Benutzer:Birkenkrahe/HWR-WIINF-BIS-SS13/BIS-SS2013-P01

User Story

Bearbeiten

Ein mittelständiges Unternehmen „Buchholz GmbH“ aus der Holzverarbeitenden Industrie möchte Ihre Ware jetzt direkt vertreiben und dazu Außendienstmitarbeiter einstellen, die mit Hilfe eines Laptops und dem Internet Zugriff auf die Unternehmensdatenbank des Unternehmens haben, um auf die benötigten Kunden- und Warendaten zugreifen zu können. Da die Unternehmensführung keinerlei Erfahrungen mit IT-Sicherheit und Angst vor deren Gefahren haben, wurden wir beauftragt die Mitarbeiter des Unternehmens aufzuklären. Dafür möchten wir den Mitarbeitern erklären:

  • was IT-Sicherheit eigentlich ist,
  • welche Schutzziele sind einzuhalten,
  • welche Auswirkungen die Gefahren auf das Unternehmen haben können,
  • zwei ausgewählte reale Fallbeispiele aufzeigen und deren möglichen Problemlösungen, um die Mitarbeiter zu sensibilisieren:
Angriffe von „Außen“
Social Engineering

Am Ende wird ein Handout ausgegeben, indem die wichtigsten Informationen zum Thema IT-Sicherheit beschrieben sind.

Folgende Akteure werden in diesem Szenario (mit den jeweils von ihnen ausgehenden Gefahren) näher betrachtet:

  • Mitarbeiter im Unternehmen und "Telearbeiter"
  • IT- Systeme
  • Externe Dienstleister
  • Außenstehende
  • Kriminelle
  • Wettbewerber
  • Gäste des Unternehmens

Umgebung/ System

Bearbeiten

Folgende Systeme (welche einen besonderen Schutzbedarf benötigen) werden in diesem Szenario näher betrachtet:

  • Informationssysteme, Telekommunikationssysteme, Anwendungssysteme und Daten des Unternehmen
  • Technische Anlagen von Unternehmen

Aktivitäten

Bearbeiten

Folgende Aktivitäten werden in diesem Szenario näher betrachtet:

  • Szenarien bei fehlender IT-Sicherheit
  • Maßnahmen gegen diverse "Angriffsszenarien"
  • Verhalten im Falle eines "Angriffs" oder einer "Sicherheitsvorfalls"

Projekt-/ Vortragsgliederung

Bearbeiten

IT- Sicherheit (allgemein)

Bearbeiten

(Autor: Marcel)
In diesem Kapitel wird die IT-Sicherheit im Allgemeinen betrachtet. Es werden allgemeine Informationen zur IT-Sicherheit erläutert, IT-Sicherheit zu Informationssicherheit abgegrenzt, dann werden die Schutzziele der IT-Sicherheit beschrieben und als letzes werden mögliche Auswirkungen bei der Nichtbeachtung der IT-Sicherheit aufgezeigt.

Allgemeine Informationen

Bearbeiten

Zunächst werden die Begriffe Informationssicherheit und IT-Sicherheit abgegrenzt. Danach folgt eine detaillierte Beschreibung der IT-Sicherheit.

Abgrenzung Informationssicherheit und IT-Sicherheit

Bearbeiten
Informationssicherheit hat das Ziel Informationen vor Gefahren und Bedrohungen zu schützen und Schäden zu vermeiden, um Risiken zu minimieren. Dabei ist es egal, ob diese Informationen auf Papier, in Köpfen oder in elektronischer Form gespeichert sind.
Die IT-Sicherheit dagegen beschäftigt sich nur mit dem Schutz der Informationen, die elektronisch gespeichert sind.[1]

IT-Sicherheit

Bearbeiten
IT-Sicherheit beschreibt die Sekurität von technischen und logischen Systemen der Informations- und Kommunikationstechnologie. Grundsätzlich soll der Zustand eines IT-Systems und die durch IT verarbeiteten Informationen durch geeignete Schutzmaßnahmen geschützt und ein mögliches Risiko verhindert werden.[2]
IT-Sicherheit hat mehrere Eigenschaften. Die Funktionssicherheit (engl. safety), die Informationssicherheit (engl. security), die Datensicherheit (engl. protection) und der Datenschutz (engl. privacy). Unter Funktionssicherheit versteht man ein System, dass keinen unzulässigen Zustand einnimmt und die Funktionalität nicht beeinflusst ist. Unter Informationssicherheit versteht man, dass das System nur Zustände annimmt, welche verhindern, dass keine ungewollte Verarbeitung oder Gewinnung von Informationen stattfindet. Unter Datensicherheit versteht man die Systemzustände, die verhindern, dass keine Daten durch unautorisierten Zugriff abgegriffen bzw. verloren gehen können. Und unter Datenschutz "versteht man die Fähigkeit einer natürlichen Person, die Weitergabe von Informationen, die sie persönlich betreffen, zu kontrollieren".[3]

Schutzziele

Bearbeiten

Die Schutzziele der IT-Sicherheit beziehen sich auf unterschiedliche Arten von Daten und Zustände, die abgesichert werden müssen. Die Schutzziele der IT-Sicherheit entwickeln sich im Laufe des Informationszeitalters immer weiter. So war am Anfang nur die Vertraulichkeit von Bedeutung, später kam die Integrität und Verfügbarkeit (CIA-Triad) hinzu kamen dann Transparenz und Kontingenz. Im Folgenden sind diese Begriffe näher erklärt.

Vertraulichkeit

Bearbeiten
Unter Vertraulichkeit versteht man, dass nur befugte Personen Zugriff auf eine bestimmte Information haben. Im Umkehrschluss bedeutet dies, dass die Information bzw. die Nachricht, durch geeignete Maßnahmen, vor unberechtigtem Zugriff geschützt werden müssen.[4] Zu den Schutzobjekten der Vertraulichkeit zählen Nachrichteninhalte, Informationen über den Kommunikationsvorgang und Daten über den Sende- und Empfangsvorgang. Diese muss durch einen Zugriffsschutz bzw. über eine Verschlüsselung der Daten realisiert werden.[5]
Siehe dazu auch im Art. 10 GG, § 88 TKG, § 206 StGB, § 5 BDSG, § 9 BDSG, § 203 StGB und § 17 UWG
Unverkettbarkeit/Nicht-Verfolgbarkeit
Bearbeiten
Ein Konzept der Vertraulichkeit, das schon im Jahre 1981 vom Informatiker David Chaum bezeichnet wurde. Damit soll gewährleistet sein, dass verschiedene Informationsabrufe von verschiedenen Orten nicht in Relation zueinander gebracht werden können. Die Nicht-Verfolgbarkeit erweitert die Unverkettbarkeit, indem es zusätzlich die Informationsinhalte keiner eindeutig identifizierbaren Person zulässt.[6]
Unbeobachtbarkeit/Verdecktheit
Bearbeiten
Jeder möchte unbeobachtet Daten senden oder empfangen. So ist zu gewährleisten, dass zu einem die Kommunikationssysteme davor geschützt sind und zum anderen das auch die Räumlichkeiten vor optischen, akustischen, oder auch elektromagnetischen Aufklärung abgeschirmt sind. Die Verdecktheit geht da noch ein Schritt weiter. Hier soll niemand außer den Kommunikationsakteuren wissen, dass ein Informationsaustausch stattfindet.[7]
Anonymität/Pseudonymität
Bearbeiten
Die Anonymität ist eine Folge der Unverkettbarkeit und bezeichnet den Zustand einer Person, die nicht zu identifizieren ist. Das bedeutet die Daten der Informationen können der Person nicht zugeordnet werden. (Siehe dazu auch § 3 Abs. 6 BDSG) Die Pseudonymität hat die gleiche Funktion wie die Anonymität mit dem Unterschied, dass der Bezug zu einer Person nicht gänzlich aufgehoben ist und somit der Personenkreis, der die Zuordnungsregel kennt, die Möglichkeit hat die Personen zur Verantwortung zu ziehen. (Siehe dazu auch § 3 Abs. 2 BDSG)[8]

Integrität

Bearbeiten
Integrität bedeutet, dass der Inhalt einer Nachricht beim Sender und Empfänger vollkommen identisch ist. Auch bei der Integrität gilt die Voraussetzung, dass kein Unbefugter die Nachricht ändern oder manipulieren kann.[9]
Verlässlichkeit
Bearbeiten
Verlässlichkeit zielt zum ersten auf den Soll-Zustand eines Systems ab. Diese Systeme dürfen kein keinen Zustand annehmen, der nicht definiert ist und müssen Gewährleisten, dass sie ihre Funktionen erbringen können. Aber auch Daten und die Datenverarbeitung müssen verlässlich sein und dürfen nicht durch etwas beeinträchtigt werden.[10]
Beherrschbarkeit
Bearbeiten
Die Beherrschbarkeit bezieht sich auf die Anwendbarkeit eines Systems und somit auf den Schutz des Anwenders. Das Computersystem soll kein "Eigenleben" entwickeln und bei falschen Eingaben durch den Anwender diese auffangen können.[11]
Nicht-Vermehrbarkeit
Bearbeiten
Daten und deren Verarbeitung (Prozesse) sollten nicht wiederholbar sein, da sonst die Gefahr gegeben sein könnte diese Prozesse beliebig auszuführen und die Daten zu verfälschen bzw. zu manipulieren.[12]

Verfügbarkeit

Bearbeiten
Die Verfügbarkeit von Daten setzt voraus, dass Ausfallzeiten der Computersysteme vermieden werden. Sie umfasst daher Hardware, Software, Datenspeicherung, Stromversorgung und die Sicherheit vor unberechtigten Zugriffen und vor Sabotage. Die Redundanz ist daher ein wichtiger Aspekt der Verfügbarkeit.[13]

Mögliche Auswirkungen (Konsequenzen)

Bearbeiten

Wenn jemand zu Hause sein privates Netzwerk (LAN oder WLAN) nicht ausreichend sichert, gespeicherte Informationen und Daten, wie Bilder, Textdokumente uvm., oder seine persönlichen Daten preisgibt, ist er meist selbst schuld und der wirtschaftliche Schaden hält sich meist in Grenzen. Doch wenn sich ein Unternehmen nicht ausreichend um die IT-Sicherheit kümmert, können erhebliche Schäden entstehen. Im Folgenden sind mögliche Auswirkungen aufgezählt, die bei einer Nichtbeachtung der IT-Sicherheit auftreten können.

Finanzielle Auswirkungen

Bearbeiten
Alleine in Deutschland wurden die Schäden im Jahr 2011 durch Datenklau, der durch Hacker und Schadprogramme entstanden ist, vom "Symantec Cybercrime Report 2011" auf rund 24 Milliarden Euro beziffert. Das lege unter anderem daran, dass alle DAX-30-Unternehmen auf der Vorstandsebene mit Schadprogrammen infiziert sind, so Gerald Hahn (CEO der Münchner Softshell AG). Die geklauten Daten werden häufig für viel Geld auf einem Schwarzmarkt verkauft.[14]
Die Summe des Schadens wird sich noch weiter erhöhen. Eine weitere Studie der Wirtschaftsprüfungsgesellschaft KPMG aus dem Jahr 2013 zeigt den Ausmaß, den die "IT-Kriminalität" annimmt. Laut der Studie soll jedes vierte Unternehmen in Deutschland Opfer von Cyber-Attacken sein.[15] Der Studienautor Alexander Geschonneck schätzt den entstandenen Schaden auf circa 43 Milliarden Euro, was fast einer Verdopplung zum Jahr 2011 gleicht.[16]
Aber nicht nur der Datenklau kann teuer für das Unternehmen sein, sondern auch Schadprogramme, die die Verfügbarkeit der Daten und Systeme beeinflusst und im schlimmsten Fall verhindert. So können ganze ERP-Systeme ausfallen und somit das effektive Arbeiten der Mitarbeiter unterbinden oder auch ganze Produktionen lahmlegen.[17]

Imageschaden des Unternehmens

Bearbeiten
So klar sich die finanziellen Auswirkungen in Zahlen darstellen lassen, so unklar sind die Schäden, die durch den Verlust des Images entstehen können. Vor den bevorstehenden Imageschaden haben die meisten Unternehmen Angst, da es nur sehr schwer für das Unternehmen ist diesen Schaden zu kalkulieren. Deshalb wird versucht die IT-Sicherheitsvorfälle nicht an die Öffentlichkeit kommen zu lassen und so bleiben sehr viele Vorfälle im Unternehmen.[18]
Klar ist, dass IT-Sicherheitsvorfälle in einer direkte Verbindung zum Verlust des Images eines Unternehmens steht. Ein gutes Beispiel ist de Fall Telekom.
  • Der "Choas Computer Club" (CCC) verschafft sich über eine Sicherheitslücke per Internet Zugang zu Kundenvertragsdaten der Deutschen Telekom AG. Der CCC setzt die Telekom davon in Kenntnis, um der Telekom die Chance zu geben dieses Leck zu stopfen. Die Telekom schließt die Sicherheitslücke jedoch nur halbherzig und so findet der CCC erneut eine Lücke. Nun soll die Lücke auf die "Liste offener Fehler" gesetzt werden, doch der Bundesbeauftragte für Datenschutz verweigert die Annahme und der CCC entschließt sich das Problem zu veröffentlichen. Die Tagesschau berichtet darüber und nun ist das Problem der Öffentlichkeit bekannt. Die Konsequenzen: Die Telekom bestätigte, dass die Sicherheitslücke bestand und 250.000 Kunden betroffen seien. Der Webdienst musste abgeschalten werden und die Kunden mussten alle ihre Passwörter ändern. [19]

Fallbeispiel 1 - Angriffe von "außen"

Bearbeiten

(Autor: Daniel)

In diesem Fallbeispiel sollen exemplarisch einige denkbaren Angriffsszenarien auf die IT Infrastruktur von außen (durch dritte) betrachtet werden. Aufgrund der großen Vielfalt an Möglichkeiten in ein fremdes Netzwerk einzudringen, werden hierbei nur die populärsten und wichtigsten Angriffsszenarien dargestellt. Neben der Vorstellung dieser Szenarien, werden zusätzlich Lösungsvorschläge aufgezeigt, mit denen die Gefahr Opfer eines solchen Angriffes zu werden minimiert bzw. erkannt werden kann.
Bevor ich mit dem eigentlichen Fallbeispiel beginne, möchte ich den Begriff des "Hackers" genauer spezifizieren.

Was ist ein Hacker ?

Bearbeiten

Ein Hacker beschäftigt sich hauptsächlich mit Schwachstellen und Sicherheitsmechanismen in Informations- und Telekommunikationssystemen. Damit sind sowohl Soft- als auch Hardwareprodukte gemeint. Durch die Medien ist der Begriff des Hackers jedoch in den letzten Jahren in negatives Licht gerückt. Die meisten Menschen verbinden mit dem Begriff des Hackers kriminelle Personen mit dem Ziel anderen einen Schaden zuzufügen. Dies trifft jedoch nur auf ein kleinen Teil der Hacker zu. Prinzipiell gibt es 3 "Hackerkulturen", dessen Unterscheidungsmerkmale ich im folgenden kurz darstelle. [20] [21]

  1. White- Hat- Hacker
    Der "Weiss- Hut- Hacker" nutzt sein Wissen um z.B. im Rahmen der gesetzlichen Möglichkeiten Sicherheitslecks vom Programmen oder Firmen aufzudecken.
    Werden Sicherheitslücken gefunden, werden diese meistens nicht veröffentlicht, sondern zuerst dem Hersteller gemeldet, sodass dieser entsprechende Patches entwickeln kann. Viele Firmen bieten sogar Preisgelder für die Meldung von Sicherheitslecks. So hat z.B. Google zu Beginn des Jahre 2013 mit einem Preisgeld von über 3 Millionen Dollar für die Entdeckung von Sicherheitslücken in Chrome- OS geworben (siehe Spiegel Online).
    Auch Penetrationstests, welche oft von externen Sicherheitsdienstleister im Auftrag von Firmen durchgeführt werden, fallen unter diese Kategorie.
  2. Grey- Hat- Hacker
    Der "Grau- Hut- Hacker" steht zwischen dem White- und Black- Hat- Hacker.
    Bei seiner "Arbeit" verstößt dieser unter Umständen gegen gesetzliche Bestimmungen, jedoch mit dem Ziel die Allgemeinheit vor schlimmeren zu Bewahren. Dies zeichnet sich z.B. durch die Aufdeckung von Sicherheitslücken ab, bei welchen den Hersteller keine Einsicht zeigt. In diesem Fall wird der Hersteller z.b. durch die Veröffentlichung dieser Lücken zur Handlung gezwungen. Die Problematik bei diesem Vorgehen liegt darin, dass diese Veröffentlichungen dazu führen, dass andere Hacker (oder sogenannte Skriptkiddies) diese Nutzen um einen Schaden zu verursachen.
  3. Black- Hat- Hacker
    Der "Schwarz- Hut- Hacker" kümmert sich nicht um dass "Allgemeinwohl" sondern richtet in der Regel (gesetzwidrig) Schaden durch z.B. Manipulationen oder Datenklau an.
    Oft sind die "Black- Hats" in Gruppen organisiert, haben ein finanzielles oder wirtschaftliches Interesse und hinterlassen am "Tatort" verweise auf Ihr Agieren um sich gegenüber anderen Gruppen zu profilieren.

Denkbare Angriffsszenarien auf das Firmennetzwerk

Bearbeiten
Portscanning
Bearbeiten
 
Portscan auf einen lokalen Rechner. Trotz aktiver Windows- Firewall ist das Auslesen von Informationen problemlos möglich.
  • Problem:
    Ein Angriff auf ein Firmennetzwerk beginnt oft mit einem Portscan. Damit versucht ein potenzieller Eindringling sich einen Überblick über das Firmennetzwerk und der nach außen zur Verfügung gestellten Dienste zu verschaffen. Entsprechende Tools wie z.B. Nmap liefern dabei anhand von Erkennungsmustern (OS- Fingerprinting) Informationen zu den verwendeten Geräten bzw. Softwareprodukten. Hacker suchen hierbei gezielt nach Software (die Ihre Dienste über geöffnete Ports nach außen zur Verfügung stellen), bei denen Sicherheitslücken bekannt sind um diese Ausnutzen zu können. Rechtlich gesehen handelt es sich bei einem Portscan um keine Straftat, da keine Daten ausgespäht oder Sicherheitsbarrieren überwunden werden.[22]
  • Gefahren:
    Eine direkte Gefahr geht von einem Portscan noch nicht aus. Es handelt sich wie schon beschrieben um eine erste Analyse eines Systems, wo für eventuelle nachfolgende Operationen wertvolle Informationen zum Zielsystem gesammelt werden. Genau aus diesem Grund sollte es verhindert werden, dass potenzielle Angreife hierbei an wertvolle Informationen zu gelangen.
  • Fallbeispiel:
    Ein Schweizer Provider berichtet von der trügerischen Sicherheit, die von einem IDS- System ausgeht. Dieses bietet zwar einen Gewissen "Grundschutz", dieser lässt sich jedoch von Fachkundigen Angreifern durch die Verschleierung von IP- Adresse (durch z.B. ausländische Proxy- Server) umgehen.[23]
  • mögliche Problemlösung:
    Weit verbreitet sind sogenannte IDS (Intrusion Detection Systeme). Diese werden sowohl in Form von Hardwarelösungen (z.B. eingebettet in Router) als auch Softwarelösungen angeboten. Das Ziel solcher Systeme besteht u.a. darin solche Portscans zu erkennen um entsprechen (automatisiert) reagieren zu können. Möglich macht dies eine ausgeklügelte Kombination diverser Erkennungsmethoden. Dabei werden z.B. Ports simuliert, welche sich nach "außen" geschlossen zeigen (also keine Antworten auf potenzielle Anfragen senden). Da jedoch die meisten Portscanner einen größeren Bereich scannen, kann auf diese Art und Weise an Angriff erkannt werden. Nachdem dies geschehen ist, landet die IP Adresse des Angreifers auf einer Blacklist. Nun können Anfragen gezielt geblockt oder mit falschen Antwortinformationen beliefert werden. Zwar können auch solche IDS- Systeme keinen Angriff zu 100% verhindern, jedoch erschweren Sie diesen erheblich. Vor allem gegen Trittbrettfahrer bzw. Skriptkiddies (siehe "Hacker"), welche mit fertigen Tools Angriffe auf IT- Systeme vornehmen, ist dies ein wirkungsvoller Schutz.
    Auf der Folgenden Seite findet sich diesbezüglich ein interessantes Tutorial, welches weitere Details zum Verhindern von Portscans mit einem IDS- System preis gibt.
DOS- Attacke
Bearbeiten
 
Die Grafik zeigt das Prinzip eines DDOS- Angriffes auf ein Zielserver. Ein Angreifer führt einen solchen Angriff über diverse Rechner durch, die unter seiner Kontrolle stehen (Botnetz). Die Nutzer der (per Schadcode infizierten) Rechner bekommen die Zweckentfremdung des Rechners oft nicht mit.
  • Problem:
    Bei einer DOS (Denial of Service) Attacke wird ein IT- Infrastruktursystem mit etlichen Anfragen aus dem Internet "bombardiert". Dass Ziel liegt darin, die Hard/- bzw. Softwarekomponenten damit zu überfordern, sodass diese den Dienst quittieren. Somit ist die Kommunikation über das Firmennetzwerk hinaus erheblich gestört. Wird dieser Angriff gleichzeitig von mehreren Stellen aus "gestartet", spricht man von einer DDOS- Attacke (Distributed Denial of Service). Oft werden DOS- Angriffe als Druckmittel eingesetzt und Firmen zu erpressen oder Konkurrenten handlungsunfähig zu machen (siehe Fallbeispiel).
  • Gefahren:
    Eine direkte Gefahr im Sinne von Datenklau geht von einem DOS- Angriff nicht aus. Durch die eingeschränkte Nutzbarkeit des Informationssystems ist jedoch die Arbeitsfähigkeit des Unternehmens stark eingeschränkt. Je nach dem auf welchen Dienst der Angriff abzielt, sind z.B. der Internetauftritt, der Mailverkehr oder andere Dienste nicht nutzbar. Dies hat natürlich Auswirkungen auf den Umsatz der Firma, da potenziellen Kunden die Möglichkeit der Kontaktaufnahme und Informationsbeschaffung nicht zur Verfügung steht. Auch Firmeneigene Dienste wie z.B. die Datensicherung an einem entfernten Standort kann dadurch beeinträchtigt werden.
  • Fallbeispiel:
    Wie schon erwähnt, werden DOS- Angriffe oft als Protestaktionen eingesetzt. Aber auch das Ausschalten von Konkurrenten ist sehr verbreitet. Ein Beispiel hierfür sind Pizzalieferdienste. So wurden im letzten Jahr mehrere solcher Dienste attackiert und arbeitsunfähig gemacht. Auf die Ergreifung der Täter haben die Unternehmen eine belohnung von 100.000€ ausgesetzt.[24] Das zeigt die Relevanz eines solchen Angriffes und Machtlosigkeit gegenüber der Angreifer. Da für solche Angriffe oft auch Botnetze genutzt werden, ist die direkte Rückverfolgung solcher Angriffe fast unmöglich.
  • mögliche Problemlösung:
    Die hohe Belohnungszahlung in dem Fallbeispiel zeigt, wie schwer es ist solche Angriffe zu unterbinden. Viele Firewallsysteme bieten eine automatisierte DOS- Erkennung und setzen die IP- Adressen der Angreifer temporär auf Sperrlisten, sodass sämtliche Anfragen einfach ignoriert werden. Wird der Angriff jedoch von verschiedenen Anschlüssen aus gestartet (DDOS), ist diese Methode aufgrund der Vielzahl von Angreifern nur noch eingeschränkt anwendbar.
Softwaresicherheitslücken
Bearbeiten
  • Problem:
    Als Softwaresicherheitslücke bezeichnet man in der Informationstechnik ein Softwarefehler, der durch einen potenziellen Angreifer ausgenutzt werden kann. Dieser Softwarefehler kann sowohl in Anwendersoftware, als auch Serverdiensten vorhanden sein. Da praktisch sämtliche Vorgänge eines Informationssystems durch Software gesteuert werden, ist die Anfälligkeit bzw. Wahrscheinlichkeit für solche Lücken sehr hoch. Deshalb haben Angreifer auch eine Vielzahl von Möglichkeiten solche Lücken zu suchen bzw. auszunutzen. Zwar versuchen die Hersteller durch die Bereitstellung von Updates bzw. Patches solche Lücken zu schließen, jedoch kann dies immer erst nach Bekanntwerden einer solchen Lücke erfolgen. Auch scheuen es viele Firmen aus Zeitgründen regelmäßig Softwareupdates einzuspielen. Verstärkt wird das Problem durch sogenannte Exploits. Dabei handelt es sich um vorgefertigten Programmcode um eine solche Lücke ausnutzen zu können. Der Programmcode wird oft in sogenannten Exploit- Datenbanken hochgeladen und ist somit für jedermann zugreifbar. [25]
  • Gefahren:
    Je nach Art der Sicherheitslücke, kann ein Angreifer diese für verschiedene Zwecke missbrauchen. Oft wird in einem Programm ein sogenannter Speicherüberlauf erzeugt, sodass der Angreifer bestimmte Speicherbereiche manipulieren kann um so eigenen Code auszuführen. Ist dies erst einmal gelungen, stehen im sämtliche "Türen" offen. Hierbei unterscheidet man zwischen lokalen und remote Exploits. Lokale werden oft (unabsichtlich) vom Benutzer ausgeführt (z.B. ein infizierter Mailanhang). Remoteexploits nutzen meistens Schwachstellen von Serverdiensten aus um somit aus der Ferne Zugriff auf diesen erlangen zu können.
  • Fallbeispiel:
    Als Beispiel können z.B. Sicherheitslücken in der Java Laufzeitumgebung genannt werden. Immer wieder sind in den letzten Monaten neue Sicherheitslücken aufgetaucht [26] Werden diese nicht geschlossen, können Angreife diese Schwachstellen gezielt ausnutzen um z.B. Schadcode zu verteilen.
  • mögliche Problemlösung:
    Um solche Probleme unterbinden zu können, sollte durch ein entsprechendes Konzept dafür gesorgt werden, dass die Firmengerätschaften jeweils einen aktuellen Softwarestand aufweisen. Für die Betriebssysteme Windows- und Linux gibts es hierfür entsprechende Update- Server, die für eine automatische Verteilung sorgen. Anders sieht es im Serverumfeld oder bei separat installierten Softwareprodukten aus. Diese müssen oft "manuell" oder per Softwarerollout aktualisiert werden.
Hardwaresicherheitslücken
Bearbeiten
  • Problem:
    Das Problem von Hardwaresicherheitslücken ist praktisch identisch zu dem bei Softwaresicherheitslücken. Der Unterschied besteht jedoch darin, dass hierbei keine Sicherheitslücken auf PCs- oder Server ausgenutzt werden, sondern Sicherheitslücken in der Firmware von Geräten. Dies können Industriesteuerungsanlagen, Alarmanlagen, Netzwerkkomponenten oder auch Drucker sein. Der Angreifer kann sich über Softwarebugs Zugang zu solchen Systemen verschaffen und nun z.B. die Konfigurationseinstellungen ändern oder auch die Firmware manipulieren. Dies führt letztendlich dazu, dass der potenzielle Angreifer die volle Kontrolle über die Hardwarekomponenten übernehmen kann.
  • Gefahren:
    Auch die Gefahren sind ähnlich zu denen der Softwaresicherheitslücke. Ein Angreifer kann durch Manipulationen Daten ausspähen, den Betrieb eines Gerätes stören, Schadcode verbreiten oder sogar das Gerät komplett zerstören. Hierbei ist jedoch das Gefahrenpotenzial für "Dritte" - bei der Ausnutzung von Hardwaresicherheitslücken - oft wesentlich höher als bei der Ausnutzung von Sicherheitslücken auf reiner Softwareebene (siehe Fallbeispiel).
  • Fallbeispiel:
    Forscher der amerikanischen Columbia University haben in HP Druckern eine Sicherheitslücke entdeckt, die es erlaubt auf dem Drucker eine beliebige neue Firmware parallel zu einem Druckauftrag zu installieren. Dies wurde auch demonstrativ ausgenutzt und der Drucker mit einer Firmware bestückt, die dafür sorgte, dass die Fixiereinheit in dem Laserdrucker ein Blatt Papier entzündete.[27] Wäre diese Lücke aus der Ferne unbemerkt ausgenutzt worden, hätte dies fatale Folgen für Leib und Leben haben können. Ein weiterer Fall beschreibt den Angriff auf ein Wasserpumpwerk. Dabei wurden die Pumpen durch ständiges Ein- und Ausschalten zur Zerstörung gebracht. Wie die Angreifer Zugriff auf die Prozesssteuerung erlangten war nicht jedoch bekannt.[28] Die beiden Fälle zeigen jedoch, wie verwundbar Anlagen sind, die über schlecht gesicherte Schnittstellen mit der "Außenwelt" verbunden sind.
  • mögliche Problemlösung:
    Um solche Angriffe zu erschweren sollte dafür gesorgt werden, dass die jeweilige Hardware über eine aktuelle Firmware verfügt. Des Weiteren sollte man einen Überblick haben, welche Geräte in einer Firma eingesetzt werden um bei Bekanntwerden auf Sicherheitslücken entsprechen reagieren zu können. Der nächste Schritt wäre die Geräte vom "normalen" Firmennetz abzukoppeln und in einem separaten VLAN unterzubringen. Der Zugriff auf dieses sollte dann durch Zugriffsregeln auf das nötigste beschränkt werden.
schlecht abgesichertes Funknetzwerk
Bearbeiten
 
Die Grafik zeigt einen Anmeldemitschnitt auf einem Internetportal in einem offenen WLAN. Gleiches ist in einem verschlüsselten WLAN möglich, jedoch muss hierzu der Verschlüsselungskey bekannt sein.
  • Problem:
    Viele Firmen erweitern die Zugriffsmöglichkeiten auf ihr Netzwerk durch ein WLAN, welches von Mitarbeitern sowie Gästen für einen komfortablen Zugriff von mobilen Geräten aus genutzt wird. Die WLAN- Netze wurden in vielen Fällen vor etlichen Jahren eingerichtet und nach dem damaligen Stand der Technik abgesichert. Allerdings gelten viele Sicherungsmaßnahmen heutzutage als geknackt und stellen deswegen einen Angriffspunkt dar. Ein Beispiel hierfür ist die vor Jahren weit verbreitete Absicherungsmethode WEP. Diese galt viele Jahre als ausreichender Schutz, bis Forscher das Gegenteil bewiesen und entsprechende Verfahren zum Bestimmen des Verschlüsselungskeys bestimmen. [29] Auch Pseudosicherheitsfunktionen wie die Verwendung von MAC- Adressfilter oder das Verstecken der Netzwerk SSID (Name des WLAN- Netzes) tragen kaum zur Sicherheit bei. [30]
  • Gefahren:
    Die Gefahr eines solchen schlecht bzw. mit alten Verfahren abgesicherten Netzwerkes liegt darin, dass sich ein potenzieller Angreifer ohne viel Aufwand Zugang zum Netzwerk schaffen kann. Ist das WLAN- Netz gleichzeitig mit dem „normalen“ Firmennetz gekoppelt, hat er sogar Zugriff auf dieses. Problematisch ist weiterhin, dass sich der Angreifer für einen Angriffsversuch lediglich in Unternehmensnähe (Reichweite des WLAN- Netzwerkes) befinden muss. Eine Erkennung des Angriffes ist somit nur schwer möglich. Die Anmeldung und Authentifizierung erfolgt lediglich durch einen Schlüssel, welcher durch einfaches Mitschneiden des Datenverkehrs errechnet werden kann. Es ist also durchaus denkbar, dass ein Angreifer über längere Zeit unbemerkt Zugriff auf das Netzwerk haben kann. Schaden kann dabei auf verschiedene Wege entstehen. Zum einen kann der Angreifer mit dem korrekten Schlüssel Datenverkehr mitschneiden und damit an interne Zugriffsdaten bzw. Passwörter gelangen. Zudem hat er wie schon beschrieben Zugriff auf das gesamte Netzwerk. Es ist also denkbar, dass ein Angreifer Sicherheitslücken von Softwareprodukten ausnutzt, welche sich auf lokalen PCs oder Server befinden. Da er sich in den meisten Fällen bereits „hinter“ der Firewall befindet, fällt auch dies in den meisten Fällen nicht auf. Hat der Angreifer erst einmal einen Vollzugriff erlangt, stehen ihm sämtliche Tore offen. Vom „belauschen“ des Anwenders bis hin zum Datenklau bzw. der Verbreitung von Schadcode ist alles denkbar. Ein weiteres Problem ist die Haftung. Nach aktuellen Recht, haftet in Deutschland derzeit der Betreiber für alle Rechtsverletzungen, welche von seinem WLAN- Netz ausgehen. [31]
  • Fallbeispiel:
    Heise berichtet, dass in vielen Firmen das Netzwerk zwar von außen gut abgesichert ist, jedoch das WLAN- Netz eine große Angriffsfläche bietet. Auch bei Kaufhäusern die Kassensysteme in WLAN- Netze einbinden gab es schon Sicherheitsvorfälle, sodass Zahlungs- und Kreditkartendaten unverschlüsselt übertragen wurden. Dabei ist nicht nur das Unternehmen, sondern auch der Kunde gefährdet. [32]
  • mögliche Problemlösung:
    Um das Problem zu lösen, sollte die Absicherung regelmäßig auf eine zeitgemäße Umsetzung geprüft werden. Als Grundmaßnahme bietet sich z.B. die Trennung von Unternehmens- und Gäste WLAN an. Somit ist die Gefahr gering, dass ein Gast Schaden anrichten kann bzw. der Schlüssel an unbekannte Dritte gelangen kann. Des weitern bietet es sich an, das WLAN- Netz in einem separaten Netzwerk zu betreiben und auf die nötigsten Dienste zu beschränken. Es ist z.B. in den meisten Fällen sinnlos, wenn z.B. Backupserver oder auch die Firewall von jedem Drahtlosgerät zu erreichen sind. Solche Einschränkungen lassen sich leicht mittels Routing- Regeln umsetzen. Neben diesen „internen“ Überlegungen sollte zusätzlich auf ein aktuelles Verschlüsselungs- bzw. Authentifizierungsverfahren gesetzt werden. Eine aktuell gängige Methode setzt dabei auf sogenannte RADIUS- Server. Dabei erfolgt u.a. eine Authentifizierung auf Benutzerebene. Weitere Informationen dazu finden sich in der nachfolgenden Quelle.[33]

Fallbeispiel 2 - Social Engineering

Bearbeiten

(Autor: Stephan)

Einleitung

Bearbeiten

In diesem Fallbeispiel sollen Angriffsszenarien auf Grundlage von Social Engineering betrachtet werden. Dabei wird der Mensch als Zielobjekt ins Visier genommen, um die technischen Sicherheitsvorkehrungen im Unternehmen zu umgehen. Das Ziel dabei ist es meistens an vertrauliche Informationen zu gelangen, bzw. das Opfer zum eigenen Vorteil zu manipulieren. Um als Unternehmen dagegen vorgehen zu können, muss bei den Mitarbeitern ein Sicherheitsbewusstsein in diesem Bereich geschaffen werden, dies ist bei den meisten Unternehmen jedoch nicht der Fall, was Angreifern hohe Erfolgsraten ermöglicht. Das Vorgehen dabei kann denkbar einfach sein, denn es reicht oftmals, einfach nach den benötigten Informationen zu fragen. Dies erfordert nicht zwangsläufig den persönlichen Kontakt, sondern wird auch häufig per Telefonanruf durchgeführt. Der Social Engineer nutzt bei Angriffen menschlichen "Schwächen" wie Hilfsbereitschaft, Höflichkeit und Bequemlichkeit aus. Beim Social Engineering spricht man hierbei von den sozialpsychologischen Phänomenen, auf dessen Grundlagen feste menschliche Verhaltensmuster festgestellt werden und von den Angreifern mehr oder weniger bewusst ausgenutzt werden.

[34]

Sozialpsychologische Phänomene und theoretische Fallbeispiele

Bearbeiten

Autoritätshörigkeit

Bearbeiten

Menschen, die uns als Autorität begegnen, respektieren wir und neigen schnell dazu ihren Anweisungen Folge zu leisten. Um als Autorität wahrgenommen zu werden, können Kleidung und Eloquenz beitragen den Effekt zu unterstützen. Fallbeispiel: Behaupten von der IT-Abteilung zu kommen oder zur Geschäftsführung zu gehören. Drohungen und Verbreitung von Panik können durch Verunsicherung des Opfers den Effekt unterstützen.

Reziprozität

Bearbeiten

Das Prinzip der Gegenseitigkeit oder im Volksmunde “eine Hand wäscht die Andere” besagt, dass jemand, dem ich einen Gefallen tue, das Verlangen verspürt, sich auf irgendeine Weise zu revanchieren. Fallbeispiel: Am Telefon als IT-Mitarbeiter ausgeben und angeblichen Kollegen über Vorbeugung gegen Virus aufklären. Als Gegenleistung um Unterstützung beim Test einer Software zum Ändern von Passwörtern bitten.

Sympathie

Bearbeiten

Zum einen zählt dazu die zwischenmenschliche Beziehung, denn es ist klar, dass uns ein guter Freund viel schneller zu etwas überreden kann als ein wildfremder Mensch. Zum anderen spielt die physische Attraktivität ebenso eine große Rolle. Fallbeispiel: Im Gespräch Hobbys und Interessen des Opfers recherchieren und beim Gespräch als eigene ausgeben und gleiche Ziele vorgeben, um gleichartig zu erscheinen.

Soziale Bewährtheit

Bearbeiten

Was die Leute in unserer Umgebung tun, gilt für uns als korrekt, wir orientieren uns also an unseren Mitmenschen, um einschätzen zu können, welches Verhalten angebracht ist. Dies wird erheblich verstärkt, wenn wir durch ungewöhnliche Situationen verunsichert bzw. verwirrt sind. Fallbeispiel: In einem Unternehmen anrufen und vorgeben eine Untersuchung durchzuführen, bei der einige seiner Kollegen (konkrete Namen nennen) bereits teilgenommen haben. Anschließend einige Fragen stellen, die sein Passwort oder benötigte Informationen enthüllen.

Commitment und Konsistenz

Bearbeiten

Eine freiwillige Zustimmung oder ein Versprechen, verstärkt das Verlangen dem nachzugehen und sich wie erwartet darum zu kümmern, das Versprechen einzuhalten. Fallbeispiel: Beim Telefongespräch mit einem relativ neuen Mitarbeiter als Sicherheitsbeauftragter des Unternehmens ausgeben. Dann auf die Einhaltung der Sicherheitsvorschriften aufmerksam machen und einiges durchgehen. Wenn es um das Passwort geht, Ratschläge geben das Passwort so zu gestalten, dass es angeblich sicher ist, aber auch so, dass es der Social Engineer erraten kann. Da der Mitarbeiter seine Zustimmung gegeben hat, den Sicherheitsvorschriften nachzugehen, wird er das Passwort sehr wahrscheinlich in der nächsten Zeit ändern.

Knappheit

Bearbeiten

Knappe Güter sind in der Regel immer besonders begehrenswert. Fallbeispiel: Eine Rundmail an Mitarbeiter eines Unternehmens schicken mit dem Inhalt, dass die ersten 100 Personen, die sich auf der neuen unternehmensinternen Website anmelden, ein Geschenk erhalten. Auf der Website nach einem Passwort fragen und da viele Menschen aus Bequemlichkeit das gleiche nehmen, ist die Erfolgsrate relativ hoch.

[35]

Vorgehensweisen

Bearbeiten

Profiling

Bearbeiten

So bezeichnet man im Social Engineering die Recherche über die Zielperson. Hier kann ein freier Umgang mit persönlichen Daten große Konsequenzen haben, denn das macht es dem Angreifer leichter an erste Informationen zu gelangen. Um den Namen einer Person im Unternehmen rauszubekommen, werden in vielen Fällen die Organigramme des Unternehmens missbraucht. Wenn diese auf der offiziellen Webseite zu finden sind, ist das in dem Sinne natürlich optimal. In vielen Fällen werden dadurch bereits der volle Name der Zielperson und dessen Mitarbeiter und deren Tätigkeitsbereiche deutlich. Außerdem ist es nun möglich, die jeweiligen Autorisierungen zu schätzen. Telefonlisten sind auch hilfreich, um die ausgespähten Leute bei bedarf auch direkt erreichen zu können. Um nun mehr über das Opfer in Erfahrung zu bringen, helfen die allseits bekannten sozialen Netzwerke.
[36]

Soziale Netzwerke

Bearbeiten

Es gibt sicherlich noch Leute die ihre persönlichen Daten in jeder Hinsicht pflegen aber in der heutigen Zeit geht der Trend dann wohl eher in die andere Richtung und so werden Personen immer leichter zu durchleuchten. Die Informationen, die man von Personen auf ihren erfahren kann, dienen an erster Stelle dazu, die genauen Beziehungen zwischen den Mitarbeitern näher zu betrachten. Sind sie bei Facebook oder Xing befreundet? Gibt es vielleicht sogar aktuelle öffentliche Konversationen zwischen ihnen, die etwas über ihre Persönlichkeiten andeuten können. Der nächste Punkt sind Interessen und Hobbys, die man öffentlich angeben kann. Dies kann hilfreich sein, um gleichartiger also sympathischer zu wirken, wenn es darauf ankommt. Die Daten im Zusammenhang mit Interessen oder Namen von Freunden oder evtl. Haustieren, die dort häufig leicht zu erfahren sind, können auch dabei helfen, die Passwörter der Zielperson zu erraten. In vielen Szenarien ist es nur ein Passwort das Personen im Unternehmen authentifiziert, und wenn es diese Sicherheitsvorkehrung umgangen werden kann, sind große Konsequenzen in allen Fällen vorprogrammiert.

Dumpster Diving

Bearbeiten

Social Engineers nutzen eine weitere Vorgehensweise, um an Informationen zu gelangen, die ihre Angriffe im Vorhinein unterstützen können. Es ist erstaunlich, wie viel man über Personen und Unternehmen herausbekommen kann, indem man einfach ihre Mülltonnen, bzw. die Müllcontainer der Unternehmen durchsucht. Solange sich die Müllcontainer bzw. -tonnen nicht auf privatem Betriebsgelände befinden, ist dies nicht illegal, beinhaltet somit also ein sehr geringes bis gar kein Risiko. Sehr engagierte Angreifer schrecken auch nicht vor dem Zusammensetzen geschredderter Dokumente zurück, wenn sie einen großen Nutzen spüren. Auch bei Datenträgern wie CDs, Festplatten und anderen Speichermedien wird häufig keine Rücksicht genommen und der "Müll" landet einfach im Container. Selbst heutzutage herrscht in vielen Köpfen die Annahme, dass Daten tatsächlich vernichten sind, nachdem sie gelöscht werden aber selbst für Amateure in diesem Bereich ist es kein Problem diese Daten wieder herzustellen.
[37]

Konkretes Beispiel

Bearbeiten

Ein Anrufer erhält von der hilfsbereiten Telefonistin in der Zentrale durch die Nennung eines Namens die Information, dass sich dieser Mitarbeiter noch mindestens zwei Stunden in einem wichtigen Meeting befindet und nicht gestört werden möchte. Mit dieser Information meldet sich der Anrufer nun bei einem anderen Kollegen im Unternehmen und bezieht sich dabei auf ein erfundenes Telefonat mit dem Mitarbeiter aus dem Meeting, um bestimmte Informationen (z.B. den Marketingplan) zu erschleichen. Dabei gibt er an, dass er dies mit dem Mitarbeiter aus dem Meeting besprochen hat und bereits seit einer Stunde auf den Marketingplan wartet und diesen nun sehr dringend benötigt oder andernfalls die geplante Marketingkampagne abgesagt werden muss. Rückt der angerufene Mitarbeiter die Informationen zunächst nicht raus, droht ihm der Anrufer zumeist mit Ärger durch seinen Vorgesetzten. "Wollen Sie verantwortlich dafür sein, dass die Marketingkampagne für Ihr neues Produkt im nächsten Monat nicht startet?". Der Mitarbeiter fühlt sich dabei bereits stark unter Druck gesetzt und gibt die gewünschte Information preis.

[38]

Gegenmaßnahmen

Bearbeiten

Umgang mit Informationen

Bearbeiten

Vor der Preisgabe von persönlichen Informationen und internen Firmendaten sollte überprüft werden, ob die Berechtigung zur Weitergabe besteht. Im Allgemeinen sollte dabei immer sparsam mit Informationen umgegangen werden. Das gilt auch für scheinbar harmlose Informationen wie Namen oder Durchwahlnummern. Bei ungewöhnlichen Anliegen sollte man schnell skeptisch werden und vieles hinterfragen.

IT-Dienstleistung

Bearbeiten

Wenn ein Mitarbeiter aus der IT-Abteilung Änderungen oder Verbesserung der elektronischen Sicherheit durchsetzen will, muss vorher grundsätzlich seine Identität und Befugnis sichergestellt werden, dies gilt natürlich speziell für die vermeintliche Hilfe am Telefon. Spätestens, wenn es in irgendeinem Zusammenhang um Passwörter geht, sollten man stutzig werden und unter gar keinen Umständen eines weiterzugeben.

Sicherheit vor Höflichkeit

Bearbeiten

Auch wenn man dazu neigt, die geforderten Informationen aus Höflichkeit weiterzugeben, darf die Sicherheit nie außer Acht gelassen werden. Den Mitarbeitern darf auf keinen Fall eine Strafe drohen, wenn sie Informationen nicht weitergeben, wenn dies der Fall ist, wird jegliches Sicherheitsbewusstsein bei den Betroffenen geschädigt. Wenn Unklarheiten entstehen, sollte eher die Richtigkeit vom Vorgesetzten sichergestellt werden, als dass eine unbefugte Person Informationen erhält, die negative Auswirkungen für das Unternehmen haben können. Es sollte sich auch jeder darüber bewusst sein, dass Angreifer gerne versuchen stressige Situationen herbeizuführen, um unüberlegte Reaktionen an ihre gewünschten Informationen zu gelangen aber man darf die Sicherheitsrichtlinien auch unter Stress und Zeitdruck nicht vernachlässigen.

Sicherheitsbewusstsein bei allen Beteiligten

Bearbeiten

Eine gute Analogie um Aufmerksamkeit von jedem zu erlangen ist, die Preisgabe vertraulicher Informationen mit der unüberlegten Weitergabe der Kreditkartennummer gleichzusetzen. Das Sicherheitstraining muss sich an alle Personen im Unternehmen richten, auch jenseits der Angestellten, die am PC sitzen. Das Wachpersonal oder der Pförtner beispielsweise könnte auf die Tricks eines Social Engineers reinfallen und ihm Zugang in das Gebäude oder in Büros verschaffen also sollte auch bei ihm das Sicherheitsbewusstsein geweckt werden. Bei Neueinstellungen muss auch gleich zu Anfang für das Bewusstsein der Sicherheitslinien gesorgt werden, am besten noch vor dem ersten Zugang zum Firmennetzwerk. Wer diese nicht schult, braucht sich auch über die Weitergabe von Passwörtern und vertraulichen Informationen aufregen. Angestellte im Führungs- bzw. Marketingbereich tun sich evtl. schwer die Schutzmaßnahmen anzunehmen, da ihnen die Verlangsamung der Prozesse ein Dorn im Auge ist. In dem Falle sollten ihnen Szenarien aufgezeigt werden, die verdeutlichen, wie schnell sie sehr teure Schäden im Unternehmen verzeichnen können, wenn sie sich nicht daran halten. Die Frage ist nicht "ob" ein Sicherheitsvorfall ohne Gegenmaßnahmen entsteht, sondern "wann".


Zusammenfassung

Bearbeiten


Problem
Technische Sicherheitsvorkehrungen bringen nichts, wenn der Faktor Mensch ins Visier genommen wird. Die zunehmende Relevanz der IT-Sicherheit führt dazu, dass die Gefahr eines persönlichen Angriffs außer Acht gelassen wird.
Gefahren
Wer nie davon gehört und sich nie damit beschäftigt hat, kann sich nicht bewusst dagegen wehren. Angreifer können leicht an Passwörter kommen und dadurch in Computersysteme eindringen.
Vorgehensweisen
Als unwichtig betrachtete Informationen wie Organigramme und Telefonlisten sind für Angreifer leicht zu beschaffen und können ihnen dabei helfen fremde Identitäten anzunehmen, um Mitarbeiter besser manipulieren zu können. Zusätzlich gewinnen sie oftmals an Glaubwürdigkeit, indem sie den jeweiligen Fachjargon anwenden. Viele verfügen auch über gute soziale Kompetenzen, Eloquenz und Sympathie, was ihnen den Aufbau einer persönlichen Beziehung mit der Zielperson erleichtert. Bei der Recherche über die Zielpersonen sind in der heutigen Zeit auch Facebook und Websites der Unternehmen hilfreich, eine weitere Möglichkeit ist das "Dumpster Diving". Es ist erstaunlich, wie viel man über Personen und Unternehmen herausbekommen kann, indem man einfach ihre Mülltonnen der Unternehmen durchsucht. Solange sich die Müllcontainer bzw. -tonnen nicht auf privatem Betriebsgelände befinden, ist dies nicht illegal, beinhaltet somit also ein sehr geringes bis gar kein Risiko.
Fallbeispiel
Die Angriffe können ohne viel Aufwand in Form eines Telefonanrufs durchgeführt werden. Dafür muss im Vorhinein lediglich etwas Recherche über die Zielperson und sein Umfeld getätigt werden. In Zeiten von Facebook und Webseiten der Unternehmen sollte das kein Problem darstellen. Entscheidend ist, dass man Sympathie mit dem Opfer aufbaut um ihm so Informationen zu entlocken. Man kann ihm auch Autorität vorgaukeln (Autoritätshörigkeit), sich also als Vorgesetzter ausgeben und panisch oder auch drohend klar machen, dass man die Informationen benötigt, weil es sonst große Konsequenzen gibt. Diese Angriffe sind trotz geringem Aufwand sehr effizient. Es gibt natürlich auch Angriffe, die umfangreiche Planung und Strategie erfordern, beispielsweise bei einem Angriff auf Großunternehmen oder Behörden.
Problemlösung
Es gibt keine technischen Gegenmaßnahmen, Wissen ist hier die einzige Lösung, also Aufklärung!!! Sicherheitsbewusstsein in diesem Bereich schaffen. Nicht nur im Rechenzentrum, sondern bei jedem, in allen Hierarchien, natürlich auch bei Sekretärinnen und Assistenten. Die Anzahl der Geheimnisträger sollte weitestgehend eingrenzt werden. Außerdem kann Unternehmensberatung eine große Hilfe sein, denn bei der Analyse von Schwachstellen herrscht bei den internen Mitarbeitern oftmals die "Betriebsblindheit".

Philosophische und ethische Aspekte in der IT- Sicherheit

Bearbeiten

(Autor: Benjamin)

Zu den Bestandteilen der IT-Sicherheit gehören auch philosophische, ethische und moralisch-menschliche Aspekte, die hier näher erläutert werden. Primär wird es darum gehen, diese Aspekte anhand der vorangegangenen Fallbeispiele zu erläutern.


Analyse: IT-Sicherheit

Bearbeiten

Die IT-Sicherheit dient ja nun bekannter Maßen dem Schutz von Daten und Systemen. Wo kann man da nun eine philosophische Frage anbringen? Eigentlich ganz einfach! Bei der Frage, warum IT-Sicherheit überhaupt notwendig ist.

Notwendigkeit der IT-Sicherheit

Bearbeiten

Die Notwendigkeit der IT-Sicherheit ergibt, sich aus dem permanenten Misstrauen und der Selbstsucht der "modernen Zivilisation" selbst. Man sollte meinen, eine zivilisierte Spezies hätte derartige Abschirmungen vor sich selbst gar nicht nötig, aber offensichtlich ist dies nicht der Fall. (Aber vielleicht ist der Begriff "zivilisiert" von den Menschen mal wieder nur schonungslos selbst verherrlichend als eine unausweichlich notwendige Eigenschaft der Menschheit angesehen, weshalb der Mensch sie haben muss, obwohl er sie offensichtlich (noch) nicht hat.) Da dies nicht der Fall ist, müssen wir uns voreinander Schützen, selbst im Internet. Dies führt irgendwann so weit, dass man anfängt, paranoid zu werden.

Wie gesagt, rosige Aussichten

Bearbeiten

Wenn man davon ausgeht, dass die NATO ein militärisches Bündnis von Nordatlantikstaaten ist, kann man Cyberattacken, wie hier geschildert, schon fast als kriegerische Handlung bezeichnen. Die Frage nach dem Gut oder Böse kann man dabei nicht stellen. Jede Seite denkt auf dieser Ebene im Recht zu sein, und das die jeweils andere die Böse ist. Man stelle sich vor, der chinesische Cyberangriff wäre erfolgreich gewesen und hätte ernsthaften Schaden angerichtet. Das wäre ein Kriegsgrund. NATO gegen China und keiner kann sagen, wo die Russen da ins Spiel gekommen wären. Tatsächlich ist aber nichts passiert, was wir den wahrscheinlich sehr guten Sicherheitsmaßnahmen der NATO-Netzwerke verdanken. Trotz allen zeigt uns dieser Vorfall, dass die Menschheit noch lange nicht soweit ist zusammen zu wachsen und sich als wahrhaft zivilisiert bezeichnen zu können.

Gleichzeitig erscheinen dann im Netz Datenbanken, wie hier erwähnt, die nicht nur dabei helfen können Sicherheitslücken aufzudecken, sondern ambitionierten Hackern durchaus auch das Finden von Schlupflöchern einfacher machen können. Ein zweischneidiges Schwert und ein recht Scharfes noch dazu. Einerseits versucht die Menschheit sich selbst zu helfen und die Welt ein bisschen besser und "sicherer" zu machen, andererseits führt aber eben dieser Versuch der Selbsthilfe auch immer wieder dazu, dass dieser Versuch genau das Gegenteil erreicht und alles schlimmer macht. Deshalb ist es wichtig zusammenzuarbeiten, aufeinander aufzupassen und sich gegenseitig zu helfen. Gemeinsam ist man stärker und aus Fehlern kann man lernen.


Analyse: Hacker

Bearbeiten

Wie bereits erwähnt, gibt es Hacker in 3 "Abstufungen". Die White-Hats sind dabei weder ethisch noch moralisch fragwürdig, da ihr "Einsatz" meist im Rahmen einer Dienstleistung erfolgt. Problematisch wird es mit den anderen beiden Arten.


Grey-Hats

Bearbeiten

Die Grey-Hats sind, wie oben beschrieben, Hacker, die auf "eigene Rechnung" arbeiten, unter dem Vorwand das Internet sicherer zu machen. Das Problem dabei ist, dass dies nicht im Rahmen einer "Dienstleistung" passiert, also niemand um ihre "Hilfe" bittet, sondern sie dieses aus reiner Eigeninitiative heraus tun. Dabei kann es durchaus passieren, dass Gesetze zu Bruch gehen. Stellt sich nun die Frage, ob man bestehende Regeln brechen darf, selbst wenn es dem Wohl der Menschen dient? Tatsache ist aber, das die Grey-Hats am ehesten Verfechter der sogenannten Hackerethik sind. Sie versuchen Gutes zu tun, Wissen zu teilen und die Zusammenarbeit zu fördern. Aber diesen noblen Zielen stehen heutzutage nun mal oft zahlreiche Gesetze im Weg, die der Mensch, beim Versuch der Welt eine Ordnung auf zu zwingen, erlassen hat.

Ein interessanter Fall

Bearbeiten

Hier haben wir einen interessanten Fall. Interessant deshalb, weil der betreffende Hacker nicht klar zuzuordnen ist. Ein "junger Mann" wollte ein Programm testen, aus reiner Neugier (seine Aussage: Wir bescheinigen ihm an dieser Stelle die Wahrheit zu sagen) und wird für diesen "Test" vor Gericht geschleift. Das Unternehmen behauptet durch dieses kleine Experiment einen wirtschaftlichen Schaden von 1,4 Mio. € erlitten zu haben. Ein Schaden, der sich nur durch die Anschaffung eines neuen Sicherheitssystems berechnen lässt. Zusammengefasst also, der Junge testet ein Programm, entlarvt ein Sicherheitssystem im Unternehmen als unzureichend ohne dabei irgendeinen Schaden anzurichten und das Unternehmen stellt ihm daraufhin praktisch das neue Sicherheitssystem "in Rechnung". Gehandelt wie ein neugieriges Kind, war das Resultat in etwa das, was bei einem Grey-Hat raus kommt, wenn er zwar gute, aber auch sehr schlampige Arbeit leistet. Das Unternehmen wird entlarvt, er aber auch. Die Kunden dürfen sich jetzt über einen besseren Schutz ihrer Daten freuen. Der Hacker allerdings landet vor Gericht, weil er laut Gesetz etwas Unrechtmäßiges getan hat. Wenn ich jetzt ein Kunde dieses Unternehmen wäre, würde ich dem Unternehmen ordentlich meine Meinung geigen, was für in schlampiges Sicherheitssystem die haben, das ein 20-Jähriger da einfach so durchkommt und im selben Moment drohen zu gehen, wenn sie diese Schlampigkeit jetzt dem armen Jungen in Rechnung stellen, nur weil er seiner Neugier gefolgt ist. Tatsache ist aber, dass ich kein Kunde dort bin. Der Fall liegt noch kein Jahr zurück, und ob und wie es weitergeht, weiß man noch nicht. Die Moral sagt einem "verpasst dem Jungen einen kleinen Denkzettel und schickt ihn wieder nach Hause", aber der Geldbeutel ist für gewöhnlich anderer Meinung und hat oft auch das größere Durchsetzungsvermögen. Allerdings ist dieser Facebook-Eintrag der Leonberger Kreiszeitung bzw. die Kommentare dazu sehr ermutigend, dass der Junge noch mal davon kommt. Aber wie gesagt, Geld ist geduldig und Anklagen werden oft über Jahre debattiert, bevor sie eingereicht werden bzw. eingereicht werden können.


Black-Hats

Bearbeiten

Gemessen an der Tatsache, dass Black-Hats kein Interesse an dem Wohlergehen der Menschheit haben und aus reiner Selbstdarstellungs- und Profilierungssucht heraus in Unternehmen und Behörden eindringen, kann man sie wohl als die "Politiker der Internetwelt" bezeichnen. Sie scheren sich weder um das Wohl ihrer Mitmenschen noch folgen sie bei ihren Aktivitäten einer tieferen Moral. Sie würden zwar sicher nicht so weit gehen, das ganze Internet ihrer Profilierungssucht zu opfern, aber wohl jeden, der daran teilhaben möchte, wenn er "zur falschen Zeit am falschen Ort" ist. Es ist auch offensichtlich, dass diese Art Hacker wenig von der sogenannten Hackerethik hält.

Da, wo es weh tut

Bearbeiten

Hier mal eine kleine Auflistung, was Black-Hats so an Schaden anrichten. Man braucht das gar nicht großartig philosophisch auseinander nehmen. Es sind Kriminelle, und potenziell Gefährliche noch dazu. Die einzige Frage, die man sich stellen muss: Sind die eigentlich völlig Lebensmüde? Sich bei staatlichen Organisationen oder Unternehmen wie Lockhead Martin einzuhacken, ist eine todsichere Methode um seine eigenen Lebenserwartungen drastisch nach unten zu reduzieren. Zumindest wenn man Erfolg hat.


Analyse: Social Engineering

Bearbeiten

Das sogenannte "Social Engineering" ist etwas, wo man durchaus anfangen kann, an der Menschlichkeit der Menschheit zu zweifeln. Wobei man sagen muss, dass "Menschlichkeit" heutzutage nur noch einen fiktiven Wunschzustand der Menschen beschreibt, kein reales Bild eines "modernen zivilisierten Menschen".

Moralische Fragwürdigkeit

Bearbeiten

Tatsache ist, dass Menschen, die SE betreiben, einen Nutzen daraus ziehen, einige wenige gute Eigenschaften der Menschen, die sich bis heute durchgesetzt haben, auszunutzen. Okay, das Ausnutzen an sich ist nicht mal das Problem. Manchmal muss man die Hilfsbereitschaft andere ausnutzen, weil bestimmte Situationen einem keine Wahl lassen. Dies führt aber nicht dazu, dass der Betroffene dadurch geschädigt wird. Im Fall von SE allerdings wird das Ausnutzen mit einer Art von "über Leichen gehen" Bereitschaft ausgeübt. Den Tätern ist es egal, wenn der Trottel am anderen Ende der Leitung gekündigt wird, weil er, eigentlich versehentlich, Unternehmensinterna preisgegeben hat. Er ist ein Bauer, der vom Schachbrett genommen wird und das war es dann. Keine Reue, keine Gewissensbisse. Und das alles meist nur, um einem anderen Unternehmen einen Vorteil zu verschaffen, oder sich durch den Verkauf von Informationen selbst zu bereichern. Andererseits wird

Fallbeispiele? Offiziell nein.

Bearbeiten

In Anbetracht der Peinlichkeit, die ein Fall von SE mit sich bringt, ist es schwer reale Beispiele für einen solchen Fall heranzuziehen. Zusätzlich erschwert wird es dadurch, dass SE'ler es von vorn herein darauf abgesehen haben, das ihr wirken nicht bemerkt wird. In z. B. diesem Dokument wird das deutlich gemacht. Es ist durchaus möglich, dass die meisten publizierten Hacks in den letzten Jahren, unter anderem mit Anwendung von SE betrieben wurden. Als man Sony gehackt hat, wer sagt uns denn, dass nicht jemand innerhalb Sonys "so nett war, einem Kollegen zu helfen"? Bei so großen Unternehmen ist es sogar sehr wahrscheinlich, dass SE dahinter steckt, da sich auf diese Weise deren Sicherheitssysteme sehr viel leichter umgehen lassen. Für die Unternehmen selbst ist es natürlich leichter eine Hintertür im Sicherheitssystem als Sündenbock hin zu halten, als zuzugeben, dass Sony-Mitarbeiter die Tür überhaupt erst aufgemacht haben. Und Vielleicht wissen betroffenen Unternehmen ja selbst nicht mal, dass sie Opfer von SE wurden. In jedem Fall muss eine Sensibilisierung der Mitarbeiter erfolgen, die man mit einer Standardisierung im Datenverkehr kombinieren sollte. Vorbeugen war schon immer besser, als Nachbehandeln, auch wenn viele "Hohe Tiere" das meiner Meinung nach in derartigen Bereichen nicht so sehen.

Quellennachweis

Bearbeiten

<references>

  1. BSI-Standard 100-2 "IT-Grundschutz-Vorgehensweise" (Zugriff: 08.05.'13)
  2. Wikipedia - Informationssicherheit (Zugriff: 08.05.'13)
  3. Claudia Eckert: IT-Sicherheit. Konzepte - Verfahren - Protokolle. 5. Auflage, Oldenbourg Wissenschaftsverlag, München, 2008
  4. IT Wissen Online-Lexikon - Vertraulichkeit (Zugriff: 08.05.'13)
  5. Bedner M., Ackermann T. "Schutzziele der IT-Sicherheit" (Zugriff: 15.05.'13)
  6. Bedner M., Ackermann T. "Schutzziele der IT-Sicherheit" (Zugriff: 15.05.'13)
  7. Bedner M., Ackermann T. "Schutzziele der IT-Sicherheit" (Zugriff: 15.05.'13)
  8. Bedner M., Ackermann T. "Schutzziele der IT-Sicherheit" (Zugriff: 15.05.'13)
  9. IT Wissen Online-Lexikon - Integrität (Zugriff: 08.05.'13)
  10. Bedner M., Ackermann T. "Schutzziele der IT-Sicherheit" (Zugriff: 15.05.'13)
  11. Bedner M., Ackermann T. "Schutzziele der IT-Sicherheit" (Zugriff: 15.05.'13)
  12. Bedner M., Ackermann T. "Schutzziele der IT-Sicherheit" (Zugriff: 15.05.'13)
  13. IT Wissen Online-Lexikon - Verfügbarkeit (Zugriff: 08.05.'13)
  14. Computerwoche - Der Cyber-Krieg hat gerade erst begonnen (Zugriff: 23.05.2013)
  15. KPMG Studie 2013 - "e-Crime" (Zugriff: 23.05.2013)
  16. Die Welt - "Datenklau kostet deutsche Wirtschaft 43 Milliarden" (Zugriff: 23.05.2013)
  17. Computerwelt - IT-Ausfall verursacht finanziellen Schaden (Zugriff: 23.05.2013)
  18. "IT-Mittelstand gegen Meldepflicht bei IT-Angriffen" von Golem.de (Zugriff: 30.05.2013)
  19. Choas Computer Club (CCC) - T-hack (Zugriff: 30.05.2013)
  20. Artikel - Hackertypen Tomshardware (Zugriff 18.06.2013)
  21. Artikel - Hackertypen HAKWORLD (Zugriff 18.06.2013)
  22. Gesetzestext - Vorbereiten des Ausspähens und Abfangens von Daten (Zugriff 18.06.2013)
  23. Heiseartikel - Trügerische Sicherheit mit automatischen IP-Sperren (Zugriff 18.06.2013)
  24. Heiseartikel - DDOS-Attacken auf Pizzadienste (Zugriff 18.06.2013)
  25. Exploit Database (Zugriff 18.06.2013)
  26. BSI - Kritische Schwachstelle in aktueller Java-Laufzeitumgebung (Zugriff 18.06.2013)
  27. Artikel - Millionen HP-Drucker sind für Hacking-Angriffe empfänglich (Zugriff 18.06.2013)
  28. Heiseartikel - Hacker zerstört Pumpe in US-Wasserwerk (Zugriff 18.06.2013)
  29. Heiseartikel - WEP-Verschlüsselung von WLANs in unter einer Minute geknackt (Zugriff 18.06.2013)
  30. WLAN absichern – Die Illusion vom sicheren WLAN (Zugriff 18.06.2013)
  31. Heiseartikel - Betreiber haftet für offenes WLAN (Zugriff 18.06.2013)
  32. Heiseartikel - Jedes zweite WLAN in Deutschland steht sperrangelweit offen (Zugriff 18.06.2013)
  33. WLAN im Unternehmen richtig absichern (Zugriff 18.06.2013)
  34. Kaishakunin - Unternehmensberatung (Zugriff: 20.06.'13)
  35. Robert Cialdini: Die Psychologie des Überzeugens
  36. Faktor Mensch (Zugriff: 20.06.'13)
  37. Kevin Mitnick: Die Kunst der Täuschung
  38. Gefahr durch Social Engineering (Zugriff: 20.06.'13)