Wenn verschlüsselter Datenverkehr nicht analysiert wird, kann das für Unternehmen massive Folgen haben.
In der beliebten Netflix-Serie "Stranger Things", die mit Walkmans, Antennenfernsehen und Arcade-Videospielen wunderbares 80er-Jahre-Flair erzeugt, existieren zwei Paralleluniversen: die reale Welt und das "Upside Down". Diese bösartige Dimension, auch "Anderswelt" genannt, wird von Monstern bevölkert. Nun lässt sich unsere digitalisierte Welt auf den ersten Blick nur schwer mit der Serienwelt vergleichen. Dennoch besteht eine Verbindung zu den aktuellen Security-Herausforderungen für Unternehmen.
Einblicke in das "Upside Down"? Der Netflix-Hit "Stranger Things" und die IT-Sicherheit haben mehr gemein, als man auf den ersten Blick vermutet. Foto: david bovic - shutterstock.com
Verschlüsselt gleich sicher?
Denn auch im Internet gibt es versteckte Gefahren, die im Untergrund lauern. Diese Bedrohungen sind mit bloßem Auge nicht erkennbar, da sie im verschlüsselten Datenverkehr verborgen sind. Nach Angaben von Branchenexperten ist mittlerweile bis zu 70 Prozent des Datenverkehrs verschlüsselt.
Ein Grund zur Beunruhigung, wenn man bedenkt, dass die meisten Sicherheitslösungen nicht in der Lage sind, die Datenpakete zu entschlüsseln. Genauso, wie bei "Stranger Things" nur wenige Menschen das "Upside Down" wahrnehmen und in diese Parallelwelt eintauchen können, haben auch Unternehmen häufig nur stark eingeschränkten Einblick in ihre Netzwerke.
So können auch im vermeintlich sicheren, weil verschlüsselten, Datenverkehr "Schattenmonster" in Form von Malware und Ransomware enthalten sein. Bleiben diese unentdeckt, kann das gravierende Folgen haben, etwa enorme Folgekosten, Reputationsschäden oder auch der Verlust von geistigem Eigentum sowie vertraulichen Kundendaten.
Top 5 Hacks 2017
5. HBO Der US-Pay-TV-Sender gerät 2017 nicht zum ersten Mal ins Visier krimineller Hacker. Unveröffentlichte Episoden des Serienhits „Game of Thrones“ werden dabei geleakt und die persönlichen Daten mehrerer Schauspieler kompromittiert. <br><br /> Die verantwortlichen Cyberkriminellen drohen mit weiteren Veröffentlichungen und versuchen so sechs Millionen Dollar von HBO zu erpressen. Ohne Erfolg. Im Nachgang der Attacke berichten verschiedene Ex-Mitarbeiter des Unternehmens von einem allgemein eher laxen Umgang mit der IT-Sicherheit. <br><br />
4. NSA Bei der National Security Agency (NSA) dreht sich alles um Geheimhaltung. Möchte man meinen. Dennoch wird die US-Behörde 2017 gleich von mehreren Datenpannen ereilt. Zuerst veröffentlicht Wikileaks im März tausende von geheimen Dokumenten, die unter anderem Auskunft über die Beziehungen zwischen NSA und CIA Auskunft geben, dann gelangen Medienberichten zufolge geheime Dokumente zu den Methoden und Verteidigungsmaßnahmen der NSA über einen Vertragspartner in die Hände russischer Hacker. <br><br /> Ende November 2017 wird schließlich bekannt, dass circa 100 Gigabyte an Daten (die detaillierte Auskunft über ein militärisches Geheimprojekt enthalten), ungeschützt auf einem AWS-Server vorgehalten werden. <br><br />
3. Uber Im November 2017 wird bekannt, dass der Fahrdienstleister bereits 2016 gehackt wurde. Dabei werden die Informationen von weltweit 57 Millionen Kunden gestohlen. <br><br /> Statt den Vorfall zu melden, geht man bei Uber lieber seinen "eigenen" Weg, bezahlt den kriminellen Hackern Schweigegeld in Höhe von 100.000 Dollar und kehrt das Geschehene unter den Teppich. Uber-CEO Dara Khosrowshahi behauptet zunächst, nichts von den Vorgängen gewusst zu haben – wenig später wollen Medienberichte diese Behauptung widerlegen. <br><br />
2. Equifax Der US-Finanzdienstleister sorgt 2017 für einen traurigen Hack-Höhepunkt, als die Daten von circa 143 Millionen Kunden kompromittiert werden. Die Datensätze enthalten Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen, Führerschein- und Kreditkartendaten. <br><br /> Ein Paradies für Identitätsdiebstahl, das durch eine ungepatchte Sicherheitslücke in Apache Struts geschaffen wird – und vermutlich über Monate unentdeckt bleibt. Auch das Zeitfenster, das Equifax verstreichen lässt, bevor es den Vorfall meldet, ist „kritisch“: Am 29. Juli wird der Hackerangriff bemerkt, am 7. September die Öffentlichkeit informiert. Passend dazu wird wenig später bekannt, dass das Unternehmen bereits im Dezember 2016 vor Sicherheitslücken und möglichen Hacks gewarnt worden war. <br><br />
1. WannaCry & Petya WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen gestohlene NSA-Hacking-Tools zum Einsatz, die eine Schwachstelle im Windows-SMB-Protokoll ausnutzen. Letztlich kann WannCry durch das mehr oder weniger zufällige Auffinden eines „Kill Switch“ entschärft werden. <br><br /> Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die dieselbe Sicherheitslücke wie WannaCry ausnutzt. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht. <br><br />
Ohne Analyse kein Schutz vor Hackern
Eine aktuelle Studie kommt zu dem Ergebnis, dass fast die Hälfte aller Hackerangriffe nicht von Sicherheitslösungen erkannt wurde, da sich diese im verschlüsseltem Datenverkehr befanden. Viele Unternehmen investieren zwar derzeit Unmengen in Sicherheitslösungen zum Schutz ihrer Netzwerke - etwa Next Generation Firewalls oder sichere Web-Gateways.
Das Problem ist aber, dass diese Lösungen nicht in der Lage sind, den verschlüsselten Datenverkehr zu entschlüsseln und zu analysieren. Die Parallelwelt bleibt diesen Firmen also weiterhin verschlossen - der Schutz ist weit weniger umfassend als gedacht. Wer an dieser Stelle auf die Analyse des Datenverkehrs verzichtet, öffnet kriminellen Hackern Tür und Tor und ermöglicht es ihnen, den Datenverkehr zwischen den Welten zu steuern. Es ist, als würde man eine schwer gesicherte Haustür installieren, dabei aber vergessen, dass die Terrassentür sich nicht schließen lässt.
Bei "Stranger Things" schafft das Hawkins-Labor einen Zugang in die Paralleldimension und sorgt so dafür, dass die bösartigen Bewohner des "Upside Down" unbemerkt in die reale Welt gelangen können. Die Monster verschaffen sich daraufhin auch zu anderen Bereichen Zutritt und treiben im Wald, in der Schule und an anderen Orten ungehindert ihr Unwesen. Ganz ähnliche Probleme treten auch bei IT-Sicherheitslösungen auf, die den Datenverkehr nicht entschlüsseln und somit 70 Prozent des Traffics ohne Sicherheitscheck passieren lassen.
11 Placebos für die IT-Sicherheit
Splash Screens Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht.
Antivirus Software Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance.
Perimeter Security Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen.
Alarm-Ermüdung Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden.
Ignoranz Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus.
Passwort-wechsel-dich Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss?
Security Training Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt.
Harte Worte Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen.
Mauer-Fetisch Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei.
Sharing Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken.
Schadens-PR "Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
Keine Angst vor Performance-Einbußen
Unternehmen sollten es realen "Schattenmonstern" - also kriminellen Hackern - keinesfalls ermöglichen, sich im verschlüsselten Datenverkehr zu verstecken.
Ein Grund, warum das "Upside Down" in der Realität häufig im Verborgenen bleibt, ist die Angst vor dem möglichen Performance-Verlust durch die Entschlüsselung des Datenverkehrs. Tatsächlich ist es heute aber mit "Load-Balancing"-Technologien möglich, die rechenintensive SSL/TLS-Verarbeitung von den Web-Servern abzuziehen. Sie entschlüsseln den SSL-Datenverkehr und geben ihn anschließend im Klartext zur Überprüfung an Sicherheitslösungen weiter.
Dieses so genannte SSL-Offloading entlastet die Web- und Applikations-Server, die sich so uneingeschränkt ihrer eigentlichen Aufgabe widmen können. So können mehr Nutzer mit weniger Servern bedient werden und ein steigendes Aufkommen an verschlüsselten Inhalten verarbeiten - ohne, dass darunter die Performance leidet.
Sauberer Datenverkehr hat Priorität
IT-Entscheidungsträger müssen umdenken: SSL dient nur dazu, Datenverkehr zu verschlüsseln. Es kann aber nicht garantieren, dass es sich dabei um "sauberen" Datenverkehr handelt.
Unternehmen können sich nie zu einhundert Prozent vor Cyberattacken schützen, sich aber bestmöglich vorbereiten und ihre IT-Sicherheitssysteme regelmäßig aktualisieren und modernisieren, um es Cyberkriminellen so schwer wie möglich zu machen. Nur so beraubt man den "Schattenmonstern" der Möglichkeit, sich im "Upside Down" zu verstecken und dort unbemerkt Angriffe vorzubereiten.