1blu, eines der größten Webhosting-Unternehmen in Deutschland, wurde Opfer einer umfassenden Datenentwendung und eines damit zusammenhängenden Erpressungsversuchs. Christian Polster von RadarServices über die Anatomie eines Angriffs. [...]
Die Angreifer verschafften sich Zugang zu vertraulichen Daten, darunter massenhaft Kundendaten inklusive Zugangsdaten für den Kundenlogin, für E-Mail-Konten, FTP, MySQL, 1blu-Drive sowie persönliche Daten. Sie verlangen die Zahlung einer hohen Geldsumme, anderenfalls drohen sie mit einer Veröffentlichung der erbeuteten Daten. Laut Information von 1blu erfolgte der Zugriff auf das interne System über eine fehlerhafte Serverkonfiguration, die dem Angreifer ein sukzessives Ausspähen der mehrstufigen Systemarchitektur ermöglichte. Zwar werden die Daten zum Großteil verschlüsselt gespeichert, die Verschlüsselung konnte jedoch offensichtlich vom Hacker entschlüsselt werden. Erleichtert wurde der Zugriff dadurch, dass die internen Vorgaben zur Sicherheit von Keys und Passwörtern von einzelnen Mitarbeitern nicht eingehalten wurden. Aus Sicht der Kunden von 1blu ist die Entwendung ihrer Passwort-Daten besonders dramatisch. Vor allem Privatpersonen verwenden oftmals gleiche Passwörter für verschiedene Zugänge, zum Beispiel für Emailkonten, Onlinehändler, Onlinebanking oder ihren PC im Beruf. Für Angreifer ist es ein Leichtes, die erbeuteten Daten automatisiert auf verschiedensten Portalen nach dem Prinzip „trial and error“ auszuprobieren und so die Identität ihrer Opfer anzunehmen.
DIE ENTSCHLÜSSELUNG VON DATEN IM MITTELPUNKT
„Die von 1blu beschriebene Entschlüsselung von Daten kann zwei Ursachen haben: ein mit Schwachstellen behaftetes Verschlüsselungsverfahren oder viel Zeit, die der Angreifer im Unternehmensnetzwerk verbrachte, bevor er entdeckt wurde“, so Christian Polster, Chief Strategy Officer von RadarServices.
Ursache 1: Verschlüsselungsverfahren mit Schwachstellen. Vergleichbar wäre dieser Fall mit dem Diebstahl von 130 Millionen Kunden bei Adobe 2013. Adobe nutzte das Verfahren des Verschlüsselns, nicht des „Hashings“ (= die Verwendung von Algorithmen bei der Verschlüsselung). So verschlüsselte Adobe damals alle Passwörter mit Triple DES (3DES). Hierbei ist es möglich, dass ein Angreifer die Schlüssel errät. Sind alle Passwörter mit dem gleichen Schlüssel verschlüsselt, werden sie leichter sichtbar. Eine wesentliche Erleichterung beim Erraten der Schlüssel geben Kunden dem Angreifer unbewusst, indem sie gleiche Passwortabfolgen verwenden (zum Beispiel 123456 oder namederwebseite123).
Ursache 2: Der Angreifer ist lange unbemerkt im Unternehmensnetzwerk. Millionenfacher Datendiebstahl geschieht nicht über Nacht. Angreifer halten sich monatelang im Netzwerk auf. Sie suchen Wege, um an die oftmals durch mehrere Sicherheitsmechanismen geschützten Daten heranzukommen. Haben sie diese Daten gefunden, entwenden sie sie möglichst unauffällig, das heißt sukzessive in kleinen Mengen über einen langen Zeitraum. Die Sicherheitsmechanismen – vom Virenschutz über die Firewall bis zur Netzwerküberwachungssoftware – schlagen so keinen Alarm. Sie decken alle ihre jeweiligen, ganz speziellen Einsatzgebiete ab und arbeiten nebeneinander, nicht zusammen und nicht als selbstlernende Systeme. Sie werden von professionellen Angreifern schlichtweg überlistet.
WIE SICH UNTERNEHMEN SCHÜTZEN KÖNNEN
„Unternehmen müssen ihren Fokus auf das proaktive Aufspüren von Sicherheitslücken und das zeitnahe Erkennen von Angriffen auf ihre IT statt auf die Abwehr ›fiktiver‹ Gefahren richten. Diese Herangehensweise ist die einzige Möglichkeit, den Schaden für Kunden und das eigene Unternehmen im Angriffsfall zu begrenzen“, so Polster.
Die kontinuierliche Gesamtüberprüfung der IT-Infrastruktur liefert alle notwendigen Informationen. Sie umfasst drei Komponenten: eine kontinuierliche Schwachstellenanalysen von innen und außen, eine laufende Analyse und Korrelation von Logs der einzelnen Systeme und eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Unternehmensgrenzen hinweg.
Jeden Tag entstehen neue Angriffsarten und damit neue Sicherheitslücken oder Schwachstellen in der IT eines Unternehmens. Das kontinuierliche Aufspüren dieser Probleme aus einer internen Sicht (innerhalb des Unternehmensnetzwerkes) und aus einer externen (aus dem Internet) ist Voraussetzung, um zum Beispiel ein fehlendes Hashing und damit eine unsichere Verschlüsselung aufzudecken.
Angreifer versuchen, ihre Bewegungen im Netzwerk so normal wie möglich aussehen zu lassen. Dennoch könnten zum Beispiel Logins von einem Benutzer auf mehreren Systemen von unterschiedlichen IPs zur gleichen Zeit verdächtig sein. Alle Logs von Servern, Netzwerkgeräten, Applikationen und anderen zentralen Einrichtungen müssen daher zentral analysiert und mit den Erkenntnissen aus den Intrusion Detection Systemen korreliert werden. Ein Angreifer muss früher oder später die Daten aus dem Unternehmen zu externen Zielen im Internet übertragen. Dies fällt bei einem umfangreichen Security Monitoring aller Systeme, des Datenverkehrs und der Zugriffe auf sensible Systeme und Dateien auf. Datentransfer von internen zu externen IPs, zu denen keine Geschäftsbeziehung besteht, muss umgehend festgestellt und von Experten analysiert werden. Dies erfordert den Einsatz von Intrusion-Detection-Systemen (IDS) und anderen Werkzeugen sowie die Unterstützung durch Experten, die diese richtig konfigurieren, an aktuelle Gegebenheiten anpassen und deren Erkenntnisse analysieren. Das komplette Set dieser hochspezialisierten Analysen wird ressourcenschonend von Managed-Security-Services-Anbietern erbracht. (pi/wf)
Be the first to comment