- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Datenschutz und Cyberattacken


Cybercrime im 21. Jahrhundert: Reine Verteidigung hinkt hinterher
Absolute Sicherheit wird es nie geben. Dafür aber Angreifer, die entweder selbst die erforderlichen Ressourcen für einen Zero-Day-Exploit haben oder sie sich beschaffen können


- Anzeigen -





Von Andy Green, Varonis

Auch wenn es selten vorkommt, es kommt vor: Themen wie Datenschutz und Cyberattacken haben es nicht nur in die Schlagzeilen der Tageszeitungen und abendlichen Nachrichtensendungen geschafft. Mittlerweile beschäftigen sich sogar Talkshow-Gäste mit genau diesen Themen. John Carlin ist Assistant Attorney General for National Security, und hat in der seit 1991 über den Äther gehenden Bloomberg-Talkshow Charlie Rose über Cyberspionage, die Verbreitung von Attacken, Insiderbedrohungen und Prävention gesprochen. Selbst für diejenigen unter den Zuschauern, die nicht gerade in der IT- und Informationssicherheit beschäftigt sind, dürften seine Aussagen auch außerhalb der USA einige Aha-Erlebnisse ausgelöst haben.

Carlin erläuterte glaubwürdig, wie sich intelligente Systeme weiterentwickelt haben, um Angriffe und ihre Ursprünge zurückzuverfolgen. Man kann sich das bildlich auf einem überdimensionalen Bildschirm vorstellen, der laufende Attacken und Bedrohungen in Echtzeit samt ihrer Herkunft aus Übersee darstellt. Wie die Angriffswellen sich beispielsweise zunächst gegen eine bestimmte Stadt richten und sich von dort aus weiter fortpflanzen. Carlin sagte außerdem, dass die US-Geheimdienste mit einer ziemlich hohen Wahrscheinlichkeit davon ausgehen, dass Russland für den DNC-Hack und Nordkorea für den Angriff auf Sony verantwortlich waren. Eine verhältnismäßig neue Strategie ist es, diese Erkenntnisse, wenn sie als gesichert gelten, öffentlich zu machen und die Verantwortlichen zu benennen.

Das Wesen der Cyber-Wirtschaft
Das ist laut Carlin durchaus als Botschaft an die Welt gemeint á la: "Sie gehen vielleicht davon aus, dass alle diese Attacken anonym sind. Nein, das sind sie nicht." Und ein Staat hat Möglichkeiten zu reagieren. Entweder mit Strafverfolgung oder mit wirtschaftlichen Sanktionen gegen bestimmte Staaten und Regierungen, die zweifelsfrei als Urheber von Angriffen identifiziert wurden. Cyberspionage hat also ihren Preis. Unter Umständen ist es selbst für Unternehmen keine schlechte Strategie die Öffentlichkeit zu suchen oder entsprechende Informationen zumindest bei staatlichen Aufsichts- und Strafverfolgungsbehörden zur Kenntnis zu bringen. Auch wenn es sich nicht um den Angriff eines Staates oder einer Regierung handelt. Selbst wenn Strafverfolgung und Beweisführung eher mühsam sein sollten und vielleicht erfolglos bleiben, Öffentlichkeit herzustellen sendet eine wirksame Botschaft.

Das passt zu Carlins Credo, Hacking müsse so teuer wie möglich werden. Möchtegern-Hacker und "Script Kiddies" verursachen in den USA noch immer mehr als 80 Prozent aller Datenschutzvorfälle. Überraschend auch der enorme Umfang in dem Wissenskapital durch Cyberspionage und digitale Wirtschaftskriminalität in den USA abhanden kommt. In Deutschland sieht das nicht weniger erschreckend aus, wie unter anderem eine Studie von KPMG 2014 ergeben hat.

Carlin beschreibt beispielsweise einen Vorfall, bei dem ein Angreifer in staatlichem Auftrag die Preisstruktur eines amerikanischen Solartechnologie-Unternehmens ausspionieren konnte. Die Folge: Die betreffenden Firmen boten ihre eigenen Produkte im lokalen Markt zu Dumping-Preisen an. Noch während das Unternehmen sich an die zuständige Strafverfolgungsbehörde wandte, wurden dann noch die Dokumente mit der kompletten Prozessstrategie gehackt. Kein unwesentlicher Vorteil für die gegnerische Partei.

Insider und Zugriffsberechtigungen
Für die meisten Unternehmen ist es jedoch ungleich wahrscheinlicher, dass sich ein Insider mit unlauteren Absichten in den Besitz von Wissenskapital oder vertraulichen Informationen bringt, als in die Fänge eines staatlichen Hackers zu geraten. Schenkt man Carlin Glauben sind Insiderbedrohungen ein äußerst diffiziles Problem und zwar für jeden.

Sein Rat: "Sich ausgerechnet gegen diejenigen zu verteidigen, denen man eigentlich vertrauen sollte, ist eine der schwierigsten Herausforderungen überhaupt. Gleichzeitig sind Insiderbedrohungen etwas mit dem sich Privatwirtschaft und Industrie ernsthaft auseinandersetzen sollten. Das bedeutet im Umkehrschluss, Firmen müssen in der Lage sein, alle potenziellen Veränderungen im Nutzerverhalten zu überwachen, die gegebenenfalls auf einen Insider verweisen. Gleichzeitig sollten Unternehmen ihre Systeme so aufsetzen, dass eine einzige Person niemals auf sämtliche Ressourcen zugreifen kann ..."

Will man sich gegen Insiderbedrohungen schützen, hilft es das Benutzerverhalten kontinuierlich zu beobachten und im Hinblick auf Abweichungen und Anomalien zu überwachen. Wenn es darum geht, dass entweder ein Staat oder eine kriminelle Gruppierung in ein mit dem Internet verbundenes Netzwerk gelangen wollen, wird ihnen das in aller Regel gelingen. Daran lässt Carlin keinen Zweifel. Hier hinken die Verteidigungsmechanismen den Möglichkeiten der Angreifer hinterher. Langfristig betrachtet ist Carlin durchaus optimistisch, was allerdings die nähere Zukunft anbelangt, sollte man es Hackern so schwer wie möglich zu machen an sensible Informationen und Daten zu gelangen. Daten und Informationen, die sich zu Geld machen lassen. Eine dieser Strategien ist es, Datenschutzvorfälle in einem sehr frühen Stadium aufzudecken und den Umfang der Daten zu minimieren auf die ein Hacker potenziell zugreifen kann. Forensische Methoden sollten dazu beitragen, die Schuldigen schnell zu identifizieren und dingfest zu machen.

Varonis CEO, Yaki Faitelson, sagte: "Absolute Sicherheit wird es nie geben. Dafür aber Angreifer, die entweder selbst die erforderlichen Ressourcen für einen Zero-Day-Exploit haben oder sie sich beschaffen können. Und damit stehen ausreichend Mittel und Wege zur Verfügung um ins Innere eines Netzwerks zu gelangen. US Assistant Attorney General Carlin räumt gründlich auf mit der Idee einer unüberwindbaren Verteidigungslinie an der Netzwerkgrenze (die dann ohnehin kurz davor wäre, die betreffenden Systeme von der Internetverbindung abzuschneiden).

Für die weitaus meisten Firmen stellt sich eher die Frage, was man tun kann, um es Hackern so schwer wie möglich zu machen. Am besten so schwer, das der Zeitaufwand zu hoch wird. Die Erfahrung lehrt, dass es hilfreich ist, das Nutzerverhalten insbesondere die Zugriffsaktivitäten nahezu in Echtzeit zu überwachen. In vielen Fällen reicht das schon aus, um eine Attacke zu stoppen, bevor es den Angreifern gelingt Daten abzuziehen. Mit anderen Worten: Die Hacker haben es vielleicht bis ins Netzwerk geschafft, aber es gibt Methoden damit sie nicht wieder herauskommen (und die betreffenden Daten auch nicht).
(Varonis: ra)

eingetragen: 09.12.16
Home & Newsletterlauf: 23.12.16


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Was ist Certificate Transparency?

    Möglicherweise haben Sie schon vor einigen Jahren von Certificate Transparency (CT) gehört, als Google die Anforderung für alle Extended Validation (EV) SSL/TLS-Zertifikate ankündigte, die nach dem 1. Januar 2015 ausgestellt worden sind. Seitdem hat Google die Anforderung auf alle Arten von SSL-Zertifikaten ausgedehnt und zuletzt eine Frist bis zum April 2018 gesetzt. Zertifikaten, die nicht CT-qualifiziert sind und die nach diesem Datum ausgestellt werden, wird in Chrome nicht vertraut. GlobalSign hat im Hintergrund bereits daran gearbeitet, dass alle Zertifikate mit CT ausgestattet werden - Extended Validation (EV) seit 2015, Domain Validated (DV) seit August 2016 und Organisation Validated (OV) ab Oktober 2017 - GlobalSign-Kunden sind damit für den Fristablauf seitens Google gerüstet.

  • Wo ist der Authentifizierungsprozess fehlbar?

    Ich habe den größten Teil meines beruflichen Lebens damit verbracht Authentifizierungslösungen zu programmieren, zu implementieren, weiterzuentwickeln und zu patentieren. Daher nehme ich mir das Recht heraus zu sagen, letzten Endes funktioniert Authentifizierung einfach nicht. Mit "funktionieren" im engeren Sinne meine ich, dass es zu 100Prozent garantiert ist, dass es sich tatsächlich um eine vertrauenswürdige Identität handelt, wenn eine Benutzeridentität von einer Authentifizierungslösung an den betreffenden Partner weitergeleitet wird. Und genau das lässt sich nicht garantieren. Es lässt sich belegen, dass und wie der eigentliche Validierungsprozess innerhalb der Authentisierung funktioniert. Das bedeutet, wir verifizieren mathematisch und empirisch, dass die von einem Authentifizierungsmechanismus zusammengestellte Entität mit den Werten übereinstimmt, die in der Datenbank des akzeptierenden Dritten gespeichert sind, also "matched". Das kann ein Passwort sein, ein Einmal-Passwort, OTP, X.509-basierte Verschlüsselung, biometrische Merkmale, mobile Push-Werte oder eine Gesichtserkennung. In einem Satz: Der Authentisierungsprozess lässt sich validieren und damit auch, dass das technische System korrekt arbeitet.

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.