Sicherheitsvorfälle: „unnötig“ bis „skurril“

Ob ungepatchte Alt-Server oder offene Industriesteuerungen: Die Krux mit Sicherheitsvorfällen ist, dass man zu spät sieht, was übersehen wurde. Dagegen versprechen standardisierte Sicherheitssysteme jedem Security-Verantwortlichen einen ruhigen Schlaf. [...]

Zieht man ein Resümee der interessantesten, unnötigsten und teuersten Sicherheitsvorfälle der jüngeren Vergangenheit, möchte man nicht glauben, wie leicht es Angreifern oft gemacht wird. Sogar trotz umfassender Security-Richtlinien kommt es vor, dass jugendliche Neo-Hacker mühelos Eingang in die Systeme finden – weil Vorgaben nur so viel wert sind, wie sie auch kompromisslos angewendet werden. So waren in drei Fällen von Cyber-Attacken, aus dem Umfeld strafrechtlicher Ermittlungen, die Täter jeweils 14 bis 15 Jahre jung. Einer davon hatte mehr als 200 Webseiten geknackt. Der Fehler in den Systemen war mehrfach derselbe: eine inkorrekte Konfiguration des Nutzer-Logins, die zu einfache Passwörter erlaubte. Der Täter brauchte nur die logischen Standard-Passwörter durchzuprobieren.  

Kurzer Prozess
Einer der wohl unnötigsten Vorfälle der jüngsten IT-Geschichte war jener, bei dem die betroffene IT-Abteilung eine wahre Meisterleistung darin vollbrachte, nicht ganz zentrale Prozesse entweder ungenau oder gar nicht zu definieren. So meinte man eines Tages, dass der einfachste Weg, einen Server außer Betrieb zu nehmen, der sei, dieses Gerät aus dem DNS zu entfernen, aber still im Netzwerk zu belassen und nicht mehr zu warten. Über Monate hinweg addierten sich die nicht gepatchten Lücken, sodass im Laufe der Zeit rund vier Mio. Datensätze von Hackern unbemerkt abgesaugt werden konnten. Der Vorfall wurde erst erkannt, als die Daten in diversen Foren verkauft wurden. Die Aufarbeitung des Vorfalls verschlang einen gut sechsstelligen Betrag und wäre völlig vermeidbar gewesen – ein verbindlicher Prozess zur Außerbetriebnahme von Produktionsservern hätte gereicht.

Doppelt teuer
Mit der teuerste Sicherheitsvorfall ereignete sich 2009 bei Heartland Systems, als über hundert Millionen Kreditkartendatensätze ausspioniert wurden. Die Aufräumkosten betrugen rund zehn Millionen Pfund, wobei der Verfall des Aktienkurses – 70 Prozent in einer Woche – noch nicht berücksichtigt ist.
SCADA-Systeme zur Steuerung industrieller Infrastruktur rücken verstärkt in das Visier von Hackern aus dem staatsnahen Umfeld. Während aber das Virus Stuxnet über nicht-gesperrte USB-Ports eingeschleust wurde und »nur« Zentrifugen der iranischen Urananreicherungsanlagen lahmlegte, gab es in den USA 2014 bereits die erste spektakuläre Tanklagerexplosion, die auf Eindringlinge via Internet zurückgeführt wurde.
Europa ist da vergleichsweise bescheiden. Das einzige bisherige Highlight aus Hacker-Sicht war ein Staudamm, dessen SCADA-Interface so schlecht abgesichert war, dass es von jedem, der die IP-Adresse in einem kleinen öffentlichen DHCP-Bereich „erraten“ würde, hätte bedient werden können – inklusive Öffnung der Dammschleusen. Gemeldet wurde die Lücke von einem US-Studenten, der beim Surfen zufällig auf das offene Interface gestoßen war und die Fatalität der „Benutzerfreundlichkeit“ erkannte. Die Administratoren hatten schlicht eine falsche Initialkonfiguration angelegt und sind nie auditiert worden. Dass weiter nichts passiert ist, war vor allem Glück. Aber genau darauf sollte es nicht ankommen!

Sicherheit mit System

Insgesamt lässt sich beobachten, dass Sicherheitsvorfälle an Schärfe und Schwere verlieren, wenn Organisationen ein strukturiertes Sicherheitssystem mit inhärenten Kontroll- und Verbesserungsschleifen implementiert haben. Die Einführung standardisierter und somit zertifizierbarer Security-Systeme mit integriertem Risk Management und verbindlichen Policies kann als wirksamer Beitrag dazu gewertet werden, dass der gesunde Schlaf eines jeden CISO nachhaltig gewährleistet wird.

*Michael Krausz ist international als Information Security Consultant im Einsatz. Darüber hinaus fungiert er bei der Zertifizierungsorganisation CIS als Auditor für Informationssicherheit nach ISO 27001.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*