Edward Snowden und die Folgen
Unsere Daten sind nicht sicher! Ernüchterung und Ratlosigkeit machen sich breit. Was können wir tun?
Wenn sich schon der Staat nicht vor Abhöraffären und Datendiebstahl schützen kann, wer dann? Wenn Nachrichten- und Geheimdienste sich trotz massiver Sicherheitsmaßnahmen erfolgreich gegenseitig bespitzeln, wie soll sich dann ein ganz profanes Wirtschaftsunternehmen vor Informati...
Wenn sich schon der Staat nicht vor Abhöraffären und Datendiebstahl schützen kann, wer dann? Wenn Nachrichten- und Geheimdienste sich trotz massiver Sicherheitsmaßnahmen erfolgreich gegenseitig bespitzeln, wie soll sich dann ein ganz profanes Wirtschaftsunternehmen vor Informationsverlusten und Cyber-Attacken bewahren können? Oder der noch weniger Security-vertraute Endverbraucher?
250.000 Identitätsdiebstähle in nur drei Monaten - das ist die erschreckende Realität, die kürzlich das Bundesamt für Sicherheit in der Informationstechnologie (BSI) ans Licht gebracht hat. Ob beim Online-Banking, beim Online-Einkauf oder in sozialen Netzen, die Anwender bieten im vermeintlich abgesicherten Internet freizügig ihre Kreditkarten- und Personendaten feil - und die stets wachsamen Hacker schöpfen freudig aus dem Vollen.
Dabei bleibt laut BSI-Präsident Michael Hange ein Großteil der Angriffe lange unentdeckt - rund die Hälfte der Betroffenen erkennt erst nach knapp einem Jahr, dass eine erfolgreiche Attacke auf ihren Rechner stattgefunden hat.
Unzureichende Maßnahmen
Auch der Staat selbst und seine Wirtschaftsunternehmen werden immer häufiger aus dem Netz attackiert. "Allein im Regierungsnetz", so wird der BSI-Präsident am 7. August 2013 vom Nachrichtenmagazin "Der Spiegel" zitiert, "zählen wir 2 000 bis 3 000 ungezielte und fünf gezielte Angriffe täglich."
Viele dieser Angriffsversuche könne man laut Hange erfolgreich vereiteln, und für die Wirtschaft habe man eine ganze Reihe von Empfehlungen für einen besseren Schutz von Geschäfts- und Kundendaten ausgegeben. Dennoch, der ungebrochene Erfolg von Attacken auf staatliche Dienste und Informationsquellen sowie auf Produktionspläne und Betriebsgeheimnisse in der Privatwirtschaft machen offenkundig, dass die bisherigen Maßnahmen und Ratschläge nicht ausreichend greifen.
Auf der Suche nach den Ursachen wird schnell klar: Eine Kette ist tatsächlich nur so stark wie ihr schwächstes Glied - das gilt nicht nur, sondern vor allem für ein so facettenreiches und feingliedriges Konstrukt wie die IT-Sicherheit.
Instabile Glieder, das beweisen die Endloslisten von Schwachstellen, die Softwarehersteller und Netzbetreiber kontinuierlich zu ihren Produkten veröffentlichen müssen, gibt es in den unternehmensweiten IT-Landschaften viele.
Diese Schwachstellen würden aber, so die Kritik seitens des BSI, nur zu einem Teil beseitigt, etwa ein Drittel bleibe offen. Die so entstehenden Angriffswege, in Fachkreisen "Attack Path" genannt, werden nicht nur von vergleichsweise harmlosen Dieben von Bankdaten genutzt. Sie ebnen auch politisch, weltwirtschaftlich und militärisch inspirierten Spionageaktivitäten aus Nordkorea, Russland, Großbritannien, den USA oder Israel den Weg - bis in die vermeintlich geheimsten Winkel unserer behördlichen Datenbanken und Informationsschatzkammern.
Mehr Schein als Sein
Vor allem Cyber-Attacken aus den USA, so das Ergebnis einer kürzlich veröffentlichten Studie von Ernst & Young Global, werden nach dem NSA-Skandal von deutschen Unternehmen gefürchtet. 90 Prozent der von dem Beratungs- und Prüfungsunternehmen befragten Geschäftsführer und Führungskräfte erwarten, dass für deutsche Organisationen das Risiko von Cyber-Angriffen steigen wird.
Und diese seien, so nehmen die in 400 deutschen Unternehmen befragten Manager aus den Bereichen IT-Sicherheit und Datenschutz an, in erster Linie aus China und den USA zu erwarten. Was also ist zu tun?
Standardsicherheitsmaßnahmen wie Virensuchprogramme, Firewalls, Intrusion-Detection- und Intrusion-Prevention-Systeme, so warnte bereits im Juni dieses Jahres die Gesellschaft für Informatik (GI), wiegen die Unternehmen in falscher Sicherheit.
Zumal ja die Sicherheitslösungen selbst mit nicht immer allgemein bekannten Sicherheitslücken aufwarten, also nicht veröffentlichten Schwachstellen, die nicht nur von "kleinen" Hackern, sondern auch von Drittstaaten und größeren, kriminellen Organisationen genutzt werden können.
Achillesferse Netzwerk
"Sicherheitsprüfungen müssen daher in Echtzeit stattfinden", empfiehlt Ron Gula, CEO des auf Schwachstellenerkennung und Schwachstellenmanagement spezialisierten Unternehmens Tenable Network Security, "Das Tempo, in dem durch Hersteller-Patches, Anwender, das IT-Team und leider auch durch Malware Veränderungen vorgenommen werden, erfordert eine Status- und Schwachstellenerkennung, die so schnell wie nur eben möglich ist. Selbst, wenn die IT-Verantwortlichen die Probleme nicht so schnell beheben können, wie sie gefunden werden, muss die Organisation doch - und zwar so frühzeitig wie möglich - über die größten Risiken für das Unternehmen informiert sein."
Hierfür hat der Security-Anbieter jetzt unter anderem eine Lösung entwickelt, die das Schwachstellenmanagement nach den IT-Grundschutzstandards des BSI vereinfacht. Und in Echtzeit aufzeigt, ob und wo ein Netzwerk eine Achillesferse hat, die von außen als Angriffsweg genutzt werden könnte.
"Und vergessen Sie bei den Realtime-Audits in Ihrer Organisation nicht Ihre Perimeter-Vorrichtungen, Ihre Router, Switches und Firewalls", rät der frühere NSA-Mitarbeiter Gula.
"Edward Snowden hat geäußert, dass die NSA routinemäßig auf diese abgezielt hat, und im Prinzip muss jeder davon ausgehen, dass seine Router und Switches von anderen Nationen ins Visier genommen werden - wenn sie es nicht schon sind. Router und Switches haben Patches, Konfigurationen und Zugriffskontrollen, die genau wie bei jedem Desktop überprüft und testiert werden können. Sollte Ihr Security-Team das noch nicht tun, ist es sehr wahrscheinlich, dass Ihre Netzwerk-Infrastruktur nicht gesichert und nicht ausreichend gehärtet ist."
