Unternehmen unter Beschuss

Cyberspionage in der Praxis

24.10.2014 von Tom Zeller
Digitale Wirtschaftsspionage kostet die deutsche Wirtschaft im Jahr mindestens 50 Milliarden Euro. Was können Unternehmen tun, um sich besser zu schützen?

In den letzten zehn bis 15 Jahren kam es zu einer enormen Professionalisierung bei Angriffen auf Computersysteme und -netze. Inzwischen arbeiten gut ausgebildete und hochdotierte IT-Spezialisten für Geheimdienste wie auch kriminelle Organisationen und betreiben im großen Stil e-Wirtschafts- bzw. Industriespionage. Laut dem Bundesamt für Verfassungsschutz (BfV) entstehen deutschen Unternehmen hierdurch jährliche Verluste in Höhe von mindestens 50 Milliarden Euro.

Vorsicht, Spion!
Foto: Tomasz Trojanowski - Fotolia.com

Befinden wir uns damit bereits in einem weltweiten digitalen Wirtschaftskrieg? Die jüngsten Vorkommnisse, bei denen die USA erstmals Hacker des chinesischen Militärs strafrechtlich wegen Wirtschaftsspionage angeklagt haben, scheinen diesen Schluss nahe zu legen. Angeblich richteten sich die chinesischen Angriffe gegen die amerikanischen Unternehmen Alcoa, Westinghouse, Allegheny Technologies, U.S. Steel Corp., United Steelworkers Union und SolarWorld. Beide Regierungen werfen sich nun gegenseitig Spionage und Datendiebstahl vor, diplomatische und wirtschaftliche Verwicklungen sind nicht auszuschließen.

Und in der Tat gelten Cyber-Spionageangriffe inzwischen als größte Bedrohung für die Datensicherheit in Unternehmen. Zu diesem Ergebnis kommt die 2014 veröffentlichte Studie "Data Breach Investigations Report" (DBIR) des amerikanischen Telekommunikationsunternehmens Verizon, welche über 63.000 Vorfälle in 95 Ländern untersucht hat. Dabei seien nach Aussage des Bundesamtes für Verfassungsschutz gerade die Nachrichten- und Sicherheitsdienste der Volksrepublik China und der Russischen Föderation bei Cyberangriffen gegen Deutschland besonders aktiv.

Schwarzmarkt für Zero-Day-Exploits

Doch wie funktioniert digitale Wirtschaftsspionage? Es existiert ein florierender Schwarzmarkt, auf dem eine Vielzahl von Schwachstellen verbreiteter Betriebssysteme (Windows, Linux, iOS, etc.) oder Anwendungen (MS Office, Adobe Reader, Adobe Flash, etc.) gehandelt werden. Besonders interessant und begehrt sind dabei so genannte Zero-Day-Exploits. Das sind Sicherheitslücken, die außer dem Verkäufer, in der Regel dem Entdecker, noch niemand kennt - nicht einmal der Hersteller der betroffenen Software. Daher existieren dagegen weder Patches noch Sicherheitsmaßnahmen und entsprechende Angriffe können von IPS- (Intrusion Prevention Systemen) oder AV-Systemen (AntiVirus) unerkannt bleiben.

Anfällig für diese Exploits sind insbesondere kleine und mittelständische Unternehmen: "Die oftmals eher unzureichend geschützten Netzwerke von KMUs sind insbesondere durch Viren, Würmer, Trojaner und Web-Apps bedroht. Bei global agierenden Wirtschaftsunternehmen, die üblicherweise eine gut ausgestattete IT-Abteilung zu ihrem Schutz im Einsatz haben, müssen Datenspione hingegen wesentlich filigraner und zielgerichteter vorgehen", so Dieter Steiner, CEO der SSP Europe GmbH und seit mehr als 20 Jahren in der IT-Security aktiv.

Dieter Steiner, SSP Europe sieht vor allem KMUs unter Beschuss.
Foto: SSP Europe

Eine Studie der RAND Corporation zeigt, dass sich die Preise dieser Zero-Day-Exploits in einem Bereich von mittleren vierstelligen bis hin zu sechsstelligen Beträgen bewegen. Dabei gilt nach den Gesetzen des Marktes: Je weiter verbreitet die angegriffene Software und je schwieriger es ist, dort Schwachstellen zu finden, desto höher ist gleichzeitig der pro ausnutzbarer Sicherheitslücke erzielte Preis. Übrigens tanzen auch die Geheim- und Nachrichtendienste auf diesem Parkett und tragen somit zur Finanzierung und Erhaltung dieses Schwarzmarkts aus Steuermitteln bei, das heißt letztlich zahlen die von der eigenen Regierung bespitzelten Unternehmen die Zeche selbst.

Staaten mischen kräftig mit

Nachrichtendienste, auch der deutsche, benötigen die dort erworbenen Schwachstellen neben Geheimoperationen auch für ihre Aktivitäten im Bereich von "Staatstrojanern" und "Online-Durchsuchungen". Besonders pikant dabei: Der Kauf und die Geheimhaltung von verbreiteten Schwachstellen stehen an sich im Widerspruch zu dem eigentlichen geheimdienstlichen Auftrag, den Schutz der Infrastruktur des eigenen Landes gegen Bedrohungen sicherzustellen.

Professionelle Angreifer wählen ihr Ziel natürlich nicht aus dem Bauch heraus, sondern treffen kalkulierte Wirtschaftlichkeitserwägungen: So werden für erfolgsversprechende Attacken durchaus hohe finanzielle Mittel bereitgestellt und eingesetzt. Bei staatlichen Diensten scheinen die Ressourcen teilweise gar keine nennenswerte Rolle zu spielen: Wenn einem Angreifer das lukrative oder aus anderen Gründen wichtige Ziel entsprechend viel wert ist, dann kann er für das Eindringen in ein Firmennetzwerk solch einen Zero-Day-Exploit erwerben und erhält damit im Gegenzug durchaus realistische Erfolgsaussichten für sein verbotenes Handeln.

Das kleine ABC der NSA-Affäre -
Das kleine ABC der NSA-Affäre
Die Deutsche Presse-Agentur (dpa) hat ein kleines ABC mit den wichtigsten Abkürzungen des NSA-Spionageskandals zusammengestellt...
A - Abhören
Damit hat die für Deutschland wohl schmerzlichste Enthüllung zu tun - Kanzlerin Angela Merkel wurde offenbar über Jahre vom US-Geheimdienst NSA abgehört.
B - Backbone
So werden die Leitungen genannt, die Server und Netze miteinander verbinden. Sie sind das Rückgrat des Internets, wie der englische Begriff schon sagt. NSA und GCHQ zapfen sie direkt an.
C - Codenamen
Mit dem NSA-Skandal kam auch die Flut der Abkürzungen. Allein die Namen der Datenbanken und Programme haben es in sich. Neben PRISM oder XKEYSCORE gibt es noch DEWSWEEPER, BLACKHEART, ANCHORY, PINWHALE, SCISSORS, PRINTAURA oder BOUNDLESS INFORMANT.
D - "Doritos"
Tortilla-Chips, die der NSA-Enthüller Edward Snowden in seinem Asyl in Moskau vermisst. Deutsche Besucher um den Grünen-Politiker Hans-Christian Ströbele brachten ihm im Herbst welche mit.
E - Echelon
Der Vorreiter heutiger Überwachungs-Infrastrurtur. Das System mit dem Codenamen Echelon sollte seit den 60er Jahren die Kommunikation des Ostblocks im Auge behalten. Mit der Zeit wurde es auf Satelliten-Kommunikation fokussiert.
F - Five Eyes
Allianz der Geheimdienste der USA, Großbritanniens, Kanadas, Neuseelands und Australiens. Die Mitglieder tauschen Informationen aus und spionieren sich nicht gegenseitig aus.
G - GCHQ
Der Geheimdienst Government Communications Headquarters (GCHQ) war in der Öffentlichkeit bis zu diesem Sommer weitgehend unbekannt. Jetzt weiß man, dass die Briten sogar noch besser im Anzapfen von Glasfaser-Leitungen sein sollen das das US-Pendant NSA.
H - Hawaii
Wenn der Name der Insel fällt, denkt man eher ans Surfen, denn an Geheimdienst-Arbeit. Auf Hawaii liegt aber eine wichtige Basis der NSA, in der auch Edward Snowden bis zu seiner Flucht mit tausenden Dokumenten arbeitete.
I - Informant
Er sei kein Überläufer und kein Verräter, sondern ein Whistleblower (Informant), der ein gesetzwidriges Vorgehen der Behörden stoppen wollte, betont Snowden. Die US-Behörden sehen das anders und wollen, dass Russland ihn aushändigt.
J - Journalist
Der Reporter Glenn Greenwald wurde weltberühmt, weil Snowden ihn als Partner bei der Veröffentlichung der NSA-Papiere aussuchte. Inzwischen verließ er seinen Job beim britischen "Guardian" und baut eine neue Medien-Organisation auf.
K - Konsequenzen
Die Folgen der Enthüllungen sind noch immer nicht absehbar. Europa setzt auf noch mehr Datenschutz, Nutzer sind misstrauischer gegenüber Online-Diensten aus Amerika geworden.
L - Lügen
Wenn er erfahren wolle, was Angela Merkel denkt, frage er sie einfach, sagte Präsident Barack Obama im Sommer. Später kam heraus, dass die NSA Merkels Handys wohl über Jahre abgehört hatte. Auch über 30 andere ranghohe Politiker können sich hintergangen fühlen.
M - MUSCULAR
Eines der NSA-Programme, das für den lautesten Eklat gesorgt hatte. Den Enthüllungen zufolge wurden dabei Daten direkt zwischen den Rechenzentren von Google und Yahoo abgeschöpft. Die Unternehmen kontern jetzt mit Verschlüsselung.
N - NSA
Die National Security Agency wurde bereits in den 50er Jahren gegründet. Ein vorrangiges Ziel war damals, fremde Verschlüsselung zu knacken und die eigenen Krypto-Systeme sicherer zu machen.
O - Offenbarung
Das Ausmaß, in dem die NSA die Daten aus dem Internet abschöpfen kann, schockierte selbst mit allen Wassern gewaschene Experten. "Es ist eine Dimension, mit der wir nicht gerechnet haben", sagte etwa der russische Virenjäger Eugene Kaspersky.
P - PRISM
Der nun mit Abstand bekannteste Name eines NSA-Programms. PRISM dient dazu, Daten von Internet-Konzernen wie Google, Yahoo, Microsoft oder Facebook zu bekommen. Die Firmen betonen, sie rückten Daten nur in Einzelfällen auf Gerichtsbeschluss heraus.
Q - Quellen
In der neuen Welt der weiträumigen NSA-Überwachung kann im Gegensatz zur früheren gezielten Spionage jeder eine Quelle sein. Computer erkennen Muster in der Flut von Daten aus allen Bereichen.
R - Russland
Der einstige zweite Supermacht neben den USA spielt eine wichtige Rolle in der Snowden-Affäre. Schon in Hongkong soll er sich im russischen Konsulat versteckt haben, später bekam er von Moskau Asyl für ein Jahr, nachdem er am Flughafen gestrandet war.
S - Safe Harbor
Das Safe-Harbor-Abkommen zwischen der EU und den USA besagt unter anderem, dass sich amerikanische Internet-Firmen zur Einhaltung bestimmter Datenschutz-Standards verpflichten. Nach den Enthüllungen werden Forderungen lauter, es neu zu verhandeln.
T - Tempora
Das Programm des britischen Geheimdiensts GCHQ zum Anzapfen von Glasfaser-Leitungen. Es soll die Fähigkeit haben, die richtigen Datenpakete aus dem Strom an Informationen herauszufiltern, der zum Beispiel über transatlantische Kabel geht.
U - US-Bürger
Sind grundsätzlich für die NSA tabu. Laut Medienberichten wurden ihre Daten aber trotz aller Vorkehrungen immer wieder als Beifang eingesogen. Und möglicherweise war die Kooperation mit der britischen GCHQ ein Umweg, um an Daten von US-Bürger zu kommen.
V - Verschlüsselung
Nach bisherigem Wissen ist komplexe Verschlüsselung immer noch ein Problem für die NSA. Entsprechend gibt es eine Bewegung, möglichst viele Daten nur noch verschlüsselt zu verschicken. Das ist allerdings im Alltag weniger bequem.
W - Wikileaks
Die Enthüllungsplattform ist auch im Fall Snowden aktiv. Sarah Harrison, eine Vertraute des Wikileaks-Gründers Julian Assange, begleitete Snowden monatelang auf dem Weg von Hongkong nach Moskau.
X - XKeyscore
Das System ist ein Kernelement der NSA-Infrastruktur. Es dient dazu, die gesammelten Daten über Zielpersonen aus verschiedenen Datenbanken zu heben und auszuwerten.
Y - Yahoo
Neben anderen Internet-Schwergewichten wie Google und Microsoft ist der Online-Pionier in den Strudel des Skandals geraten. Das geschwächte Vertrauen der Kunden könnten dem Geschäft der Firmen auf Dauer schaden.
Z - Zerwürfnis
Die Enthüllungen haben das Verhältnis von Europa und den USA schwer belastet. Vertrauen müsse wieder neu aufgebaut werden, sagte zum Beispiel Kanzlerin Angela Merkel. Es gab auch Vorschläge, die Gespräche über ein Freihandelsabkommen mit den USA auszusetzen.

Angreifer gehen methodisch vor

Um in ein Netzwerk einzudringen, arbeitet sich der Angreifer üblicherweise sukzessive von Rechner zu Rechner vor. So könnte es eine initiale Schwachstelle auf einem öffentlich erreichbaren - und daher nicht in einer Hochsicherheitszone platzierten - Webserver dem Angreifer ermöglichen, dort Zugriff zu erhalten. Eine weitere Schwachstelle im Betriebssystem des Servers könnte dazu missbraucht werden, um die Benutzerrechte des Angreifers auf die administrative Ebene zu erweitern, also die "root"-Rechte zu erlangen. Ist dies erst einmal gelungen, steht der Webserver vollständig unter der Kontrolle des Datendiebes. Auf diesem System lassen sich nun Tools und Dienste nachinstallieren, die dazu genutzt werden, um den vom Webserver aus zugänglichen Netzbereich genau zu analysieren und nach weiteren Schwachstellen auf anderen Systemen zu suchen.

Cyber-Spionen die Tour vermasseln -
Datenklau droht überall
Gerade wenn sensible Daten zwischen verschiedenen Personen über Unternehmens- und Landesgrenzen hinweg ausgetauscht werden, muss deshalb eine Kombination verschiedener Verfahren dafür sorgen, dass Dokumente und Daten sowohl beim Transport als auch beim Herunterladen auf fremde Endgeräte geschützt sind. Informationsschutz beinhaltet unter anderem:
Eine Zwei-Faktor-Authentifizierung ...
... zum Beispiel über eine SMS-TAN und ein Benutzer-Passwort.
Vertrauliche Dokumente werden ...
... verschlüsselt auf dem Server abgelegt. Außerdem findet bei jeder Datenübertragung ebenfalls eine Verschlüsselung statt.
Shielding muss dafür sorgen, ...
... dass IT-Abteilung und IT-Provider keinen Zugriff auf die Daten erlangen. Das ist durch konsequente Trennung von Anwendungs- und Systemadministration und integrierte Freigabeprozesse mit Vier-Augen-Prinzip für sicherheitsrelevante Administrationsfunktionen sicherzustellen.
Mit Digital-Rights-Management ...
... ist eine koordinierte Zugriffsverwaltung möglich, können Berechtigungskonzepte erstellt werden und erfolgt eine revisionssichere Protokollierung aller Aktionen, die an Dokumenten und Datensätze ausgeübt wurden.
Wasserzeichen ...
... können verhindern, dass sensible Daten unautorisiert weitergegeben werden.
Ablage der Daten ...
... in sicheren, ISO zertifizierten Rechenzentren, auf die kein Zugriff von Seiten ausländischer Geheimdienste besteht.

Als nächstes Ziel könnte etwa ein zentraler Management-Server ausgewählt werden, über den der Webserver administriert wird und zu dem daher eine Verbindung besteht. Da der Management-Server jedoch nur über das interne Netz erreichbar ist, besteht die realistische Möglichkeit, dass von der IT-Abteilung das Patchen nicht besonders ernst genommen wurde und das Betriebssystem deshalb bekannte und verbreitete Sicherheitslücken aufweist. Weiteres Potenzial bietet die Ausnutzung der vorher beschriebenen Zero-Day-Exploits.

Über eine dieser Schwachstellen könnte sich der Angreifer nun wiederum Zugriff auf das System und möglicherweise auch auf administrative Rechte verschaffen und auf diese Weise ein weiteres System im Netzwerk der betroffenen Firma kontrollieren. Üblicherweise wird ein zentraler Management-Server zur Administration einer Vielzahl anderer Systeme genutzt und verfügt daher über zahlreiche Verbindungen zu anderen kritischen Servern. Vielleicht waren die Administratoren auch unvorsichtig und haben auf ihm sogar die Login-Daten für einen File-Server hinterlegt, auf dem sich das Ziel des Angreifers befindet. Möglicherweise lässt sich sogar ein neuer Benutzer anlegen, der dann auch Zugriff auf alle gewünschten Daten erhalten kann. Oder auch der File-Server besitzt bekannte Schwachstellen, die vom Angreifer erneut ausgenutzt werden können. Derartig professionelle Angriffe, im Fachjargon "Advanced Persistent Threats" genannt, erstrecken sich oftmals auch über einen längeren Zeitraum.

Hat der Cyberspion schließlich sein Ziel erreicht und die gewünschten Daten gestohlen, so macht er sich normalerweise daran, seine Spuren zu vernichten. Wo immer es ihm möglich ist, wird er seine administrativen Rechte missbrauchen, um Log-Einträge, die seine Anwesenheit verraten könnten, zu löschen und durchgeführte Änderungen zurückzunehmen. Dieser Prozess nimmt einige Zeit in Anspruch und erfordert beträchtliches Know-how. Einem sehr guten Angreifer kann es damit jedoch gelingen, nahezu alle Spuren des Datendiebstahls zu verwischen.

Die Folgen eines Angriffs

Die Folgen einer Cyberattacke sind oftmals nur sehr schwer auszumachen. In vielen Fällen merken es Unternehmen nicht unmittelbar, dass sie Opfer eines Angriffs geworden sind. Das kann einerseits daran liegen, dass es dem Angreifer zu gut gelungen ist, seine Spuren zu verwischen. Andererseits ist es auch möglich, dass die eigene Infrastruktur nicht in der Lage ist, verdächtige Aktivitäten zeitnah zu melden. Häufig werden Angriffe erst dann bemerkt, wenn die gestohlenen Daten an die Öffentlichkeit gelangen oder die Konkurrenz mit einem billigen Nachbau des eigenen Produkts den Markt betritt.

Je nachdem, wie viel Zeit inzwischen vergangen ist, kann die Aufklärung des Angriffs dann gar nicht mehr möglich sein. Nach Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) kommt es auch vor, dass ein gut gesichertes Unternehmen nicht direkt, sondern stattdessen über leichter zugängliche Ziele wie externe Zulieferer oder Beraterfirmen ausspioniert wird.

Wird ein Unternehmen Opfer solcher Attacken, schweigt es häufig zu den Vorgängen - sei es aus Prestigegründen, um einen Technologieverlust nicht zugeben zu müssen, oder aber um Kunden nicht zu verlieren. So lässt sich auch im Fall der Siemens AG vermuten, welche die Anmerkungen Edward Snowdens zu Abhöraktionen von Firmenhandys durch die NSA unter Hinweis auf die firmeninterne Sicherheitsabteilung beiseite geschoben hat. Ein weiteres Opfer von Wirtschaftsspionage seitens der NSA scheint der global agierende Industriedienstleister Ferrostaal geworden zu sein, der hierdurch einen millionenschweren Auftrag an ein amerikanisches Konkurrenzunternehmen verloren haben soll.

Pro und Contra Meldepflicht

Das Bundesdatenschutzgesetz schreibt in Deutschland übrigens vor, dass der Diebstahl personenbezogener Daten gemeldet werden muss. Telekommunikationsanbieter treffen sogar noch weitergehende Meldepflichten. Die rechtliche Grundlage dafür bilden das Bundesdatenschutzgesetz (BDSG) bzw. das Telekommunikationsgesetz (TKG). Eine ursprünglich von der Europäischen Kommission geplante Ausweitung der Meldepflicht auf weitere Zweige, unter anderem Cloud-Anbieter, wurde vom IT-Branchenverband Bitkom als unverhältnismäßig kritisiert und letzten Endes durch das Bundeswirtschaftsministerium - kurz vor Bekanntwerden des Überwachungsskandals - verhindert.

EU-Datenschutzreform 2014: Die zehn wichtigsten Änderungen -
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Wie gezeigt sind die Bedrohungsszenarien im digitalen Zeitalter vielfältig und stellen massive Herausforderungen für die Unternehmen dar. Man muss kein Prophet sein, um zu erkennen, dass die Angriffe auf IT-Systeme in Zukunft weiter zunehmen werden. Insgesamt sind zahlreiche Maßnahmen erforderlich, um sich so gut wie möglich gegen Industrie- bzw. Wirtschaftsspionage zu schützen. Aber die gute Nachricht besteht darin, dass es möglich ist. (sh)

Empfehlungen: Datenspionage verhindern