Artikelaktionen
Hacktivismus

Bedrohung via Internet

Laut Angaben vom U.S. Government Accountability Office (GAO) sind rund 80 % der bei Unternehmen auftretenden Schwachstellen in der IT-Sicherheit und beim Datenschutz auf Fehlkonfigurationen oder mangelnde Aktualisierung zurückzuführen. Selbst technisch unbedarfte, politisch motivierte Hacker erzielen hier die größten Erfolge. Dies bedeutet jedoch im Umkehrschluss, dass ein Großteil der gängigen Attacken mit Hilfe von Standardbaukästen vermeidbar ist. Deshalb lohnt es sich, das innerbetriebliche Know-how verstärkt auf die Behebung der wichtigsten Fehlerquellen zu richten, statt sofort frisches Geld in den Kauf neuer Sicherheitsprodukte zu investieren. | Lothar Lochmaier

Die jüngsten Hacker-Attacken auf strategisch bedeutsame Unternehmen und politische Einrichtungen haben deutlich gemacht, wie verletzlich und störanfällig hochsensible Infrastrukturen unserer modernen Zivilgesellschaften geworden sind. Aufgrund ihrer herausgehobenen ökonomischen und gesellschaftlichen Bedeutung ist auch die Finanzbranche von unterschiedlichen Angriffsszenarien betroffen. Zum Repertoire der Angreifer gehört die verdeckte Wirtschaftsspionage ebenso wie das scheinbar ziellose Ausnutzen interner Schwachstellen, die den inneren Festungsring um das Unternehmen erschüttern.

Kriminelle Energie
Großes Kopfzerbrechen bereitet neben einer dynamisch anwachsenden Wirtschaftskriminalität der sich rasant ausbreitende „Hacktivismus“, also die Durchsetzung politischer Ideen über die technische Durchdringung von Computersystemen. Dies hat zu einem rasant fortschreitenden Cyberkrieg geführt, der mit den Bordmitteln der Informationsgesellschaft geführt wird. Die Akteure bedienen sich dabei einerseits standardisierter Werkzeuge, aber auch immer ausgefeilterer Methoden, um in betriebliche Netzwerke einzudringen.

Der Begriff Hacktivismus umfasst in der Vorstellungswelt bestimmter Aktivisten zwar konstruktive bzw. legitime Protestformen der politischen Meinungsäußerung, doch relevant für die realen Bedrohungsszenarien sind destruktive Mechanismen, die ethischen und recht­lichen Rahmenbedingungen zuwiderlaufen. So gibt die Gruppe Anonymous beispielsweise vor, den eigenen Lebensraum im Internet und den freien Zugang zu Informationen schützen zu wollen. Grundlegend missachtet werden dabei immer wieder elementare Aspekte wie das Urheberrecht, der Datenschutz sowie die wirtschaftlichen Schutzinteressen von Unternehmen.

„Wir vergeben nicht, wir vergessen nicht“, so lautet die provokante Botschaft von Anonymous. Als „Feuerknopf“ bezeichnen die politisch motivierten Hacker dabei jenen finalen Mausklick, zu dem sich die Aktivisten mit Hilfe von zuvor installierten Softwaretools in einer gemeinsamen Kommandoaktion verabreden. Die Ziele, die sie nach konzertierter Absprache und Aufruf über Chat angreifen, bestehen nicht nur aus Regierungen und Behörden, sondern auch aus Unternehmen unterschiedlicher Branchen.

Den Ermittlungsbehörden fällt es nicht leicht, die meist in einer dezentralen Organisationsstruktur aufgestellten Mitglieder und ihren losen Unterstützerkreis dingfest zu machen, sofern es sich um illegitime Aktivitäten handelt. In Szene­kreisen haben die Aktivisten etwa mit gezielten Attacken auf Konzerne, Behörden und politische Einrichtungen auf sich aufmerksam gemacht. Zu den Opfern gehörten auch diverse Finanzdienste wie Visacard, Mastercard und Paypal, deren Internetangebote und Services zeitweise sogar offline waren.

Bei einer von den Akteuren im Umfeld von Anonymous als „Operation Payback“ bezeichneten Aktion hatten die Unterstützer der Whistleblowing-Plattform Wiki­leaks sogar gezielt Kreditkartenunternehmen und Internetbezahldienste ins Visier genommen, da diese sich zuvor weiger­ten, Transaktionen an die Enthüllungsplattform weiterzugeben. Das Klischee des technisch fortgeschrittenen Cyberkriminellen trifft indes nicht zu. Um Hacktivist zu sein, bedarf es keiner fundierten Fachkenntnisse. Neuere Datenerhebungen zeigen denn auch, dass das Risiko weiter wächst.

So hat Sicherheitsdienstleister Symantec im Rahmen seines „Critical Infrastructure Protection Reports 2010“ (CIP) weltweit 1.600 Betreiber von kritischen Infrastrukturen unter anderem zum Thema Hacktivismus befragt. Das überraschende Ergebnis: Die Hälfte der Befragten vermutet bei Cyberattacken gegen ihre Infrastruktur unmittelbar politische Motive als Ursache. Neben der Anzahl der Angriffe nimmt auch die Professionalität der Übergriffe zu. So gelang es den Hacktivisten unter anderem, neben simplen, aber nicht leicht zu unterbindenden Angriffen auf die Verfügbarkeit der Dienste (so genannte Distributed-Denial-of-Service-Attacken, kurz: DDoS), auch in hochsensible IT-Domänen militärischer Sicherheitseinrichtungen einzudringen.

Hinter diesen Attacken stehen einerseits Cyberkriminelle mit ausgeprägtem Know-how. Jedoch sind auch hier die Grenzen zum gesellschaftlich motivierten Hacktivismus fließend, was die Arbeit der Abwehrspezialisten nicht unbedingt erleichtert. Gerade mit Blick auf politische Urheber an der Grenzlinie zur Illegalität gilt es, das Augenmerk deshalb auf die Tatsache zu richten, dass selbst technisch unbedarfte Hacker hier bereits große Erfolge erzielen, und zwar durch gängige Attacken auf die IT-Systeme mit Hilfe von Standardbaukästen, die deshalb vermeidbar wären.

Beträchtliche Schäden durch Hacktivismus
Denn Schadcodes für neue und alte Plattformen zu entwickeln, das funktioniert heutzutage quasi vollautomatisch auf Knopfdruck, mit Hilfe so genannter Toolkits. Diese Baukästen sind im Internet rasch zu finden und für die Anwender überaus leicht zu bedienen. Damit können auch technische Laien großflächige Angriffe gegen vernetzte Computer starten. Da die Softwarebaukästen außerdem in der Lage sind, den Schadcode permanent zu mutieren, lassen sich so etwa Signatur-basierte Abwehrmechanismen umgehen. Die Spuren der Urheber hingegen lassen sich oftmals erst mit einem gewissen technischen Aufwand in der forensischen Analyse eruieren.

Ganz im Gegensatz zum kriminell motivierten Cyberground suchen die im weiteren Sinne politisch motivierten Akteure vor allem nach offensichtlichen Schwachstellen bei Webseiten und Servern, die genügend Angriffsfläche für öffentlichkeitswirksame Attacken bieten. Betroffen von dem gesteigerten Aktivitätslevel sind Unternehmen aller Branchen und unabhängig von der Größe, also auch jene, die auf den ersten Blick keine politisch relevanten Ziele darstellen. So stand das erste Halbjahr 2011 in der politischen Hackerszene ganz im Zeichen der Verschmelzung zwischen den beiden Aktivistengruppen LulzSec und Anonymous.

Die Gruppe Lulz Security (kurz: LulzSec) besitzt im Unterschied zu anderen Hacktivisten-Gruppen dabei keine klar erkennbaren, unmittelbar von politischen Inhalten bestimmten operativen Ziele. Sie ist jedoch durch ein großes operatives Geschick gekennzeichnet, sowohl bei der Kompromittierung von Netzwerken und Servern als auch beim Diebstahl von Benutzernamen, Kennwörtern und anderen Daten. So drang die Gruppe unter anderem mehrfach bei verschiedenen Unternehmen ein und nahm auch die IT-Systeme von Polizeibehörden und Geheimdiensten ins Visier.

Schützenswerte Güter klassifizieren
Deutlich wird im Zuge dieses Hacktivismus aus betrieblicher Sicht somit die Notwendigkeit einer umfassenden Risikobewertung. Zu den seit Jahren bereits bekannten konzeptionellen Schwachstellen in der betrieblichen Informationstechnologie, etwa durch lückenbehaftete Software, mangelhafte Konfigurationen oder fehlerhafte Bedienung auf Anwenderseite, haben sich durch netzbasierte Anwendungen neue, inhärente Systemrisiken gesellt.

Dieser Umstand gilt umso mehr, als sich die Zahl der unmittelbar im Netz betriebenen Anwendungen durch Cloud Computing in den kommenden Jahren weiter erhöhen dürfte. Als weitere Gefahrenquelle treten die mit der zunehmenden Verbreitung von sozialen Netzwerken verbundenen Schwachstellen hinzu. Die Nutzung sozialer Medien und die steigende Mobilität erschweren es den Unternehmen, ihre wichtigen Daten umfassend zu schützen.

Denn durch den Trend zum Cloud Computing und den Einsatz von sozialen Medien ist die IT-Infrastruktur und der Informationsfluss stärker nach außen hin geöffnet. Waren die Daten früher fest an einen Speicherort gebunden, so können Mitarbeiter heute von nahezu überall auf die Firmendaten zugreifen und diese zu jeder Zeit bearbeiten, modifizieren, kopieren und verschieben. Der Anwender neigt dazu, hierzu auch sein privates Gerät zu nutzen oder umgekehrt mit einem Business-Gerät auf private Dienste zuzugreifen.

Der Nachteil: Der traditionelle Schutzwall um die Netze und das Rechenzentrum von Unternehmen wird dadurch durchlässiger und wirkungsschwächer, da Hacker mobile Geräte und Social-Media-Plattformen inzwischen als neuen Einbruchsvektor für sich entdeckt haben. Hinzu kommt, dass viele Anwender bei diesen neuen Medien und Geräten unvorsichtig agieren und rasch persönliche Daten preisgeben.

Eine wichtige Veränderung in diesem Jahr stellt laut den Sicherheitsexperten von McAfee das Betriebssystem Android als die am dritthäufigsten angegriffene Plattform für mobile Schädlingssoftware dar. Die Experten arbeiten zwar permanent an einem Gegenmittel gegen die zum Einsatz gebrachten Standardbaukästen. Jedoch passen sich die Akteure ebenso flexibel der Abwehr an. Sie ordern im Netz auf rasch sich ändernden Plattformen ihre Angriffswaffen bedarfsgerecht, im Fachjargon als Crimeware as a Service bzw. Hacktivism as a Service bezeichnet.

Basisschutz konsequent umsetzen
Um sich gegen diese evidente neue Bedrohungsqualität im Angesicht einer offenen Internetkommunikation zu wappnen, liegt der Fokus zunächst auf den für Finanzdienstleister strategisch relevanten Zielgebieten. Das neue Primat lautet angesichts des erhöhten Angriffslevels, modernste Informationstechnologie mit einem auf Höhe der Zeit ausgestalteten Datenschutz zu verknüpfen. Die Kernbotschaft lautet: Präventive Maßnahmen müssen nicht unbedingt teuer sein, jedoch konsequent implementiert und eingehalten werden.

Unternehmen sollten sich zunächst darauf konzentrieren, die bereits vorhandenen Mechanismen und Werkzeuge beim Datenschutz und in der IT-Sicherheit möglichst zielgerichtet einsetzen. Ein Großteil der Hacker-Attacken auf Webseiten oder auf andere Schwachstellen beim betrieblichen Datenschutz ließe sich verhindern, wenn Unternehmen die bereits erprobten Standardmaßnahmen konsequent anwendeten. Laut Experten verursachen zwei Drittel aller präventiven Maßnahmen, wie eine fortlaufende Überprüfung und Anpassung der Konfigurationen in der unternehmensweiten IT-Landschaft, nur geringe zusätzliche Kosten.

Der Schutz beginnt – bildlich gesprochen – bereits an der Eingangstüre und erstreckt sich über alle Seiteneingänge, zu denen die Sicherheit in der E-Mail-Kommunikation ein zentrales Bindeglied darstellt. Ein ungehinderter Zugang für Malware in das Unternehmensnetzwerk kann es gerade dort innerhalb kurzer Zeit vollständig kompromittieren. Deshalb sollte das Augenmerk darauf liegen, an den Haupt- oder Nebenportalen keine unfreiwilligen konzeptionellen Steilvorlagen für Hacktivisten zu geben.

Was das Unternehmensnetzwerk nicht erreicht, kann auch keinen Schaden anrichten. Denn der flächendeckende Einsatz einer Sicherheitssoftware reduziert keineswegs alle Risiken. Zum unverzichtbaren Standard gehört deshalb eine entsprechende zielgruppenorientierte Sensibilisierung der Mitarbeiter, etwa nicht unvorsichtig den Briefverkehr von Personen mit unbekannter Herkunft zu öffnen. Ein Großteil solcher Angriffe lässt sich neben individuell angemessenen Verhaltensregeln durch effektive Spam-Filter und eine lückenlose Anti-Viren-Lösung inklusive Früherkennung vereiteln.

Daten sind das Herzstück
Als generelles Ziel rückt weniger der Schutz einzelner Systeme in den Mittelpunkt, sondern vor allem der Schutz von Daten selbst. Die Identifizierung von besonders schützenswerten Informationen bildet den Eckpfeiler für ein erfolgreiches Handeln. Nicht nur sollten Daten für den Notfall per Backup gesichert sein. Ein regelmäßiges Backup sowie ein Notfallplan zur Datenwiederherstellung sind essenziell, um Desktops, Server und Applikationen am Laufen zu halten. Denn schon eine einzige kurzzeitige Systemunterbrechung kann mit Blick auf die Kundenbeziehung bereits ein hohes Störpotenzial entfalten.

Der Zugang zu E-Mails und dem Internet sollte sodann fortlaufend auf Schadcodes durchleuchtet werden. Spammer und Phisher nutzen aktuelle Vorkommnisse und so genannte Social-Engineering-Taktiken, um an wertvolle Informationen der Anwender – wie beispielsweise Kreditkarten- oder Bankkontoinformationen – zu gelangen. Eine E-Mail- und Internetsicherheitslösung schafft hier Abhilfe, indem sie sensible Daten schützt und die tägliche Spam-Flut ausfiltert. So bleibt mehr Zeit für die wichtigen Aufgaben.

Fazit
Sicherheitsexperten raten den Betreibern von IT-Infrastrukturen zu einer informationszentrischen Strategie. Die Basis des Modells bilden alle Geräte und Systeme, auf denen die Daten liegen. Dies können virtuelle oder physische Server sein, einschließlich Cloud-basierte Strukturen und mobile Geräte. An allen neuralgischen Positionen sind folglich Datenbestände und der Informationsfluss gemäß ihrer jeweiligen „Funktion“ zu priorisieren, entweder durch geeignete Schutzmaßnahmen oder gar eine weiter reichende Verschlüsselung.

Relevante Daten und Informationen sollten somit nicht nur klassifiziert sein oder bestimmten Speicher- und Suchkriterien entsprechen. Die darüber liegende oberste Ebene beschreibt eine „Information Security Governance“, also verschiedene rahmenbasierte Regelwerke, die den richtigen Umgang mit Daten und Informationen möglichst feinmaschig festlegen, wie beispielsweise durch Richtlinien, Reporting oder Authentifizierungsvorgaben.
 

Lothar Lochmaier ist Fachjournalist in Berlin.
Der Artikel ist erschienen in der Ausgabe 12/2011
IT & Kommunikation Trends
Online-Werbung behauptet sich
»
Litfasssäulen im Web
Peer-to-Peer-Geschäfte
»
Wichtige Wettbewerber
PR in neuen Medien ergänzt klassische Pressearbeit
»
Online-Portale liegen im Trend
Marken in Sozialen Medien
»
Erhöhte Chancenvielfalt
Anzeige
Stichwort
  • »Cyber-Kriminalität: Gefahrenzone World Wide Web: Viren-Autoren und Spam-Urheber agieren mit enormer krimineller Energie, so der Sicherheitsspezialist Message Labs in seinem Security Report für das Jahr 2009. Der Bericht zeigt, dass Botnets zwar Rückschläge erlitten, doch durch Überlebenskünstler-Qualitäten leider wieder schnell auf die Beine gekommen sind.
Buchtipp (IT)