IT-Sicherheitskonzepte
Das lehren uns Zombies!
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Wer Spezialist für IT-Sicherheit ist, ist wahrscheinlich auch ein bisschen Nerd. Und wer Nerd ist, steht in der Regel auch auf "The Walking Dead", "Night of the living Dead" und "Dawn of the Dead". Das trifft sich auch relativ gut, denn tatsächlich kann man aus den - auf den ersten Blick möglicherweise etwas unseriös wirkenden - Zombiehatz-Classics seine IT-Sicherheitslehren ziehen.
Denn all die bluttriefenden Unterhaltungskunstwerke um die untoten Unholde haben eines gemein: Die Zombies sind vorhersehbar und haben Appetit. Auf Gehirn. Die Menschen in diesen Splatter-Märchen hingegen sind unberechenbar und deswegen oft gefährlich. Oder auch dumm und anschließend ebenfalls untot. Wir sagen Ihnen, was Sie in Sachen IT-Security vom Zombie-Kult lernen können.
Erwarten Sie das Unerwartete!
Egal ob Tante-Emma-Laden oder Großkonzern - Unternehmen sollten ihr IT-Sicherheitskonzept niemals ausschließlich auf aktuelle Trends ausrichten. Ganz zu schweigen davon, neue Sicherheitstechnologien und -Prozesse einzuführen, die man selbst überhaupt nicht versteht. Denn bei neuen Implementation - egal in welchem Netzwerk - kommt es darauf an, die kritischen Schwachstellen zu kennen. Das Netzwerk kann so gut abgesichert sein wie es will - ein Unternehmen ist nur so stark, wie das schwächste Glied in seiner Kette.
In der fiktiven Welt von "Dawn of the Dead" stellen die Untoten eine ernsthafte Bedrohung für die Menschheit dar. Allerdings werden sie dabei von den Menschen selbst noch übertroffen: Deren unbedingter Wille zu überleben (oder auch die Gier nach Macht) führt in der Regel zur Selbst-Dezimierung.
Sie sollten also stets auf das "Unvorhergesehene" vorbereitet sein und haben beste Überlebenschancen, wenn Sie es schaffen, möglichen Angreifern immer einen Schritt voraus zu sein. Das gilt nicht nur für eine mögliche Untoten-Apokalypse, sondern auch, wenn es um die Instandsetzung und Überprüfung von IT-Infrastrukturen geht: Die Vielzahl der Bedrohungen für ein Unternehmensnetzwerk erfordert ebenfalls prädiktive, analytische Fähigkeiten und Expertise in Sachen Software, Hardware und Storage - vom Passwort- bis hin zum Mitarbeiter-Wechsel.
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Behalten Sie Ihr Umfeld im Blick!
Apropos Mitarbeiter: Wer sich in "The Walking Dead" der Protagonisten-Truppe anschließen will, muss sich sozusagen einem dreifachen Authentifizierungs-Verfahren stellen. Dazu bekommt er (oder sie) drei simple Fragen gestellt:
1. Wie viele ‚Beißer‘ (Zombies) hast Du getötet?
2. Wie viele Menschen hast Du getötet?
3. Warum?
Dieses gesunde Misstrauen, das man Neuankömmlingen entgegen bringt, dient einer Art psychologischem Background-Check. Denn wie wir bereits wissen: Menschen sind für Menschen die größte Bedrohung überhaupt. Aber natürlich dient das Verfahren auch dazu, den Mehrwert den ein Individuum in die Gruppe trägt, einschätzen zu können.
Analog dazu sind Unternehmen die Neueinstellungen vornehmen gut damit beraten, ihren neuen Mitarbeitern ein wenig auf den Zahn zu fühlen. Oft statten Unternehmen relativ neue Mitarbeiter bereits mit umfassenden Zugriffsrechten - auch auf hochsensible Firmendaten - aus. Sind die Neuen nicht entsprechend geschult, sind Phishing-Kampagnen und Co. Tür und Tor geöffnet. Doch nicht nur Hacker von extern, sondern auch sogenannte Innentäter, die möglicherweise über einen Mix aus bösen Absichten und Coding-Fähigkeiten verfügen, haben so leichtes Spiel. Sie sollten sich also auf allen Hierarchieebenen gegen Bedrohungen von innen und außen absichern. Security-Protokolle und Prozesse können dabei helfen, müssen aber von Anfang an mitbedacht werden.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Verlassen Sie sich nicht auf Mauern!
Ein Gesetz der Zombiewelt: Kleinere Grüppchen von Untoten lassen die Überlebenden relativ kalt. Anders sieht es aus, wenn sich ganze Zombiearmeen formieren: Dann können meist selbst Mauern und Zäune von speziell abgesicherten "Safe Zones" dem Druck der Masse nicht mehr standhalten.
Einen ganz ähnlichen Verlauf nahm im Oktober 2016 die DDoS-Attacke auf den britischen DNS-Provider Dyn. Aktuellen Reports und Analysen zufolge war an der Attacke über ein Botnetz auch eine Amateur-Gruppe namens "The New World Hackers" beteiligt. Bei diesem Angriff kamen kompromittierte IoT (Internet of Things)-Devices - beispielsweise Router und Security-Kameras - zum Einsatz.
Ob Business-Netzwerk oder "zombiefreie Zone": Starre Wände eignen sich in der Regel zur Abwehr einzelner, kleiner, schwacher Angriffe. So wie eine Firewall es schafft, vielleicht ein, zwei oder sogar zehn Drive-by Downloads abzufangen. Aber sobald nur einer davon "durchkommt", kann er - wie ein Zombie seinen "Appetit-auf-Hirn"-Virus - seinen Schadcode über die Systeme ausbreiten. Wenn eine DDoS-Attacke von Dyn-Ausmaßen gefahren wird, ist das ungefähr so, als würde ein sechsstelliger Pulk Untoter eine morsche Waldhütte stürmen. Als Auslöser genügt dabei in der einen wie der anderen Welt eine Kleinigkeit: Ein zu lautes Geräusch, beziehungsweise eine geöffnete Phishing-E-Mail. Unternehmen sollten daher auch die trivialsten ihrer Systeme absichern. Schließlich kann schon diese eine, simple E-Mail dafür sorgen, dass die IT-Sicherheit einfach überrannt wird.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Nutzen Sie die Waffen Ihrer Gegner!
Die Protagonisten der Hit-Serie "The Walking Dead" schützen sich gegen externe Bedrohungen nicht nur mit allerlei geplünderten Schlag-, Stich-, und Schusswaffen, sondern auch, indem sie ihr Terrain regelmäßig überwachen und mögliche Spione gefangen nehmen oder feindliche Gruppen auskundschaften, um mehr über deren Pläne zu erfahren und sich so gegen künftige Bedrohungen zu wappnen. Dabei greifen sie beizeiten auch auf eine eher ungewöhnliche Art der Tarnung zurück: Sie beschmieren sich mit Innereien, um in der Zombiemasse untertauchen zu können. Und um nicht bei lebendigem Leib zerfetzt und verspeist zu werden.
Und auch in der Welt der IT-SicherheitIT-Sicherheit sind Tarnmaßnahmen sinnvoll. Etwa in der Form von Honeypots, die inzwischen zu einer echten Instanz beim Schutz vor Cyberangriffen geworden sind. Diese beinhalten keine werthaltigen Daten oder Applikationen, die ein Unternehmen als kritisch einstufen würde. Aber sie enthalten genug Daten, um für Angreifer auf den ersten Blick wie ein attraktives Ziel zu wirken. Gelingt es, einen Angreifer anzulocken, werden dessen Aktionen aufgezeichnet - inklusive eingesetzten Toolkits, Tasteneingaben und Kommunikation. Die so gewonnenen Informationen können Unternehmen dazu nutzen, die Methoden, Tools und Technologien sowie das Skill-Level der Hacker eingehend zu analysieren. Alles zu Security auf CIO.de
Egal ob Start-Up (Zombie-Noob) oder multinationales Großunternehmen (erfahrener Untoten-Schlächter): Die Daten Ihres Unternehmens zu schützen, kann so komplex wirken wie ein mit Zombies überfüllter Irrgarten oder so simpel wie der Einsatz einer rudimentären Nahkampfwaffe. Aber der Teufel steckt dabei immer im Detail.
Dieser Artikel basiert in Teilen auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.