Wenn das Design schon angreifbar ist

IT-Lösungen, die ein Problem lösen, indem sie andere Probleme schaffen, können für Unternehmen gefährliche Sicherheitslücken bedeuten.

Verfasser: F-Secure Business Security Insider
Datum: 11. August 2015
Lesedauer: 3 Minuten

Man muss nur die täglichen Nachrichten verfolgen, um zu lesen, wie oft es zu Hacking-Attacken auf Unternehmen kommt. Was allerdings ein nicht ganz so populäres Thema ist (vielleicht, weil es keine so glamourösen Artikel ergibt), ist, dass IT-Systemfehler nicht immer das Resultat von einem Angriff sein müssen. Vorkommnisse in der letzten Zeit zeigen, dass unzuverlässige und unsichere Software genau den selben Effekt haben kann: beide können Schwachstellen schaffen, die eine IT-Infrastruktur empfindlich treffen.

Schwachstellen müssen nicht ausgenutzt werden, um Schaden zu verursachen

IT-Lösungen sollen Probleme lösen – deshalb heißen sie „Lösungen“. Verantwortliche investieren Ressourcen, um bestimmte Probleme zu lösen, aber eben nur die spezifizierten Probleme. Die Dynamik in IT-Infrastrukturen kompliziert den Effekt dieses Prinzips, weil das Lösen des einen Problems oftmals neue Probleme schafft, die dann wiederum nach neuen Lösungen verlangen, damit diese Probleme kontrollierbar bleiben.

Sowohl United Airlines und die New York Stock Exchange hatten mit Netzwerkausfällen im Juli zu kämpfen und sofort waren sich Experten darüber einig, dass es sich um Cyber-Attacken handeln müsse. Solche Spekulationen lenken die Aufmerksamkeit von einem wirklich wichtigen Grundproblem ab: von schlecht implementierten IT-Lösungen.

Laut F-Secure Sicherheitsberater Rüdiger Trost, zeigen diese Vorkommnisse, wie sehr Unternehmen und Organisationen in IT-Systeme investieren, die Produktivität und Effizienz steigern, aber nicht in diejenigen, die Sicherheit und Zuverlässigkeit bieten. „Unternehmen investieren in Technologien, um – generell gesagt – ihre Profite zu steigern. Sicherheit wird nicht genügend priorisiert, was dazu führt, dass diese Technologien an Bugs und Design-Fehlern kränkeln, wenn sie implementiert werden. Die Sicherheits-Community nennt diese Fehler Schwachstellen, weil sie Systeme instabil machen und sie für Angreifer interessant machen. Aber in Wahrheit ist es so, dass diese Systeme nicht einmal attackiert werden müssen, um auszufallen: Ein System, das nicht redundant gestaltet und nicht genügend abgesichert ist, ist für sich selbst eine Gefahr.”

Wenn man in Ruhe über die Äußerungen von Trost nachdenkt, sieht man, dass es durchaus sinnvoll ist, das Problem genauer zu evaluieren: Ist die eigene Sicherheitssoftware wirklich Teil der Lösung oder öffnet sie vielleicht neue Schwachstellen?

Von Schwachstellen zu Möglichkeiten

Während sowohl United Airlines als auch die New York Stock Exchange ihre Probleme innerhalb von ein paar Stunden in den Griff bekommen haben (zumindest kurzfristig), zeigt die Attacke auf die US-amerikanische Office of Personnel Management (OPM) die langfristigen Risiken, die durch das Ignorieren von Schwachstellen entstehen können.

OPM wurde bombadiert mit Anschuldigungen, dass sich niemand um die Probleme gekümmert habe, seit die Nachrichten von der Attacke im Juni bekannt wurden. Kritikpunkte waren unter andem, dass zum Beispiel Multifaktor-Authentifikation nicht implementiert war und die Systeme überhaupt nicht als sicher zertifiziert waren. Aber ein Fakt ist eindeutig: die Attacke wurde nicht durch eine neue Art von Malware ausgeführt, es war schlichte Nichtbeachtung der Probleme.

Der bekannte Security-Blogger Brian Krebs zeigte auf, dass das Verdächtigen von Hackern oftmals davon ablenkt, die Wirksamkeit der eigenen Sicherheitslösungen zu hinterfragen. So kann die Verantworlichkeit für die Sicherheit auf die Angreifer abgewältzt werden, anstatt die Risiken von gefährdeten IT-Systemen direkt anzugehen.

„Die NSA gibt eine Menge Geld dafür aus, ihre Möglichkeiten zur Überwachung zu verbessern. Aber was hat es ihnen gebracht?“, fragt dazu Sullivan. „Der nationalen Sicherheit würde es mehr nützen, wenn das Geld in die Verbesserung der Sicherheit der IT-Infrastruktur gesteckt würde. Die Angriffe auf die OPM zeigt uns, dass diese Art von Schwachstellen weiterhin Angreifern die Möglichkeiten gibt, die sie zum Angriff brauchen.“

Es gibt sogar die Meinung, dass solche Vorfälle wie die Netzwerkausfälle eine neue Art Naturkatastrophe sind – sie sind unausweichlich. Dennoch kann die richtige Vorbereitung auf Naturkatastrophen Leben retten und das sollte auch für IT-Systeme gelten. Einige Schwachstellen können durch Sicherheits-Tools abgefedert werden, die sicherstellen, dass alle Software auf dem neuesten Stand ist. Andere Schwachstellen müssen als Teil des Gesamtkonzepts angesehen werden, damit Software implementiert werden kann, die eine sichere und zuverlässige Umgebung sicherstellt. Dafür müssen die Prioritäten richtig gesetzt werden.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s