Management und Wissen / Sicherheits-Prognosen
Kristallklar verschwommen
IT-Security-Prognosen und ihre Auswirkungen auf Business und BCM
Schon oft lagen Vorhersagen in Sachen IT ziemlich daneben – sind realische mittelfristige IT-Security-Prognosen überhaupt möglich? Nichts Genaues weiß man nicht! Und dennoch braucht es den Blick in die Kristallkugel, um frühzeitig Weichen zu stellen und die eigene Strategie auf erwartete Veränderungen anzupassen – nicht zuletzt im Business-Continuity- Management (BCM).
Von Sebastian Broecker, Bad Soden
Wer sein Business am Laufen halten will, braucht Prognosen – auch wenn die gelegentlich mehr oder weniger an der zukünftigen Realität vorbeigehen können (vgl. Kasten auf S. 12). Der vorliegende Beitrag versucht einzuschätzen, was vorerst gleich bleiben und was sich in Bälde ändern dürfte – und ergründet die Auswirkungen auf das Business beziehungsweise dessen Erhalt im Sinne des Business-Continuity-Managements (BCM).
Was bleibt?!
Some Things never change, heißt es in einem Lied von Chris de Burgh – dieses Zitat gilt vermutlich nicht nur für die Erfahrungen des Sängers, sondern auch für (Beschränkungen der) IT-Security-Awareness. Schon 2000 erlangte das Computervirus „Loveletter“ große Bekanntheit, als es via psychologisch gut gewählter Liebeserklärung per Betreffzeile in E-Mails die Neugier der Betroffenen weckte – und dabei einen wenig liebevollen Malware-Anhang verbreitete.
Nachdem dieses „Virus“ (eigentlich ein Wurm, doch wen interessiert dieses Detail?) für hohe Schäden in zahlreichen Firmen gesorgt hatte, warnte man damals in „Awarenessmaßnahmen“ die Anwender vor solchen Nachrichten und Attachments. Nur wenige Wochen später gab es dann eine Variante der Malware, die im Betreff eine wichtige Information zum Loveletter-Virus als Attachment ankündigte – in Wirklichkeit aber ebenfalls Malware verbreitete. Auch diese Warnung vor Loveletter wurde von den Mailempfängern häufig geöffnet und das malwarehaltige Attachment aktiviert.
15 Jahre später verbreitet sich die Verschlüsselungsmalware Locky per E-Mail: Statt eines Liebesbriefs sind diesmal Rechnungen mit Malwareinhalt beigelegt – auch hier kam es zu schweren Schadenfällen in Deutschland. Wieder wurden die User aufgeklärt, dass sie vorsichtig mit Attachments umgehen sollten, die sie nicht erwarten – zum Beispiel mit Rechnungen einer Ludwigsluster Wurstfabrik (was je nach Sichtweise mehr oder weniger originell ist als ein Liebesbrief). Prompt verbreitete sich kurze Zeit später trotz aller Bemühungen ein angeblicher Hinweis des Bundeskriminalamts (BKA), dessen Attachment vor dem Lockyvirus warnt [5]. Auch hier enthielt die Warnung erneut selbst Malware – ganz analog zum „historischen“ Vorbild der Warnung vor dem Loveletter-Virus. Anscheinend ist das Verständnis für Gefahren in den letzten 15 Jahren also nicht besser geworden – für die Ausbildung von IT-Security-Awareness scheint es allen Bemühungen zum Trotz eine Obergrenze zu geben.
Die vielen Vorfälle mit Verschlüsselungs-Malware in den letzten Monaten zeigen noch etwas anderes, vielleicht Erschreckenderes: IT-Security ist selbst bei Betreibern kritischer Infrastruktur noch nicht richtig „angekommen“ – so etwa im Gesundheitswesen. Denn mehrere Krankenhäuser in Deutschland, aber auch in anderen Ländern wie den USA, wurden kürzlich durch Verschlüsselungs- Malware (sog. Ransomware) lahmgelegt [6].
Hier scheinen grundlegende Security-Prozesse nicht zu funktionieren – und zwar durchaus über die Awarenessbildung hinaus. Und solches Prozessversagen findet man leider überall: So wollte etwa der japanische Energiekonzern Tepco (bekannt als Betreiber der Fukushima- Kraftwerke) Medienberichten zufolge entgegen aller Vernunft bis 2019 darauf verzichten, auf 48 000 PCs seiner Angestellten das seit Monaten nicht mehr mit Updates versorgte Betriebssystem Windows XP zu erneuern [7] – dessen Laufzeitende wurde bereits vor 7 Jahren von Microsoft angekündigt. Bedenkt man, dass Tepco laut Wikipedia 27 % von Japan mit Energie versorgt, so kann letztlich durchaus das Wohl und Wehe des gesamten Landes davon abhängen, es Hackern nicht zu leicht zu machen, in die Stromversorgung einzugreifen.
Ein solches Verhalten erscheint unfassbar und unverantwortlich. Es ist zugleich ein eindeutiges Indiz dafür, dass IT-Sicherheitskonzepte bei manchen Unternehmen auch im Jahr 2016 noch immer in den Kinderschuhen stecken – und das, obwohl etwa das BSI schon 2005 darauf hinwiesen hatte, dass circa 30 % der Angriffe gegen Schweizer Unternehmen auf veraltete Betriebssysteme zurückzuführen waren [8].
Was wird?
Betrachtet man erneut die Entwicklung des Malwaredesigns, so lässt sich eine deutliche Zunahme der Komplexität beobachten – bei Verschlüsselungsmalware (z. B. Locky, Teslacrypt usw.) sieht man eine klare „Evolution“ der offensiven Fähigkeiten. Nach den großen Angriffswellen Ende 2015 und Anfang 2016 haben die meisten Firmen Mitarbeiter und Support verstärkt aufgefordert, auf ungewöhnliche Dateiendungen wie „.xxx“ zu achten (die ein klarer Indikator für Kryptolocker-Malware sind). Als Gegenmaßnahme entwickelten die Virenschreiber Kryptolocker, welche die Endung einer verschlüsselten Datei (z. B. „.doc“) so belassen, wie sie vorher war, was viel weniger auffällt.
Dies war jedoch noch nicht das Ende der Evolution dieses Malwaretyps: Um Virenscannern zu entgehen, wird inzwischen mittels der Windows Power Shell der Schadcode nicht wie vorher (als Download) auf der Festplatte gespeichert, sondern direkt im Speicher „gezündet“ (vgl. [9]). Und die nächste Generation der Kryptolocker nistete sich erst auf den Rechnern ein, ohne etwas zu tun, um zunächst dem Angreifer eine Rückmeldung zu geben, wie wertvoll beziehungsweise kritisch die gefundenen Daten sind, die verschlüsselt werden könnten (z. B. medizinische Daten im Krankenhaus). Gleichzeitig wird Ransomware in zahlreichen Varianten publiziert (von Locky gibt es über 60), teilweise mit Mutationsgeschwindigkeiten von wenigen Stunden, sodass Hersteller von Anti-Virus-Lösungen mit dem Ausliefern passender Signaturen nicht mehr nachkommen.
Neben der technischen Evolution der Angriffstools gibt es weitere riskante Aspekte. Dazu gehört das Verschieben der Ziele: Angriffe auf Teile der kritischen Infrastruktur werden alltäglicher. Egal ob ein US-Krankenhaus 15.000 US-$ Lösegeld für die eigenen Daten zahlt oder in der Ukraine vor einigen Monaten durch einen professionellen Angriff die Stromversorgung von zehntausenden Einwohnern gekappt wurde – derartige Vorfälle sind mittlerweile weltweit zu beobachten. Mal sind die Täter Kriminelle, die es auf Geld abgesehen haben, mal sind es staatlich gesteuerte Angriffe, wie im Falle der Stuxnet-Malware. Eine Ethikgrenze scheint es dabei nicht zu geben und man darf sich fragen, was geschähe, wenn demnächst beispielsweise die IT-Steuerung von Staudämmen oder AKWs Opfer eines Angriffs würde.
Die soeben erwähnten staatlichen Angriffen, die meist über unglaubliche Ressourcen und Insiderinformationen zu Zero-Day-Attacken verfügen, bewirken noch eine weitere Gefahr: nämlich die der Wissensdiffusion. War die Software des Stuxnet-Virus vor 6 Jahren noch ein „Hacker- Kunstwerk“ gewesen, das normale Angreifer unmöglich erstellen konnten (man geht von 10 Millionen Dollar Entwicklungskosten aus), so war nur wenige Monate nach der Enttarnung von Stuxnet der zugehörige Programmcode im Internet zu finden – und konnte so mit deutlich weniger Ressourcen einfach umgeschrieben werden.
Staatliche Dienste (wie das US-amerikanische FBI oder die NSA und viele weitere) kaufen, wie man oft in der Presse lesen kann, Zero-Day-Exploits auf, um sie zu benutzen. Teilweise werden Hersteller genötigt oder gezwungen, Hintertüren in ihre Produkte einzubauen, die staatlichen Stellen einen erleichterten Zugriff auf PCs, Tablets und Smartphones von potenziellen Kriminellen ermöglicht. Doch lässt sich solches Wissen wirklich geheim halten?
Gerade wenn man sieht, dass alle großen Industrieländer militärische Hackerteams aufbauen, die aus Tausenden Cyber-Soldaten bestehen, sollte man nachdenklich werden. Selbst Deutschland plant heute eine militärische Cybertruppe mit 14 500 „Mann“. Werden alle diese Soldaten Zugang zu Datenbanken mit Zero-Day- Exploits bekommen? Kann man sicher sein, dass jedes einzelne Mitglied dieser sehr großen Gruppe sein Wissen nicht außerhalb von militärischen Aufträgen nutzt?
Ein anderes Risiko ist der Digitalisierungsdruck: Auf Konferenzen kann man immer wieder die These großer Firmen hören, dass die Markteinführung von neuen Systemen und Schnittstellen wichtiger ist, als Datenschutz und Sicherheit. Natürlich gibt es einen Marktdruck und viele Firmen, die den Zug der Zeit verpasst haben, existieren heute nicht mehr (oder nur noch als Schatten ihrer selbst). Dennoch bleibt die Frage, ob unsichere Produkte nicht ebenfalls – sei es über Marktdruck, Reputation oder gar Sammelklagen – das Ende einer Firma bedeuten können. Kürzlich konnte man den Nachrichten entnehmen, dass ein Medikamentenverteilsystem für US-Krankenhäuser bei einem Penetrations-Test rund 1500 Sicherheitslücken aufwies, von denen ein Drittel sogar kritisch und aus der Ferne ausnutzbar war – ein eigentlich unvorstellbar schlechtes Ergebnis für ein System, von dem Gesundheit und Menschenleben abhängen.
Zusammenfassung
Angriffe werden also immer besser – das ist zwar nichts Neues, neu ist allerdings die Geschwindigkeit dieser Entwicklung: Mutationsraten bei Malware im Stundenbereich machen eine Verteidigung sehr schwer. Parallel dazu beobachtet man, dass Angriffe zunehmend auf kritische Infrastruktur abzielen: Ohne jegliche ethische Bedenken werden gezielt auch Krankenhäuser und Stromanbieter attackiert – teilweise erscheinen solche Angriffe sogar als mit sehr großen Ressourcen staatlich initiiert.
Staatliche Angriffe bewirken zudem eine strategische Schwächung der IT, da heikles Wissen von den Besitzern großer Ressourcen in die normale Hackergemeinschaft diffundiert. Gleichzeitig ist die Awareness trotz zahlreicher Bemühungen, Wissen zum Schutz der Systeme zum User zu tragen, verbreitet nicht signifikant gestiegen.
Die Kombination von steigender Aggressivität und Professionalität der Angriffe erreicht inzwischen völlig neue Dimensionen, denen häufig ein stagnierendes Sicherheitsniveau in den Köpfen der Anwender, aber auch der Manager gegenübersteht – dies bewirkt eine Änderung des Status quo. Das bisherige Modell einer Burgmauer (bestehend aus Firewall, Virenscannern usw.) ist längst brüchig geworden. Doch heute muss sich nahezu jede Organisation bewusst sein, dass erfolgreiche (durchdringende) Angriffe sehr wohl möglich – wenn nicht sogar wahrscheinlich – geworden sind.
Folgerungen für das BCM
All dies birgt auch neue Herausforderungen für das BCM: Vormals eher abstrakt denkbare Angriffe besitzen heute eine reale Wahrscheinlichkeit. Daher sind mehrere Dinge notwendig, damit die Business-Continuity bei einem Sicherheitsvorfall gewährleistet bleibt.
Rechtzeitige Detektion und Reaktion
Um die Schäden gering zu halten und eine – wenn auch vielleicht nur eingeschränkte – Fortführung der Geschäftsprozesse bei einem Incident zu gewährleisten, muss die IT-Infrastruktur eines Unternehmens einen Angriff schnell detektieren können, um zum Beispiel Netzwerksegmente ausschalten zu können.
Dies bedeutet, dass Maßnahmen wie ein Security- Information- und -Event-Management (SIEM) selbstverständlich sein müssen. Ein SIEM muss jedoch hinreichend vernetzt und personell ausreichend besetzt sein, um die nötigen Auswertungen auch zeitnah vornehmen zu können (s. a. S. 50). Die Experten für die Angriffserkennung sollten dann auch eng mit dem BCM zusammenarbeiten (Meldewege), damit sich auch Teilausfälle schnell beheben lassen und strategisch beim BCM eine angemessene Risikowahrnehmung (Bedrohungslage) ins Bewusstsein gelangt, was langfristige BCM-Maßnahmen beeinflussen kann.
Ausbildung von Resilience
Das BCM erhält eine neue Rolle, nämlich die des Security-Treibers: Denn Ausfälle werden nicht nur wahrscheinlicher, sondern auch „intensiver“ und somit auch teurer (z. B. aufgrund von Downtime). Das BCM sollte daher auf die Geschäftsführung einwirken, damit Maßnahmen wirklich umgesetzt werden – wie etwa der Einsatz aktueller Betriebssysteme oder eben eines SIEM.
Die damit verbundenen – und gut abschätzbaren – Zusatzkosten sowie erwartete Kosten von erfolgreichen Attacken (was kostet es z. B., wenn eine Ransomware ganze Netzlaufwerke lahmlegt, und was bedeutet das für die Geschäftsprozesse?) würden die Forderungen der IT-Security stark unterstützen. Eine Zusammenarbeit zwischen IT-Security (im Sinne des Verteidigers) und BCM (im Sinne der Betriebswiederaufnahme) ist somit heute wichtiger denn je!
Umdenken auf allen Ebenen
Die Sicherheitslage der nächsten Jahre wird sich deutlich verschärfen – das zeigen die geschilderten Vorfälle sehr klar. Gleichzeitig verstehen die Entscheider oft noch immer nicht, dass wir nicht mehr dieselbe Situation wie vor vielleicht 10 Jahren haben, in der Schutzmaßnahmen wie Virenscanner und Firewall ausreichten.
Umfassende Sicherheits-Prozesse müssen inzwischen genauso wie ein SIEM „Standard“ sein. Dies sollte vom BCM-Verantwortlichen unterstützt werden: Denn nur wenn Organisationen (vor allem im Bereich der kritischen Infrastruktur) erkennen, dass die Bedrohungslage sich radikal gewandelt hat und Ressourcen in die Hand genommen werden müssen, um „am Leben“ zu bleiben, wird eine ausreichende Resilience möglich sein, um den Bedrohungen der Zukunft zu begegnen.
Fazit
Diese Kristallkugelschau hat ein düsteres Bild auf die Zukunft der IT-Sicherheit geworfen. Vielleicht ändern sich überraschend einige der Aspekte, die hier prognostiziert wurden (und Anwender öffnen z. B. keine Wurstrechnungs-Attachments mehr), doch viele erwartete Entwicklungen (wie die Professionalisierung von Angriffen gegen die kritische Inrastruktur) dürften als „Kurzzeit-Extrapolation“ aktueller Beobachtungen allzu realistisch sein.
Die Hoffnung stirbt zuletzt – wer vermag schließlich wirklich weit in die Zukunft zu blicken? Der Präsident einer Staubsaugerfirma hat 1955 vorausgesagt: „Staubsauger, die durch Kernkraft angetrieben werden, sind vermutlich in zehn Jahren Realität“ – zum Glück traf das nie ein. Doch wer will sich schon in Sachen IT und Sicherheit auf Hoffnung und Glück verlassen?
