Unternehmen unter Beschuss

Cyberspionage in der Praxis

24.10.2014
Von 
Tom Zeller ist Diplom-Ingenieur und Managing Director der ENECA Management- und Beteiligungs-GmbH in Regensburg.
Digitale Wirtschaftsspionage kostet die deutsche Wirtschaft im Jahr mindestens 50 Milliarden Euro. Was können Unternehmen tun, um sich besser zu schützen?

In den letzten zehn bis 15 Jahren kam es zu einer enormen Professionalisierung bei Angriffen auf Computersysteme und -netze. Inzwischen arbeiten gut ausgebildete und hochdotierte IT-Spezialisten für Geheimdienste wie auch kriminelle Organisationen und betreiben im großen Stil e-Wirtschafts- bzw. Industriespionage. Laut dem Bundesamt für Verfassungsschutz (BfV) entstehen deutschen Unternehmen hierdurch jährliche Verluste in Höhe von mindestens 50 Milliarden Euro.

Vorsicht, Spion!
Vorsicht, Spion!
Foto: Tomasz Trojanowski - Fotolia.com

Befinden wir uns damit bereits in einem weltweiten digitalen Wirtschaftskrieg? Die jüngsten Vorkommnisse, bei denen die USA erstmals Hacker des chinesischen Militärs strafrechtlich wegen Wirtschaftsspionage angeklagt haben, scheinen diesen Schluss nahe zu legen. Angeblich richteten sich die chinesischen Angriffe gegen die amerikanischen Unternehmen Alcoa, Westinghouse, Allegheny Technologies, U.S. Steel Corp., United Steelworkers Union und SolarWorld. Beide Regierungen werfen sich nun gegenseitig Spionage und Datendiebstahl vor, diplomatische und wirtschaftliche Verwicklungen sind nicht auszuschließen.

Und in der Tat gelten Cyber-Spionageangriffe inzwischen als größte Bedrohung für die Datensicherheit in Unternehmen. Zu diesem Ergebnis kommt die 2014 veröffentlichte Studie "Data Breach Investigations Report" (DBIR) des amerikanischen Telekommunikationsunternehmens Verizon, welche über 63.000 Vorfälle in 95 Ländern untersucht hat. Dabei seien nach Aussage des Bundesamtes für Verfassungsschutz gerade die Nachrichten- und Sicherheitsdienste der Volksrepublik China und der Russischen Föderation bei Cyberangriffen gegen Deutschland besonders aktiv.

Schwarzmarkt für Zero-Day-Exploits

Doch wie funktioniert digitale Wirtschaftsspionage? Es existiert ein florierender Schwarzmarkt, auf dem eine Vielzahl von Schwachstellen verbreiteter Betriebssysteme (Windows, Linux, iOS, etc.) oder Anwendungen (MS Office, Adobe Reader, Adobe Flash, etc.) gehandelt werden. Besonders interessant und begehrt sind dabei so genannte Zero-Day-Exploits. Das sind Sicherheitslücken, die außer dem Verkäufer, in der Regel dem Entdecker, noch niemand kennt - nicht einmal der Hersteller der betroffenen Software. Daher existieren dagegen weder Patches noch Sicherheitsmaßnahmen und entsprechende Angriffe können von IPS- (Intrusion Prevention Systemen) oder AV-Systemen (AntiVirus) unerkannt bleiben.

Anfällig für diese Exploits sind insbesondere kleine und mittelständische Unternehmen: "Die oftmals eher unzureichend geschützten Netzwerke von KMUs sind insbesondere durch Viren, Würmer, Trojaner und Web-Apps bedroht. Bei global agierenden Wirtschaftsunternehmen, die üblicherweise eine gut ausgestattete IT-Abteilung zu ihrem Schutz im Einsatz haben, müssen Datenspione hingegen wesentlich filigraner und zielgerichteter vorgehen", so Dieter Steiner, CEO der SSP Europe GmbH und seit mehr als 20 Jahren in der IT-Security aktiv.

Dieter Steiner, SSP Europe sieht vor allem KMUs unter Beschuss.
Dieter Steiner, SSP Europe sieht vor allem KMUs unter Beschuss.
Foto: SSP Europe

Eine Studie der RAND Corporation zeigt, dass sich die Preise dieser Zero-Day-Exploits in einem Bereich von mittleren vierstelligen bis hin zu sechsstelligen Beträgen bewegen. Dabei gilt nach den Gesetzen des Marktes: Je weiter verbreitet die angegriffene Software und je schwieriger es ist, dort Schwachstellen zu finden, desto höher ist gleichzeitig der pro ausnutzbarer Sicherheitslücke erzielte Preis. Übrigens tanzen auch die Geheim- und Nachrichtendienste auf diesem Parkett und tragen somit zur Finanzierung und Erhaltung dieses Schwarzmarkts aus Steuermitteln bei, das heißt letztlich zahlen die von der eigenen Regierung bespitzelten Unternehmen die Zeche selbst.

Staaten mischen kräftig mit

Nachrichtendienste, auch der deutsche, benötigen die dort erworbenen Schwachstellen neben Geheimoperationen auch für ihre Aktivitäten im Bereich von "Staatstrojanern" und "Online-Durchsuchungen". Besonders pikant dabei: Der Kauf und die Geheimhaltung von verbreiteten Schwachstellen stehen an sich im Widerspruch zu dem eigentlichen geheimdienstlichen Auftrag, den Schutz der Infrastruktur des eigenen Landes gegen Bedrohungen sicherzustellen.

Professionelle Angreifer wählen ihr Ziel natürlich nicht aus dem Bauch heraus, sondern treffen kalkulierte Wirtschaftlichkeitserwägungen: So werden für erfolgsversprechende Attacken durchaus hohe finanzielle Mittel bereitgestellt und eingesetzt. Bei staatlichen Diensten scheinen die Ressourcen teilweise gar keine nennenswerte Rolle zu spielen: Wenn einem Angreifer das lukrative oder aus anderen Gründen wichtige Ziel entsprechend viel wert ist, dann kann er für das Eindringen in ein Firmennetzwerk solch einen Zero-Day-Exploit erwerben und erhält damit im Gegenzug durchaus realistische Erfolgsaussichten für sein verbotenes Handeln.

Angreifer gehen methodisch vor

Um in ein Netzwerk einzudringen, arbeitet sich der Angreifer üblicherweise sukzessive von Rechner zu Rechner vor. So könnte es eine initiale Schwachstelle auf einem öffentlich erreichbaren - und daher nicht in einer Hochsicherheitszone platzierten - Webserver dem Angreifer ermöglichen, dort Zugriff zu erhalten. Eine weitere Schwachstelle im Betriebssystem des Servers könnte dazu missbraucht werden, um die Benutzerrechte des Angreifers auf die administrative Ebene zu erweitern, also die "root"-Rechte zu erlangen. Ist dies erst einmal gelungen, steht der Webserver vollständig unter der Kontrolle des Datendiebes. Auf diesem System lassen sich nun Tools und Dienste nachinstallieren, die dazu genutzt werden, um den vom Webserver aus zugänglichen Netzbereich genau zu analysieren und nach weiteren Schwachstellen auf anderen Systemen zu suchen.

Als nächstes Ziel könnte etwa ein zentraler Management-Server ausgewählt werden, über den der Webserver administriert wird und zu dem daher eine Verbindung besteht. Da der Management-Server jedoch nur über das interne Netz erreichbar ist, besteht die realistische Möglichkeit, dass von der IT-Abteilung das Patchen nicht besonders ernst genommen wurde und das Betriebssystem deshalb bekannte und verbreitete Sicherheitslücken aufweist. Weiteres Potenzial bietet die Ausnutzung der vorher beschriebenen Zero-Day-Exploits.

Über eine dieser Schwachstellen könnte sich der Angreifer nun wiederum Zugriff auf das System und möglicherweise auch auf administrative Rechte verschaffen und auf diese Weise ein weiteres System im Netzwerk der betroffenen Firma kontrollieren. Üblicherweise wird ein zentraler Management-Server zur Administration einer Vielzahl anderer Systeme genutzt und verfügt daher über zahlreiche Verbindungen zu anderen kritischen Servern. Vielleicht waren die Administratoren auch unvorsichtig und haben auf ihm sogar die Login-Daten für einen File-Server hinterlegt, auf dem sich das Ziel des Angreifers befindet. Möglicherweise lässt sich sogar ein neuer Benutzer anlegen, der dann auch Zugriff auf alle gewünschten Daten erhalten kann. Oder auch der File-Server besitzt bekannte Schwachstellen, die vom Angreifer erneut ausgenutzt werden können. Derartig professionelle Angriffe, im Fachjargon "Advanced Persistent Threats" genannt, erstrecken sich oftmals auch über einen längeren Zeitraum.

Hat der Cyberspion schließlich sein Ziel erreicht und die gewünschten Daten gestohlen, so macht er sich normalerweise daran, seine Spuren zu vernichten. Wo immer es ihm möglich ist, wird er seine administrativen Rechte missbrauchen, um Log-Einträge, die seine Anwesenheit verraten könnten, zu löschen und durchgeführte Änderungen zurückzunehmen. Dieser Prozess nimmt einige Zeit in Anspruch und erfordert beträchtliches Know-how. Einem sehr guten Angreifer kann es damit jedoch gelingen, nahezu alle Spuren des Datendiebstahls zu verwischen.