Firmen kämpfen gemeinsam gegen Cyberattacken
Foto: Julius Endert, CC By 2.0
Die Sicherheitsfirma RSA hat zusammen mit Experten aus 17 internationalen Unternehmen ein Empfehlungspapier mit dem Titel “Getting Ahead of Advanced Threats” vorgelegt. Es analysiert die gegenwärtige Bedrohungslage im Netz und verlangt mehr Kooperation im Datenaustausch. Eine gewaltige Aufgabe.
“Die bittere Wahrheit ist: Die meisten Firmen wissen nicht genug über die Bedrohung ihrer IT-Sicherheit und die geeigneten Maßnahmen, um sich angemessen gegen Cyberattacken zur Wehr zu setzen,” diese Worte leiten den jetzt vorgelegten Bericht (PDF) ein.
Das IT-Sicherheitsunternehmen RSA erlebte im vergangenen Jahr selbst seinen größten Sicherheits-GAU: Angreifern war es gelungen, in die Systeme des Unternehmens einzudringen. Dabei hatten es die Diebe geschafft, die Codes zu entwenden, mit denen die Sicherheitsschlüssel geknackt werden konnten, die RSA seinen Kunden zur Verfügung stellt. Den Angreifern gelang es anschließend, in das Netzwerk des US-Rüstungskonzerns Lockheed Martin einzudringen.
Damit so etwas nicht noch einmal passiert, kündigte RSA-Chef Art Corviello anschließend die Entwicklung einer so genannten informationsbasierten Sicherheitsstrategie an. Dabei geht es nicht mehr um einfache Maßnahmen wie Viren-Scanner oder Firewalls, sondern um aufwändige Aufklärungsarbeit: So sollen unterschiedlichste Informationen zusammengetragen werden, die auf eine aktuelle Gefährdung hinweisen, um dann rasch Vorsichtsmaßnahmen ergreifen zu können.
Die gesamte Wirtschaft ist betroffen
Auf Initiative von RSA gab ein Panel aus 17 Sicherheitsexperten nun dafür ein Empfehlungspapier heraus. Die Liste der beteiligten Unternehmen zeigt, dass kaum eine Branche nicht mit Angriffen rechnet: Dabei sind der Getränkehersteller Coca-Cola, das Online-Auktionshaus eBay, der Rechenzentren-Anbieter EMC, der Mobilfunkgerätehersteller Nokia, der Rüstungskonzern Northrop Grumman und der deutsche Software-Hersteller SAP.
Gerade im vergangenen Jahr nahmen komplexe Angriffe zu, was die Unternehmen gegenüber den Gefahren aus dem Netz sensibler macht. Das heißt, dass sie sich genauer ansehen, welche Daten für Angreifer interessant sein könnten. So könnte etwa bei Unterhaltungskonzernen die Kundendatenbank samt Bezahlinformationen attraktiv sein. Bei Rüstungsunternehmen wiederum könnten Konstruktionsunterlagen für staatliche Hacker ein lohnendes Ziel darstellen. Erst wenn die Unternehmen ihr Risiko kennen und bewerten, können sie auch abschätzen, wie viel Aufwand sie für mehr Sicherheit treiben müssen.
Analyse der Bedrohung ist eine schwierige Aufgabe
Wie schwierig es ist, die Bedrohungsinformationen zu erfassen und zu kategorisieren, lässt sich dem jetzt vorgestellten Papier entnehmen. Es listet 28 Beispiele auf, wie Daten über mögliche Gefährdungen ermittelt und weitergegeben werden können. Einfach ist es beispielsweise noch bei Domains, auf denen Schadsoftware lagert. Hier reicht im Zweifel eine E-Mail als schnelle Warnung. Ungewöhnliche Aktivitäten im eigenen Netzwerk können aber erst dann entdeckt werden, wenn bekannt ist, wie die normale Aktivitätskurve aussieht.
Der Bericht hält fest, dass zwar viele Informationen aus Anwendungen und Sicherheitssystemen aufgezeichnet und gespeichert werden, meist aber nicht analysiert würden, um schließlich als “tote Protokolle” zu enden.
Noch anspruchsvoller ist es, Trends zu beschreiben, bei denen Angreifer gezielt Firmen aus einem bestimmten Segment aussuchen, um sie mit Denial-of-Service-Attacken zu überfallen. Ein Beispiel sind etwa die Attacken auf die Bezahlunternehmen, die ihren Vertrag mit Wikileaks im vergangenen Jahr aufgekündigt hatten. Aktuelle Informationen über diese Art von Hacker-Aktivismus werden unter Strafverfolgern und Unternehmen ausgetauscht.
Im internen Berichtswesen dagegen verbergen sich oft auch Beschreibungen von Angriffen durch gezielte Beeinflussung von Mitarbeitern, z.B. durch fingierte E-Mails, um an sicherheitsrelevante Methoden wie Passwörter zu gelangen (Social Engineering), oder über Risiken, die durch eine Änderung der Unternehmensstrategie entstehen können. Etwa wenn Arbeitsplätze abgebaut und Mitarbeiter unzufriedener werden, oder auch wenn laufende Verhandlungen mit anderen Unternehmen zu Ausspähversuchen animieren.
Daten häufig nicht nutzbar
Viele dieser Daten sind bislang nicht in einem maschinenlesbaren Format vorhanden, daher müssen sie von spezialisierten Analysten manuell durchforstet werden, die Zeit für eine Analyse und Aufarbeitung fehlt dann oft. Hinzu kommt, dass der Informationsaustausch bislang bei komplexen Angriffen höchst anekdotisch bleibt, so der Bericht. Nur bei standardisierten Daten, wie etwa Informationen zu Viren, klappt die Informationsübermittlung gut.
Auch die Sicherheitsbehörden – wie das Bundeskriminalamt und der Verfassungsschutz – wüssten zu wenig über Gefahren, weil die Unternehmen sich zu selten meldeten. Aus Angst vor Reputationsverlust. Wahrscheinlich hilft deshalb nur eine gesetzliche Meldepflicht, glauben manche der Experten. Auch EU-Kommissarin Viviane Reding will Unternehmen mit ihrer Datenschutzreform dazu verpflichten, zumindest Datendiebstähle, von denen Kunden betroffen sind, künftig binnen 24 Stunden anzuzeigen. Eine Forderung, die einige Unternehmen jetzt schon als unrealistisch bezeichnet haben. Es muss wohl noch einiges mehr passieren, bis sie darin und in einem Informationsaustausch untereinander keine Gefahr, sondern einen wirklichen Mehrwert sehen können.
(Das ZDF ist für den Inhalt externer Internetseiten nicht verantwortlich)
3 Kommentare | 02. Februar 2012 | 15:00 Uhr |
| 
Eine gesetzliche Meldepflicht halte ich für höchst sinnvoll, glaube aber nicht, dass große Unternehmen sich daran halten werden.
Thanks For this Informative blog
[...] im vergangenen Jahr waren mehr und mehr komplexe Angriffsstrategien zu erkennen. Diese richteten sich beispielsweise zuerst gegen ein IT-Sicherheitsunternehmen wie [...]