- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Datenschutz und Cyberattacken


Cybercrime im 21. Jahrhundert: Reine Verteidigung hinkt hinterher
Absolute Sicherheit wird es nie geben. Dafür aber Angreifer, die entweder selbst die erforderlichen Ressourcen für einen Zero-Day-Exploit haben oder sie sich beschaffen können


- Anzeigen -





Von Andy Green, Varonis

Auch wenn es selten vorkommt, es kommt vor: Themen wie Datenschutz und Cyberattacken haben es nicht nur in die Schlagzeilen der Tageszeitungen und abendlichen Nachrichtensendungen geschafft. Mittlerweile beschäftigen sich sogar Talkshow-Gäste mit genau diesen Themen. John Carlin ist Assistant Attorney General for National Security, und hat in der seit 1991 über den Äther gehenden Bloomberg-Talkshow Charlie Rose über Cyberspionage, die Verbreitung von Attacken, Insiderbedrohungen und Prävention gesprochen. Selbst für diejenigen unter den Zuschauern, die nicht gerade in der IT- und Informationssicherheit beschäftigt sind, dürften seine Aussagen auch außerhalb der USA einige Aha-Erlebnisse ausgelöst haben.

Carlin erläuterte glaubwürdig, wie sich intelligente Systeme weiterentwickelt haben, um Angriffe und ihre Ursprünge zurückzuverfolgen. Man kann sich das bildlich auf einem überdimensionalen Bildschirm vorstellen, der laufende Attacken und Bedrohungen in Echtzeit samt ihrer Herkunft aus Übersee darstellt. Wie die Angriffswellen sich beispielsweise zunächst gegen eine bestimmte Stadt richten und sich von dort aus weiter fortpflanzen. Carlin sagte außerdem, dass die US-Geheimdienste mit einer ziemlich hohen Wahrscheinlichkeit davon ausgehen, dass Russland für den DNC-Hack und Nordkorea für den Angriff auf Sony verantwortlich waren. Eine verhältnismäßig neue Strategie ist es, diese Erkenntnisse, wenn sie als gesichert gelten, öffentlich zu machen und die Verantwortlichen zu benennen.

Das Wesen der Cyber-Wirtschaft
Das ist laut Carlin durchaus als Botschaft an die Welt gemeint á la: "Sie gehen vielleicht davon aus, dass alle diese Attacken anonym sind. Nein, das sind sie nicht." Und ein Staat hat Möglichkeiten zu reagieren. Entweder mit Strafverfolgung oder mit wirtschaftlichen Sanktionen gegen bestimmte Staaten und Regierungen, die zweifelsfrei als Urheber von Angriffen identifiziert wurden. Cyberspionage hat also ihren Preis. Unter Umständen ist es selbst für Unternehmen keine schlechte Strategie die Öffentlichkeit zu suchen oder entsprechende Informationen zumindest bei staatlichen Aufsichts- und Strafverfolgungsbehörden zur Kenntnis zu bringen. Auch wenn es sich nicht um den Angriff eines Staates oder einer Regierung handelt. Selbst wenn Strafverfolgung und Beweisführung eher mühsam sein sollten und vielleicht erfolglos bleiben, Öffentlichkeit herzustellen sendet eine wirksame Botschaft.

Das passt zu Carlins Credo, Hacking müsse so teuer wie möglich werden. Möchtegern-Hacker und "Script Kiddies" verursachen in den USA noch immer mehr als 80 Prozent aller Datenschutzvorfälle. Überraschend auch der enorme Umfang in dem Wissenskapital durch Cyberspionage und digitale Wirtschaftskriminalität in den USA abhanden kommt. In Deutschland sieht das nicht weniger erschreckend aus, wie unter anderem eine Studie von KPMG 2014 ergeben hat.

Carlin beschreibt beispielsweise einen Vorfall, bei dem ein Angreifer in staatlichem Auftrag die Preisstruktur eines amerikanischen Solartechnologie-Unternehmens ausspionieren konnte. Die Folge: Die betreffenden Firmen boten ihre eigenen Produkte im lokalen Markt zu Dumping-Preisen an. Noch während das Unternehmen sich an die zuständige Strafverfolgungsbehörde wandte, wurden dann noch die Dokumente mit der kompletten Prozessstrategie gehackt. Kein unwesentlicher Vorteil für die gegnerische Partei.

Insider und Zugriffsberechtigungen
Für die meisten Unternehmen ist es jedoch ungleich wahrscheinlicher, dass sich ein Insider mit unlauteren Absichten in den Besitz von Wissenskapital oder vertraulichen Informationen bringt, als in die Fänge eines staatlichen Hackers zu geraten. Schenkt man Carlin Glauben sind Insiderbedrohungen ein äußerst diffiziles Problem und zwar für jeden.

Sein Rat: "Sich ausgerechnet gegen diejenigen zu verteidigen, denen man eigentlich vertrauen sollte, ist eine der schwierigsten Herausforderungen überhaupt. Gleichzeitig sind Insiderbedrohungen etwas mit dem sich Privatwirtschaft und Industrie ernsthaft auseinandersetzen sollten. Das bedeutet im Umkehrschluss, Firmen müssen in der Lage sein, alle potenziellen Veränderungen im Nutzerverhalten zu überwachen, die gegebenenfalls auf einen Insider verweisen. Gleichzeitig sollten Unternehmen ihre Systeme so aufsetzen, dass eine einzige Person niemals auf sämtliche Ressourcen zugreifen kann ..."

Will man sich gegen Insiderbedrohungen schützen, hilft es das Benutzerverhalten kontinuierlich zu beobachten und im Hinblick auf Abweichungen und Anomalien zu überwachen. Wenn es darum geht, dass entweder ein Staat oder eine kriminelle Gruppierung in ein mit dem Internet verbundenes Netzwerk gelangen wollen, wird ihnen das in aller Regel gelingen. Daran lässt Carlin keinen Zweifel. Hier hinken die Verteidigungsmechanismen den Möglichkeiten der Angreifer hinterher. Langfristig betrachtet ist Carlin durchaus optimistisch, was allerdings die nähere Zukunft anbelangt, sollte man es Hackern so schwer wie möglich zu machen an sensible Informationen und Daten zu gelangen. Daten und Informationen, die sich zu Geld machen lassen. Eine dieser Strategien ist es, Datenschutzvorfälle in einem sehr frühen Stadium aufzudecken und den Umfang der Daten zu minimieren auf die ein Hacker potenziell zugreifen kann. Forensische Methoden sollten dazu beitragen, die Schuldigen schnell zu identifizieren und dingfest zu machen.

Varonis CEO, Yaki Faitelson, sagte: "Absolute Sicherheit wird es nie geben. Dafür aber Angreifer, die entweder selbst die erforderlichen Ressourcen für einen Zero-Day-Exploit haben oder sie sich beschaffen können. Und damit stehen ausreichend Mittel und Wege zur Verfügung um ins Innere eines Netzwerks zu gelangen. US Assistant Attorney General Carlin räumt gründlich auf mit der Idee einer unüberwindbaren Verteidigungslinie an der Netzwerkgrenze (die dann ohnehin kurz davor wäre, die betreffenden Systeme von der Internetverbindung abzuschneiden).

Für die weitaus meisten Firmen stellt sich eher die Frage, was man tun kann, um es Hackern so schwer wie möglich zu machen. Am besten so schwer, das der Zeitaufwand zu hoch wird. Die Erfahrung lehrt, dass es hilfreich ist, das Nutzerverhalten insbesondere die Zugriffsaktivitäten nahezu in Echtzeit zu überwachen. In vielen Fällen reicht das schon aus, um eine Attacke zu stoppen, bevor es den Angreifern gelingt Daten abzuziehen. Mit anderen Worten: Die Hacker haben es vielleicht bis ins Netzwerk geschafft, aber es gibt Methoden damit sie nicht wieder herauskommen (und die betreffenden Daten auch nicht).
(Varonis: ra)

eingetragen: 09.12.16
Home & Newsletterlauf: 23.12.16


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Große Zahl ungesicherter IoT-Geräte

    DDoS-Angriffe haben sich in den letzten sechs Monaten nahezu verdoppelt. Laut einer Studie von Corero Network Security entspricht das einem monatlichen Mittel von 237 Angriffsversuchen. Einer der Gründe für den Anstieg liegt in der hohen Zahl einfach zu übernehmenden IoT-Geräten, die zumeist nur unzureichend geschützt sind. Diese "smarten" Geräte eignen sich dann ganz vorzüglich um zu einem Teil eines riesigen Botnets zu werden. Dieses Problem wird sich weiter verschärfen. Dazu muss man nur an die unzähligen Gadgets für Endverbraucher denken, die etwa in der Weihnachtszeit über die physischen und virtuellen Ladentische gewandert sind. Diese Geräte sind eines der vordringlichen Ziele für die Übernahme durch Hacker. Neben den Bedenken, die man im Hinblick auf die Sicherheit der Privatsphäre und vertraulicher Daten hegen kann gibt es noch eine ganze Reihe von weiteren ernsthaften Gefahren, die mit diesen Geräten verbunden sind. Hacker machen sich unsichere IoT-Geräte zunutze um riesige Bot-Netze aufzubauen und DDoS-Attacken zu lancieren. Unsichere IoT-Devices waren in einigen der größten DDoS-Angriffe auf Online-Plattformen innerhalb der letzten Jahre beteiligt. Es spielt bei DDoS-Angriffen keine Rolle, wie groß ein Unternehmen ist. Gefährdet sind alle. Und sollten entsprechend Sorge tragen, was die Sicherheit ihrer Geräte, Daten und Netzwerke anbelangt.

  • A fool with a tool

    Unternehmen stehen heute vielfältige Sicherheitslösungen zur Verfügung. Doch ein Sammelsurium aus technischen Einzelmaßnahmen kann nur bedingt gegen Angriffe schützen. Vielmehr benötigen Unternehmen eine Informationssicherheitsstrategie, gestützt auf Prozesse und Tools die es einem Unternehmen ermöglichen, Informationssicherheit effizient und effektiv zu managen. Der Schlüssel zum Erfolg wird dabei im richtigen Mix aus Menschen und deren Fähigkeiten, Prozessen und Tools liegen. Nur so wird es Unternehmen gelingen proaktiv zu agieren und durch Antizipation zukünftiger Bedrohungen und entsprechender Vorbereitung die richtigen Maßnahmen zum Schutz ihrer sensiblen Daten zu treffen.

  • Was ist Certificate Transparency?

    Möglicherweise haben Sie schon vor einigen Jahren von Certificate Transparency (CT) gehört, als Google die Anforderung für alle Extended Validation (EV) SSL/TLS-Zertifikate ankündigte, die nach dem 1. Januar 2015 ausgestellt worden sind. Seitdem hat Google die Anforderung auf alle Arten von SSL-Zertifikaten ausgedehnt und zuletzt eine Frist bis zum April 2018 gesetzt. Zertifikaten, die nicht CT-qualifiziert sind und die nach diesem Datum ausgestellt werden, wird in Chrome nicht vertraut. GlobalSign hat im Hintergrund bereits daran gearbeitet, dass alle Zertifikate mit CT ausgestattet werden - Extended Validation (EV) seit 2015, Domain Validated (DV) seit August 2016 und Organisation Validated (OV) ab Oktober 2017 - GlobalSign-Kunden sind damit für den Fristablauf seitens Google gerüstet.

  • Wo ist der Authentifizierungsprozess fehlbar?

    Ich habe den größten Teil meines beruflichen Lebens damit verbracht Authentifizierungslösungen zu programmieren, zu implementieren, weiterzuentwickeln und zu patentieren. Daher nehme ich mir das Recht heraus zu sagen, letzten Endes funktioniert Authentifizierung einfach nicht. Mit "funktionieren" im engeren Sinne meine ich, dass es zu 100Prozent garantiert ist, dass es sich tatsächlich um eine vertrauenswürdige Identität handelt, wenn eine Benutzeridentität von einer Authentifizierungslösung an den betreffenden Partner weitergeleitet wird. Und genau das lässt sich nicht garantieren. Es lässt sich belegen, dass und wie der eigentliche Validierungsprozess innerhalb der Authentisierung funktioniert. Das bedeutet, wir verifizieren mathematisch und empirisch, dass die von einem Authentifizierungsmechanismus zusammengestellte Entität mit den Werten übereinstimmt, die in der Datenbank des akzeptierenden Dritten gespeichert sind, also "matched". Das kann ein Passwort sein, ein Einmal-Passwort, OTP, X.509-basierte Verschlüsselung, biometrische Merkmale, mobile Push-Werte oder eine Gesichtserkennung. In einem Satz: Der Authentisierungsprozess lässt sich validieren und damit auch, dass das technische System korrekt arbeitet.

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.