NSA-Angriffe: Wie Unternehmen ihre Kronjuwelen schützen
Ein Schutz gegen Angreifer auf dem Niveau der NSA ist nicht für alle Daten und Applikationen möglich. Realistisch gesehen kann ein Unternehmen höchstens ein bis zwei Prozent seiner Informationen auf dieser Ebene absichern - wir sprechen also vom Schutz der "Kronjuwelen". Diese müssen dementsprechend zuerst identifiziert werden.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Die IT eines Unternehmens muss dafür Zugeständnisse machen: Kosten, Verfügbarkeitsanforderungen und Benutzerfreundlichkeit müssen gegen den Schutz der Vertraulichkeit abgewogen und ein Kompromiss gefunden werden. Auf 98 Prozent der Daten trifft dies weiterhin zu; für die Kronjuwelen gelten folgende drei Regeln:
1) Vertraulichkeit kommt vor Verfügbarkeit.
2) Die Benutzerfreundlichkeit muss mindestens so hoch sein wie in der "normalen" IT.
3) Die Kosten für Konzeption, Anschaffung und laufenden Betrieb müssen akzeptabel sein, dürfen aber - relativ zur Größe der Umgebung - höher sein als in der normalen IT.
Hinzu kommen einige operative Veränderungen: Alle Benutzeraktivitäten rund um die Kronjuwelen werden vollständig aufgezeichnet, sind komplett rückverfolgbar und die Protokolldateien werden auf unbestimmte Zeit archiviert. Es findet keine Anonymisierung statt - dies wird jedem User klar mitgeteilt und alle müssen dem explizit zustimmen. Jeder Benutzer muss außerdem eine gesonderte Vertraulichkeitserklärung unterzeichnen und ein polizeiliches Führungszeugnis vorlegen. Alle Berechtigungen werden für maximal sechs Monate vergeben und verlieren zum Ende dieses Zeitraums automatisch ihre Gültigkeit.
Alle ausgehenden bzw. verarbeiteten Daten werden protokolliert und verifiziert (Full Data Loss Prevention). Administratoren können nicht auf die Daten zugreifen, sondern nur die Systeme administrieren und die Rechte vergeben. Konzeptionsarbeiten und tiefgehende Administrationseingriffe dürfen nur direkt am Gerät und nach dem Vier-Augen-Prinzip durchgeführt werden. Alle Kronjuwelen-Systeme müssen robust, stabil, selbstheilend und autark arbeiten. Die Anzahl der notwendigen administrativen Aktionen ist durch konsequente Simplifizierung/Automatisierung auf ein Minimum zu reduzieren.
Alle IT-Systeme für die Kronjuwelen befinden sich in einer physikalisch hochgesicherten Umgebung -einem "Serversafe" - und sind videoüberwacht. Der Videoserver befindet sich wiederum im Serversafe. In diesen führen also zwei Kabel: ein Strom- und ein Netzwerkkabel. Eine Monitoring-Mannschaft überwacht sämtliche Vorgänge im Safe, sinnvoll unterstützt durch Tools und Alarmsysteme - am Ende zählt aber die menschliche Intelligenz. Die Monitoring-Mannschaft sieht nur die Logs, nicht die Daten. Kein Administrator ist in der Monitoring-Mannschaft und umgekehrt.
Nur wirklich einfache Systeme können abgesichert werden. Die Systeme, auf denen Kronjuwelen lagern, sind auf die absolut essenziellen Komponenten beschränkt, maximal gehärtet, maximal vereinfacht und in ihrer Funktionsvielfalt maximal reduziert. Zugriffe auf die Kronjuwelen-Systeme sind immer verschlüsselt und mit einer Zwei-Faktor-Authentifizierung geschützt. Die Umgebung ist voll segmentiert, mit einem streng definierten Firewall-Regelwerk. Jedes Segment hat dedizierte Server und Hardware, es gibt keine segmentübergreifende Virtualisierung bzw. Serverblades. Ein Beispiel für eine solche Architektur zeigt Grafik 3.
Foto: Corporate Trust
Diese Anforderungsliste schreckt die meisten Firmen ab. Insofern ist es nun an der Zeit, die eigenen Prozesse, das eigene Personal und die eigene Technologie auf den Prüfstand zu stellen: Wie viel Geld müssen wir in Cybersicherheit investieren, damit wir für die Zukunft gerüstet sind?