Die Krux bei einem Sicherheitsvorfall ist, dass man zu spät sieht, was übersehen wurde: ob ungepatchte Alt-Server oder offene Industriesteuerungen. Dagegen versprechen standardisierte Sicherheitssysteme jedem CISO einen ruhigen Schlaf.
Zieht man ein Resümee über die interessantesten, unnötigsten und teuersten Sicherheitsvorfälle der jüngeren Vergangenheit, möchte man nicht glauben, wie leicht es Angreifern oft gemacht wird. Sogar in Organisationen mit umfassenden Security-Richtlinien kommt es vor, dass jugendliche Neo-Hacker mühelos Eingang in die Systeme finden – weil Vorgaben nur so viel wert sind, wie sie auch kompromisslos angewendet werden. So waren in drei Fällen von Cyber-Attacken, aus dem Umfeld strafrechtlicher Ermittlungen, die Täter jeweils 14 bis 15 Jahre jung. Einer davon hatte mehr als 200 Webseiten geknackt. Der Fehler in den Systemen war mehrfach derselbe: eine inkorrekte Konfiguration des Nutzer-Logins, welche zu einfache Passwörter erlaubte. Der Täter brauchte nur die logischen Standard-Passwörter durchzuprobieren.
Kurzer Prozess
Einer der wohl unnötigsten Vorfälle der jüngsten IT-Geschichte war jener, bei dem die betroffene IT-Abteilung nicht ganz zentrale Prozesse entweder zu ungenau oder gar nicht definiert hatte. So meinte jemand eines Tages, dass der einfachste Weg einen Server außer Betrieb zu nehmen der sei, dieses Gerät aus dem DNS zu entfernen, aber still im Netzwerk zu belassen und nicht mehr zu warten. Über mehrere Monate hinweg addierten sich die nicht gepatchten Lücken, so dass im Laufe der Zeit rund vier Millionen Datensätze von Hackern unbemerkt abgesaugt werden konnten. Der Vorfall wurde erst erkannt, als die Daten in diversen Foren verkauft wurden. Die Aufarbeitung verschlang einen gut sechsstelligen Betrag und wäre völlig vermeidbar gewesen – ein verbindlicher Prozess zur Außerbetriebnahme von Produktionsservern hätte gereicht.
Doppelt teuer
Mit der teuerste Sicherheitsvorfall ereignete sich 2009 bei Heartland Systems, als über 100 Millionen Kreditkarten-Datensätze ausspioniert wurden. Die Aufräumkosten betrugen rund zehn Millionen Pfund, wobei der Verfall des Aktienkurses – 70 Prozent in einer Woche – noch gar nicht berücksichtigt wurde.
Das Rätsel am Staudamm
SCADA-Systeme zur Steuerung industrieller Infrastruktur rücken verstärkt in das Visier von Hackern aus dem staatsnahen Umfeld. Während aber das Virus Stuxnet über nicht-gesperrte USB-Ports eingeschleust wurde und „nur“ Zentrifugen der iranischen Uran-Anreicherungsanlagen lahmlegten, gab es in den USA 2014 bereits die erste spektakuläre Tanklager-Explosion, die auf Eindringlinge via Internet zurückgeführt wurde. In Europa sind wir da vergleichsweise bescheiden. Das einzige bisherige „Highlight“ war ein Staudamm, dessen SCADA-Interface so schlecht abgesichert war, dass es von jedem, der die IP-Adresse in einem sehr kleinen öffentlichen DHCP-Bereich „erraten“ würde, hätte bedient werden können. Inklusive Öffnung der Dammschleusen. Gemeldet wurde die Lücke von einem US-Studenten, der beim Surfen zufällig auf das offene Interface gestoßen war und die Fatalität der „Benutzerfreundlichkeit“ erkannte. Die Web-Server-Administratoren hatten schlicht eine falsche Initialkonfiguration angelegt und sind nie auditiert worden. Dass weiter nichts passiert ist, war vor allem: Glück. Aber genau darauf sollte es eigentlich nicht ankommen!
Sicherheit mit System
Insgesamt lässt sich beobachten, dass Sicherheitsvorfälle an Schärfe und Schwere verlieren, wenn Organisationen ein strukturiertes Informationssicherheits-Managementsystem (ISMS) mit inhärenten Kontroll- und Verbesserungsschleifen implementiert haben. Ein ISMS greift auch dort, wo Security-bezogene Rollen und Verantwortlichkeiten noch unklar definiert sind – und damit im Haus die Ansprechpartner fehlen, wodurch Vorfälle mitunter gar nicht bemerkt oder nicht in den richtigen Kanälen behandelt werden – und daher definiert werden müssen.
Der hilflose Administrator
Apropos definieren: Es begab sich zu jener Zeit, als wieder einmal ein internes Audit anstand, dass dabei in jener Organisation folgender Sachverhalt festgestellt wurde: Ein Administrator hatte, offenbar um Hilfe zu einer kniffligen Fragestellung zu bekommen, eine gesamte Netzwerkkonfiguration inklusive Router, Switches und Firewalls samt darauf konfigurierter Passwörter in ein Online-Forum für Administratoren gestellt. Unangenehm nur, dass nicht nur der Firmenname an mehreren Stellen in der Konfiguration vorkam, sondern auch, dass es aufgefallen ist.
Fazit
Ein ISMS hilft, Schulungsbedarf rechtzeitig zu erkennen und macht auch klare Vorgaben, was sein darf und was nicht – sowohl was das Posten von firmeninternen Informationen betrifft als auch wie Konfigurationen auszusehen haben und welche Mindestanforderungen zu erfüllen sind. Die Einführung standardisierter und somit zertifizierbarer Security-Systeme mit integriertem Riskmanagement und verbindlichen Policies kann als wirksamer Beitrag dazu gewertet werden, dass der gesunde Schlaf eines jeden CISO (Chief Information Security Officer) nachhaltig gewährleistet wird.
- Sicherheitsvorfälle – von »unnötig« bis »skurril« - 7. April 2015