Sicherheitsvorfälle, und was wir in der Zukunft für uns ableiten können: IT-Security – Quo vadis 2018, CISO?

In den letzten Jahren wurden einige Sicherheitsvorfälle bekannt, die für die Zukunft der Informationssicherheit wegweisend sind. Wie können wir diesen neuen Gefahren wirksam begegnen? Dieser Artikel gibt einen kurzen Einblick in aktuelle Incidents, Mitigationsmaßnahmen und den Status quo bei deutschen Unternehmen.

Sicherheitsvorfälle

Incidents sind mitunter die wertvollste Wissensquelle in der Informationssicherheit. Wann immer „irgendwo da draußen" ein Sicherheitsvorfall bekannt wird und es gelingt, die Hintergründe zu analysieren und aufzudecken, besteht die Möglichkeit, das eigene Unternehmen weiterzuentwickeln, zu rüsten und vor künftigen Angriffen zu schützen. Vorausgesetzt, man versteht die Natur eines Angriffs und weiß einzuschätzen, welche Mitigationsmaßnahmen wirksam sind. 

Viele Kriminelle sind unseren Sicherheitsexperten in ihrem technologischen Know-how weit überlegen, gehen arbeitsteilig vor, agieren international, bleiben unerkannt und bewegen Millionen US-Dollar in haarsträubender Geschwindigkeit zwischen verschiedenen Jurisdiktionen. 

Die Aufgabe des Informationssicherheitsbeauftragten (ISO, CISO) besteht darin, das Unternehmen, seine Mitarbeiter und Vermögenswerte zu schützen, Gefahren abzuwenden und ein unvorhergesehenes Ereignis schnellstmöglich unter Kontrolle zu bringen, um entstehenden Schaden eindämmen und den unterbrochenen Betrieb schnellstmöglich in gewohnter Qualität weiterführen zu können. Dazu bedarf es präventiver, detektiver und korrigierender Maßnahmen.

Citadel

Der Online-Banking-Trojaner „Zeus" hatte 2012 eine Variante namens „Citadel" abgeworfen, mit der Kriminelle innerhalb von wenigen Stunden einen Gesamtschaden von einer halben Milliarde US-Dollar angerichtet haben. Dieser Vorfall dient in der Security-Branche als Referenz, um deutlich zu machen, welche Maßnahmen umgesetzt werden müssen, um sich vor üblichen Programmierfehlern und kreativer Energie zu schützen (siehe Abbildung 1). 

Ein Cyber-Kriminellen bestellt im Darknet eine Malware für 800 USD und lässt sich diese Software von dem Malware- Autor auf die URLs der 25 größten US-Banken zuschneiden.

Der Cyber-Kriminelle hinterlegt den Trojaner auf einem anonymen Content-Server und verseucht anschließend eine häufig frequentierte Website - in diesem Fall die Nachrichtenseite www.nbc.com des amerikanischen NBC TV-Networks, die zu diesem Zeitpunkt anfällig für ein Cross-Site- Scripting (XSS) ist. Ein Angreifer kann also ohne Wissen der NBC ein Kommentarfeld unter den News-Artikeln mit bösartigem JavaScript versehen.

Ein unbedarfter User liest die Nachrichten der NBC auf seinem Browser. Neben Titel, Texten, Fotos und Videos werden ihm eben auch die Kommentare anderer User unter dem Artikel angezeigt, darunter auch der Kommentar des Angreifers. Da das Kommentarfeld aufgrund einer trivialen Sicherheitslücke mit Scripting-Code verseucht wurde, kann das Opfer die Code-Ausführung nicht bemerken. Statt einen Kommentartext anzuzeigen, führt der Browser den vom Angreifer injizierten JavaScript- Code aus, welcher den Online-Banking-Trojaner von dem anonymen Content-Server herunterlädt (Drive-by-Download) und anschließend versucht, verschiedene Sicherheitslücken auf dem Windows-Rechner des Users auszunutzen: Adobe Reader, Java, Internet Explorer, die Liste ist lang. Falls der Rechner anfällig ist, wird der Trojaner installiert, aber erst aktiv, wenn der User über den Browser ins Online-Banking einsteigt. Dann nämlich zweigt der Trojaner die Überweisungen ab und überführt entsprechend große Beträge auf ein internationales Konto des Cyber-Kriminellen.

Ohne weiter auf die Details einzugehen: Die NBC war für ca. 5 Stunden infiziert. In dieser Zeit wurden 80.000 Anwender-PCs von dem Trojaner befallen. Da es der Cyber-Kriminelle aber nicht auf gewöhnliche User abgesehen hatte, sondern auf Firmenmitarbeiter, die in der Buchhaltung oder Rechnungsstelle eines Unternehmens arbeiten, konnten aufgrund der hohen Banklimits insgesamt über 28 Mio. USD umgeleitet werden.

Die Frage, die sich für einen Informationssicherheitsbeauftragten in einem Unternehmen stellt, lautet: Warum hätte dieser Angriff niemals so erfolgreich sein dürfen?

Bei der Analyse stellte sich zunächst heraus, dass die Windows-Rechner der betroffenen User nicht ausreichend gepatcht waren. Die betroffenen Sicherheitslücken waren seit über einem Jahr bekannt und waren nicht behoben worden. Des Weiteren surften die Mitarbeiter ohne technologischen Schutz: es wurden keine Web Application Firewall (WAF) eingesetzt, um vor XSS und SQL Injections zu schützen. Die Mitarbeiter nutzten zudem keinen isolierten Rechner für das Online-Banking, sondern vermischten öffentlichen mit sensiblem Traffic. Eine entsprechende Policy gab es nicht.

Demzufolge gehören Patch Management, physische und logische Segregierung von Netzwerken, Anwendungen und Prozessschritten, Web Security Gateways und strikte Governance-Maßnahmen heute zum Mindestrüstzeug in der Informationssicherheit. Dennoch funktionieren Cybercrime- Märkte auch heute noch wie beschrieben. Erst vor wenigen Monaten konnte Alphabay geschlossen werden, ein Darkmarket mit 40.000 Anbietern von Malware, Drogen, Waffen und gefälschten Ausweisen für über 200.000 Nutzer. Die Anbieter sind seitdem unerkannt auf andere Märkte umgezogen.

Mirai

2016 hatte ein namhafter Security-Experte, Brian Krebs, etwas zu tief im Darknet gegraben und mit den Veröffentlichungen auf seinem Blog [1] einige Player am Markt wohl gründlich verärgert. Es folgte eine einmalige Macht- Demonstration (siehe Abbildung 2). Kreb's Blog wurde über einen Distributed Denial of Service (DDoS) Angriff lahmgelegt, indem seine Server mit einer Wucht von 665 Gbit/s beschossen wurden. Gängige Switches und Router arbeiten mit einem Bruchteil dieser Durchsatzrate.

Die nachfolgende Analyse zeigte, dass die angreifenden Geräte gar keine kompromittierten Server waren, sondern eine Masse von Internet-of-Things-(IoT)-Geräten, die Cyberkriminelle mithilfe von Standard-Passwörtern und einfachsten Sicherheitslücken unter ihre Kontrolle gebracht haben: Webcams, Aufzeichnungsgeräte, Kameraüberwachungssysteme in Firmen. Mini-Computer, die ans Internet angeschlossen sind und wie vollwertige Linux- Rechner funktionieren. Mit einem Unterschied: die meisten dieser Geräte stammen von Billigherstellern, die eine Aktualisierung der Firmware gar nicht erst vorgesehen haben. Einmal kompromittiert, ist das Gerät nicht mehr brauchbar. Nur sehen es so die Kunden nicht. Anstatt die Geräte auszutauschen und gegen hochwertige, patch-bare Systeme auszutauschen, bleiben letzterer in gewohnter Weise konnektiert: anfällig, unter Fremdkontrolle und jederzeit einsatzbereit.

DDoS-Angriffe sind an sich nichts Neues, nur die Wucht dieser neuen Angriffe hat das Potenzial, sogar Großunternehmen vom Netz zu nehmen. Der Blog von Brian Krebs wurde von Akamai gehostet, einem der größten Telekommunikationsunternehmen der Welt. Und selbst diese Firma hätte den Angriff nur unter enormem Einsatz von Geld und Gerätschaft ableiten können.

In diesem Sinne besteht die Verantwortung eines Informationssicherheitsbeauftragten auch über die eingesetzte Technologie hinaus, Einkaufsprozesse zu hinterfragen und Vorgaben für den Einsatz von zertifizierten Geräten im Unternehmen zu schaffen - um zu verhindern, dass eigene Geräte fremdkontrolliert werden und das Unternehmen zum Mittäter wird.

Die GISWS stellt sogar einen Mangel von 350.000 Cyber-Sicherheitsexperten in DACH bis 2022 fest.

Information Security Management

Die vorliegenden Beispiele sind nur wenige von vielen. Im letzten Jahr hat Ransomware die Runde gemacht. Wegen „WannaCry" mussten englische Krankenhäuser Lösegeld zahlen und auf den Anzeigetafeln der Deutschen Bahn waren Statements gesetzt. Erst diesen Monat musste ein US-Krankenhaus 60.000 Dollar Lösegeld zahlen ([2]) - es verfügte zwar über Backups, sah sich aber außerstande, diese zeitnah einzuspielen.

Wer Informationssicherheit im Unternehmen steuert, weiß um die Vielfalt der abzudeckenden Themen: 

• Information Security Management 
• Risk Management 
• Asset Security 
• Security Engineering 
• Kryptographie 
• Physische Sicherheit 
• Netzwerkkommunikation 
• Identity Management und Zugangskontrollen 
• Web-Applikationen 
• Sichere Software-Entwicklung 
• Betrieb und Wartung 
• Business Continuity 
• Disaster Recovery 

Informationssicherheit umfasst die kritischen Erfolgsfaktoren „Management", „Technologie" und „physische Sicherheit" und muss demnach alle Geschäftssäulen gleichermaßen erfassen, alle kritischen Prozesse und daran beteiligten Menschen, Software, Hardware, Netze, Gebäudetechnik und den Betriebsstandort insgesamt.

Eine Herkulesaufgabe, die nur in Kooperation mit allen Business Units gelingen kann. Wie meistern deutsche Unternehmen das?

Lagebericht und Studien

Erst im Herbst 2017 wurden Studien veröffentlicht, die einen interessanten Einblick in die aktuelle Situation bei deutschen Unternehmen ermöglichen:

• Laut Gothaer KMU Studie 2017 [3] haben 20 % der KMUs in Deutschland nicht einmal einen Antivirenschutz im Einsatz. 25 % der KMUs sind ohne Firewall, 33 % fahren keine Backups, und 51 % arbeiten ohne Notfallplan.
• Laut Digitalverband Bitkom 09/2017 [4] ist nicht einmal die Hälfte der (befragten) Unternehmen in Deutschland ausreichend auf einen Cyberangriff vorbereitet. Nur vier von zehn Firmen haben ein Notfallmanagement. Und gerade einmal die Hälfte der Betreiber von kritischen Infrastrukturen haben einen Notfallplan!

Diese Aussagen sind repräsentativ für kleine und mittelständische Unternehmen (KMUs). Es verwundert demnach nicht, warum Ransomware im Darknet so erfolgreich gehandelt wird. Denn ohne Daten, ohne funktionsfähigen Betrieb sind diese Unternehmen tot. 

Großunternehmen rüsten sich seit Jahren schon gegen Cyberangriffe und stocken ihre Security-Teams auf. Laut Global Information Security Workforce Study 2017 (GISWS) [5] planen 66 % der Unternehmen in Deutschland, Österreich und der Schweiz (DACH), ihr Security-Personal in den nächsten 12 Monaten aufzustocken, um teilweise 10 % und mehr Mitarbeiter. Leider kann dieser Bedarf am Markt nicht gedeckt werden. Laut Studie ist es aktuell sehr schwierig, ausreichend qualifizierte Mitarbeiter zu finden. Daher werden Arbeitgeber in die Entwicklung ihres eigenen Personals investieren und Bereitschaft zeigen müssen, weniger erfahrene Kandidaten einzustellen und in Eigenregie auszubilden.

Qualifikation, Training und Zertifikate

Die GISWS stellt sogar einen Mangel von 350.000 Cyber-Sicherheitsexperten in DACH bis 2022 fest.

Um diesen Herausforderungen zu begegnen, hat die ManufakturIT GmbH, ein langjährig bewährtes Security- Beratungsunternehmen in der Region Köln, einen eigenen Trainingsbereich etabliert. Praxiserfahrene Manager und Berater bilden im Schulterschluss mit der ORDIX AG IT-Experten in allen wichtigen Gebieten der Informationssicherheit aus und zertifizieren mit internationaler Anerkennung zum

• Certified Information Systems Security Professional (CISSP) [6] 
• Certified Information Security Manager (CISM) [6] 
• Certified Information Systems Auditor (CISA) [6]

Absolventen erhalten eine objektive Zertifizierung ihres Wissens auf dem Gebiet der Informationssicherheit, die zunehmend in Deutschland, in Österreich und in der Schweiz nachgefragt und eingefordert wird und ein hohes Ansehen genießt.

Neue Herausforderungen

Die in der Gesellschaft zunehmende Digitalisierung (Stichwort: Industrie 4.0) erfasst die Produktionsprozesse in den Fabriken. Angriffe auf Infrastrukturen werden zunehmen. Für Cyber-Kriminelle wird es ertragreicher, Produktionsabläufe zum Erliegen zu bringen und Lösegelder zu erpressen. Ransomware wird ihren Weg von den Büros in die Fabriken finden.

Immer mehr Alltagsgegenstände werden vernetzt. Intelligente Zähler (sogenannte Smart Meter), Rauchmelder, Türschlösser, Lautsprecher, Kinderspielzeuge kommunizieren miteinander und über die Kommunikationsplattformen der Hersteller. Das sog. Internet of Things (IoT) wird wachsen, und es werden Firmen in die vernetzte Welt drängen, die nicht originär aus der IT kommen und für die das Thema Informationssicherheit nicht wichtig oder auch nicht wirtschaftlich genug ist. Der „Risk Appetite" dieser Hersteller wird die Angriffsoberfläche unserer Alltagsgegenstände bestimmen.

Autonomes Fahren wird nur durch Sensoren ermöglicht, die miteinander kommunizieren. Die meisten der dabei eingesetzten Protokolle unterstützen keine (oder schwache) Authentisierung und Verschlüsselung. Car Hacking entsteht als Spielfeld für Hacker, Forscher und Neugierige.

Und last but not least verspricht die Blockchain neue Anwendungsmöglichkeiten – dezentrale Intelligenzen, die bestimmen, ob eine Transaktion zustande kommen darf. Anonyme Währungen wie Bitcoin zeigen gerade in diesen Tagen auf dramatische Weise die Chancen (Kurssteigerungen) und Gefahren (Kursverluste) neuer Technologien.

Nur wer im Kern versteht, wie Technik funktioniert, wie Prozesse abgewickelt werden, welche Annahmen dabei getroffen werden und welche Interessen die Player am Markt verfolgen, wird ein erfolgreiches Informationssicherheits- Management betreiben können.

Der Schlüssel zum Gelingen liegt im Wissen und in der Anwendung von Wissen, in Qualifikation und in Trainings.

Links/Quellen

[1] Blog von Brian Krebs https://krebsonsecurity.com/
[2] Golem - IT-News für Profis https://www.golem.de/news/ransomware-krankenhaus-zahlte- 60-000-us-dollar-trotz-backups-1801-132206.html
[3] KMU Studie der Gothaer Versicherung https://www.gothaer.de/ueber-uns/presse/publikationen/studien/kmustudie-2018.htm
[4] Branchenverband Bitkom e.V. https://www.bitkom.org/Presse/Presseinformation/Nur-vier-von-zehn-Unternehmen-sind-auf-Cyberangriffe-vorbereitet.html   
[5] GISWS Study 2017 https://iamcybersafe.org/wp-content/uploads/2017/06/Europe-GISWSReport.pdf
[6] ORDIX IT-Security Seminare: https://seminare.ordix.de/seminare/it-security.html

Bildnachweis