Angriffsvektoren
Wer nur Malware verjagt, jagt zu wenig
Malware ist faszinierend. Die kriminelle Energie ihrer Programmierer führt zu erstaunlich kreativen Produkten mit erstaunlich cleveren Mechanismen, sich vor Antivirenprodukten zu verstecken. Wer sein Unternehmensnetz jedoch nur gegen Malware absichert, der übersieht diverse andere Angriffsvektoren.
Das Mediengetöse rund um die jeweils jüngsten Malwarefunde aus dem Cyber-Untergrund oder aus staatlich finanzierten Angriffen lässt leicht vergessen, dass es noch reichlich weitere Arten gibt, wie Unternehmensnetzwerke zur Beute von Angreifern werden.
Dazu kommt, dass IT-Sicherheitsspezialisten in Unternehmen allerlei Abwehrmechanismen zur Verfügung stehen. Darunter Firewalls. Oder Antivirensoftware. Und Passwort-Manager. Sowie Awareness-Schulungen für Mitarbeiter. Dieser Schutz wird gerne als Rundumschutz gesehen, der kaum Lücken lässt für erfolgreiche Attacken. Was jedoch in den meisten Fällen fehlt sind Pläne für den Fall, dass die ursprünglichen Pläne fehlschlagen. Sie scheitern, weil die Angreifer voll konzentriert sind auf ihre Attacken und aufs Aushebeln der vorhandenen Schutzmechanismen. Irgendeine Lücke findet sich immer. Allzu oft ist die Lücke nicht technisch. Sondern menschlich, so dass auch kein Virenscanner hilft.
So schaffen Passwort-Manager jede Menge Probleme aus der Welt. Sie erzeugen lange, quasi unknackbare Kennwörter. Sie speichern sie sicher und füllen sie ein und machen damit Gedächtnisübungen beim Anwender überflüssig. Was aber passiert, wenn ein nicht konzentrierter Anwender das Passwort per Copy & Paste aus dem Zwischenspeicher nicht in ein Passwortfeld kopiert, sondern in einen Tweet – und auf „Senden“ klickt? Gehört das Kennwort zu einem E-Mail-Konto, stehen diverse Accounts im Feuer. Denn über die „Passwort vergessen“-Funktion übernehmen Angreifer dann auch andere Konten des Opfers. Unternehmen müssen sich auf solche Fehlbedienung vorbereiten. Denn auch hinreichend komplexe Passwörter lösen das Problem „Passwortklau“ nicht ein für alle Mal.
Dies ist nur eine Art, wie sich die von uns verwendete und benötigte Technik gegen uns wenden kann. Das größte Problem dürfte in diesem Zusammenhang sein, dass selbst technisch versierte Zeit-genossen kein Gespür dafür haben, wie wenig das Internet vergisst und wie transparent einmal Veröffentlichtes wird. Es ist also an den Verteidigern in Unternehmen, ihre Schützlinge vor Fehltritten – die letztendlich Informationslecks sind – zu bewahren. Dieser Schutz darf aber nicht einzig darauf beruhen, dass die aufgestellten Pläne in jedem Fall funktionieren und Fehlbedienungen nicht vorkommen. Zu viele Beispiele von erfolgreich angegriffenen Personen, Unternehmen und sogar Regierungen sagen, dass auch der beste Plan irgendwann an der Realität zerbricht. Deshalb ist ein Notfallplan Pflicht.
Der dann aus der Schublade geholt wird, wenn das Datenleck da ist. Und der eben mehr Reaktionen umfasst als: „Erfolgreiche Malware-Infektion sorgt für Datenabfluss“.
Und mit Datenlecks sind nicht nur aus dem eigenen Netzwerk abgeflossene Informationen gemeint. Sondern auch Lecks bei Unternehmen wie Yahoo, das zuerst von 500 Millionen kompromittierten Nutzeraccounts berichten musste. Und später dann eine weitere Milliarde Accounts als abgesaugt vermeldet hat. Yahoo ist damit Träger des zweifelhaften Preises „Größte Datenpanne aller Zeiten“. Wie gehen Sie als IT-Organisation damit um, wenn (private) Logindaten Ihrer Mitarbeiter sonstwo im Internet unter die Räder kommen? Wie stellen Sie sicher, dass aus solchen Riesenhacks keine negativen Konsequenzen für die Sicherheit Ihrer Unternehmensdaten entstehen?
Ein ganz anderes Problem brachten die Angriffe auf das Democratic National Commitee (DNC) der Demokratischen Partei der USA während des US-Präsidentenwahlkampfes im Sommer 2016 zu Tage. Und zwar eines, das nicht nur politischen Organisationen zu denken geben sollte: Kriminelle (wahrscheinlich im staatlichen Auftrag handelnde) Hacker nehmen Einfluss auf Wahlen. Vollkommen egal, welche Daten seinerzeit abgesaugt wurden: Allein die öffentliche Diskussion und der damit verbundene Imageschaden waren ein Problem. Und zwar eines, das quasi über Nacht heraufzog und für das offenbar kein Abschnitt im Notfallplan zu finden war. Deutlich spürbarer war der ebenfalls im Zusammenhang mit der Clinton-Truppe öffentlich gewordene Skandal über den privaten E-Mail-Server, den Hillary Clinton Jahre zuvor während ihrer Zeit als US-Außenministerin betrieben und für offizielle Kommunikation verwendet hat. Auch wenn der direkte Einfluss aufs Wahlergebnis unmöglich abzuschätzen ist, so dürfte es doch das erste Mal in der Geschichte gewesen sein, dass eine unglückliche IT-Administrationsentscheidung Einfluss auf eine bedeutende Wahl nahm.
Natürlich ist das Beispiel der gehackten US-Demokraten eines, in dem Malware und klassische Angriffswege erst einmal eine Rolle spielen. Das dahinterstehende Thema ist aber größer und für Angreifer auch ohne Schadsoftware zu erreichen: Vermeintliche oder echte Nachrichten über Cyberangriffe führen zu öffentlichen Diskussionen, die die jeweils Betroffenen kaum kontrollieren können. Unternehen sollten sich zumindest theoretisch damit auseinandersetzen, ob einer ihrer Mitbewerber in der Lage wäre, eine solche Schmutzkampagne vom Zaun zu brechen? In bester „Fake News“-Tradition, ohne echte Substanz? Die wenigsten werden in kürzester Zeit – also in Stunden oder wenigen Tagen – überhaupt treffsicher vermelden könnten, dass es keine Infektion und keinen Datenabfluss gab. Denn nur wenige Unternehmen haben die Datenflüsse und Anomalien in ihren Netzwerken so gut im Blick, dass sie solche Aussagen guten Gewissens treffen können.
Es ist müßig, über die Gründe für diesen Mangel zu spekulieren. Einfacher ist es, Lösungen aufzuzeigen. Denn die technischen Möglichkeiten, sich solche Einblicke zu verschaffen, sind längst da. Und man muss als Unternehmen noch nicht einmal die technische Kompetenz in den eigenen Reihen haben, die Produkte zu bedienen und deren Alarmmeldungen treffsicher auswerten zu können. Hierfür gibt es diverse Managed Service-Anbieter, die sich um solche (zugegeben anspruchsvollen) Aufgaben kümmern. Ein Vorteil dieser Anbieter: Sie haben zumeist Einblicke in diverse Kundennetze gleichzeitig und können so schneller bestimmte Muster erkennen als Teams, die nur aufs eigene Netz schauen können.
- Wer nur Malware verjagt, jagt zu wenig
- War‘s das Putzteam?
Lesen Sie mehr zum Thema
