Gefährlicher Leichtsinn

Im Dezember hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Lagebericht zur IT-Sicherheit in Deutschland vorgestellt. Er zeichnet ein düsteres Bild. 

Schon im Vorwort des Berichts heißt es: “Die aktuelle Gefährdungslage für die IT bleibt […] kritisch”. Als wollten sie diese Aussage unterstreichen, haben Hacker zu Weihnachten das Sony Playstation Network und Microsofts Xbox live lahmgelegt. Kurz vorher war (vermutlich im Auftrag Nordkoreas) in die IT von Sony Pictures Entertainment eingebrochen und Unmengen vertraulicher Daten ausgespäht worden, darunter Gehaltsabrechnungen, unveröffentlichte Filme und das Drehbuch für den nächsten James Bond.

Der BSI-Lagebericht listet weitere spektakuläre Vorfälle:

  • In einem Stahlunternehmen wurde ein Hochofen massiv beschädigt, nachdem Hacker in das Produktionsnetz eingedrungen waren und in die Steuerung eingegriffen hatten.
  • In Österreich gab es Vorfälle in den Leittechnik-Netzen der Stromversorger: “Die Netzstabilität konnte während des Vorfalls nur unter hohem Aufwand sichergestellt werden.”
  • Ein Unternehmen in Großbritannien wurde mit einem DDoS-Angriff erpresst und musste den Betrieb einstellen, “da die finanziellen Belastungen durch Wiederherstellungsmaßnahmen und Entschädigungsforderungen der Kunden nicht zu bewältigen seien.”

Aus Fehlern lernen?

Sicherheitsprobleme im Internet gibt es nicht erst seit letztem Jahr. Gerade im Sony-Konzern hat man damit Erfahrung: 2010 entwendeten Hacker 50.000 Dateien, darunter unveröffentlichte Musiktitel von Michael Jackson. 2011 wurden in einem der bis dahin größten Hacks über 70 Millionen User-Accounts des Playstation Networks kompromittiert. Im Geschäftsbericht für 2011 weist Sony die Kosten für den Einbruch mit umgerechnet 171 Millionen US Dollar aus. Die Gefahr war also bekannt, ein Budget leicht zu rechtfertigen und trotzdem waren sie wieder machtlos gegen ein paar gelangweilte Teenager.

The Big Easy

Während die großen Angriffsziele es selbst mit Millionen-Budgets nicht schaffen, sich die Angreifer wirksam vom Leib zu halten, wiegen sich viele kleinere Unternehmen noch in trügerischer Sicherheit. Das BSI attestiert dem deutschen Mittelstand “Digitale Sorglosigkeit”. Obwohl Lösungen für viele Schwachstellen bekannt sind, werden sie nicht umgesetzt. Viele Firmen halten sich nicht für ein attraktives Ziel für Angreifer und haben daher noch gar keine Strukturen und Prozesse aufgebaut, um den Gefahren zu begegnen. Der Bericht des BSI zeigt, dass diese Einschätzung falsch ist: Daten-Spionage und Gelegenheitsvandalismus sind auch für kleinere Unternehmen eine ernste Gefahr. Das heißt nicht, dass jeder Handwerksbetrieb seine Server wie Fort Knox sicher muss, aber man sollte zumindest eine Schutzbedarfsfeststellung durchführen, um das individuelle Risiko zu ermitteln.

Bei den größeren Unternehmen ist in der Regel zumindest die IT-Infrastruktur geschützt. Die Zeiten, in denen jedes Skript-Kiddy mit einem einfachen Portscan Einfallstore im NASA-Netz finden konnte sind zum Glück vorbei. Dadurch hat sich allerdings der Angriffsvektor verschoben – die Angriffe zielen jetzt verstärkt auf Lücken in den Anwendungen oder bei den Anwendern (Social Engineering).

Und täglich grüßt das Murmeltier

Und auf Sicherheitslücken in der Anwendungssoftware ist Verlass. Seit spätestens 1998 kennt man Injection-Lücken, bei denen speziell präparierte Benutzereingaben von der Anwendung ungefiltert interpretiert und ausgeführt werden. Zu den ursprünglichen SQL-Injections gesellten sich bald Command-Injections, SSI-Injections und JavaScript-Injections (XXS). Obwohl sie leicht zu vermeiden und zu beheben sind, führen Injection-Lücken in der OWASP-Analyse der häufigsten Schwachstellen in Web-Anwendungen seit jeher die Top 10 an. Andere Analysen kommen zu dem gleichen Ergebnis (CWE/SANS Top 25 Most Dangerous Software ErrorsOpen Sourced Vulnerability Database).

Hier fehlt offenbar noch das Bewusstsein bei den Verantwortlichen. Security-Aspekte müssen von Anfang an mit eingeplant werden, sie müssen in Code Reviews berücksichtigt werden und ggf. in Penetration Tests verifiziert werden.

Besserung in Sicht

In ihrer Marktstudie für 2015 sehen die Analysten von Lünendonk IT-Security unter den Top 3 Investitionsthemen. Immerhin wollen die befragten CIOs in Security investieren, hoffentlich an den richtigen Stellen. 2016 wird die nächste OWASP-Analyse der häufigsten Sicherheitslücken erscheinen, dann sehen wir, ob das Investment Früchte getragen hat. Vielleicht gelingt es ja wenigstens, die Injection-Lücken aus den Top 10 zu verbannen…

 

Bildquelle: Shutterstock

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.