Thought Leadership
Die Schlagzeilen der vergangenen Wochen haben es nun auch an die breite Öffentlichkeit getragen – und die hat es laut und deutlich vernommen: Unsere Daten sind nicht sicher! Zu keiner Zeit, an keinem Ort, hinter keiner Firewall. Eine Situationsanalyse von Ron Gula, Tenable Network Security.
Inzwischen ebbt die ebenso hohe wie breite Welle der Entrüstung, die unsere Medien überschwemmt hat, ab in Ernüchterung und Ratlosigkeit. Wenn schon der Staat sich nicht vor Abhöraffären und Datendiebstahl schützen kann, wer dann? Wenn Nachrichten- und Geheimdienste sich trotz massiver Sicherheitsmaßnahmen erfolgreich gegenseitig bespitzeln, wie soll sich dann ein ganz profanes Wirtschaftsunternehmen vor Informationsverlusten und Cyber-Attacken bewahren können? Oder der noch weniger Security-vertraute Endverbraucher?
250.000 Identitätsdiebstähle in nur drei Monaten – das ist die erschreckende Realität, die kürzlich das Bundesamt für Sicherheit in der Informationstechnologie (BSI) ans Licht gebracht hat. Ob beim Online-Banking, Online-Einkauf oder in sozialen Netzen, die Anwender bieten im vermeintlich abgesicherten Internet freizügig ihre Kreditkarten- und Personendaten feil – und die stets wachsamen Hacker schöpfen freudig aus den Vollen. Dabei bleibt laut BSI-Präsident Michael Hange ein Großteil der Angriffe lange unentdeckt – rund die Hälfte der Betroffenen erkennt erst nach knapp einem Jahr, dass eine erfolgreiche Attacke auf ihren Rechner stattgefunden hat.
Auch der Staat selbst und seine Wirtschaftsunternehmen werden immer häufiger aus dem Netz attackiert. „Allein im Regierungsnetz“, so wird der BSI-Präsident am 7. August 2013 vom Nachrichtenmagazin „Der Spiegel“ zitiert, „zählen wir 2000 bis 3000 ungezielte und fünf gezielte Angriffe täglich.“ Viele dieser Angriffsversuche könne man laut Hange erfolgreich vereiteln, und für die Wirtschaft habe man eine ganze Reihe von Empfehlungen für einen besseren Schutz von Geschäfts- und Kundendaten ausgegeben.
Dennoch, der ungebrochene Erfolg von Attacken auf staatliche Dienste und Informationsquellen sowie auf Produktionspläne und Betriebsgeheimnisse in der Privatwirtschaft machen offenkundig, dass die bisherigen Maßnahmen und Ratschläge nicht ausreichend greifen. Auf der Suche nach den Ursachen wird schnell klar: Eine Kette ist tatsächlich nur so stark wie ihr schwächstes Glied – das gilt nicht nur sondern vor allem für ein so facettenreiches und feingliedriges Konstrukt, wie die IT-Security.
Die Achillesferse(n)
Instabile Glieder, das beweisen die Endloslisten von Schwachstellen, die Softwarehersteller und Netzbetreiber kontinuierlich zu ihren Produkten veröffentlichen müssen, gibt es in den unternehmensweiten IT-Landschaften viele. Diese Schwachstellen würden aber, so die Kritik seitens des BSI, nur zu einem Teil beseitigt, etwa ein Drittel bleibe offen. Die so entstehenden Angriffswege, in Fachkreisen „Attack Path“ genannt, werden nicht nur von vergleichsweise harmlosen Dieben von Bankdaten genutzt. Sie ebnen auch politisch, weltwirtschaftlich und militärisch inspirierten Spionageaktivitäten aus Nordkorea, Russland, Großbritannien, den USA oder Israel den Weg – bis in die vermeintlich geheimsten Winkel unserer behördlichen Datenbanken und Informationsschatzkammern.
Vor allem Cyber-Attacken aus den USA, so das Ergebnis einer kürzlich veröffentlichten Studie von Ernst & Young Global (EY), werden nach dem NSA-Skandal von deutschen Unternehmen gefürchtet. 90 Prozent der von dem Beratungs- und Prüfungsunternehmen befragten Geschäftsführer und Führungskräfte erwarten, dass für deutsche Organisationen das Risiko von Cyber-Angriffen steigen wird. Und diese seien, so nehmen die in 400 deutschen Unternehmen befragten Manager aus den Bereichen IT-Sicherheit und Datenschutz an, in erster Linie aus China und den USA zu erwarten. Was also ist zu tun?
Standardsicherheitsmaßnahmen wie Virensuchprogramme, Firewalls, Intrusion-Detection- und Intrusion-Prevention-Systeme, so warnte bereits im Juni dieses Jahres die Gesellschaft für Informatik (GI), wiegen die Unternehmen in falscher Sicherheit. Zumal ja die Sicherheitslösungen selbst mit nicht immer allgemein bekannten Sicherheitslücken aufwarten, also nicht veröffentlichten Schwachstellen, die nicht nur von „kleinen“ Hackern, sondern auch von Drittstaaten und größeren, kriminellen Organisationen genutzt werden können.
Sicherheitsprüfungen müssen daher in Echtzeit stattfinden. Das Tempo, in dem durch Hersteller-Patches, Anwender, das IT-Team und leider auch durch Malware Veränderungen vorgenommen werden, erfordert eine Status- und Schwachstellenerkennung, die so schnell wie nur eben möglich ist. Selbst, wenn die IT-Verantwortlichen die Probleme nicht so schnell beheben können, wie sie gefunden werden, muss die Organisation doch – und zwar so frühzeitig wie möglich – über die größten Risiken für das Unternehmen informiert sein.
Hierfür hat der Security-Anbieter jetzt u.a. eine Lösung entwickelt, die das Schwachstellenmanagement nach BSI IT-Grundschutzstandards deutlich vereinfacht. Und in Echtzeit aufzeigt, ob und wo ein Netzwerk eine Achillesferse hat, die von außen als Angriffsweg genutzt werden könnte.
Und vergessen Sie bei den Realtime-Audits in Ihrer Organisation nicht Ihre Perimeter-Vorrichtungen, Ihre Router, Switches und Firewalls. Edward Snowden hat geäußert, dass die NSA routinemäßig auf diese abgezielt hat, und im Prinzip muss jeder davon ausgehen, dass seine Router und Switches von anderen Nationen ins Visier genommen werden – wenn sie es nicht schon sind. Router und Switches haben Patches, Konfigurationen und Zugriffskontrollen, die genau wie bei jedem Desktop überprüft und testiert werden können. Sollte Ihr Security-Team das noch nicht tun, ist es sehr wahrscheinlich, dass Ihre Netzwerk-Infrastruktur nicht gesichert und nicht ausreichend gehärtet ist.
Ron Gula, CEO bei Tenable Network Security
