Datenklau: Eine Standortbestimmung
Wieder hat es ein Hackerangriff in die Schlagzeilen der Medien geschafft. Und damit auch in unser Bewusstsein. Er zeigt unserer Gesellschaft durch die unberechtigte Veröffentlichung von personenbezogenen Daten von fast 1000 Personen des öffentlichen Lebens erneut die Verwundbarkeit unserer digitalen Infrastruktur und unserer Kommunikation auf.
Und dieser Umstand wiegt diesmal um so schwerer, da es sich bei dem Täter um einen 20-jährigen Schüler mit "gewissem technischen Sachverstand" handelt, der lediglich bestehende Schwachstellen ausgenutzt hat.
Wenn man diesen Gedanken mal wirken lässt, wird schnell klar, was eine zielgerichtete und professionelle Hacker-Organisation oder ein Geheimdienst mit den ihnen zur Verfügung stehenden Ressourcen erreichen kann.
Dieser Vorfall zeigt anschaulich und plakativ das enorme Gefährdungs- und Risikopotential, welches entstehen kann, wenn eine Bedrohung, wie zum Beispiel der Einzeltäter, auf Schwachstellen trifft, die für den jeweiligen Betreiber oder Nutzer einer digitalen Komponente unerkannt in ihr schlummern.
Und dabei wird ein Dilemma sichtbar: Die Herausforderung für die Hersteller, Betreiber und Anwender von digitalen Lösungen und Prozesse ist es einen lückenlosen Schutz aufzubauen und zu erhalten. Wohingegen die jeweiligen Angreifer nur eine einzige kleine Schwachstelle identifizieren und ausnutzen müssen. Denn die überwiegende Mehrheit erfolgreicher Cyberangriffe beruht auf nicht gut programmierter, schlecht gewarteter oder mangelhaft konfigurierter Software und Systemen!
Wie konnte das passieren?
Aber kommen wir zurück auf den konkreten Fall. Warum konnte der Täter in so vielen Fällen unbemerkt ans Ziel gelangen? Die Antwort ist im Grunde sehr einfach, denn es wird offensichtlich, dass sich in unserer Gesellschaft noch immer nicht das notwendige Bewusstsein („Awareness“) für Datensicherheit etabliert hat. Dieser Umstand ist der eigentliche Grund warum die Schwachstellen überhaupt vorhanden waren und das Ausnutzen der Schwachstellen in so vielen Fällen unbemerkt erfolgreich möglich war!
Nur wenn wir konsequent an dieser Stelle ansetzen, wird es gelingen das oben genannte Dilemma zu verringern und irgendwann vielleicht ganz verschwinden zu lassen. Bewusstseinsbildung und Sensibilisierung ist der erste Schritt auf dem Weg zu einer „digitalen Schutzkompetenz“!
Wir sollten grundlegend umdenken. Die Achtsamkeit und digitale Kompetenz eines jeden, muss bereits von Anfang an zum Beispiel in der Schule beginnen und dann sinnvoll im Bildungssystem verankert und von diesem getragen werden. Auch die Wirtschaft und Gesellschaft muss ihren Beitrag leisten. Wobei der Einzelne die zur Verfügung stehenden Angebote auch wahrnehmen muss!
Diese Wirkzusammenhänge, die für jeden Einzelnen gelten, sind auch relevant für Organisationen, Behörden und Unternehmen. Dort sind häufig bereits viele, meist technische Maßnahmen umgesetzt, aber man hat oft versäumt den Menschen mitzunehmen. Und damit hat man eine komplette Schwachstelle vergessen: Den Menschen selbst!
Auf dem Weg nach „Neuland“
Die gute Nachricht ist, dass schon einfache „Schutzkompetenzen“ ausreichen, um die Mehrzahl der Angriffe abzuwehren oder deren Folgen zu mildern. Die schlechte Nachricht ist, dass wir es über viele Jahre versäumt und verschlafen haben, insbesondere auch politisch, dieses „Neuland“ zu betreten.
Es wäre schon mal ein Anfang, wenn jetzt politische Schnellschüsse und Schuldzuweisungen unterbleiben würden und man zunächst die Sachlage klärt und im Anschluss auf der Grundlage von Fakten konkrete Maßnahmen auf den Weg bringt! Ja ich weiß, aber man wird doch mal träumen dürfen…
Was konkret tun?
Wenn wir jetzt aber wieder aus der Sicht von Unternehmen auf den Vorfall schauen, bleibt zu klären was in diesen Zusammenhang sinnvolle Maßnahmen sind, bzw. gewesen wären:
-
Schwachstellen Management
Als erste Erkenntnis kann man schon mal festhalten, dass ein effektives und sinnvoll eingesetztes IT-Schwachstellen-Management (Vulnerability Management) diesen Datenabfluss deutlich erschwert, wenn nicht sogar verhindert hätte.
Durch das IT-Schwachstellen-Management ist man in der Lage, die Schwachstellen zu identifizieren und deren Behebung zu priorisieren, bevor Angreifer diese ausnutzen können. Darüber hinaus kann man jederzeit, eine Neubewertung bezüglich der Verwundbarkeit der eigenen IT-Infrastruktur durchführen.
Mit IT-Schwachstellen-Management kann man die eigene IT-Umgebung in ihrer ganzen Breite und Tiefe “wahrnehmen” und gewinnt die Möglichkeit, Sicherheitsvorfälle wirkungsvoll und schnell zu entschärfen, bevor größere Schäden daraus entstehen können. So senkt man erheblich das Risiko, das eine schwere Datenpanne oder ein gravierender Cyber-Vorfall das Unternehmen teuer zu stehen kommt.
Dazu noch ein Punkt, der mir in der Praxis sehr oft begegnet: Kunden sagen mir, dass sie durch ihr bestehendes Patch-Management „alles im Griff haben“ und sie somit kein Schwachstellen-Management benötigen. Aber leider ist das eine absolut verfehlte Annahme: Patch-Management ist nicht Schwachstellenmanagement! Beide Prozesse liegen nahe beieinander, dürfen aber nicht miteinander verwechselt werden.
Das Schwachstellenmanagement ist ein proaktiver Prozess, welcher im zeitlichen Ablauf dem Patch Management vorgelagert ist, um Schwachstellen zu erkennen. Gute Schwachstellen-Scanner erkennen nicht nur Schwachstellen, für welche ein Patch besteht, sondern identifizieren auch Schwachstellen zeitnah nach deren Bekanntwerden — auch wenn es noch keinen Patch dafür gibt.
Beim Patch Management wird überprüft, inwiefern Patches für Betriebssysteme und die installierten Applikationen zur Verfügung stehen. Vom Bekanntwerden einer Schwachstelle bis zur Verfügbarkeit eines Patches kann es oft Monate dauern. Während dieser Zeit zeigt das Patch Management keinen Handlungsbedarf an, obwohl ein Sicherheitsrisiko besteht.
Patch Management ersetzt also nicht Schwachstellenmanagement und umgekehrt. Beide wirken wechselseitig ergänzend und steigern in geeigneter Kombination die Informationssicherheit Ihrer Organisation erheblich. -
Informationssicherheit aktiv managen
Ein weiterer Aspekt ist, dass wir Informationssicherheit und damit auch einzelne Aktivitäten wie zum Beispiel das Schwachstellen-Management nicht als einmalige Sache betrachten. Wir müssen Informationssicherheit als einen kontinuierlichen Prozess betreiben, der nach Verbesserung strebt! Denn durch die kontinuierliche Verbesserung, steigt der Reifegrad der Informationssicherheit.
Und genau das bewirken die mittlerweile auch an vielen Stellen gesetzlich geforderten Informationssicherheitsmanagementsysteme (ISMS). Sie implementieren einen kontinuierlichen Verbesserungsprozess (Plan, Do, Check, Act) in die jeweilige Organisation.
Einzelmaßnahmen sind dabei wenig zielführend, um ein für den jeweiligen Schutzbedarf der Institution erforderliches durchgängiges Sicherheitsniveau zu erreichen. Bei einer solchen Vorgehensweise wird wie bei einer Kette das schwächste Glied brechen. Und das problematische dabei ist, dass wir ohne ein etabliertes ISMS nicht wissen wie viele Ketten mit welcher Gliederbeschaffenheit im Einsatz sind. Das Ganze gleicht einem unkalkulierbaren Glücksspiel.
Durch das ISMS werden Maßnahmen etabliert und strategisch gesteuert, die von Personen, Prozessen und Technik der jeweiligen Institution getragen werden und fest in die Abläufe und dem Aufbau einer Organisation verankert sind.
Dabei ist es wichtig, dass die so etablierten Maßnahmen vollständig, angemessen, überdeckungsfrei, möglichst einheitlich und konsistent konzipiert wurden.
Im konkreten Fall wären solche Maßnahmen beispielsweise eine Ende-zu-Ende-Verschlüsselung oder eine Zwei-Faktor-Authentifizierung gewesen, die die Erfolgsaussichten des Angriffs deutlich gesenkt hätten.
09 Jan 2019
ISMS
Schwachstellenmanagement
Cyberangriff
Risiko
Hacker
Datenschutz
Datensicherheit
Sicherheitsvorfall
Netzpolitik
Autor: dirk-groesser