Eine Welt ohne Informationstechnik ist nur noch schwer vorstellbar. Sie ist allgegenwärtig und die Voraussetzung unseres modernen Lebens. Ob Staaten, Unternehmen oder Privatpersonen, alle sind vom ordnungsgemäßen Funktionieren der IT abhängig. Dies zu gewährleisten ist die Aufgabe der IT-Sicherheit - ob per Design oder durch die Umsetzung von organisatorischen und technischen Maßnahmen. Insbesondere um letzteres hat sich in den letzten Jahren ein beachtlicher Markt entwickelt, der zunehmend als Wachstumsmotor der gesamten IT-Branche herhalten muss. Die Marketingabteilungen der Security-Anbieter propagieren daher immer wieder neue Produkte, die den “ultimativen” Schutz bieten sollen. Dass es sich hierbei jedoch lediglich um eine schöne Illusion handelt, zeigt schon ein kurzer Blick hinter die Kulissen.
Bedrohungen
Informationstechnik ist ständig einer Vielzahl von Bedrohungen und Gefahren ausgesetzt. IT-Systeme können auf Grund von technischen Defekten oder menschlichem Fehlverhalten ausfallen. Durch Umwelteinflüsse oder im schlimmsten Fall Naturkatastrophen können komplette Rechenzentren zerstört werden. Diese Szenarien, bei der es um die Verfügbarkeit von Informationen und Informationssystemen geht, lassen sich jedoch relativ gut durch geeignete Vorkehrungen und Gegenmaßnahmen verhindern (z.B. redundante Server- und Speichersysteme, gespiegelte Rechenzentren, …). Deutlich schwieriger wird es, wenn Personen oder Personengruppen ein Interesse daran haben, Daten auszuspähen oder zu manipulieren.
Motivation
Die Motivation der Angreifer kann dabei unterschiedlicher nicht sein. Sie reicht von bloßer Neugier, über Vandalismus bis hin zur organisierten Kriminalität und (staatlich geförderter) Wirtschaftsspionage. Lassen sich ungerichtete Attacken noch relativ einfach abwehren, ist man gezielten Angriffen oft schutzlos ausgeliefert. In den meisten Fällen geht es um Informationsdiebstahl zum Zweck der finanziellen Verwertung. Hier hat sich eine Schattenwirtschaft entwickelt, die vom Volumen dem Umsatz der Realwirtschaft in nichts nachsteht. Übertroffen wird dies noch von internationaler Wirtschaftsspionage, die gerne auch unter dem Deckmantel von Landesverteidigung und Terrorabwehr betrieben wird.
Methoden
Das prominenteste Beispiel für das Ausspähen von Daten im großen Stil ist das Spionagesystem „Echelon“, das unter der Federführung der USA betrieben wird. Hierbei werden weltweit mittels Antennen elektromagnetische Wellen „eingefangen“ und zur zentralen Auswertung an eine Reihe von Supercomputern weitergeleitet. Diese sind in der Lage, einzelne Wörter, Sätze oder individuelle Stimmmuster zu erkennen und zu klassifizieren. Neben Telefongesprächen wird so insbesondere der weltweit über Satelliten laufende Internetverkehr überwacht und ausgewertet. Durch die auffälligen Radarkuppeln sind die meisten Antennenstandorte allerdings bekannt, auch wenn durch die geschlossene Form nicht direkt festzustellen ist, wer oder was im jeweiligen Fall abgehört wird.
Es geht natürlich auch nicht ganz so offensichtlich. Mit „Keyloggern“ lässt sich jede Eingabe eines Benutzers an einem Computer mitprotokollieren. Kennwörter, PINs oder auch komplette Texte lassen sich so ohne großen Aufwand vom Angreifer rekonstruieren. Keylogger gibt es in Soft- oder Hardwareausführung, letztere nicht größer als ein USB-Stick. Und wer kontrolliert schon, ob sich zwischen Tastaturstecker und Computer noch etwas befindet? Leicht und unbemerkt können Besucher, Reinigungspersonal oder auch Kollegen entsprechende Geräte anbringen. Die Softwarevariante kommt in Form von Computerviren oder Trojanern und arbeitet grundsätzlich nach dem gleichen Prinzip, allerdings ohne dass der Angreifer physikalischen Zugriff auf den Computer benötigt.
Mit Computerviren und Trojanern wird man fast täglich konfrontiert. Meist durch einen Virenscanner, der den Fund eines Schädlings meldet. Diese Schutzprogramme setzen dabei auf unterschiedliche Techniken. Neben der klassischen Suche nach bekannten Mustern oder Merkmalen versuchen moderne Scanner, durch eine Verhaltensanalyse verdächtige Aktivitäten zu erkennen und zu blockieren. Mit solchen Methoden kann man sich von einem Großteil der bekannten Schadprogramme schützen, sie versagen jedoch meist kläglich bei noch unbekanntem Ungeziefer. Ein Angreifer kann also Antiviren-Software durch die gezielte Entwicklung von Viren oder Trojanern aushebeln, ein System ohne große Gegenwehr infiltrieren und beliebige Software installieren. Neben Keyloggern oder sonstigen Spionagetools kann dies z.B. auch Fernsteuerungssoftware sein, die den Computer in einen Zombie verwandelt, der jeden Befehl des Angreifers ausführt.
War bisher Email der Hauptübertragungsweg von Schadprogrammen, so nutzen Angreifer heute vermehrt dynamische Webseiten zur Kompromittierung von Systemen. Dabei werden scheinbar „normale“ Webseiten so modifiziert, dass sie beim Aufruf unbemerkt auf eine andere Webseite verweisen, um von dort Schadprogramme nachzuladen. Solche „Cross-Site-Scripting“-Angriffe nutzen Schwachstellen im Web-Browser aus und werden nur selten erkannt.
Am einfachsten ist es natürlich, wenn der Angreifer direkten Zugriff auf das lokale Netzwerk hat, da es eine Vielzahl von Möglichkeiten gibt, die übertragenen Daten mitzuschneiden oder zu manipulieren. Dazu werden meist Netzwerkdienste, wie ARP oder DNS missbraucht, um Datenverkehr zum Angreifer umzuleiten. Problematisch ist auch der Einsatz von Funknetzen, denn hier lassen sich selbst aktuelle Verschlüsselungstechniken (z.B. WPA) mit überschaubarem Zeitaufwand aushebeln. Davon betroffen sind nicht nur die verbreiteten WLAN-Netze, sondern auch der inzwischen etablierte Nahbereichsfunk „Bluetooth“.
Doch auch die am meisten verbreitete Funktechnik ist angreifbar. Weltweit basieren fast alle digitalen Mobilfunk-Netze auf dem GSM-Standard, der erhebliche Sicherheitslücken aufweist. Neben einer unzureichenden Verschlüsselung sorgt vor allem eine Designschwäche bei der Kommunikation zwischen Handy und Basisstation dafür, dass sich Gespräche mithören und die Besitzer der Telefone orten lassen. Dies wird primär von Strafverfolgungsbehörden und Nachrichtendiensten ausgenutzt, um Personen zu orten und Bewegungsprofile zu erstellen. Mit entsprechendem Equipment („IMSI-Catcher“) steht diese Möglichkeit jedoch theoretisch jedem offen, wenngleich Besitz und Betrieb illegal sind. Dies wird kriminelle Elemente allerdings kaum davon abhalten, entsprechende Geräte einzusetzen.
Einen gänzlich anderen Ansatz verfolgt das „Social Engineering“. Hierbei nutzt der Angreifer nicht Technologie sondern den Faktor Mensch, um seine Ziele zu erreichen. Das Grundmuster ist dabei fast immer gleich: Nachdem möglichst detaillierte Informationen über das Ziel gesammelt wurden, werden diese genutzt, um durch gezielte Manipulation von Menschen, Zugang zu Gebäuden, Dingen und letztendlich Daten zu erlangen. Die Methoden dieser Disziplin reichen vom Durchwühlen des Mülls („Dumpster Diving“) über fingierte Telefonanrufe, bei der sich der Angreifer z.B. als Mitarbeiter oder Servicetechniker ausgibt, bis hin zum Manipulieren von Personen durch das künstliche Aufbauen von Stresssituationen.
Diese Liste ist nur ein kleiner Auszug aus dem vielseitigen Repertoire der Angreifer. Insbesondere, wenn es um Wirtschaftsspionage geht, bleibt oft nur zu vermuten, in welchem Umfang und mit welchen Mitteln hier tatsächlich vorgegangen wird. Aber alleine die Vielzahl der öffentlich bekannten Angriffswerkzeuge lässt erahnen, dass die Wahrung von IT-Sicherheit keine einfache Angelegenheit ist. Entsprechende Hard- und Software, wie Keylogger, WLAN- und Bluetooth-Cracker oder auch IMSI-Catcher kann theoretisch jedermann einfach und anonym aus dem Internet beziehen. Sofern nicht ohnehin kostenlos verfügbar, bewegen sich die Preise im Bereich von wenigen hundert bis wenigen tausend Euro.
Fazit
Dies alles ist allerdings kein Grund, die Hände in den Schoß zu legen. Es ist wichtig über IT-Sicherheit nachzudenken und geeignete Sicherheitsmaßnahmen zu etablieren. Oft wird jedoch der Fehler gemacht, sich nur auf technische Maßnahmen zu verlassen, die aber nie umfassend sondern nur punktuell wirken können. Eine gewisse Grundausstattung, wie Virenscanner, Content-Filter, Firewalls oder auch Intrusion Prevention Systeme sollte natürlich vorhanden sein, damit wenigstens die ungerichteten Angriffe abgewehrt werden können. Zudem sollte man es Angreifern durch den Einsatz von zusätzlichen Sicherheitsmechanismen, wie Verschlüsselung und starker Authentifizierung, zusätzlich erschweren. Effektiver sind hingegen organisatorische Maßnahmen zur Verbesserung der IT-Sicherheit. Neben einem strukturierten Informationssicherheits- und Notfallmanagement sind dies insbesondere Sensibilisierungs- und Weiterbildungsmaßnahmen, da der Mensch in vielen Fällen das schwächste Glied der Kette ist. Die Wahrung der Verhältnismäßigkeit spielt in jedem Fall eine wichtige Rolle. Der Aufwand zur Implementierung von Sicherheitsvorkehrungen sollte immer in einer angemessenen Relation zu dem möglichen Schaden stehen.
Mit der richtigen Kombination von technischen und organisatorischen Maßnahmen lässt sich in vielen Fällen ein ausgewogenes Schutzniveau erreichen. Hundertprozentige Sicherheit gibt es allerdings nicht.
[Erschienen in Lahn Dill Wirtschaft 01/2010]
