Gerade im Hinblick auf die zunehmende Vernetzung im Internet der Dinge und den damit verbundenen Sicherheitsgefahren besteht dringender Handlungsbedarf. Wie gefährdet Geräte im Internet of Things (IoT) sind, hat das vergangene Jahr in aller Deutlichkeit gezeigt. So war eine erhebliche Zunahme von DDoS-Angriffen zu verzeichnen, die für die Attacke Botnetze aus IoT-Geräten nutzten. Ein so ausgeführter Angriff auf den Webdienstleister Dyn etwa führte dazu, dass Netflix, Twitter, Amazon oder Airbnb zeitweise nicht erreichbar waren. Von einem Einzelfall kann hier nicht mehr gesprochen werden, denn schon früher wurden vernetzte TV-Geräte oder intelligente Kühlschränke in Botnetze integriert.
Foto: Ryazantsev Dmitriy - shutterstock.com
IoT-Standards?
Doch warum sind solche Szenarien überhaupt möglich? Ganz einfach: Weil die "smarten" Geräte in aller Regel eine nicht gesicherte und nicht überwachte Internet-Anbindung haben. Und das betrifft eine Vielzahl von Geräten: den Multifunktionsdrucker mit Hersteller-Fernzugriffsmöglichkeit zu Wartungszwecken ebenso wie den Projektor oder das Smart-TV im Konferenzraum. Prinzipiell kann jedes in das Unternehmensnetz eingebundene Gerät für Angriffe genutzt werden – und damit auch Ursache eines möglichen Datenabflusses sein. Nach wie vor wird die Sicherheitsgefahr, die von vernetzten Geräten ausgeht, von vielen Unternehmen nicht ausreichend ernst genommen. Ein Indiz dafür ist zum Beispiel, dass Software-Updates kaum oder nur sehr unregelmäßig durchgeführt werden.
Das zentrale Sicherheitsdilemma besteht darin, dass zwar in fast allen Unternehmen der Datenzufluss mit zahlreichen Tools wie Firewalls, Intrusion-Detection- und Prevention-Systemen oder Antivirus-Lösungen überwacht und gegebenenfalls unterbunden wird, allerdings die Mehrheit aller Unternehmen nach verschiedenen Untersuchungen keinerlei Lösungen zur Unterbindung eines unerwünschten Datenabflusses im Einsatz hat.
Was ist also zu tun? Hat der Anwender überhaupt einen Handlungsspielraum im Hinblick auf die Always-Online-Natur moderner Geräte? Zunächst muss konstatiert werden, dass sich im Bezug auf das Internet of Things bisher keine übergreifenden Standards etabliert haben. Bei der drahtlosen Vernetzung der Geräte werden zum Beispiel nach wie vor unterschiedliche Übertragungsverfahren genutzt. An dieser Vielfalt wird sich in absehbarer Zeit nichts ändern, auch wenn es branchenweit Standardisierungsbestrebungen gibt.
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Datensicherheit beginnt bei der Geräteauswahl
Dennoch sind Unternehmen den Gefahren nicht hilflos ausgeliefert. In einem ersten Schritt sollten alle Geräte dahingehend überprüft werden, ob und inwieweit eine Einschränkung der Kommunikation nach außen überhaupt möglich ist. Falls hier keine Gestaltungsfreiheit besteht, sollte von der Neuanschaffung abgesehen oder ein Geräteaustausch in Betracht gezogen werden. Generell muss bei jeder Auswahl eines Produkts darauf geachtet werden, dass es die Möglichkeit bietet, die Außenkommunikation restriktiv zu gestalten – und zwar mit einer Reduzierung auf das maximal Erforderliche.
Zudem muss hinsichtlich der Datenabfluss-Unterbindung immer der gesamte Produkt-Lebenszyklus im Blickfeld bleiben. So sind Geräte oft auch nach Ablauf eines Vertrags weiter im System vernetzt, obwohl keine Updates mehr verfügbar sind; auch wenn sie nicht genutzt werden, stellen sie eine Gefahr dar, solange sie online sind. Bei der endgültigen Außerbetriebnahme von Geräten ist auf eine fachgerechte und sichere Entsorgung zu achten. Das betrifft zum Beispiel auch die zuverlässige Datenlöschung der Speichermedien von Druckern oder Kopierern. So ist beispielsweise im Fall von Flash ein physikalisches Zerstören der Medien nötig, um Sicherheit zu gewährleisten.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
IT-Sicherheits-Grundlagen
Von entscheidender Bedeutung ist aber vor allem, dass die Anwender Maßnahmen bei der Sicherung der Außenkommunikation ergreifen. Hier gibt es Standards, Best Practices und auch klar definierte Sicherheitsverfahren. Doch auch bei deren Nutzung hapert es noch. Das zeigt sich schon an der Schnittstelle zum Internet - dem Router: Erfahrungswerte belegen, dass zwar die Standard-Passwörter der Router meistens geändert werden, anschließend aber keine weitere regelmäßige Änderung der Kennwörter erfolgt. Dadurch ergibt sich schon die erste Sicherheitslücke.
Klar ist, dass für die Sicherung des Unternehmensnetzes strikte Firewall-Einstellungen vonnöten sind; es muss eindeutig festgelegt werden, wer worauf Zugriff erhält. Ebenso wichtig ist auch die Nutzung eines Data-Loss-Prevention (DLP)-Systems, mit dem der unerwünschte – auch versehentliche – Abfluss vertraulicher Daten zuverlässig zu verhindern ist. Alle Datenübertragungen müssen zudem lückenlos verschlüsselt erfolgen und zwar sowohl intern, als auch extern. Selbstverständlich sollte sein, dass sich alle genutzten Systeme immer auf dem aktuellen Stand befinden und Software-Updates regelmäßig durchgeführt werden.
Auch wenn Anwender einige grundlegende Sicherheitsrichtlinien beachten, eines darf nicht außer Acht gelassen werden: Die Sicherung der Infrastruktur weist gerade auch im Hinblick auf die Anbindung der heterogenen Gerätevielfalt eine hohe Komplexität auf. Das heißt: Es kann durchaus sinnvoll sein, auf Expertenwissen zuzugreifen. Bevor ein Unternehmen also den Weg der umfassenden Vernetzung geht, sollte es sich die Frage stellen, ob es von Vorteil ist, einen externen Dienstleister an Bord zu holen. Ein solcher kann die Bestandsanalyse durchführen und Handlungsempfehlungen aussprechen, zum Beispiel hinsichtlich einer Netzwerk-Segmentierung oder des Einsatzes eines dedizierten Update-Servers. Abgesehen von den reinen Beratungsleistungen kann er zudem die Systemimplementierung, -integration und -konfiguration sowie die anschließende Wartung und Pflege übernehmen.
- Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. - Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. - Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. - Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. - Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. - Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? - Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. - Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. - Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. - Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. - Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?