Russisch Roulette Digital Das Spiel mit der IT-Sicherheit

Würden Sie jemals „Russisch Roulette“ spielen? Wohl kaum. Niemand, der bei klarem Verstand ist, würde das tun. Dennoch spielen fast alle Unternehmen es in digitaler Form. Jeden Tag.

Hacker Quelle: dpa

Der sogenannte „RSA-Hack“ im Jahr 2011  und der aktuelle „Kaspersky-Hack“ haben deutlich bewiesen, dass nicht einmal die bekanntesten Experten für IT-Sicherheit alle Angriffe abwehren können. In beiden Fällen war es die Schwachstelle Mensch, die den Hackern für Monate Tür und Tor öffnete - durch anklicken eines E-Mail-Anhangs.

Es ist schon fast wieder originell, dass sogar die Verteidigungsmechanismen von Firmen, die IT-Sicherheit verkaufen, durch einen einzigen Doppelklick mit der Maus von innen heraus gesprengt werden konnten. Das beweist letztlich, dass kein internes Netzwerk sicher ist, wenn auch nur ein interner Arbeitsplatzrechner im Firmennetzwerk Zugang zum Internet hat. Egal wie oft und wie gut Sie Ihre Mitarbeiter schulen, es wird immer diesen einen Mitarbeiter und diesen einen Moment der Unaufmerksamkeit geben. Dabei spielt es eigentlich keine Rolle, ob ein E-Mail-Anhang angeklickt oder ein „zufällig“ auf dem Firmengelände gefundener USB-Stick in einen Firmenrechner gesteckt wird.

Zur Person

Aus Sicht eines Angreifers funktioniert beides hervorragend. Waren die sogenannten „Phishing-Attacken“ per Mail und „verlorene“ USB-Sticks anfangs noch recht unspezifisch und an einen großen Verteiler gerichtet, haben die Angreifer im Firmenumfeld inzwischen sehr viel dazugelernt. Das Adressverzeichnis des Mailservers (und damit aller Mitarbeiter) steht dem Angreifer zur Verfügung, sobald ein beliebiger Mitarbeiter ein präpariertes Attachment angeklickt hat. Anschließend werden individualisierte E-Mails an einen gezielten Personenkreis oder an ausgewählte Einzelpersonen gerichtet. Eine zum Arbeitsbereich der Zielperson passende Konferenzeinladung beispielsweise erregt kein Misstrauen.

Forum IT-Sicherheit

Den Absender einer E-Mail zu fälschen, ist beim E-Mail-Protokoll des Internets eine Kleinigkeit. Erkennen kann man das nur, wenn man sich im E-Mail-Header den Verlauf der E-Mail über die diversen Server ansieht. Die Konferenzeinladung kann (abgesehen vom Absender) sogar echt sein, ergänzt um eine Zero-Day-Attacke im beigefügten Dokument. Das Attachment der an die Personalabteilung von RSA gerichteten E-Mail war eine Excel-Tabelle, die eine Sicherheitslücke in Adobe Flash missbrauchte, und erst wenige Stunden vor dem Angriff präpariert wurde. Bis eine bekanntgewordene Zero-Day-Sicherheitslücke von Entwicklern geschlossen und die neue Version der betroffenen Software verteilt wird, bleibt Angreifern genug Zeit, diese auszunutzen. Sicherheitsspezialisten sind meist in der Defensive, da sie einen Angriff erst analysieren können, nachdem dieser bemerkt wurde.

"Taktik ohne Strategie ist das Geräusch vor der Niederlage" (Sun Tzu)

Die Angreifbarkeit der heutigen IT-Systeme ist keine technische, sondern eine konzeptionelle Schwäche. Traditionsgemäß muss ein Arbeitsplatzrechner für alle Aufgaben eines Mitarbeiters ausreichen.  Softwareentwickler beispielsweise lesen geschäftliche (und auch private) E-Mails, recherchieren in Blogs, News- und Dokumentationsseiten, und programmieren auf einem einzigen Rechner.  Jeder dieser Arbeitsplatzrechner stellt also eine Verbindung zwischen dem internen Unternehmensnetzwerk und dem Internet dar.

Ein direkter Angriff von außen mag an perfekt eingerichteten Firewalls und sonstigen starren Sicherheitsmaßnahmen scheitern, aber der Aufruf einer einzigen präparierten Webseite oder des besagten E-Mail-Attachments öffnet alle Tore von innen. Ein so eingeschleustes Spionageprogramm (Trojaner) muss nur noch die auf diesem Rechner für interne Systeme benutzten Zugriffsdaten mitlesen und zu Hause abliefern. Das ist so leicht wie es klingt. Angreifer haben so Zugriff auf alle Informationen, auf die der betreffende Mitarbeiter entsprechend seiner Sicherheitsfreigabe Zugriff hat.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%