Risikofaktor unsichere Infrastruktur
von Kunden und Lieferanten
In den vergangenen 3 Monaten habe ich, Rüdiger Henrici, Gründer und Inhaber von [j]karef GmbH, unendlich viele Gespräche mit Geschäftsführern und IT-Leitern aller möglichen Unternehmen geführt. Anlass war in der Regel das Auffinden von Sicherheitslücken in der Web-Infrastruktur dieser Unternehmen.
Neben dem Umstand, dass es nicht unbedingt erfreulich ist, mit der Nachricht über Unsicherheiten im Firmennetz überrascht zu werden, hatte ich am Ende der meisten Gespräche das Gefühl, über Vorgänge gesprochen zu haben, die sich dem Verständnis des Gegenübers leider vollständig entziehen.
Für mich besonders erstaunlich in diesen Gesprächen war der Umstand, dass das Thema IT-Sicherheit innerhalb der Unternehmen nur in der IT ganz selbstverständlich adressiert wird. Durch die IT-Abteilungen wird je nach Unternehmensgröße auch ein erheblicher Aufwand für die Sicherheit der internen IT Infrastruktur betrieben.
Vollständig anders sieht es dagegen bei der Sicherheit von webbasierten Anwendungen aus, welche als "extern" zur "internen" IT Infrastruktur behandelt werden.
Ich nenne dies den Blind Spot von Unternehmen. Die Ursachen sind vielfältig. Eine der Hauptgründe für die massiven Sicherheitslücken, die wir beobachten, liegt in der Fragmentierung der Dienstleistungen, die oft unternehmensextern, von Webagenturen oder spezialisierten eCommerce Agenturen, erbracht werden.
Der starke Fokus dieser Dienstleister auf der Verwendung von opensourcesoftware Produkten hat darüber hinaus zu einer Konzentration auf wenige gut bekannte Produkte geführt. Diese Produkte sind aber nicht nur bei den Nutzern, sondern auch bei Angreifern gut bekannt. opensourcesoftware Produkte stehen in dem Ruf, preiswert und sicher zu sein. Dass sie durch eine große Community gepflegt werden, die auch entsprechend schnell auf Sicherheitslücken reagieren kann, ist neben dem Preis eines der Hauptargumente für ihren Einsatz.
Richtig ist, dass Open Source Produkte eine hohe Qualität und einen geringen Preis haben. Für die laufenden Betriebskosten gilt diese Annahme nicht:
Ein Grund für die schlechte Sicherheitsbilanz ist aus meiner Sicht die mangelnde Budgetierung der Anwendungen. Schlecht gewartete Server und Anwendungen deuten auf ein falsches Verständnis bei der betriebswirtschaftlichen Betrachtung einer Webanwendung hin.
Der größte Fehler in der Einschätzung von Sicherheitsrisiken, die einem Unternehmen durch Webanwendungen drohen können, besteht jedoch in der Annahme, dass durch die häufig fehlende technische Verbindung zwischen Webanwendung und interne IT keine Gefahr besteht.
Das mag für kleine Unternehmen ohne digitales Geschäftsmodell stimmen - wobei ich auch Mailserver unter webbasierte Applikationen fassen würde.
Für Unternehmen, die Datenbanken und digitale Serviceleistungen im Netz anbieten, gilt dies jedoch nicht!
Die Gefahren beim Betrieb unsicherer Webanwendungen unterteile ich der Einfachheit halber in zwei Szenarien.
Szenario 1: Gefahren für Kunden und Betreiber der Webanwendungen, die sich direkt aus der Nutzung ergeben.
Dazu gehört die Verbreitung von Schadsoftware, Daten- und Identitätsdiebstahl, illegale Verbreitung krimineller oder pornografischer Inhalte, Risiko der Datenverfälschung, Unbrauchbarmachung der Server und Datenverbindungen, um nur einige zu erwähnen.
Weitere Taktiken und Szenarien finden sich unter https://attack.mitre.org/ .
MITRE ATT&CK® ist eine weltweit zugängliche Wissensbasis über Taktiken und Techniken von Angreifern, die auf realen Beobachtungen beruht. Die ATT&CK-Wissensbasis wird als Grundlage für die Entwicklung spezifischer Bedrohungsmodelle und -methoden im privaten Sektor, in der Regierung und in der Gemeinschaft der Cybersicherheitsprodukte und -dienste verwendet.
Szenario 2: Gefahren, die sich für die interne IT-Sicherheit eines Unternehmens ergeben. Dazu gehören Szenarien wie Erpressung durch Ransomware und den damit verbundenen Datenverlust. Diebstahl von Betriebsgeheimnissen, Unbrauchbarmachung der gesamten IT-Infrastruktur mit allen bekannten Folgen.
Für beide Szenarien würde ich noch zwei weitere Untergruppen nennen.
- Kurzfristige und schnell schädigende Angriffe
- Lang- und mittelfristige Angriffsszenarien
Die Szenarien unter 1. dienen in der Regel dazu, für die Angreifer einen schnellen Profit zu erzeugen. Ransomware Angriffe z.B. können für die Opfer teuer werden, sind aber nach der Bezahlung eines Lösegeldes (was nicht ratsam ist) oder der Wiederherstellung der Daten in der Regel beendet.
Zu den aus meiner Sicht gefährlichsten Angriffen, die wir in den nächsten 3 Jahren sehen werden, gehören die Szenarien aus Punkt 2. Diese Täter verfolgen langfristige Ziele. Die Motivation speist sich nicht zwingend aus Profitgier, sondern kann verschiedene weitere Gründe haben.
Einer der Hauptgründe ist Geheimnisverrat - womit das kontinuierliche Abgreifen von Informationen zu verstehen ist, die für die Entwicklung und/oder den Nachbau von Produkten verwendet werden können. Dazu gehört auch der Diebstahl von Finanzinformationen von Kunden oder des betroffenen Unternehmens.
Ein weiteres Szenario besteht im Diebstahl von Cryptokeys, oder Zertifikaten, die für weitergehende Kommunikation mit weiteren Opfern aus dem Umfeld der gehackten Webseite bestehen. Auch das Manipulieren von z.B.Quellcode einer Software Anwendung kann darunter fallen.
In diesen Bereich gehören auch Angriffe auf Unternehmen, die nicht zum eigentlichen Opfer des Angriffs werden, sondern als Ausgangspunkt für weitere kriminelle Aktivitäten der Angreifer dienen sollen. Server können dabei zu Zombie Rechner werden, die ferngesteuert für Angriffe auf Dritte genutzt werden können oder sie werden je nach Leistungsfähigkeit zur Homebase komplexer u. koordinierter Angriffe auf andere Unternehmen genutzt werden.
Die Zusammenarbeit mit Unternehmen, die Server mit potentiellen Sicherheitslücken betreiben, stellt daher ein hohes Risiko für alle Beteiligten dar.
Dies ist auch der Grund, warum auch kleine und mittlere Unternehmen Prävention zu einem wichtigen Teil ihres IT Alltags machen müssen.