Die allumfassende Vernetzung sorgt für Komplexität und wachsende Anforderungen an die IT-Security. Es ist an der Zeit, die Situation zu entschärfen.
Die zunehmende Digitalisierung und Vernetzung lässt IT-Strukturen komplexer werden und führt gleichermaßen zu höheren Anforderungen an die IT-Sicherheit. Kriminelle Hacker haben die wirtschaftlichen Möglichkeiten, die in den dunklen Ecken des Internets lauern längst entdeckt und sorgen beispielsweise mit Ransomware für eine angespannte Bedrohungslage. Die meisten Unternehmen stoßen deshalb immer mehr an ihre Grenzen. Industrieweite Standards und eine verstärkte, herstellerübergreifende Zusammenarbeit können in dieser Situation von Vorteil sein.
Kooperation - der Schlüssel zu mehr IT-Sicherheit. Foto: Arthimedes - shutterstock.com
Alles und jeder kann in der digitalen Welt miteinander verbunden werden, was sich nicht nur im privaten Bereich bemerkbar macht. In der Berufswelt können wir verfolgen, wie sich alternative Arbeitsformen mit flexibler Zeiteinteilung im Home Office oder Verschmelzungen beruflicher und privater Nutzungsmöglichkeiten mit Konzepten wie „Bring Your Own Device“ oder „Corporate Owned, Personally Enabled“ durchsetzen. Mittlerweile können selbst Unternehmen und ihre Produktionsprozesse komplett vernetzt werden, weshalb auch von der vierten industriellen Revolution oder Industrie 4.0 die Rede ist. Diese Entwicklung ermöglicht vielen Unternehmen Vorteile im Hinblick auf ihre Produktivität, stellt sie aber zugleich vor neue Herausforderungen: Sie können die Grenzen ihrer IT-Systeme nicht mehr klar voneinander trennen, Netzwerke und Infrastrukturen werden zunehmend verzweigter und die Anzahl der zu schützenden Unternehmensanwendungen und Endgeräte nimmt stetig zu. Das macht vor allem die Absicherung immer undurchsichtiger, denn auch die Angriffe in der vernetzten Welt werden immer zielgerichteter und komplexer.
Die größten Hacks 2016
US-Demokraten Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Hackerangriffe durch Profis und Laien
Die Möglichkeiten, die die immer weiter wachsende Anzahl von Zugriffspunkten, Schnittstellen und online gelagerten, kritischen Dateien bieten sind auch Cyberkriminellen nicht verborgen geblieben. In den vergangenen Jahren ist die Online-Kriminalität kontinuierlich angestiegen. Insbesondere die Bedrohung durch Ransomware, mobile und Macro-Malware hat im Vergleich zu den Vorjahren zugenommen. Die steigende Anzahl an Hackerangriffen deutet auf ein lukratives Geschäft hin. Mittlerweile hat sich die Cyberkriminalität zu einer ausdifferenzierten und hochlukrativen Branche entwickelt, die Know-how und Ressourcen in multinationalen Gruppen zu bündeln vermag. Strategische Vorgehensweisen sowie professionell entwickelte Software gehören zur Grundausrüstung von kriminellen Hackern, mit der sie Schutzmechanismen oft überwinden können.
Doch der wirtschaftliche Erfolg zieht nicht nur Profi-Hacker an. Mittlerweile steht das Programmieren von Schadsoftware auch Laien offen. Jeder, der Zugriff auf das Darknet hat, kann sich Anleitungen und virtuelle Bausätze für Malware herunterladen. Amateure können dann beispielsweise Ransomware-Kits einfach zusammenbauen und damit möglicherweise großen Schaden anrichten. Die virtuelle Bedrohungslage wird vielschichtiger und komplexer. Eine klassische, effektive Verteidigung der IT gestaltet sich immer schwieriger – schließlich stehen IT-Verantwortliche auf Unternehmensseite bei weitem nicht in dem Maße miteinander in Kontakt, wie es ihre Angreifer auf der anderen Seite der Firewalls tun. Hinzu kommt, dass Sicherheitsbeauftragte aufgrund der steigenden Arbeitsbelastung ins Hintertreffen geraten können.
Crimeware-as-a-service: Darknet-Hits
Botnetze Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.
Browser Exploit Packs In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.
Phishing-Toolkits Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.
Ransomware Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.
IT-Sicherheitsexperten werden immer wichtiger – vor allem, wenn sie sich mit Intrusion Detection, sicherer Software-Entwicklung und Schadensminderung von Angriffen auskennen. Der Bedarf an IT-Sicherheitsexperten ist längst größer als das Angebot an qualifizierten Arbeitskräften. Auch in absehbarer Zukunft wird sich das nicht ändern. So werden in Deutschland bis zum Jahr 2020 voraussichtlich 15 Prozent der vakanten Stellen pro Unternehmen unbesetzt bleiben.
Aber wie kommt es dazu, dass die Sicherheitsbeauftragten ihren Gegenspielern so hinterherhinken? Eigenständige Studiengänge und spezifische Programme zum Thema IT-Sicherheit gibt es in Deutschland bislang nur wenige. Die derzeitigen Fachkräfte sind in den meisten Fällen über einen Quereinstieg aus anderen Informatikbereichen zur IT-Sicherheit gekommen. Ihr Fachwissen eigneten sie sich selbstständig bei der Arbeit oder durch Weiterbildungen an. Um jedoch mit der sich rapide entwickelnden Bedrohungslage mithalten zu können, sind mehr als nur fundierte Grundkenntnisse nötig. Zielgerichtete Praktika, Hackathons, spielerische Lernprogramme oder andere Maßnahmen abseits der klassischen Ausbildungswege wären mögliche Maßnahmen, um neue Fachkräfte zu generieren. Allerdings ist auch das nur eine mittelfristige Lösung. Um den unmittelbaren Engpass an kompetenten Fachkräften entgegen zu wirken muss sich die Sicherheit "selbst helfen" und ihre Werkzeuge so gut wie möglich unabhängig von menschlichem Eingreifen schützen können.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Zusammenarbeit wird wichtiger
Angesichts der wachsenden Gefahrenlage und dem zunehmenden Fachkräftemangel sollten Unternehmen ihre Sicherheits-Maßnahmen und -Lösungen neu ausrichten. Cyberkriminelle sind der Sicherheitsindustrie nicht zuletzt deshalb weit voraus, weil sie sich im stetigen Austausch miteinander befinden. Auf der Gegenseite operieren Sicherheitssysteme hingegen nur bedingt miteinander. Dabei verspricht gerade der kooperative Ansatz die größten Erfolgsaussichten. Denn die große Herausforderung besteht darin, unterschiedliche, zumeist inkompatible Lösungen für einen verlustfreien Datenaustausch miteinander zu verbinden. Denn um alle Sicherheitsanforderungen zu erfüllen, greifen die meisten Unternehmen auf Produkte verschiedener Hersteller zurück.
Nobody ist perfect – das gilt auch in der IT-Sicherheit. Kein Anbieter kann Gegenmaßnahmen für jede Art von Bedrohung zur Verfügung stellen. Daher ist es nur logisch, auf Lösungen mehrere Anbieter zugreifen zu können, um einen größtmöglichen Schutz gewährleisten zu können. Dabei gilt es, verschiedene Komponenten eines IT-Systems für eine bessere Zusammenarbeit abzustimmen. Im Idealfall können die Lösungen einzelner Anbieter auf der Erfahrung mit schadhaften Dateien aus vergangenen Vorfällen aufbauen, anstatt selbst auf Sicherheitsverletzungen reagieren zu müssen. Somit verkürzt sich auch die Reaktionszeit zwischen Entdeckung und der Einleitung von Gegenmaßnahmen - im Idealfall können auch präventive Maßnahmen ergriffen werden.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
STIX & TAXII: Grundsteine für mehr Kooperation
Hierzu hat die US-amerikanische MITRE Corporation die Open-Source-Standards STIX (Structured Threat Integration eXpression) und TAXII (Trusted Automated eXchange of Indicator Information) ins Leben gerufen. Beide Standards sollen den Austausch von Informationen über Sicherheitslücken, Angriffsvektoren und Gegenmaßnahmen vereinfachen. STIX kann helfen, die gesammelten Informationen schnittstellenkompatibel aufzubereiten, TAXII schafft eine Grundlage für deren Austausch in Echtzeit. In den letzten Monaten haben zahlreiche Hersteller eine Schnittstelle für STIX und TAXII in ihre Produkte integriert. Das Nonprofit-Konsortium OASIS, welches die Open-Source-Projekte übernommen hat, treibt die Entwicklung offener Standards für die IT-Branche weiter voran.
Daneben sind verschiedene private und staatliche Initiativen entstanden, in denen sich IT-Security-Anbieter und öffentliche Institutionen zusammenschließen. Gemeinsam verfolgen sie das Ziel, ihre Mitglieder aus Wirtschaft, Politik und Forschung mit Lageberichten, Hintergrundinformationen sowie Warnmeldungen zu versorgen und die beiden Open-Source-Standards weiter zu verbreiten. Durch die Bündelung von Kompetenzen und die Integration von Lösungen können sie ein neues Maß der IT-Sicherheit etablieren. Je mehr Unternehmen und Institutionen sich für die Standardisierung einsetzen, desto lückenloser wird der Austausch von Informationen – die in der aktuellen Sicherheitslage entscheidend sein können. (fm)