Ob nur die Gelegenheit günstig, das Opfer ein Hassobjekt oder die Attacke finanziell lukrativ ist - die Zahl der gezielten Hacks und von langer Hand vorbereiteten Cyberspionageangriffe steigt unaufhörlich. Unternehmen müssen gegensteuern.
92 Prozent aller Datenverluste in den vergangenen zwölf Monaten weltweit wurden durch Außenstehende initiiert. Zu diesem Ergebnis kommt der "Data Breach Investigations Report 2013" (DBIR) des TK-Anbieters Verizon, der auf den Untersuchungen von fast 20 Behörden, Forschungseinrichtungen, Wirtschaftsprüfungsgesellschaften und CERTs auf der ganzen Welt basiert - darunter das EC3 (European Cybercrime Centre), das US-CERT, Deloitte und die australische Staatspolizei. Gemeinsam wurden mehr als 47.000 Sicherheitsvorfälle analysiert und 621 bestätigte Datenabflüsse im großen Stil unter die Lupe genommen. Dass der Innentäter eine so geringe Rolle spielt, begründet Marc Spitler, Senior Risk Analyst im Verizon-Team im Gespräch mit der COMPUTERWOCHE mit der Besonderheit der DBIR-Datenbasis: Die Verizon-Partner könnten natürlich nur die Vorfälle untersuchen, die ihnen bekannt wären - und Angriffe von innen würden noch seltener bemerkt als solche von außen, was im Innentäterfeld auf eine sehr hohe Dunkelziffer schließen lässt.
Verheerend ist aber, das selbst mehr als zwei Drittel der untersuchten Sicherheitsvorfälle, die von außen initiiert wurden, erst durch Dritte aufgedeckt wurden, die betroffenen Unternehmen auch hier selbst kaum darauf gestoßen wären. Dabei müssten viele von ihnen eigentlich darauf vorbereitet sein: 75 Prozent der untersuchten Fälle resultierten aus einer Protestbewegung heraus und richteten sich gezielt gegen ein Unternehmen oder eine Branche, das aus diversen Gründen zum Hassobjekt einer bestimmten Gruppe von Angreifern geworden war.
"Hacktivisten bedienen sich zahlreicher Angriffsvektoren - Brute-Force-Attacken, SQL-Injection, gestohlenen Nutzerdaten, der Installation von Backdoors und Remote File Inclusion"; erläutert Spitler. Die weiterhin am häufigsten eingesetzte Methode - Distributed Denial of Service, kurz DDoS - sei dazu in den Zahlen des DBIR noch gar nicht mit berücksichtigt, weil DoS und DDoS in erster Linie die Nichterreichbarkeit eines Ziels zur Folge hätten und nicht den gezielten Datenabfluss und das Ausnutzen einer Sicherheitslücke.
Welche Anwendungen bergen das größte Sicherheitsrisiko? Am Anfang stehen Bestandsaufnahme und Risikobeurteilung. Denn häufig sind so viele Anwendungen in Unternehmen im Einsatz, dass eine sinnvolle Priorisierung für das Testen unabdingbar ist. Ansonsten laufen die Bemühungen ins Leere und Ressourcen werden unnötig verschwendet, ohne den gewünschten Erfolg zu erzielen.
Wie lassen sich Entwickler für das Thema Sicherheit sensibilisieren? Üblicherweise sprechen Sicherheitsverantwortliche und Developer unterschiedliche Sprachen. Beim Thema Security wittert der Entwickler schnell Zeitverzögerung, Mehraufwand und Innovationsverlust. Tests sollten jedoch bereits in der Entwicklungsphase stattfinden und deshalb nahtlos in deren Prozesse integriert werden. Nur so lassen sich Barrieren vermeiden und ein Sicherheitsbewusstsein aufbauen.
Sind die Sicherheitstests aus Entwicklersicht verständlich? Hier liegt das größte Potenzial zur Verbesserung der Anwendungssicherheit verborgen. Obwohl zahlenmäßig den Entwicklern meist weit unterlegen, wollen Sicherheitsverantwortliche ihre Ansichten durchsetzen, ohne die Developer-Kultur zu verstehen. Nur wenn sich beide Seiten verstehen, lassen sich durch Test Kosten verringern.
Ist das Thema Sicherheit im Entwicklungsprozess integriert? Hierfür sind Programme zur Anerkennung sicherheitsrelevanter Innovationen hilfreich. Zudem sollten Kooperationen zwischen Entwicklergruppen aufgebaut werden. Das können beispielsweise Team-Rankings sein, bei denen man die erfolgreichsten mit einem Preis auszeichnet. Diese Elemente verbessern nicht nur die Motivation allgemein, sondern verschaffen dem Thema Sicherheit eine andauernde Präsenz.
Basiert die Security-Policy auf klar formulierten Standards? Existiert eine Policy zur Verbesserung der Anwendungssicherheit, muss diese klar und verständlich kommuniziert werden. Entscheidend ist, dass sie auch von oberster Stelle getragen und unterstützt wird. Zudem sollten alle Beteiligten vorab gemeinsam Standards bestimmen, die im Managementsystem für Informationssicherheit (ISMS) festgehalten beziehungsweise kontrolliert und verbessert werden.
Clevere Spione
Spitler betont, dass die im Vergleich zum Vorjahresreport um 13 Partner vergrößerte Datenbasis erstmals zeige, wie groß die Bedrohung durch Cyberspionage wirklich sei. "Der Diebstahl von Intellectual Property macht ein Fünftel aller untersuchten Fälle aus und wird zumeist über Spear Phishing und Social Engineering initiiert - die gezieltesten und komplexesten Angriffswege überhaupt."
Der Handel ist stark von gierigen Skimming- und Phishing-Banden betroffen, Hacktivisten haben es eher auf die Informationsbranche und öffentliche Einrichtungen abgesehen. Foto: Verizon Data Breach Investigations Report 2013
"Retailer und Finanzsektor schweben in der größten Gefahr", so Spitler weiter. Dass auch die Zahl der physischen Attacken stark angestiegen ist - sie spielte in 37 Prozent aller untersuchten Incidents eine Rolle - lässt sich zum einen damit begründen, dass das Thema Skimming am Geldautomaten stark in den Fokus der Kriminellen gerückt ist. Mithilfe von nachgebauten Automatenteilen spionieren organisierte Banden weltweit Geheimzahlen und Kontodaten aus und räumen anschließend die Bankkonten leer oder kaufen fleißig ein - online und im stationären Handel. Deshalb ist auch die Retail-Branche aufgefordert, weiter gegenzusteuern und sichere Bezahlmethoden zu entwickeln.
Bedrohungen verstehen
Verizon empfiehlt, die Sicherheitsstrategie eines Unternehmens im Top-Management aufzuhängen, damit sie alle Abteilungen und Firmenbereiche erreicht. "Vernichten Sie alle unnötigen Daten und kontrollieren Sie das, was übrig bleibt, gründlich", schreibt das Unternehmen im DBIR weiter. Dazu komme das Sammeln und regelmäßige Auswerten von Bedrohungsdaten - sowohl aus internen als auch aus externen Quellen. Nur, wer das Risiko verstehe, könne für sich passende Security-Regelsets ableiten und seine Daten schützen.
Oracle Audit Vault Oracle hat neben den in der Datenbank integrierten Sicherheitsfunktionen mit „Audit Vault and Database Firewall“ eine Security-Suite im Programm, die zunehmend als produkt- und herstellerübergreifende Lösung positioniert wird. Die im vergangenen Dezember als Software-Appliance vorgestellte Kombination sammelt Audit- und Log-Daten von verschiedenen Datenbanken. Neben den Oracle-Produkten werden auch IBM DB2, Microsofts SQL Server, SAPs Sybase ASE und MySQL unterstützt.
IBM InfoSphere Guardium Mit „InfoSphere Guardium“ verspricht der IBM seinen Kunden Echtzeit-Monitoring sowie ein automatisiertes Compliance-Reporting für Hadoop-basierte Systeme wie Cloudera und das IBM-eigene "InfoSphere BigInsights".
Hewlett-Packard ArcSight Als zentrale Komponente liefert der "Arc- Sight Enterprise Security Manager" (ESM) ein komplettes Set an Überwachungsfunktionen. Mit dem "Application Security Monitor" sollen sich auch Anwendungen in die Sicherheitsarchitektur einbinden lassen.
McAfee NitroSecurity Security-Spezialist McAfee hat sein Portfolio mit dem Kauf von NitroSecurity Ende 2011 in Richtung SIEM ausgebaut. In der "Enterprise- Security-Manager-Appliance"-Linie werden die SIEM-Funktionen mit dem klassischen Security-Portfolio verknüpft. Dazu gehören beispielsweise ein Network Monitor, Deep-Packet-Inspection-Funktionen für die Einbindung von Daten und Anwendungen sowie ein Database Activity Monitoring (DAM).
RSA (EMC) enVision/NetWitness Das SIEM-Portfolio EMCs besteht im Wesentlichen aus zwei Komponenten. "enVision" bietet Werkzeuge für das Information- und Event-Management sowie die Verwaltung von Log- Daten. Mit Hilfe von "NetWitness" erhalten Anwender Funktionen an die Hand, mit deren Hilfe sie ihren Security-Status analysieren können.
Symantec SSIM Wie McAfee kann auch Symantec mit der Kombination seiner klassischen Sicherheits-Tools punkten. Mit integriert sind Werkzeuge wie Security Endpoint Protection (SEP), Governance, Risk and Compliance Management (GRCM) sowie Data-Leakage-Protection-(DLP-)Techniken. Außerdem erhält das System laufend Threat- und Vulnerability-Daten.
Splunk Der Anbieter baut seine gleichnamige Lösung mehr und mehr vom Log-Management zu einer kompletten SIEM-Suite aus. Die Lösung soll sich flexibel an verschiedene Analyse-Anforderungen anpassen lassen, erfordert allerdings einigen Customizing-Aufwand. Anwender können vordefinierte Suchen, Reports und Dashboards für ein Echtzeit- Monitoring einrichten.
Packetloop Packetloop hat eine Hadoop- und NoSQL-basierte Plattform gebaut, auf der sich laufend große Mengen an Log-Daten zügig verarbeiten lassen sollen, um schädliche Aktivitäten zu erkennen.
Zettaset Zettaset bietet mit seinem "Security Data Warehouse" (SDW) eine Ergänzung für SIEM-Systeme an. Das Warehouse basiert auf Hadoop und soll ebenfalls große Mengen von Security-Daten in kurzer Zeit verarbeiten können, um Unregelmäßigkeiten aufzuspüren.