Bedrohung, Sicherheitslage "post Snowden"

Das Jahr danach

Die Aufregung um die Enthüllungen von Edward Snowden war und ist groß. Doch was hat sie letztlich bewirkt? Und wie sollten Unternehmen im "Jahr danach" ihre Investitionen in Sachen Sicherheit steuern? Welche Strategie deckt Unerwünschtes und aktive Angriffe auf?

Von Ramon Mörl, München

Edward Snowden hat im Sommer 2013 offenbart, dass die Nachrichtendienste in UK und USA mehr Daten sammeln als erwartet. Erleichtert wurde diese Sammelleidenschaft dadurch, dass der Netzwerkverkehr international weitestgehend unverschlüsselt stattfindet. So konnten (oder können) die Dienste nicht nur Verkehrsflussanalysen durchführen, sondern auch Kommunikations-Inhalte erfassen, archivieren und auswerten. Im Januar 2014 hat dann ein ARD-Interview mit Snowden die Bestätigung geliefert, dass gesammelte Daten "natürlich" auch zur Wirtschafts- und Industriespionage dienen.

Was hat sich im Markt real verändert? Bereits 2013 war eine deutliche Verlagerung der Investitionen zu spüren: IT-Sicherheitsbudgets wurden spürbar von geplanten Vorhaben abgezogen und in Netzwerkverschlüsselung investiert. In erster Näherung war das eine sinnvolle und zu erwartende Reaktion – doch jetzt ist es an der Zeit zu analysieren, wie sich diese Veränderung auf die gesamte IT-Sicherheit auswirkt.

Status quo ante

Klar ist, dass der prinzipielle Zweck eines Nachrichtendienstes darin besteht, Daten zu sammeln, diese auszuwerten und daraus notwendige Handlungen abzuleiten. Insofern werden die Dienste weltweit ihre Ziele und Verfahren beibehalten und die Staaten ihre Gesetzeslage nicht ändern – davon geht auch niemand aus.

Je nachdem, welche Ebene und Qualität der Netzwerk-Verschlüsselung gewählt wird und wie das Routing der Daten läuft, bleibt für die Dienste auch bei verschlüsselten Nachrichten erkennbar, wer mit wem wie oft wie viele Daten austauscht. Im Zuge der Snowden-Enthüllungen wurde ebenfalls publik, dass die NSA die Absender- und Empfänger-Daten von jedem Brief, der in den USA verschickt wird, aufbewahrt – hier nehmen wir an, dass die Inhalte vertraulich bleiben und nur die Hülle gescannt wurde. Eine Verschlüsselung des gesamten Netzwerkverkehrs würde uns jetzt quasi vom fehlenden Vertraulichkeits-Schutz einer Postkarte auf Briefniveau heben.

Taucht man tiefer in die Verfahren und Ziele der Dienste ein, zeigt sich, dass sie sich nicht mit Daten begnügen, die frei über das Netz gehen. Wir wissen, dass die gesammelten Massen-Daten nur der Einstieg zu einem mehrstufigen Vorgehensmodell sind: Auf dessen erster Stufe geht es darum, die interessanten Ziele zu identifizieren – je mehr Echtdaten man hat, umso besser kann man klassifizieren, ob es sich bei einem der beteiligten Kommunikationspartner um einen lohnenden "Kandidaten" handelt. Darüber hinaus werden natürlich Ziele eingesteuert, die per se interessant sind: Snowden hat der ARD die Frage, ob Firmen wie Siemens und Daimler auch aktiv als Ziele ausgespäht und die ermittelten Daten dann zur Wirtschaftsförderung in den USA verwendet würden, mit einem klaren "Ja" beantwortet.

Analyse des Vorgehens

Wir können also davon ausgehen, dass die erste Phase zum einen interessante Ziele ermittelt und zum anderen dafür (sowie für "Quereinsteiger") Basisdaten für das weitere Vorgehen sammelt – Stufe zwei kann also beginnen. Dort bewegen wir uns im Bereich der "Targeted Attacks" und "Advanced Persistent Threats" (s. a. S. 8). Die Vorgehensmodelle der Dienste unterscheiden sich hier nur wenig von den Methoden der Cyber-Kriminellen, auch wenn es deutliche Unterschiede in Zielen und Technik gibt.

Phase zwei des Vorgehensmodells nutzt also die gesammelten Daten, um "hinter die Mauer", in die Netze zu kommen und nicht nur die Datenbewegungen über die Netze von außen zu beobachten. Je besser die Datenqualität ist, umso einfacher wird es in das innere "Hausnetz" vorzudringen: Hat sich jemand Zugangsdaten "aus Versehen" nach Hause gemailt, um am Wochenende von dort aus weiterarbeiten zu können, ist der Zugang ins Netzinnere leicht. Mischt sich die private Kommunikation mit Firmendaten, ist der Privatrechner ein neues Ziel, das vermutlich einfacher zu kapern ist. Die Sammlung von Millionen E-Mail-Accounts nebst zugehörigen Klartext-Passwörtern zeigt, wie erfolgreich diese Vorgehensweise ist. Spätestens jetzt sollte man erkennen, warum es sinnvoll ist, im Firmenumfeld andere – und anders aufgebaute – Passwörter zu verwenden als für private Accounts bei Amazon und Ebay.

Hat der Dienst nun – vollautomatisch oder mit ein wenig Handarbeit – einen Zugang zum Ziel ausgespäht, dient dieser zunächst dazu, einen Informationsanker im inneren Netz des Unternehmens zu platzieren. Ab hier beginnen sich die Vorgehensweisen der Cyber-Kriminellen von den Diensten zu unterscheiden: Die Dienste haben kein Interesse daran, ermittelte Daten zu verkaufen und wollen schon gar nicht entdeckt werden. Hier müssen wir – auch das zeigt Snowden – aber auch erkennen, dass die Ziele der Geheimdienst-Mitarbeiter nicht immer deckungsgleich mit den Zielen ihrer Auftraggeber (zu halten) sind. Cyber-Kriminellen geht es hingegen darum, ihre Investitionen möglichst schnell zu Geld zu machen. Daher verwenden sie wenig(er) Energie darauf, langfristig unentdeckt zu bleiben – und nehmen auch Kollateralschäden bei angegriffenen Unternehmen inkauf.

Es folgt die dritte Phase, in der es zuerst um den Ausbau des "Brückenkopfs" geht: Ein einzelner Anker an nur einer Stelle hat zum einen zu wenig Zugang zu Unternehmensinformationen, zum anderen ist er auch zu leicht "aus Versehen" zu entfernen, wenn beispielsweise wegen eines Hardwaredefekts das infizierte System ausgetauscht wird. Deshalb gilt es jetzt, den Zugang zum Ziel zu multiplizieren und zu stabilisieren. Idealerweise kommen dabei unterschiedliche technische Wege zum Einsatz, sodass selbst das "Auffliegen" einer ganzen Baureihe von Infektionen folgenlos bliebe.

"Phase 4" besteht alsdann aus dem unauffälligen Ernten der gesuchten beziehungsweise benötigten Informationen. Denn die Dienste wollen ja die Kuh nicht schlachten, die die Milch gibt – Cyber-Kriminelle sehen das lockerer, sofern der kurzfristige Gewinn stimmt.

Folgerungen

Was bedeutet all das jetzt für die digitale Souveränität? Durch die eingangs erwähnte Umverteilung von Mitteln in Richtung Netzwerkverschlüsselung dürften (sofern die genutzten Verfahren nicht geknackt sind) die in Phase eins gesammelten Informationen spärlicher ausfallen – aber nicht ganz verschwinden, denn die Kontaktdaten (Absender und Empfänger) und -häufigkeit sowie die prinzipielle Menge ausgetauschter Daten bleiben erkennbar, sofern Zugriff auf die Netzknoten besteht.

Außerdem bleiben weitere Daten zugänglich, die eben nicht durch eine Netzwerkverschlüsselung geschützt sind: Das sind einerseits natürlich Infos in sozialen Netzwerken und andererseits Kommunikationsdaten, die über Anwendungen oder Netze außerhalb des eigenen Systems gehen (z. B. WhatsApp, Twitter etc.). Zudem führt eine Verschlüsselung der Kommunikation dazu, dass Anomalien oder Schadcode-Muster im Netz nicht mehr auffallen – bereits etablierte netzzentrierte Verfahren wie IDS, IPS sind also potenziell weniger wirksam. Schadcode fühlt sich hingegen auch in verschlüsselten Netzen pudelwohl.

Zur Optimierung der Investitionsstrategie in die IT-Sicherheit empfiehlt es sich, das eigene Risikomanagement bezüglich des Vier-Phasen-Modells zu fragen, in welcher Phase sich unerwünschte Eindringlinge befinden – dabei ist es eine aktive und keine passive Entscheidung, ob man die Dienste als unerwünscht ansieht oder nicht. Diese Entscheidung wird wahrscheinlich auch durch die Erkenntnisse der Snowden-Enthüllungen gesteuert, nach denen die ermittelten Daten auch den wirtschaftlichen Vorteilen Dritter dienen. Cyber-Kriminelle sollte man natürlich immer als unerwünscht betrachten.

Befürchtet man, dass man bereits "Gäste" in Phase 3 oder 4 hat, sollte man vorsichtig auf die Suche nach Informationsankern gehen – nimmt man Phase 2 an, steht ein verbesserter Schutz vor solchen Brückenköpfen im Mittelpunkt.

Offensichtlich schützen weder Netzwerkverschlüsselung noch ein mögliches "Schengen-Routing" in den Phasen 2–4. Diesen ist jedoch eins gemeinsam: Dienst ewie Cyber-Kriminelle scheuen den physischen Kontakt zu ihren Zielen – Angriffe erfolgen immer über Software. Und diese Software läuft auf den CPUs von Clients oder Servern. Es gilt also, an dieser Stelle alle ausführbaren Elemente darauf zu prüfen, ob sie bekannt und gewollt sind oder nicht.

Das ist allerdings nicht ganz so einfach, wie es klingt, weil sich guter Schadcode natürlich auch gut tarnt und rückstandsfrei seine Spuren beseitigt. Man muss ihn also auf frischer Tat ertappen – beim Laden oder Ausführen. Hierzu braucht es eine "Hülle" um den Kern, die das Laden jeglicher Softwarekomponenten erkennt und in ein Monitoring überführt – dessen Daten wertet man dann nach "bekannt" und "unbekannt" aus. Bei den Unbekannten gilt es, mit etwas (evtl. zugekauftem) Sachverstand zwischen Gut und Böse zu unterscheiden.

Glaubt man sich noch in Phase 2, so genügt es, den Zufluss von unerwünschten ausführbaren Einheiten zu blockieren – also allen kommunizierenden Anwendungen das Verändern bestehender Softwarekomponenten zu verbieten. Mit der richtigen Lösung ist das in wenigen Stunden aufgesetzt und liefert fortan Echtdaten realer Risiken, die dem IT-Risikomanagement in Echtzeit zur Verfügung stehen und so ein ureigenes, aktuelles Cyber-Lagebild erschaffen – Entscheidungen können endlich nach der eigenen Lage getroffen werden. Wenn Snowden das bewirkt, hat sich die Aufregung auf jeden Fall gelohnt!

Ramon Mörl ist Geschäftsführer der itWatch GmbH.