halten sich heute nicht mehr am ersten oder zweiten Architekturlayer auf. Sie versuchen, Server, Datenbanken und Speichersysteme direkt zu erreichen – über das interne Firmennetz. Das ist einfacher und geht schneller. Oft zu schnell, wie auch Beispiele aus der Automobilbranche zeigen. Ausgenutzt werden die Neugier und die Hilfsbereitschaft der Mitarbeiter. Nach zielgerichteter Vorbereitung reichen oft wenige Stunden oder gar Minuten, um Aktionen auszuführen, die ein Unternehmen kompromittieren, und ihm unter Umständen erheblichen wirtschaftlichen Schaden zuzufügen. Auch deutsche Autohersteller haben sich schon freiwillig sogenannten Red-Teaming-Angriffen ausgesetzt, also zielgerichteten und professionell geführten Angriffen durch ein spezialisiertes Sicherheitsunternehmen. Um die IT-Security von außen zu überprüfen, sammeln die Experten zunächst über Business-Netzwerke wie Xing und LinkedIn sowie über Facebook und Google eine Vielzahl öffentlich verfügbarer Informationen ein, um sie geschickt zu kombinieren und gegen ihre Auftraggeber einzusetzen. Namen von Mitarbeitern sind darunter, ihre Position im Unternehmen, E-Mail-Adressen und Telefonnummern. Selbst detaillierte Informationen darüber, welche Software im Unternehmen läuft, werden beispielsweise durch die Veröffentlichung von Weiterbildungszertifikaten publik gemacht. In Stellenausschreibungen finden sich nicht selten Beispiele dafür, wie ein Unternehmen bestimmte Begriffe verwendet. Im zweiten Schritt erhalten die Zielpersonen dann täuschend echt imitierte Unternehmens-E-Mails – so lange, bis mit bösartigen Links oder Dokumenten ein Rückkanal ins Firmennetzwerk aufgebaut werden kann. „Cyberkriminelle setzen vermehrt auf Social Engineering: Sie versuchen, sich Zugang zu sensiblen Informationen zu verschaffen, indem sie Mitarbeiter unter Druck setzen oder ihre Hilfsbereitschaft ausnutzen“, bestätigt Dieter Kempf, Bitkom-Präsident und Vorstandsvorsitzender des Vereins „Deutschland sicher im Netz“ (DsiN).
In einigen Fällen soll es sogar möglich gewesen sein, speziell präparierte Netzwerkkomponenten im Unternehmen einzuschleusen, die unbemerkt eine Verbindung zur Außenwelt aufgemacht haben. Über die gefälschte MAC-Adresse eines Netzwerkdruckers zum Beispiel ist das für Profis selbst dann möglich, wenn die Unternehmens-IT die Netzwerkports überwacht. Veraltete Installationen, aber vor allem mangelnde Wartung, spielen den Angreifern in die Hände. Viele Firmen kontrollieren weder die Hardware, die sie besitzen, noch überwachen sie die Software, die im Netzwerk läuft. Tragisch: Die Spuren, die Angreifer verursachen und hinterlassen, werden nicht erkannt oder gehen einfach unter. Tausende von Log-Einträgen pro Minute sind in großen Firmennetzen keine Seltenheit. Da hat kein Admin den Überblick. Gleichzeitig geht der „2011 Data Breach Investigations Report“ von Verizon aber davon aus, dass 96 Prozent aller Attacken vermeidbar wären, würden regelmäßig einfache Log-Kontrollen in Systemen, Netzwerken und Anwendungen durchgeführt. Bei internen Verstößen zum Beispiel kann die zielgerichtete Überwachung von Konfigurationsdaten Gold wert sein. Spezialisierte Tools helfen dabei, das Monitoring zu automatisieren. Die VIA-Plattform von Tripwire beispielsweise beherrscht und vereinheitlicht unterschiedliche Log-Quellen und sortiert über eigene Auswertungsmechanismen die Daten bereits vor.
Grundsätzlich aber ist ein Punkt erreicht, an dem mehr Technik nicht zwangsläufig mehr Sicherheit bringt. Experten drängen deshalb darauf, an den IT-Security-Prozessen zu arbeiten und sie in Einklang mit der Compliance zu bringen. In vielen Ländern haftet das Management persönlich dafür, dass angemessene Risikoüberwachungs- und Früherkennungssysteme im Einsatz sind. Bei OEMs und Zulieferern müssen operative und organisatorische Abwehrmaßnahmen Hand in Hand gehen. Statt immer nur neue Firewallprodukte zu installieren, braucht es eine umfassende Business-Impact-Analyse. Sie zeigt nicht nur, in welchen Systemen wichtige Informationen gespeichert sind, welche Anwendungen hochverfügbar sein müssen oder wo Ausfallzeiten tolerierbar sind, sondern sie legt auch fest, wer im Falle eines Angriffs was zu tun hat, um den laufenden Geschäftsbetrieb aufrechtzuerhalten. Mit diesem Wissen gerüstet, können CIO und Sicherheitsbeauftragter eine effektive Gefahrenabwehr aufbauen, die ihre Wirkung weit über die IT-Abteilung hinaus entfaltet.
Autor: Ralf Bretting