Nichts gelernt und viel vergessen?!

Eigentlich sollte es doch ganz einfach sein: Kernsysteme mit wertvollen Daten sind besonders gut zu schützen. Leider ist es offenbar noch immer in ganz anderer Hinsicht ganz einfach: nämlich den Schutz solcher Systeme zu durchbrechen. Unser Autor räsoniert in einem Gastkommentar über vergessene Basics, vermeintlich komplizierte und teure Lösungen und wie einfach alles sein könnte.

Von Jason Hart, Camberley (UK)

Dieses Frühjahr gab es wieder einmal einen Fall von Datendiebstahl – keine große Überraschung, wenn man bedenkt, dass über solche Vorfälle beinahe täglich berichtet wird. Und dennoch unterstreicht dieser konkrete Vorfall einen besorgniserregenden Trend, der droht, viele Jahre guter Arbeit für den Schutz sensitiver Daten ad absurdum zu führen – zumindest, wenn wir alle uns nicht bald mit ihm und seinen Folgen befassen.

Worum ging es nun konkret? Um eine ernste Verwundbarkeit in der Facebook-App für Apple iOS, die es ermöglichte, Anmeldedaten abzugreifen, die im Klartext auf den iOS-Systemem gespeichert waren – ein Angreifer konnte so die vollständige Kontrolle über einen Facebook-Account erlangen, wenn er nur wusste, wo er suchen muss. Mit einem einfachen "Hack" ließ sich eine schlichte Textdatei von einem Gerät auf ein anderes kopieren, um Zugang zum gespeicherten Account und dessen Profil zu erlangen.

Facebook hat zwar prompt reagiert und diese Schwachstelle geschlossen. Doch allein schon die Tatsache, dass sie überhaupt auftrat und Facebooks ureigene App für iPhone und iPad Anmeldedaten nicht verschlüsselt, ist verblüffend genug. Man sollte meinen, die Wirtschaft hätte in den letzten Jahrzehnten der IT- und Internet-Sicherheits-Pannen, der Bedrohungen, kriminellen Aktivitäten und immer wieder auftretenden Panikattacken mehr gelernt. Doch der "Gedächtnisschwund", den solche Vorfälle vermuten lassen, zeigt sich auch an anderen Stellen, wo Organisationen der Problematik von Datenverlusten und Sicherheitsbrüchen mit mangelnder Sorgfalt oder Energie begegnen.

Einfach zum Ziel

Selbst wenn eine größere Zahl heute erfasster Vorfälle zum Teil auf eine höhere Meldebereitschaft zurückgehen mag, bleibt es dennoch sehr vielsagend, dass die 855 Sicherheitsbrüche, die der jüngste "Verizon Data Breach Investigations Report" aufführt, mit den zweithöchsten erfassten Datenverlusten – 174 Millionen Datensätze – der achtjährigen Geschichte dieser Veröffentlichung einhergehen (www.verizonbusiness.com/about/events/2012dbir/).

Dies deutet an sich schon klar darauf hin, dass die Strategien und Systeme zum Schutz der wertvollsten Daten nicht gut genug arbeiten. Tatsächlich sprechen die Autoren des Verizon-Reports sogar davon, dass 96 % der Angriffe weder besonders fortgeschritten noch hochkompliziert waren – 97 % der Sicherheitsbrüche wären vermeidbar gewesen.

Dass Angreifer dabei bevorzugt auf Server zielen, kann kaum erstaunen – schließlich sind dort die größten Datenmengen zu finden. Eine Zunahme der Datendiebstähle, bei denen Server betroffen waren, um 18 %-Punkte gegenüber dem Vorjahr – auf nunmehr 94 % – bleibt dennoch bemerkenswert. Schließlich waren es ja auch unbefugte Zugriffe auf Kernsysteme, welche die Attacken auf Sony, Steam und andere zuvor so schwerwiegend ausfallen ließen – da fragt man sich schon, was aus den schockierenden großen Vorfällen des Vorjahres gelernt und in der Folge in Sachen Datenschutz verbessert wurde.

Die Antwort scheint klar: nicht genug! Umso mehr, wenn man bemerkt, wie viele Vorfälle Daten betrafen, die entweder überhaupt nicht oder nur teilweise verschlüsselt waren. Auch nach SafeNet-Erkenntnissen treiben nur wenige Organisationen Krypto-Projekte voran, die sich auf die Daten in Kernsystemen beziehen – egal ob diese auf eigenen, virtualisierten oder sogar Cloud-Servern liegen. Es fehlt also gerade dort an passenden Maßnahmen, wo man den besten Return-on-Invest (ROI) für Datenschutz verwirklichen könnte. Stattdessen verlegen sich viele darauf, Verschlüsselung am Endpunkt voranzubringen statt auf Datenbanken und Netzwerken, obwohl doch ein Sicherheitsbruch an Kernsystemen das Potenzial für erheblich umfassendere Datenverluste birgt. Sicherheit, die nur den Perimeter, die Transportwege oder den Endpunkt im Auge hat, läuft jedoch ins Leere, wenn man nicht auch die Daten selbst schützt, egal wo sie gerade sind.

Das geht besser!

Wie lässt sich nun dieser offenbar tief verwurzelte Widerwillen brechen, umfassende Maßnahmen gegen Bedrohungen der Informationssicherheit umzusetzen? Die Antwort liegt – wieder einmal – darin, zu den "Basics" zurückzukehren und die Grundlagen des Datenschutzes zu wiederholen:

• Erstens: Passwörter abschaffen und durch solide Multi-Faktor-Authentifizierung ersetzen.
• Zweitens: Alle schutzwürdigen Daten überall verschlüsseln. Und damit sind wohlgemerkt nicht nur etwa finanzwirksame Daten gemeint, sondern die Definition "sensitiver Daten" sollte alles umfassen, was für das Unternehmen, seine Anwender und Kunden einen Wert besitzt – und somit auch für Cyberkriminelle reizvoll ist und Schaden verursacht, wenn es in falsche Hände gerät oder verschusselt wird.

Eine mögliche Erklärung, warum Organisationen diese Strategie ablehnen, ist die Wahrnehmung solcher Verfahren als kostspielig, kompliziert und "herausfordernd" in Management und Unterhalt – schon gar, wenn man sie im großen Maßstab betreibt. Tatsächlich ist jedoch eher das Gegenteil der Fall und das ist die Botschaft, welche die IT-Sicherheitsexperten in die Köpfe bringen müssen.

Denn Authentifizierungslösungen haben sich weiterentwickelt und bieten heute vielfältige Alternativen, die sich an verschiedene Szenarien und Budgets anpassen lassen. Darüber hinaus senkt die Möglichkeit, verschiedene Geräte über ein cloudbasiertes Authentication-as-a-Service (AaaS) zu managen, deutlich die Hürden und Bürden der Verwaltung einer Nutzerauthentifizierung in großen und geografisch verteilten Organisationen.

Ganz ähnlich sind auch Verschlüsselungsverfahren erschwinglicher und auch im großen Maßstab verwaltbarer geworden – und durch verbesserte Leistungsfähigkeit kann man wertvolle Informationen heute transparent verschlüsseln, ohne Geschäftsprozesse, die Datenbankperformance oder Anwender zu stören. Die Verwaltung unternehmens- oder konzernweiter Kryptoinfrastruktur wird durch neuere Key-Management-Software-Suiten unterstützt, die auch eine Vielzahl digitaler Schlüssel leichter handhabbar machen.

Die Fortentwicklung dieser Verfahren sollte ihre Anwendung in der Breite und Tiefe bestehender Kernsysteme erleichtern, wo immer Organisationen ihre Vorteile erfassen und annehmen. Sie sollten daher in künftigen Plänen für IKT-Infrastruktur einen festen Platz erhalten.

Allgemeine Mobilmachung

Kommt man auf das Eingangsbeispiel der Facebook-App zurück, so wird klar, dass dieser zweistufige Ansatz sich auch auf die "Post-PC"-Strukturen erstrecken muss, die rund um Cloudnutzung und Mobile Computing mit Tablets, Smartphones und anderen immer und überall vernetzten Geräten entstehen. Zunächst erschienen die Menschen gleichgültig gegenüber Sicherheitsrisiken auf diesen neuartigen Systemen – doch nun werden Bedrohungen zur Realität, seit Angreifer dem Pfad des Geldes folgen und ihre Aufmerksamkeit etwa iPads und ähnlichen Geräten widmen, die sowohl für private als auch für geschäftliche Aktivitäten zunehmend populärer werden.

Sicherheitsforscher haben bereits einen Anstieg von "Mobile Malware" erkannt: Beispielsweise stieg laut F-Secure die Zahl der Android-Schadprogramme von Anfang 2011 bis Anfang 2012 von 10 auf 37 – die Menge der bösartigen Apps wuchs im gleichen Zeitraum von 139 auf 3069. Interessanterweise scheint diese Zunahme die Antwort der Angreifer auf die erste Welle von Anti-Malware-Produkten zu sein, was den Schluss nahelegt, dass der "Rüstungswettlauf" nun auch in der mobilen Internetsicherheit begonnen hat. All diese Trends verstärken die Notwendigkeit, starke Verschlüsselung und Authentifizierung auch in Geräten und Apps vorzusehen.

Fazit

Auch wenn man angesichts der scheinbar unbegrenzten Fähigkeit zum Vergessen schmerzhafter, wenngleich lehrreicher Lektionen in IT-Sicherheit – inklusive der schockierenden Datenlecks des letzten Jahres – schier verzweifeln möchte, so gibt es doch Hoffnung. Denn die technischen Lösungen für diese Probleme sind weder notwendigerweise kompliziert noch teuer einzurichten oder zu betreiben – so werden die Hürden kleiner für einen allgegenwärtigen und effektiven Schutz von Daten, der dazu beitragen könnte, dass unsere digitale Wirtschaft und Gesellschaft aufblühen.

Jason Hart ist Vice-President Cloud Solutions bei SafeNet.