Datendiebstahl: Sparen Sie sich Investitionen, mit denen Sie sowieso nur ein Kartenhaus bauen
Datendiebstähle sind ein digitales Übel, das das ohnehin unsichere Versprechen der Computertechnik im frühen 21
TweetJahrhundert heftig beschädigt. Jede Woche lesen wir über neue Datendiebstähle, weiteres Schrapnellfeuer in einem Krieg, von dem nicht genügend Menschen erkennen, dass sie schon mittendrin stecken. Experten machen unzureichende Sicherheitsvorkehrungen dafür verantwortlich; Regulierungsbehörden und Regierungen hoffen, dass die Datenschutz-Grundverordnung (GDPR) der EU und vergleichbare Regelungen das Monster an die Kette legen; und große Unternehmen haben lange einfach den Kopf in den Sand gesteckt. Anfang der 2000er Jahre ist die Anzahl der Datendiebstähle dramatisch in die Höhe geschossen. Der Grund waren drei technologische Veränderungen: ein deutlicher Anstieg in der Menge der Daten, der Zusammenschluss vieler kleinerer Datenbanken zu größeren und die Erreichbarkeit dieser Datenbanken in den Netzwerken und über das Internet. Aus heutiger Sicht stellt sich nicht so sehr die Frage, warum es zu so vielen Datendiebstählen kommt, sondern eher, warum das niemand kommen sah. 2005 verzeichnete das Privacy Rights Clearinghouse 136 Datendiebstähle in den USA, bei denen 53 Millionen Datensätze betroffen waren. 2015 lag die Zahl bei 805 Datendiebstählen und 217 Millionen betroffenen Datensätzen; zwischen 2006 und 2016 kam es zu insgesamt 5.015 Vorfällen. Und das sind nur die Zahlen für die USA, das Land mit den schärfsten Berichtspflichten weltweit. Der Verdacht liegt nahe, dass andere Länder sang- und klanglos in noch größerem Umfang betroffen sind. Das beschämende Ergebnis: 2014 gab es Vigilante.pw zufolge 183 bekannte „Depots“ online, über die gestohlene Daten zugänglich waren. Man könnte nun denken, dass die technischen und menschlichen Fehler, die die Datendiebstähle erst ermöglichten, inzwischen korrigiert sind. Aber das ist nicht der Fall. Trotz vieler Verbesserungen führt das gewaltige Anwachsen der Daten dazu, dass die Unternehmen kaum noch hinterherkommen. Was läuft also immer noch schief?
Schlecht investiert
Paradoxerweise sind die Ausgaben für Sicherheit im letzten Jahrzehnt rasch angestiegen, denn die Unternehmen investierten in leistungsfähige Firewalls, in IDS- und IPS-Systeme und in eine Fülle an Produkten zum Schutz der Endpunkte. Man könnte inzwischen aber meinen, dass all diese Investitionen nichts gebracht haben. Eine Sicherheitsinfrastruktur ist zum Scheitern verurteilt, wenn sie einfach nur eine nachträgliche Maßnahme ist. Nach und nach haben die Firmen erkannt, dass Sicherheitssysteme nicht Teil der Netzwerke sind - sie sollten das Netzwerk sein. Das heißt, sie sollten auf jeder Ebene wirken, sie sollten integriert und automatisiert sein und strategisch ausgewählt werden und nicht als „Flicken“, den man aufbringt, nachdem etwas schief gegangen ist.
Sicherheitslücken in Software
Auch wenn es nervt, es immer wieder zu lesen: Softwarefehler sind ein Riesenproblem, die Fehler zu beheben ist eine Sisyphusaufgabe. Zwar hat sich die Verfügbarkeit von Patches deutlich verbessert, seitdem die großen Anbieter auf strukturierte Prozesse setzen und Prämien für das Finden von Bugs aussetzen. Aus operativen Gründen implementieren viele Unternehmen die Patches aber nicht umgehend. Viel zu viele alte Schwachstellen sind immer noch in einer Reihe von Systemen vorhanden, über die Kriminelle eindringen und jede Menge Schaden anrichten können.
E-Mail als Schwachstelle
E-Mail ist nach wie vor ein erschreckend simpler Zugang, über den Angreifer hinter den Sicherheitsperimeter gelangen. Das Grundproblem ist: Unabhängig davon, wie aufwendig man während der Übertragung und auf dem PC E-Mails filtert und Anhänge scannt, irgendwann müssen die Mitarbeiter mit den E-Mails interagieren. Es braucht nur das Öffnen einer manipulierten PDF-Datei oder einen Klick auf einen Phishing-Link, und schon startet Malware, die beispielsweise das Netzwerk scannt, Anmeldedaten stiehlt oder als Ransomware das System verschlüsselt. Durch die prinzipielle Offenheit von E-Mail wird jeder einzelne PC eine kleine Risikoinsel.
Verwundbare Anmeldedaten
Liegt das Problem mit den Anmeldedaten darin, dass sie so einfach zu stehlen sind, oder darin, dass die Mechanismen selbst auf statischen Logins mit lausiger Authentisierung basieren? Suchen Sie sich’s aus. Verizon jedenfalls fasste die zentrale Rolle der Anmeldedaten bei zahlreichen Datendiebstählen im Data Breach Investigations Report (DBIR) von 2016 so zusammen:
„In zahlreichen Vorfallsklassifizierungsmustern spielt das Abfangen und/oder die wiederholte Verwendung der gleichen Anmeldedaten eine Rolle. Dies wird sowohl in präzise gezielten Angriffen als auch in opportunistischen Malware-Infektionen ausgenutzt. Es gehört ins Standardrepertoire organisierter Kriminalität ebenso wie in das von staatlichen Angreifern.“ Bei 63 Prozent der untersuchten Datendiebstähle wurden irgendwann kompromittierte Anmeldedaten genutzt. Dabei kamen schwache Passwörter oder voreingestellte Passwörter zum Einsatz oder aber gestohlene.
Daten, eine leichte Beute
Allen publik gewordenen Datendiebstählen ist eins gemeinsam: Der Großteil der Daten war nicht verschlüsselt. Regelwerke wie der Zahlungsverkehrsstandard PCI DSS verlangen, dass die Kreditkartendaten verschlüsselt gespeichert werden; aber selbst wenn sie kompetent gehasht wurden (also nicht reversibel), dürfen die zugehörigen Kundendaten im Klartext gespeichert werden. Dem DBIR-2016-Bericht von Verizon ist die interessante Beobachtung zu entnehmen, dass viele Mitarbeiter auf Daten zugreifen, die sie für ihre Arbeit nicht benötigen. Damit riskieren die Unternehmen, eine rote Linie zu überschreiten - denn das sagt viel aus darüber, wie die Unternehmen Daten verarbeiten, ohne sie abzusichern.
Missbrauch von Zugangsrechten Zugangsdaten sind seit jeher wertvoll. In einer Zeit des organisierten, gezielten Hackings werden Nutzerkonten mit besonderen Zugangsrechten zu der wertvollsten Ressource. Die Nutzung solcher Zugangsrechte liegt zahlreichen umfangreichen Datendiebstählen zugrunde - das ist einer der Gründe, warum sie überhaupt ein solches Ausmaß angenommen haben. Viele Unternehmen erweisen sich als verletzbar für den Missbrauch von besonderen Zugangsrechten, denn deren Verwaltung hat sich im Lauf der Zeit sozusagen organisch entwickelt. Privilegierte Nutzerkonten sind ein gefährliches Element in der Netzwerksicherheit, sie müssen wie Porzellan behandelt werden.
Fehlende Einbruchsmelder
Auch wenn die Systeme bestmöglich geschützt sind, wird es doch zu Einbrüchen kommen. Das muss aber kein Grund zur Verzweiflung sein. Viele Unternehmen stopfen ihre Netzwerke voller Sicherheits-Tools, die Angriffe von vornherein abwehren sollen, vergessen aber, dass eine bessere Verteidigungsstrategie auf das Prinzip der Sichtbarkeit setzt. Einbruchserkennungsprozesse gehen davon aus, dass Datendiebstahl unvermeidbar ist. Deshalb kommt es darauf an, zum einen zu verhindern, dass kleinere Einbrüche sich zu großen auswachsen, zum anderen Insiderbedrohungen zu reduzieren und das Ausmaß eines Einbruchs einschätzen zu können, sobald man ihn entdeckt. Derzeit erfahren zu viele Firmen erst von einem Einbruch, wenn ihre Daten online gepostet werden oder wenn Kunden weitere Angriffe melden.
Ein Fazit - oder etwas in der Art
In gewisser Weise haben Unternehmen den falschen Kampf gekämpft. Sie gingen davon aus, dass es wichtig ist, das Netzwerk zu schützen, und gaben Unsummen für Hard- und Software aus. Langsam dämmert ihnen, dass die Kriminellen die ganze Zeit hinter den Daten her waren.
