Ob ungepatchte Alt-Server oder offene Industriesteuerungen: Die Krux mit Sicherheitsvorfällen ist, dass man zu spät sieht, was übersehen wurde. Dagegen versprechen standardisierte Sicherheitssysteme jedem Security-Verantwortlichen einen ruhigen Schlaf. [...]
Zieht man ein Resümee der interessantesten, unnötigsten und teuersten Sicherheitsvorfälle der jüngeren Vergangenheit, möchte man nicht glauben, wie leicht es Angreifern oft gemacht wird. Sogar trotz umfassender Security-Richtlinien kommt es vor, dass jugendliche Neo-Hacker mühelos Eingang in die Systeme finden – weil Vorgaben nur so viel wert sind, wie sie auch kompromisslos angewendet werden. So waren in drei Fällen von Cyber-Attacken, aus dem Umfeld strafrechtlicher Ermittlungen, die Täter jeweils 14 bis 15 Jahre jung. Einer davon hatte mehr als 200 Webseiten geknackt. Der Fehler in den Systemen war mehrfach derselbe: eine inkorrekte Konfiguration des Nutzer-Logins, die zu einfache Passwörter erlaubte. Der Täter brauchte nur die logischen Standard-Passwörter durchzuprobieren.
Kurzer Prozess
Einer der wohl unnötigsten Vorfälle der jüngsten IT-Geschichte war jener, bei dem die betroffene IT-Abteilung eine wahre Meisterleistung darin vollbrachte, nicht ganz zentrale Prozesse entweder ungenau oder gar nicht zu definieren. So meinte man eines Tages, dass der einfachste Weg, einen Server außer Betrieb zu nehmen, der sei, dieses Gerät aus dem DNS zu entfernen, aber still im Netzwerk zu belassen und nicht mehr zu warten. Über Monate hinweg addierten sich die nicht gepatchten Lücken, sodass im Laufe der Zeit rund vier Mio. Datensätze von Hackern unbemerkt abgesaugt werden konnten. Der Vorfall wurde erst erkannt, als die Daten in diversen Foren verkauft wurden. Die Aufarbeitung des Vorfalls verschlang einen gut sechsstelligen Betrag und wäre völlig vermeidbar gewesen – ein verbindlicher Prozess zur Außerbetriebnahme von Produktionsservern hätte gereicht.
Doppelt teuer
Mit der teuerste Sicherheitsvorfall ereignete sich 2009 bei Heartland Systems, als über hundert Millionen Kreditkartendatensätze ausspioniert wurden. Die Aufräumkosten betrugen rund zehn Millionen Pfund, wobei der Verfall des Aktienkurses – 70 Prozent in einer Woche – noch nicht berücksichtigt ist.
SCADA-Systeme zur Steuerung industrieller Infrastruktur rücken verstärkt in das Visier von Hackern aus dem staatsnahen Umfeld. Während aber das Virus Stuxnet über nicht-gesperrte USB-Ports eingeschleust wurde und »nur« Zentrifugen der iranischen Urananreicherungsanlagen lahmlegte, gab es in den USA 2014 bereits die erste spektakuläre Tanklagerexplosion, die auf Eindringlinge via Internet zurückgeführt wurde.
Europa ist da vergleichsweise bescheiden. Das einzige bisherige Highlight aus Hacker-Sicht war ein Staudamm, dessen SCADA-Interface so schlecht abgesichert war, dass es von jedem, der die IP-Adresse in einem kleinen öffentlichen DHCP-Bereich „erraten“ würde, hätte bedient werden können – inklusive Öffnung der Dammschleusen. Gemeldet wurde die Lücke von einem US-Studenten, der beim Surfen zufällig auf das offene Interface gestoßen war und die Fatalität der „Benutzerfreundlichkeit“ erkannte. Die Administratoren hatten schlicht eine falsche Initialkonfiguration angelegt und sind nie auditiert worden. Dass weiter nichts passiert ist, war vor allem Glück. Aber genau darauf sollte es nicht ankommen!
Sicherheit mit System
Insgesamt lässt sich beobachten, dass Sicherheitsvorfälle an Schärfe und Schwere verlieren, wenn Organisationen ein strukturiertes Sicherheitssystem mit inhärenten Kontroll- und Verbesserungsschleifen implementiert haben. Die Einführung standardisierter und somit zertifizierbarer Security-Systeme mit integriertem Risk Management und verbindlichen Policies kann als wirksamer Beitrag dazu gewertet werden, dass der gesunde Schlaf eines jeden CISO nachhaltig gewährleistet wird.
*Michael Krausz ist international als Information Security Consultant im Einsatz. Darüber hinaus fungiert er bei der Zertifizierungsorganisation CIS als Auditor für Informationssicherheit nach ISO 27001.
Be the first to comment