IT-Sicherheit, Teil 1

Spione mundtot machen

Von Uli Ries

Hacker übertölpeln Firewall und Virenscanner im Handumdrehen. Daher müssen IT-Verantwortliche umdenken. Angriffe abwehren war gestern – heute gilt es, den Abfluss von Daten zu verhindern – denn herein kommen die Cracker wohl in jedem Fall.

Die Kombination aus Virenscanner, Firewall und Intrusion Detection System war die längste Zeit sicher. Wer sich immer noch darauf verlässt, gibt Cyberkriminellen mindestens drei Jahre Vorsprung. Angesichts der sich wandelnden Bedrohungslage sind ernsthafte Attacken damit nicht mehr länger abzuwehren. Moderne Sicherheitskonzepte gehen heute davon aus, dass der Angriff gelingt und der Cracker entweder die Firewall aushebelt oder einen Rechner hinter der Firewall per Trojanischem Pferd unter Kontrolle bekommt. Nun gilt es, den Schaden zu minimieren, indem der Abfluss von sensiblen Daten verhindert wird – das Zauberwort lautet Data Leakage Prevention (DLP).

Alle großen Hersteller von IT-Sicherheitssoftware haben inzwischen DLP-Produkte im Angebot. Sie analysieren den Zustand des Netzwerkes und reagieren auf Anomalien. Dann soll der Datendiebstahl z.B. durch Kappen der Internet-Verbindung vollautomatisch verhindert werden.

Spiel nach gefälschten Regeln

Doch wie stellen es die Angreifer an, die vorhandenen, bewährten Sicherheitsprodukte so einfach zu umgehen? – Moderne IT-Einbrecher setzen auf Lücken im Internet-Browser. Dabei ist es noch nicht einmal nötig, dass sich Internet-Surfer vom Büro aus auf Schmuddelseiten herumtreiben. Auch vollkommen seriöse Adressen und Web-2.0-Seiten wie Facebook oder YouTube dienten in der Vergangenheit immer wieder als Brutstätte von Malware-Infektionen. Die Hacker entdecken regelmäßig Schwachstellen auf diesen oft stark frequentierten Seiten und nutzen sie aus, um Schadcode darauf unterzubringen.

Serie: IT-Sicherheit
Teil 1 beschreibt die heutige IT-Sicherheitslage: Das Web bietet Angreifern bequeme Einfallstore. Teil 2 benennt die Lücken in Firmennetzwerken und zeigt die Tricks von Hackern und Spionen. Teil 3 skizziert die Zukunft der Gefahrenabwehr: System und Sicherheit unter einem Hut.

Insbesondere Web-2.0-Seiten sind für solche Angriffe prädestiniert. Denn um deren Inhalte darzustellen, muss auch der Besucher-PC seinen Teil beitragen. Leisteten im Zeitalter des Web 1.0 die Server durch das Ausliefern der statischen oder dynamischen Internet-Seiten sämtliche Arbeit, erledigen bei Web 2.0 die Clients einen Teil der Aufgaben. Moderne Techniken wie Ajax oder JavaScript sind quasi verteiltes Rechnen für die Dotcom-Ära.

Diese Lastverteilung birgt aber ein großes Sicherheitsrisiko, da ein böswilliger Hacker die auf dem Client ausgeführten Programme in aller Ruhe nach Schwachstellen untersuchen kann. Er muss nicht mehr in einen mehr oder weniger unbekannten Webserver einbrechen, sondern kann die Analyse bequem zu Hause erledigen. Prominentestes Opfer eines solchen Offline-Angriffs war das Online-Rollenspiel „World of Warcraft“, dessen Client-Anwendung nach allen Regeln der Hackerkunst modifiziert wurde.

Cybercrime wird professionell

Die Tage der I-love-you-Viren sind gleich in mehrfacher Hinsicht längst vorbei: Es hat sich herumgesprochen, dass merkwürdige E-Mail-Attachments Gefahren bergen. Daher klickt kaum ein Internet-Nutzer mehr blindlings auf Dateianhänge und infiziert so seinen Rechner (und im zweiten Schritt auch die von Freunden und Bekannten) mit Viren und Trojanischen Pferden. Passiert es doch, schlägt meist der mehrmals pro Tag aktualisierte Virenscanner an. So weit, so gut.

Serie: Unified Threat Management
Teil 1 erläutert die Idee hinter UTM und be­richtet aus der Praxis, was eine solche Lösung bringen kann. Teil 2 stellt sich auf skeptische Seite und klopft das Flaschen­hals­konzept auf mög­liche Schwach­stellen ab. Teil 3 geht den Markt an und schildert das Geschäfts- und Service­modell am Bei­spiel des deutschen Her­stellers Securepoint.

Was jedoch – in diesem Zusammenhang: leider – ebenfalls vorbei ist, sind die Zeiten, in denen ehrgeizige Jungprogrammierer ihresgleichen durch einen massiven Virenausbruch imponieren wollen. Der Wind pfeift mittlerweile aus einer ganz anderen Ecke. Heute steht die organisierte Kriminalität hinter der Entwicklung der Malware – und entsprechend viele und leistungsfähige Schädlingstools kursieren.

Mittlerweile gibt es sogar Softwarepakete, mit denen sich im Handumdrehen Trojaner basteln lassen. Wem das zu aufwändig ist, der bestellt sich seinen Trojaner (den garantiert kein Virenscanner entdeckt) in entsprechenden Internet-Foren – die Programmierer testen vor Auslieferung an den Besteller ausgiebig, ob die gängige Sicherheitssoftware anschlägt.

Dabei müssen illegale Hacker und Online-Kriminelle keine IT-Genies sein, um ihr übles Treiben zum Erfolg zu führen. Oft genug listet eine simple Google-Suche genügend Tools und Handlungsanweisungen auf, mit deren Hilfe sich Firewalls, Virenscanner und Passwortabfragen umgehen oder knacken lassen.

Hacken kann jeder
Das RISK Team von Verizon Business hat über vier Jahre hin­weg 500 Fälle von Hacker­attacken und Daten­dieb­stählen unter­sucht und kommt zu dem er­staun­li­chen Schluss, dass weit mehr als die Hälfte aller An­griffe ledig­lich ge­ringe tech­nische Fertig­keiten voraus­setzten. Den Voll­text des englisch­sprachigen Data Breach Investi­gations Reports 2008 gibt es als PDF zum Download.

Zu diesem Schluss kommt der IT-Forensics-Experte Matthijs van der Wel von Verizon Business aufgrund des aktuellen Data Breach Investigations Report. „Uns erstaunen neue, spektakuläre Hacks zwar auch jedes Mal, und wir bewundern die oftmals hoch komplexen Attacken. Doch in 55 % aller von uns untersuchten Attacken hätten auch absolute Laien oder mäßig gut informierte PC-Nutzer erfolgreich Daten stehlen können. Cross-Site Scripting oder maximal komplizierte DNS-Attacken waren überflüssig“, bestätigt van der Wel im Gespräch mit dem MittelstandsWiki.

Welche Mittel und Wege Kriminelle finden, ihre Späher auf Firmenrechnern zu platzieren, beschreibt Teil 2 dieser Serie. Teil 3 soll schließlich die Strategie skizzieren, wie Systeme mit den Angreifern dennoch fertig werden.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links