IT-Sicherheit

Verhängnisvolle Verbindungen

24.07.2014 von Ina Karabasz
Unternehmen müssen sich gegen eine zunehmende Zahl von Angreifern aus dem Cyberspace wehren, die sich häufig zusammenschließen. Rache, kriminelle Gewinnmaximierung, Eitelkeit – die Motive unterscheiden sich stark.
Mit der fortschreitenden Vernetzung von firmeninternen Prozessen bieten Unternehmen deutlich mehr Angriffsfläche für Cyber-Attacken.
Foto: frenta - Fotolia.com

Es ist fast so, als wollte man mit bloßen Händen alle Löcher eines Siebs verschließen. Etwas kommt immer durch. Derart verhält es sich auch mit der IT-Sicherheit in Unternehmen. Zwar haben viele Firmen mittlerweile verstanden, wie wichtig der Schutz der eigenen Infrastruktur ist - nur die Umsetzung wird immer schwieriger.

Mit der fortschreitenden Vernetzung von firmeninternen Prozessen bieten Unternehmen deutlich mehr Angriffsfläche für Attacken. Reichte es früher aus, Designideen oder Produktionspläne in einem abgeschlossenen Raum aufzubewahren, können Mitarbeiter heute oft über ihr Mobilgerät darauf zugreifen - auch so steigt die Gefahr, dass Angreifer an strategisches Wissen gelangen.

Die 8 schlimmsten Hackerangriffe
Security-Experten Faronics erklärt die größten Hackerskandale der vergangenen zehn Jahre. Die unmitttelbaren Schäden gingen dabei in Millionenhöhe.
134 Millionen Kundendaten ...
... stahlen Cyberkriminelle 2009 mithilfe einer Spionagesoftware. Sie lasen die Kreditkartendaten von 134 Millionen Kunden des amerikanischen Unternehmens Heartland Payment Systems.
860.000 Benutzernamen und E-Mail Adressen ...
... haben Hacker während eines Angriffs auf die US-Sicherheitsberater von Stratfor gestohlen und die Kundendaten anschließend im Netz veröffentlicht. Ein Link enthielt 75.000 Namen, E-Mail-Adressen, Kreditkartennummern sowie Passwörter von Stratfor-Kunden. Zusätzliche 860.000 Daten waren Benutzernamen und E-Mail-Adressen von registrierten Nutzern auf der Stratfor-Website.

Während die Zahl der Schwachstellen wächst, nimmt gleichzeitig die Zahl jener zu, die versuchen sie auszunutzen. "Die Liste der Angreifer aus dem Cyberspace wird länger", sagt Steve Durbin, Geschäftsführer des Information Security Forums (ISF). "Sie reicht von Amateurhackern, über organisierte Kriminelle und Hacktivisten, die auf ein Thema aufmerksam machen wollen, bis hin zu staatlichen Akteuren die von Ländern mit großen Budgets finanziert werden."

Das ISF ist eine unabhängige internationale Organisation, die sich der Lösung von IT-Sicherheitsproblemen verschrieben hat. Zu den Mitgliedern zählen zahlreiche Großkonzerne, wie IBM und Procter&Gamble.

Abhängig von Motivation oder Hintergrund unterscheiden sich auch die Vorgehensweisen der Angreifer. Einige wollen einfach nur Schaden anrichten, andere zielen auf Aufmerksamkeit oder wollen schlicht beweisen, dass Sicherheitsschranken überwindbar sind. Dann wiederum geht es darum, gestohlene Daten zu Geld zu machen, Ideen zu klauen oder Personen und Firmen zu überwachen. Auf alle Varianten müssen Unternehmen vorbereitet sein.

Erschwert wird dies aber dadurch, dass Angreifer begonnen haben zu kooperieren. "Wenn einer eine Schwachstelle gefunden hat, wird sie auch schnell von anderen genutzt", sagt David DeWalt, Chef des amerikanischen IT-Sicherheitsdienstleisters FireEye. Dies geschehe teilweise binnen Stunden und sei ein neues Phänomen. Früher hätten Hacker Schwachstellen für sich behalten, damit andere nicht dieselbe Lücke ausnutzen und bei den potenziellen Einnahmen durch den Verkauf gestohlener Daten mitprofitieren.

Inzwischen aber werde mit Informationen über Schwachstellen selbst Handel getrieben, erklärt DeWalt. "Angreifer planen schnellere, raffinierte Attacken als vorher. Sie infiltrieren gezielt und kurz ein spezielles Netzwerk und verwischen dann ihre Spuren." Solange die Schwachstelle unbemerkt bleibt, lässt sie sich in Internetforen gut verkaufen.

Besonders häufig im Visier der Angreifer steht traditionell das Bankgewerbe, da hier eine große Zahl von finanziellen Transaktionen abgewickelt wird. DeWalt und sein Team beobachten auch einen Trend in Richtung der Kapitalmärkte - zum Handel mit Insiderinformationen. Dazu verschaffen sich Cyberkriminelle Zugang zum Unternehmen und verfolgen dann live etwa E-Mail-Konversationen des Vorstands. Auch Telefongespräche können belauscht werden. Diese Informationen verkaufen sie an Aktienhändler oder sie kaufen selbst Aktien.

Hacken mit Mittagspause und geregelter Arbeitszeit

Aus anderen Motiven sind Pharmakonzerne und andere produzierende Unternehmen Ziel von Angriffen. Dort geht es meist um Industriespionage. Generell sind jedoch all jene Firmen interessant für Hacker, die Daten ihrer Kunden speichern. Denn diese können im Internet weiterverkauft werden.

Einzeltäter, die von ihrem Versteck aus in der Nacht in Firmen eindringen - das Klischeebild vom Hacker verkehrt sich in der Realität ins Gegenteil. IT-Sicherheitsexperten berichten, dass sie den Ursprung zahlreicher Angriffe schon zu einzelnen Gebäude zurückverfolgen konnten. Dort wurde dann zu arbeitnehmerfreundlichen Zeiten zwischen neun und 17 Uhr versucht, in fremde Netze einzudringen.

Schutz ist möglich
Unternehmen können ihre Industrie-Anlagen durchaus schützen. Falls möglichen, sollten sie die Systeme vom Internet trennen, rät Wilhoit. Pflicht sei der Einsatz einer Firewall. Zudem sollten innerhalb der Industrie-Anlage strenge Sicherheitsmaßnahmen eingeführt werden.
Fazit: Angriffe kaum zu vermeiden
Das Fazit von Trend-Micro-Forscher Kyle Wilhoit ist alarmierend: Es sei eine "überraschende Anzahl" von Angriffen zu beobachten gewesen. "Alles was mit dem Internet verbunden ist, wird wahrscheinlich angegriffen", bilanziert er daher nach dem Experiment.
Genaue Motive unbekannt
Wo die Rechner der Angreifer vermutlich standen, konnten die Forscher zwar nachvollziehen, über deren Motive wissen sie dagegen wenig. Ihr Eindruck: Einige Attacken hatten das Ziel, Informationen zu sammeln, andere wollten die Anlage tatsächlich lahmlegen.
Angreifer aus aller Welt
Die Angriffe gingen von 14 verschiedenen Ländern aus. Gut ein Drittel der Attacken (35 Prozent) war auf China zurückzuführen, ein Fünftel (19 Prozent) auf die USA, immerhin 12 Prozent auf den südostasiatischen Staat Laos.
Erster gezielter Angriff nach 18 Stunden
Eine Attacke stellten die Forscher bereits nach 18 Stunden fest. Im Testzeitraum von 28 Tagen verzeichneten sie insgesamt 39 Angriffe. Einige Angreifer versuchten es offenbar mehrfach und überarbeiteten dabei ihre Strategie.
Optimiert für Suchmaschinen
Damit die Angreifer die Systeme finden konnten, gestalteten die Forscher sie außerdem so, dass Google sie finden konnte, aber auch die Suchmaschine Shodan, die mit dem Internet verbundene Geräte aufspürt.
Schwachstellen als Einfallstor
Die Systeme enthielten typische Schwachstellen – damit sei die Testumgebung nah an der Realität gewesen, betonen die Forscher: Denn viele Industrie-Anlagen, die mit dem Internet verbunden sind, sind nicht ausreichend geschützt.
Zwei Honigtöpfe als Köder
Die Sicherheitsexperten stellten zwei sogenannte Honeypots auf. Dabei handelt es sich um Computersysteme, die Angreifer anlocken sollen – so wie Honigtöpfe, die eine große Anziehung auf Bären ausüben. Die Testumgebung war einer Pumpstation samt Steuerung und technischer Dokumentation nachgebildet. Eine Pumpe gab es allerdings nicht.
Erfahrungen sammeln
Bislang ist wenig über Attacken auf industrielle Steuerungssysteme bekannt. Um mehr darüber zu lernen, hat das IT-Sicherheitsunternehmen Trend Micro ein Experiment gemacht, über das es in einem Forschungspapier ausführlich berichtet.

Zur Mittagszeit ließ die Zahl der Attacken merklich nach - man gönnte sich offenbar wie in jedem anderen Betrieb eine Pause. Einige dieser Hackerbüros sollen sich auf bestimmte Angriffsweisen spezialisiert haben, die sie als Dienstleistung anbieten.

Passgenau auf die Art der Attacke abgestimmt sind zunehmend auch Hacker-Werkzeuge und Schadsoftware. Diese lassen sich auf eigenen Marktplätzen erwerben. Die Vorgehensweise der Cyberkriminellen hängt eng mit ihrer Motivation zusammen. So nutzen Spione - seien es staatliche oder von Konkurrenten beauftragte - häufig Social Engineering. Dabei suchen sie gezielt nach einer Person im Unternehmen, die entweder über die gesuchten Informationen verfügt, oder dank umfangreicher Rechte an sie gelangen könnte. Über Tricks wird sie dazu verleitet, einen Link zu klicken, der Schadsoftware enthält und so das Netzwerk des Opfers infiltriert.

Geht es dagegen darum, generell das Netzwerk von Unternehmen zu infizieren, verteilen einige Kriminelle USB-Sticks auf Messen oder verschicken CDs, auf denen hinter der vermeintlichen Produktinformation Schadprogramme versteckt sind. Oder es werden schlicht Internetseiten infiziert, auf denen spezielle Berufsgruppen häufiger Informationen suchen. Diese Art des Angriffs nennt sich "Attacke am Wasserloch" - selbst Entwickler des US-Konzerns Apple gingen schon in die Falle.

Angesichts der Vielzahl von Angreifern und Methoden sei es für Unternehmen immer wichtiger, Abwehrmechanismen zu entwickeln, sagt ISF Geschäftsführer Durbin. Fundamental sei eine Basis-Sicherheits-Hygiene: Firewalls auf den Geräten, regelmäßige Updates der Software und kontinuierliche Aufmerksamkeit der Mitarbeiter. Es müsse auch einen Plan dafür geben, wie sich der Betrieb von einem unerwarteten Angriff rasch erholen könne und wie die nötige Spurensuche ablaufe. "Damit Firmen ähnliche Angriffe in Zukunft vermeiden können", so Durbin.

Damit ein solcher Plan funktioniert, sei es nötig, ihn regelmäßig durchzuspielen. Denn: "Die Unternehmen müssen begreifen, dass es keine hundertprozentige Sicherheit gibt."

(Quelle: Handelsblatt)