Seit mindestens vier Wochen ist der deutsche Bundestag einem Hackerangriff ausgesetzt, und noch immer gibt es keine Spur von den Tätern, die hinter dem Angriff stehen. Das Einzige, was immer deutlicher wird, ist die Tatsache, dass die Politik die Fähigkeiten von Hackern unterschätzt. Es kann sogar sein, dass das komplette Netzwerk des Parlaments ausgetauscht werden muss. Bislang ist noch nicht sicher, wie viele Computer immer noch mit Malware infiziert, welche Daten abgeflossen sind, ob immer noch Daten abfließen und welchen Schaden der Angriff genau verursacht hat.
Die weltweite Bedrohungslandschaft hat sich verändert und die Menge der Angriffe erreicht einen nie gesehen Höhepunkt. Es gilt zu verstehen, dass die Attacke auf den Bundestag kein einmaliges Ereignis war, sondern ein einzelner Schub in einer ganzen Welle von Angriffen darstellt. Die meisten Unternehmen verfügen nicht über die Ressourcen, um Anpassungen ihrer Sicherheitskonzepte im nötigem Zeitrahmen vorzunehmen.
- Platz 25 bis 21
25. trustno1 ("Traueniemandem")<br> 24. batman<br> 23. 123123<br> 22. 696969<br> 21. superman - Platz 20 bis 16
20. michael<br> 19. master<br> 18. shadow ("Schatten")<br> 17. Access ("Zugang")<br> 16. mustang - Platz 15 bis 11
15. 111111<br> 14. abc123<br> 13. letmein ("Lassmichrein")<br> 12. monkey ("Affe")<br> 11. 1234567 - Platz 10 bis 6
10. Football<br> 9. Dragon ("Drache")<br> 8. baseball<br> 7. 1234<br> 6. 123456789 - Platz 5 bis 1
5. qwerty (auf deutschen Tastaturen "qwertz")<br> 4. 12345678<br> 3. 12345<br> 2. password<br> 1. 123456
Der Weg vom Erkennen einer Schwachstelle bis hin zur Umsetzung einer gefunden Lösung ist lang. Besonders dieser Zeitrahmen ist sehr kritisch. Von der Realisierung einer Schwachstelle über die Erarbeitung eines Sicherheitskonzeptes bis hin zur notwendige Anpassung sind Organisationen und Unternehmen sehr anfällig.Die eingesetzten Sicherheitsmechanismen waren nicht in der Lage, die sensiblen Daten zu schützen und die Angreifer konnten Informationen aus dem Netzwerk stehlen. Dennoch weiß man nicht, wie die Hacker dies geschafft haben oder wo sie herkamen.
Dass ein solcher Vorfall zeitgleich mit der Verabschiedung des neuen IT-Sicherheitsgesetzes in die Öffentlichkeit kommt, ist unglücklicher Zufall, aber auch ein klares Zeichen, dass Organisationen ihre IT-Sicherheitskonzepte ändern müssen. Aber nicht nur die Privatwirtschaft muss ihre Sicherheitsarchitektur verstärken, sondern auch staatliche Institutionen müssen ihre Systeme härten, um sich gegen schwer erkennbare Advanced Persistent Threats (APTs) zu rüsten.
Schutz von Speichermedien
Festplatten und Speichermedien müssen geschützt werden, denn Sicherheitsvorkehrungen auf Netzwerkebene allein sind nicht mehr ausreichend. Es ist wahrscheinlich, dass die Malware durch bösartige E-Mails ihren Weg auf Computer im Parlament gefunden hat. Die beste Netzwerksicherheitslösung ist machtlos, wenn Benutzer auf der Client-Seite gefährliche Inhalte auf ihren Systemen erlauben.Daten und Speichermedien müssen geschützt werden. Es muss gewährleistet sein, dass nur berechtigte Personen auf sie zugreifen können.
Die meisten Computer haben bereits Sicherheitschips integriert, die eine Überprüfung des rechtmäßigen Zugangs über einen zweiten Faktor gewährleisten könnten, aber häufig wird auf bestehende Lösungen nicht zurückgegriffen. Trusted Platform Module (TPM) sind in der Lage, private Schlüssel für die Anwender und den Computer zu generieren. Das TPM wird von allen großen Computerherstellern (Lenovo, Dell, HP, Fujitsu, Samsung, Toshiba, Gigabyte, NEC etc.) verbaut. TPMs können in Laptops, Tablets, Desktops und Servern verwendet werden. Windows und Linux haben integrierte Treiber für TPM und Java kommt ebenfalls mit TPM-Unterstützung.
- Cyber-Bankraub
Seit dem Jahr 2013 haben die Kriminellen Angriffe auf bis zu 100 Banken, E-Payment-Systeme und andere Finanzinstitute in rund 30 Ländern gestartet. - Cyber-Bankraub
Die Cyber-Kriminellen nutzten mehrere Methoden, um die Banken auszurauben - Cyber-Bankraub
Kaspersky hat einige Hinweise zusammengefasst, die auf eine entsprechende Infektion von Windows-Systemen hindeuten können.
Alle Anwendungen, die digitale Zertifikate zur Authentifizierung nutzen, können TPM einsetzen. Eigentlich merkt eine Anwendung (oder der Endbenutzer) nicht einmal, dass das TPM für Identitätsschutz verwendet wird, während der Systemadministrator (beispielsweise die IT-Abteilung) volle Kontrolle über die TPM-Konfiguration und Einstellungen hat.Das TPM versichert die Echtheit der Identität des Benutzers und des Computers.
Trusted Platform schützt wirksam
Das bedeutet, dass das TPM für das Einrichten einer WLAN-Verbindung im Büro verwendet werden kann. Wi-Fi-Signale können außerhalb eines Gebäudes empfangen werden, eine Einwahl kann aber durch einen TPM-Chip gesichert werden, sodass nur mit einem geschützten Gerät und dem richtigen Passwort eine Verbindung hergestellt werden kann. Dies stellt sicher, dass die Geräte und Daten nur von berechtigten Benutzern eingesehen werden können.
Eine weitere sinnvolle Vorkehrung, um Daten zu schützen, ist hardwarebasierte Verschlüsselung von Festplatten. Selbst wenn das Netzwerk Schwachstellen besitzt, liefern selbstverschlüsselnde Laufwerke (SEDs) eine leistungsfähige und transparente Verschlüsselungsoption für den Schutz von Daten auf Laptops. Diese Laufwerke verschlüsseln sämtliche Daten automatisch. Die Verschlüsselung ist in die Hardware des Laufwerks integriert, im Vergleich zu softwarebasierten Verschlüsselung kann es also zu keinen Performanceproblemen kommen.
- Woran Sie einen Angriff erkennen
Nach Analysen von McAfee weisen vor allem acht Indikatoren darauf hin, dass ein Unternehmensnetz in die Schusslinie von Hackern geraten ist. Hans-Peter Bauer, Vice President Zentraleuropa bei McAfee, stellt sie vor. - Interne Hosts kommunizieren mit bösartigen oder unbekannten Zieladressen
In jedem Fall verdächtig ist, wenn ein Host-Rechner auf externe Systeme zugreift, deren IP-Adressen auf "Schwarzen Listen" von IT-Sicherheitsfirmen zu finden sind. Vorsicht ist auch dann geboten, wenn Rechner häufig Verbindungen zu Systemen in Ländern aufbauen, zu denen ein Unternehmen keine geschäftlichen Beziehungen unterhält. Dabei kann es sich um den Versuch handeln, Daten aus dem Unternehmen hinauszuschmuggeln. - Interne Hosts kommunizieren mit externen Hosts über ungewöhnliche Ports
Auffällig ist beispielsweise, wenn interne Rechner über Port 80 eine SSH-Verbindung (Secure Shell) zu einem System außerhalb des Firmennetzes aufbauen. SSH nutzt normalerweise Port 22 (TCP). Port 80 ist dagegen die Standardschnittstelle für HTTP-Datenverkehr, also den Zugriff auf das Internet. Wenn ein Host einen ungewöhnlichen Port verwendet, kann dies ein Indiz dafür sein, dass ein Angreifer das System unter seine Kontrolle gebracht hat. Um IT-Sicherheitssysteme zu täuschen, tarnt ein Hacker dann die Kommunikation mit seinem Command-and-Control-Server (C&C) als Anwendung, die jedoch nicht den Standard-Port verwendet. - Öffentlich zugängliche Hosts oder Hosts in entmilitarisierten Zonen (DMZ) kommunizieren mit internen Hosts
Mithilfe solcher Hosts kann es Angreifern gelingen, gewissermaßen "huckepack" in ein Unternehmensnetz einzudringen, Daten zu stehlen oder IT-Systeme zu infizieren. - Warnungen von Malware-Scannern außerhalb der Geschäftszeiten
Verdächtig ist, wenn Antiviren-Programme in der Nacht oder am Wochenende Alarm schlagen, also außerhalb der normalen Arbeitszeiten. Solche Vorkommnisse deuten auf einen Angriff auf einen Host-Rechner hin. - Verdächtige Netzwerk-Scans
Führt ein interner Host-Rechner Scans des Netzwerks durch und nimmt er anschließend Verbindung zu anderen Rechnern im Firmennetz auf, sollten bei Administratoren die Alarmglocken schrillen. Denn dieses Verhalten deutet auf einen Angreifer hin, der sich durch das Netzwerk "hangelt". Vielen Firewalls und Intrusion-Prevention-Systemen (IPS) entgehen solche Aktionen, wie sie nicht entsprechend konfiguriert sind. - Häufung identischer verdächtiger Ereignisse
Ein klassischer Hinweis auf Angriffe ist, wenn mehrere sicherheitsrelevante Events innerhalb kurzer Zeit auftreten. Das können mehrere Alarmereignisse auf einem einzelnen Host sein, aber auch Events auf mehreren Rechnern im selben Subnetz. Ein Beispiel sind Fehler beim Authentifizieren. - Schnelle Re-Infektion mit Malware
Nach dem Scannen mit einer Antiviren-Software und dem Beseitigen eventuell vorhandener Schadsoftware sollte ein IT-System eigentlich längere Zeit "sauber" bleiben. Wird ein System jedoch innerhalb weniger Minuten erneut von Malware befallen, deutet dies beispielsweise auf die Aktivitäten eines Rootkit hin. - Dubiose Log-in-Versuche eines Nutzers
Eigenartig ist, wenn derselbe User innerhalb kurzer Zeit von unterschiedlichen Orten aus Log-in-Versuche in ein Firmennetz startet oder wenn solche Aktionen von Systemen mit unterschiedlichen IP-Adressen aus erfolgen. Eine Erklärung ist, dass die Account-Daten des Nutzers in falsche Hände gefallen sind. Denkbar ist allerdings auch, dass sich ein illoyaler oder ehemaliger Mitarbeiter Zugang zu verwertbaren Daten verschaffen will.
Es gibt eine Reihe von innovativen Mitteln und Wege, um sich zu schützen, nur werden diese oft nicht eingesetzt. Die Initiative vom Staat zeigt, dass es keine gemeinsamen Mindestsicherheitsstandards gibt, obwohl diese sinnvoll wären. Unternehmen sollten sich aber nicht allein auf den Staat verlassen, wenn es um den Schutz ihrer Netzwerke geht. Es gilt, aktiv zu werden und sich auf Cyber-Attacken vorbereiten.
Hohe regulatorische Belastungen und strenge Vorschriften haben nicht unbedingt einen positiven Effekt. Erfolgreiche Angriffe führen zu einem Verlust an Glaubwürdigkeit, nicht nur in der Politik, sondern auch am politischen und wirtschaftlichen System als Ganzes. Um sicherzustellen, dass Deutschland weiterhin ein stabiler Eckpfeiler der europäischen Wirtschaft bleibt, bedarf es den Einsatz aller Akteure, um Sicherheit für Daten, Bürger, Mitarbeiter und wichtiges Know-How garantieren zu können. (rw)