen.
Doch häufig sind es nicht versteckte Software-Fehler (Bugs), die ein System verwundbar machen, sondern falsch konfigurierte Server(-Dienste), ungeschützte Administrationsbereiche, schwache Passwörter oder ähnliche Kleinigkeiten, die leicht übersehen werden – sich aber zum Glück auch meist genauso leicht beheben lassen!
Nachfolgend sollen drei Beispiele näher betrachtet werden, die sich auf reale Fälle beziehen und sich so oder so ähnlich auch jederzeit wiederholen könnten.
Beispiel #1: Das DNS-Debakel von 2008
Das Domain Name System (DNS) ist eine der Kernkomponenten des heutigen Internets, und ein Fehler, der in diesem System entdeckt wird, sorgt garantiert weltweit für Schlagzeilen. So geschehen 2008, als der US-Sicherheitsexperte Dan Kaminsky einen Weg aufzeigte, wie sich so ziemlich jeder DNS-Server binnen weniger Sekunden bzw. Minuten beliebig manipulieren lässt.
Dazu muss man wissen: Die Aufgabe eines DNS-Servers besteht darin, einen leicht zu merkenden Domainnamen wie seibert-media.net in eine für den Menschen weniger angenehme Form zu bringen: die IP-Adresse 81.3.45.232. Für die Datenübertragung jedoch benötigt der eigene Rechner die letztere Form.
Um bei der nächsten Anfrage eines Nutzers Zeit zu sparen, merkt sich der DNS-Server viele IP-Adressen und die zugehörigen Domainnamen für eine bestimmte Zeit in seinem Cache. Gelingt es einem Angreifer, diesen Cache zu manipulieren, kann er jede beliebige Domain kapern und auf seine eigenen Server umleiten – völlig transparent und für den Nutzer nicht zu erkennen.
Diese Angriffsmethode, die auch als DNS-Cache-Poisoning bekannt ist, wurde 2008 sogar noch weiter verfeinert: So war es nicht nur möglich, einzelne Einträge im Cache zu verändern, sondern eine komplette Domain mit allen Subdomains zu entführen – ein digitaler Super-GAU! Entsprechend schnell und unbürokratisch reagierten die Verantwortlichen bei der Beseitigung des Problems.
Um derartige Angriffe in Zukunft ganz auszuschließen, sattelt beispielsweise die für deutsche Domains zuständige DeNIC derzeit auf die DNS-Erweiterung DNSSEC um.
Beispiel #2: Cross-Site-Scripting und Cookie-Diebstahl
Was die Erkältung für den Menschen ist, das ist Cross-Site-Scripting (XSS) für moderne Webseiten: Irgendwann trifft es jeden und häufig sogar mehrmals!
Kaum eine moderne dynamische Website hatte noch nicht mit einem XSS-Problem zu kämpfen, und dennoch werden die Gefahren von den Betroffenen häufig kleingeredet und der Fehler als ungefährlich eingestuft. Das Argument lautet, dass sich mit XSS keine Webanwendung kompromittieren lässt, da der Code, der ausgeführt wird, aufseiten des Clients – also im Browser – startet.
Wer so argumentiert, übersieht jedoch die Kehrseite der Medaille: Im Browser ausgeführter JavaScript-Code, der bei XSS zum Einsatz kommt, reicht in den meisten Fällen aus, um den im Browser gespeicherten Cookie auszulesen und die Sitzung des Nutzers zu kapern. Der Angreifer kennt zwar immer noch nicht das Passwort, kann die Webanwendung dank des gestohlenen Cookies jedoch so bedienen, als hätte er die Zugangsdaten regulär eingegeben. Handelt es sich um einen Administratorenzugang, ist die Katastrophe perfekt.
Doch es gibt Gegenmittel: Cross-Site-Scripting lässt sich durch sicheres Programmieren während der Entwicklung und durch abschließende Code-Reviews effizient und erfolgreich unterbinden.
Beispiel #3: Bot-Netze, Spam-Versand und DDoS-Attacken
Kaum ein Schädling hat in den letzten Jahren für so viel Wirbel gesorgt wie der Windows-Wurm Conficker, der nach groben Schätzungen mehrere Millionen IT-Systeme befallen konnte und Schäden in Höhe von neun Milliarden US-Dollar angerichtet haben soll.
Spektakuläre Fälle wie dieser zeigen eines sehr deutlich: Ein einziger Fehler in einem weit verbreiteten System wie Windows reicht aus, um binnen weniger Stunden eine riesige Menge an Rechnern zu entern, zu einem Netzwerk zusammenzuschließen und zentral zu steuern. Ein Bot-Netz ist geboren.
Ein solches Bot-Netz besteht häufig aus Hunderttausenden Rechnern – Zombies genannt – und wird primär genutzt, um millionenfach Spam-Nachrichten zu versenden. Ein anderes "Geschäftsmodell" der Cyber-Kriminellen kombiniert die Datenleitungen der einzelnen Rechner, um eine Schlagkraft zu erzeugen, die selbst den leistungsstärksten Rechner in die Knie zwingt. Dieser Angriff wird als Distributed-Denial-of-Service-Attacke bezeichnet und lässt sich für Geld erwerben, um etwa die Server unliebsamer Mitbewerber zu stören.
Um die eigenen Systeme gegen solche DDoS-Attacken unempfindlicher zu machen, helfen häufig schon redundante Systeme, Firewalls, Load-Balancing und schnelle Reaktionen auf Netzwerk-Anomalien. Viele Angriffe erfolgen nach einem bestimmten Muster, das sich – einmal entdeckt – blockieren lässt.
Um den Bot-Netzen den Wind aus den Segeln zu nehmen, greifen Unternehmen und Behörden mittlerweile sogar aktiv in deren Infrastruktur ein. Mitte April 2011 ging die amerikanische Bundesbehörde FBI einen umstrittenen Schritt weiter: Sie übernahm die Kontrolle über das Bot-Netz Coreflood und sendete an die Millionen infizierten Rechner den Befehl, den Schädling zu deaktivieren.
Fazit
Die Kriminellen des Cyberspace haben in den letzten Jahren einen Markt – genauer: Schwarzmarkt – aufgebaut, der den Gesetzen der freien Wirtschaft folgt. Angebot und Nachfrage regulieren den Preis und verschiedene Anbieter konkurrieren um potenzielle Kunden. Für manche Produkte wie Trojaner-Baukästen gibt es sogar schon Support via Live-Chat.
Kreditkartennummern, Passwörter, DDoS-Attacken und andere "Waren" sind wie in jedem regulären Online-Shop zu erwerben. Sicherheitsfirmen gehen davon aus, dass dieser Markt weiter wachsen wird – und damit auch die Summen steigen werden, die sich mit fremden Daten verdienen lassen.
Ein Ende des Katz-und-Maus-Spiels zwischen den Cyber-Dieben auf der einen und den Unternehmen auf der anderen Seite ist nicht in Sicht. Wer diesen Fakt akzeptiert, Sicherheit als langfristigen Prozess sieht und sich stets mit den neuen Bedrohungen weiterentwickelt, hat seine Informationen bestmöglich vor Kriminellen geschützt. Ein Restrisiko gibt es immer. Es so klein wie nur irgend möglich zu halten, ist das erklärte Ziel.
Haben Sie Fragen zum Thema IT-Sicherheit? Möchten Sie Risiken minimieren und Sicherheitslücken in Ihrem Unternehmen identifizieren und stopfen? Die erfahrenen IT-Experten von //SEIBERT/MEDIA/SYSTEMS beraten Sie gerne - bitte sprechen Sie uns unverbindlich an. Ausführliche Informationen finden Sie auch auf unserer speziellen Seite zum Thema Internet-Security-Beratung.
Weitere Informationen
Sicherheitsüberprüfungen von Websites von //SEIBERT/MEDIA
Password Manager Pro: Verschlüsselte und sichere Speicherung und Übertragung von Passwörtern
Warum Unternehmen Penetrationstests durchführen sollten (und eigentlich auch müssen)
Mehr über die Creative-Commons-Lizenz erfahren
