Was sind die aktuellsten Gefahren in der IT-Sicherheit?

Als besonders interessant betrachte ich einen Vortrag von Rob Joyce. Er leitet die Ausbildung der Hacker beim US-Geheimdienst (National Security Agency, NSA). In einer 35-minütigen Rede erläuterte er, welche Maßnahmen die NSA beim Angriff auf IT-Systeme behindern. Das ist deswegen hoch interessant, weil es sich bei den staatlich organisierten Hackern um das absolute Top-Level in der Szene handelt.

Die außerordentlich guten Kenntnisse der NSA-Mitarbeiter zeigen sich z.B. darin, dass sie sogar in der „Cisco Pix“-Firewall einige offensichtlich gut versteckte Schwachstellen entdeckten, die bisher sonst niemandem aufgefallen waren. Softwareexperten des Unternehmens hatten 2016 alle Hände voll zu tun, diese seit 2003 offenstehenden Lücken zu schließen. Der Geheimdienst konnte den VPN-Tunnel der Firewall umgehen und damit den Verkehr mitlesen. „Cisco Pix“ galt lange Zeit als das Beste, was es in der Branche gab. Die Lücke wurde erst 2016 bekannt.

Rob Joyce gibt offen zu, dass sich die NSA über bekannte Sicherheitslücken von IT-Systemen Zugang zu Unternehmen verschaffen kann. Es sind primär nicht die Zero-Day-Exploits, über die Informationen abgezogen werden.

Ein Exploit ist ein Schadcode, der dazu entwickelt wurde, Sicherheitslücken auszunutzen und z.B. ein IT-System zu übernehmen. IT-Systeme werden mit steigendem Alter verwundbarer, weil sie Schwachstellen haben, die nach und nach entdeckt werden. Die Lücken werden bekannt und Sicherheitsupdates werden vom Hersteller veröffentlicht. Spielt ein Betreiber von Servern oder IT-Systemen diese Sicherheitsupdates nicht ein, kann mit den Exploits diese Lücke ausgenutzt und oft viel Schaden angerichtet werden.

Zero-Day besagt nun, dass die Sicherheitslücke nicht allgemein bekannt ist. Sicherheitsforscher verkaufen ihre Funde manchmal am Schwarzmarkt an den Meistbietenden. Dieser Bieter hat dann die alleinige Information über die Lücke. Der Hersteller bekommt davon nichts mit und kann zu der ihm unbekannten Lücke keine Sicherheitsupdates anbieten, während der Hacker in Ruhe die verwundbaren Systeme mit dem Zero-Day-Exploit knacken kann.

Die NSA verwendet nur sehr, sehr selten Zero-Day-Exploits, um einen Zugang zu Systemen zu erhalten. Ein Zero-Day-Exploit kann oft nur einmal verwendet werden und ist deshalb für „einfache“ Einbrüche viel zu wertvoll. Viel öfter arbeitet die NSA mit allgemein bekannten Sicherheitslücken, die von Unternehmen und Regierungen nicht geschlossen wurden. Das Ausnützen dieser Lücken ist viel einfacher und erzeugt weniger Aufsehen. Viele Einbrüche kommen über eine Schadsoftware in einer E-Mail zustande, die der Empfänger unvorsichtigerweise öffnet. Es reicht ja nur ein Klick eines Empfängers auf die E-Mail.

Rob Joyce liefert natürlich auch eine ganze Liste von Hilfen gegen Angriffe auf IT-Systeme. Sehen Sie sich das Video des Vortrags an, es ist sehr zu empfehlen.

Ransomware (auch Lösegeldtrojaner) sind seit Ende 2016 verbreitet - mit stark steigender Tendenz. Die Daten von Firmen werden von einer eingeschleusten Schadsoftware verschlüsselt, sodass ein Unternehmen nicht mehr weiterarbeiten kann. Um nun wieder an die Daten zu kommen, wird von den Angreifern ein Schlüssel verkauft. Für die Hacker sind die Trojaner eine gute Einkommensquelle. Der Aufwand ist gering und ein paar Tausend Euro (pro verschlüsseltem Server wohlgemerkt) lassen sich immer lukrieren. Exorbitante Summen von mehreren hundert tausend US-Dollar pro Infektion fließen in USA regelmäßig in die Kassen der Angreifer.

Optimal für Unternehmen wäre natürlich erstens ein funktionierendes Backup und zweitens sichere Systeme, die nicht von Hackern gekapert werden können. Beides ist nicht allzu schwer zu erreichen.

Besonders zu beachten und sehr unangenehm ist folgender Umstand: Um für Fälle wie Diebstahl, Feuer, Erdbeben und Überschwemmungen gerüstet zu sein, werden Backups in der Cloud angeboten und auch gerne genutzt. Was hier jedoch vergessen wird, ist: Das Cloud-Backup ist in vielen Fällen vom Server aus dauernd zugreifbar. Werden nun die Daten bei einem Hackerangriff am Server verschlüsselt, betrifft das auch das Backup in der Cloud. Dies im Schadensfall zu erkennen, ist schmerzhaft. Folglich muss das Backup-Konzept in Summe stimmen. Ausgelagerte Speichermedien sind unersetzlich.

Ein vernünftiges Backup schmälert das Einkommen von dunklen Zeitgenossen. Diese Botschaft ist auch in deren Kreisen angekommen. Daher sind in diesem Jahr erstmalig Fälle aufgetreten, bei denen vor der Verschlüsselung auch Daten entwendet wurden. Zahlt ein geschädigtes Unternehmen die geforderte Lösegeldsumme nicht, weil ja ein gutes Backup vorhanden ist, werden Daten des Unternehmens im Internet veröffentlicht. Damit wird der Druck durch die Erpressung wesentlich erhöht. Backups sind sehr gut, jedoch in diesem Fall nicht das Allheilmittel. Die Lösung muss darin bestehen, Computersysteme zu betreiben, die so gut wie immun gegen Angriffe sind.

Wenn Sie folgende Maßnahmen umsetzen, ist Ihnen ein guter Start gelungen.

• Nutzen Sie Best Practices für Installation und Betrieb von IT (z.B. Guidelines von NIST, NSA oder CIS-Benchmarks).
• Verwenden Sie gehärtete Systeme.
• Testen Sie Systeme vor dem neuen Rollout auf deren IT-Sicherheit.
• Verwenden Sie sichere Passwörter/Passphrasen mit mindestens 12 Zeichen.
• Verwenden Sie, wenn möglich, 2-Faktor-Authentifizierung.
• Verwenden Sie einen aktuellen Anti-Virenschutz.
• Benennen Sie eine Person im Unternehmen, die zuständig für IT-Sicherheit ist und statten Sie die Person mit notwendigen personellen und finanziellen Mitteln aus.
• Kennen Sie Ihre Kronjuwelen und sichern Sie diese dementsprechend.
• Schränken Sie Administrationsrechte auf ein notwendiges Maß ein.
• Spielen Sie Sicherheitsupdates für Betriebssysteme und alle(!) installierten Anwendungen innerhalb von 48 Stunden nach dem Erscheinen ein.
• Verwenden Sie Whitelisting von Software.
• Segmentieren Sie Ihr Netzwerk.
• Überwachen Sie Systeme und Netzwerk.
• Implementieren Sie Egress-Filter auf der Firewall.
• Kontrollieren Sie, wohin Ihre Computersysteme sich verbinden (z.B. anhand der IP-Adressen in Firewall-Logs oder Domainnamen vom DNS-Server).
• Schließen Sie alle Sicherheitslücken.
• Testen Sie Ihre Systeme mit Penetrationstests auf offene Sicherheitslücken.

 Sollte Ihnen das eine oder andere nicht geläufig sein oder benötigen Sie Hilfe, fragen Sie bitte beim Betreiber des Blogs nach. Dieser hilft Ihnen gerne bei der Umsetzung der Maßnahmen.

Besonderes Augenmerk muss noch auf die Passwortlänge gelegt werden. Die Rechenleistung moderner Grafikkarten hat derart zugelegt, dass die Acht-Zeichen-langen Passwörter ausgedient haben. Passwörter müssen von Betriebssystemen auf der Festplatte gespeichert werden. Unglücklicherweise hat der Hersteller Microsoft damals bei der Entwicklung von Windows kein besonders sicheres Verfahren ausgewählt, um die Passwörter auch wirklich sicher zu speichern. Bereits beim Design entstanden zwei gravierende Mängel. Verwendet man also kurze Passwörter für die Windows-Anmeldung und die Datei mit den gespeicherten Passwörtern gerät in falsche Hände, ist die Sicherheit nicht mehr gewährleistest. Jedes Acht-Zeichen-Passwort kann in unter fünf Stunden geknackt werden.

Gut ausgestattete Systeme, um Passwörter zu knacken, sind mit mindestens vier High-End-Grafikkarten ausgestattet. Sie können bei den günstigsten Cloud-Anbietern bereits für zwei(!) Euro pro Stunde gemietet werden. Derzeit würde es mit so einem System etwa 50.000 Jahre dauern, ein sicheres Passwort bestehend aus mindestens 12 Zeichen zu knacken.

Ja, das stimmt. Gibt es keine Sicherheitslücken, wird es schwer, von außen auf die Daten zuzugreifen oder sie zu ändern oder zu zerstören. Es ist unerlässlich, dass IT-Sicherheitslücken im Unternehmen bekannt werden. Denn nur so kann die Firmenleitung etwas tun, nämlich diese Lücken schließen.

Ja freilich, dies passiert bei einem Sicherheitsaudit oder einem sogenannten Penetrationstest im Auftrag des Unternehmens. itEXPERsT bietet seinen Kunden diesen Service seit 15 Jahren an. Der Auftraggeber erhält einen Bericht, in dem die Lücken aufgelistet sind. Weiter werden Maßnahmen empfohlen, wie die Lücken zu schließen sind.