RSA-Experten über Cyber-Erpresser: „Open Source wird ein ernstes Problem“

RSA-Experten über Cyber-Erpresser: „Open Source wird ein ernstes Problem“

, aktualisiert 03. März 2016, 22:17 Uhr
Bild vergrößern

Über fehlerhafte Software bekommen Hacker immer schneller und einfacher Zugang zu Firmennetzwerken und können sich austoben. Die Industrie ist ratlos.

von Axel PostinettQuelle:Handelsblatt Online

Immer wieder verschlüsseln Hacker die Daten von Unternehmen und verlangen für die Freigabe Lösegeld. Auf der IT-Sicherheitskonferenz RSA streichen Experten heraus, wo die Probleme liegen – und wo Firmen umdenken müssen.

San Francisco„Aber wirklich nur für ein paar Sekunden!“ Leo Taddeo ist sichtlich nervös, aber für das Handelsblatt macht er eine Ausnahme. Nur widerstrebend meldet sich der frühere FBI-Special Agent in das offene WLAN auf der Sicherheitskonferenz RSA in San Francisco ein. „Das mache ich sonst aus Prinzip nicht“.

Taddeo hat für das New Yorker FBI das legendäre Drogennerzwerk Silk Road zu Fall gebracht und einige der größten Datendiebstähle der USA ermittelt. Er weiß, was ihn im Web erwartet.

Anzeige

Nun ist er im WLAN und unter den Augen hunderter Sicherheitsspezialisten startet er eine Software auf seinem iPhone. Es erscheinen Tausende IP-Adressen von angemeldeten Smartphones, Laptops und PCs. Mit einem Klick wird eine ausgewählt und dann laufen die Tests, an deren Ende steht, welche Hintertüren oder Schlupflöcher bei dem Gerät offen sind.

„Das passiert jeden Tag und überall“, sagt Taddeo, der heute Chief Security Officer bei dem Start Up Cryptzone ist, und meldet sich schnell wieder ab, bevor jemand anderes sein Gerät ausspioniert. „Die Software kann sich jeder aus dem Internet laden.“

So trivial beginnen viele Zwischenfälle, die sich dann manchmal zu riesigen Datendramen ausweiten. „Wenn ich eines bei meiner Zeit beim FBI gelernt habe“, so Taddeo, der 1995 als einfacher Ermittler begann und sich später auf Cybercrime spezialisierte, „dann ist es, wie leicht man heute an Zugangsdaten kommt.“ Und wer erst einmal in einem Firmennetz drin ist, der kann viel anstellen.

Das mussten auch die Betreiber von Krankenhäusern von Neuss bei Düsseldorf bis Hollywood in Los Angeles feststellen. Eine achtlos geöffnete E-Mail, ein unbedachter Klick auf einen Anhang, und schon ist der Virus installiert, der dann klammheimlich alle Daten, egal ob Dokumente, Fotos oder digitalisierte Röntgenbilder bombensicher verschlüsselt.

So sicher, dass das Hollywood Presbyterium Medical Center letztlich 17.000 Dollar in elektronischer Bitcoin-Währung an einen Unbekannten Empfänger überwies, nur um wieder arbeiten zu können. Das FBI war in Hollywood eingeschaltet, entschlüsseln können die Ermittler allerdings auch nicht.

„Aber wir können helfen“, weiß Taddeo aus früherer Erfahrung. „Wir kennen die Hacker und ihr Vorgehen vielleicht schon als anderen Fällen und bekommen weitere Hinweise, um sie zu fassen. Oder wir können Tipps zur Beseitigung der Schadsoftware geben.“ Denn sonst geht alles wieder von vorne los.

Selbst die, die zum Beispiel Lösegeld zahlen, können nicht sicher sein, dass sie in Ruhe gelassen werden. „Im Gegenteil. Die Netzadressen derer, die bezahlt haben, werden für Gold im Internet gehandelt. Sie sind leichte Beute, bereit zu bezahlen und werden immer und immer wieder attackiert.“


„Irgendwann machen sie alle einen Fehler“

Viele Manager haben noch immer eine unbegründete Angst vor dem FBI, sagt Taddeo, der als FBI-Spezialist „fast täglich“ mit Firmenvorständen zu tun gehabt hat. „Wir durchsuchen oder beschlagnahmen in solchen Fällen keine Daten", stellt er klar. „Wir ermitteln ja nicht gegen die Firma. Wir wollen Hacker aufspüren. Das ist ganz etwas anderes als beispielsweise die Ermittlung gegen VW derzeit.“

Auch Justin Somaini kann nicht mehr viel schocken. Der neue Chief Security Officer bei SAP sieht solche Fälle nicht erst seit ein paar Jahren. „Ich erinnere mich noch an Banken in den 90er Jahren, deren Daten von Fremden verschlüsselt wurden“, erinnert sich der langjährige Security-Spezialist. Aber damals redete halt niemand drüber. Das waren interne Diskussionen unter Spezialisten.

Heute ist das anders. Heute kommen Kunden und löchern Lieferanten mit unangenehmen Fragen zur Sicherheit, weiß Somaini. Die Unsicherheit sei enorm: Aufsichtsräte sagen: „Ich habe Angst, aber weiß nicht genau wovor.“ Denn die Bedrohungslage ist extrem komplex geworden. „Früher war alles auf einen Großcomputer in einem abgeschlossenen Raum. Heute sind die Daten rund um die Welt verteilt.“

Die Sicherheitsindustrie kommt selbst kaum noch mit. Vor 20 Jahren war eine „Firewall“ die Lösung schlechthin. Heute ist es nur noch ein kleiner Teil einer Sicherheitsstrategie. Firmen wie Cryptzone setzen jetzt auf Lösungen im Inneren. Wichtige Bereiche der Netzwerke werden „unsichtbar“ gemacht. Ein Eindringling findet dann kaum noch etwas Interessantes vor.

Die Herausforderungen wachsen dabei überproportional. Besonders die Zunahme von „Open Source“-Software ist ein Problem. Durch sie wird die Erstellung von Apps schneller und preisgünstiger, aber „man weiß nie, wer wirklich was programmiert hat und wo Lücken sein könnten.“ Die korrekte Behandlung und Kontrolle von Open Source-Software wird „eine der größten Herausforderungen für die Wirtschaft“, warnt Somaini.

Gerade erst wurde eine neue, schwere Datenlücke namens DROWN (Decrypting RSA using Obsolete and Weakened eNcryption) aufgespürt, die es Hackern ermöglicht, sich in Minutenschnelle in Server einzuschleichen und unbemerkt verschlüsselte Kommunikation wie Passwörter abzugreifen und zu lesen. Die angegriffene Software ist Open Source, sie steht also offen jedem kostenlos und frei zur Verfügung – und wird in tausenden Unternehmen eingesetzt.

Aber Open Source bedeutet auch, dass niemand wirklich verantwortlich ist, Fehler zu finden oder zu beheben. Das wird Folgen haben. „Ich bin sicher“, so der Sicherheitschef von SAP, „dass wir große Unternehmen scheitern sehen werden, weil sie es versäumen, Sicherheit für sich als wichtiges Unterscheidungsmerkmal in ihrer Branche herauszuarbeiten.“ Unternehmen müssten schnell Wege finden, um verwendete Open Source-Software, in manchen Firmen bis zu 60 Prozent der Software, zu prüfen, zu managen und zu überwachen.

Doch so professionell das alles auch gehandhabt wird, am Ende wird immer auch ein Quäntchen Glück dazugehören, um die „bösen Jungs“ zu schnappen. Der Silk Road-Gründer etwa wurde nur durch einen dummen Fehler gefasst. Der Mann hinter der Plattform für den Handel von Drogen und Kreditkartennummern hatte sich in das W-LAN-Netz der Stadtbücherei von San Francisco eingeloggt und seine Seite gepflegt. So konnten die herbeieilenden Ermittler ihn auf frischer Tat mit eingeschaltetem Laptop ertappen und festnehmen.

„Irgendwann“, so Taddeo, „machen sie alle eine Fehler. Alle.“

Quelle:  Handelsblatt Online
Anzeige

Twitter

Facebook

Google+

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%