In diesem Artikel lesen Sie,
Emotet besiegt – Problem gelöst? So einfach ist es nicht. Auch künftig werden Hacker Unternehmen und Rechenzentren gezielt mit Ransomware und anderer Malware attackieren. Wie schützt man seine Daten und Anwendungen proaktiv und effektiv? Welche Rolle spielt Cloud Computing dabei? Ein Gespräch zur Lage von Datenschutz und IT-Sicherheit mit Daniel Fussy, Security & Privacy Consultant bei T-Systems.
Herr Fussy, wie schätzen Sie die aktuelle Sicherheitslage in der Informations- und Kommunikationstechnik ein – auf welche Bedrohungen müssen wir uns einstellen?
Ransomware wird weiterhin auf den vordersten Plätzen der Angriffsmethoden liegen, auch wenn die Emotet-Infrastruktur aus dem Verkehr gezogen ist. Dabei gehen Cyberkriminelle gezielter vor: Der klassische Angriff auf ein Rechenzentrum über DDOS-Attacken wird nun immer häufiger durch Einbruchsversuche auf Systeme verstärkt. Eine der größten Bedrohungen in 2021 sehe ich daher in der Wirtschaftsspionage durch Einbruch in die Anwendungen der Kunden. Darauf sind 90 Prozent aller Angriffe über das Internet gerichtet.
Woran liegt es, dass Anwendungen von Unternehmen so häufig zu Angriffszielen werden?
Ich nenne das „Benutzerhandbuchangriffe“: Wenn ein Kunde bei der Konfiguration seiner Anwendung 80 Prozent des Handbuchs abgearbeitet hat und das System einwandfrei läuft, fallen die restlichen 20 Prozent oft unter den Tisch. Das kann beispielsweise dazu führen, dass keine oder eine falsche Rechtevergabe an Nutzer erfolgt, Passwörter nicht geändert und Systeme nicht gehärtet werden. All dies eröffnet einem Angreifer Möglichkeiten, hinter der Firewall Hintertürchen für Ransomware und andere Malware zu finden und immer tiefer ins System vorzudringen. Solche Fehler passieren immer wieder – selbst geheime Dokumente der NSA waren schon durch Benutzerfehler in der Public Cloud eines US-amerikanischen Hyperscalers einsehbar.
Was ist das Ziel der Angreifer?
Das Interesse der Angreifer liegt meist nicht darin, wie beim klassischen DDOS-Angriff – etwa auf einen E-Shop – ein System lahmzulegen oder zu zerstören. Es geht vielmehr darum, so lange wie möglich unentdeckt zu bleiben, ungestört Betriebsspionage zu betreiben und Informationen abzugreifen, um sie dann möglichst teuer zu Geld zu machen.
Welche Maßnahmen sind geeignet, um Anwendungen zu schützen?
Zertifizierungen gelten als guter Gradmesser für Qualität und Schutz. Für die Cloud sind beispielsweise besonders Zertifizierungen wie ISO 27018 und Trusted Cloud (TCDP) relevant. Um die Verfügbarkeit der Anwendung eines Kunden zu sichern, wird diese heutzutage über mehrere Rechenzentrumsstandorte hinweg gemanagt. Dieser Ansatz wird auch als „Pet versus Cattle“ bezeichnet: Es spielt keine Rolle, wenn ein geliebter und bevorzugter „Pet“-Server an einem Standort ausfällt, weil ein neuer Server aus der Herde („Cattle“) schon bereitsteht.
Wie lässt sich das umsetzen?
Mithilfe von Skriptsprachen und Automatisierungswerkzeugen wie Ansible, Terraform und SaltStack lassen sich ausgefallene Server und virtuelle Maschinen in kürzester Zeit nachbauen und betriebsbereit machen – man kann es auch als „Selbstheilungskräfte“ von Servern bezeichnen. Das entspricht dem Prinzip von Container-Lösungen wie Docker und Steuerungswerkzeugen wie Kubernetes. Die Cloud wird so in die Lage versetzt, sich quasi aus eigener Kraft zu reparieren. Basierend auf dem letzten aktuellen Backup baut sich per Knopfdruck innerhalb von wenigen Minuten die ganze Umgebung wieder auf. Mittlerweile schätzen immer mehr Kunden diese Vorteile von Cloud Computing und Infrastructure as a Service (IaaS).
Datenschutz, Compliance, DSGVO – wie schaffen Unternehmen diesen Dreisprung? Und wie können Cloud-Anbieter ihnen dabei behilflich sein?
Speziell bei personenbezogenen Daten haben die Gesetzgeber in Europa und Deutschland extrem nachgebessert, vor allem mit der Erneuerung des Kriterienkatalogs BSI C5:2020. Unternehmen erhalten damit konkrete Anhaltspunkte etwa für die Zusammenarbeit mit Dritten und die Umsetzung des „Rechts auf Vergessen“. Daten sind die Kronjuwelen jedes Unternehmens. Daher sollten Personal-, Finanz- und Forschungsdaten sowie Geschäftsgeheimnisse immer an dem Ort gespeichert werden, der die höchste Sicherheit bietet. Wer als Unternehmen der DSGVO unterliegt, benötigt für seine Datenverarbeitung einen Standort in Europa beziehungsweise europäische Cloud-Anbieter, um die Compliance zu wahren. Gleichzeitig empfiehlt es sich, auf eine Multi-Cloud-Strategie mit mehreren Anbietern zu setzen, um so Verfügbarkeit und Ausfallsicherheit zu maximieren. Das gilt speziell für große Konzerne, die die Tagesperformance ihrer jeweiligen Anbieter monitoren können und danach entscheiden, auf welche Cloud sie ihre Anwendungen als Container verteilen.
Der aktuelle BSI-Sicherheitsbericht verzeichnet Höchstwerte in allen Bereichen des Cybercrime und warnt vor neu aufgekommenen Bedrohungen. Wie sähe ein umfassendes Gesamtkonzept aus, um sich dagegen zu wehren?
Regelmäßige interne Kontrollen sind unverzichtbar. Bei der Telekom hat sich das Privacy & Security Assessment durchgesetzt. Im Rahmen dieses Verfahrens werden alle bekannten Schwachstellen und die Härtung der Systeme überprüft sowie Pentests durchgeführt – es kommt quasi einer internen Zertifizierung gleich. Sehr nützlich sind darüber hinaus Bug-Bounty-Programme. Dabei laden Unternehmen und Organisationen Hacker zum Einbruch in ihre Systeme ein und bezahlen sie dafür: Wer eine Schwachstelle findet und meldet, erhält eine Belohnung. Auch die Telekom unterhält ein Bug-Bounty-Programm. So schafft man Anreize für Hacker, Angriffspunkte nicht auf kriminelle Weise auszunutzen – Stichwort Ransomware.
Was kann man noch tun?
Ein weiteres gut geeignetes Mittel, um Hackern über die Schulter zu schauen und ihre Vorlieben und Methoden zu studieren, sind Honeypots: Man stellt ein System in die Cloud, das aussieht wie ein echter Computer in einem Netzwerk, aber tatsächlich isoliert ist, keinerlei kritische Daten enthält und zudem mit einer speziellen Software alle Aktivitäten des Hackers aufzeichnet – und ihn von den echten Systemen ablenkt. Unser Honeypot heißt T-Pot, und es ist immer wieder erstaunlich, wie innerhalb von 24 Stunden auf eine jungfräuliche IP-Adresse mit einem neuen Honeypot-System bis zu 20.000 Angriffe ausgeführt werden – die das jeweilige System natürlich alle mitschreibt. Auszüge dieser Daten veröffentlichen wir auf www.sicherheitstacho.eu.
Noch ein Tipp zum Schluss: Schwachstellenscanner sind ebenfalls eine probate Ressource. Wir nutzen neben Lösungen wie Qualis und Nessus den OpenVAS-Scanner von Greenbone. Zu beachten ist auch hier, dass die besten Verfahren, Maßnahmen und Software-Werkzeuge nichts nützen, wenn sie nicht regelmäßig angewendet werden. Es gilt also, auch nach der Inbetriebnahme eines Systems weiterhin regelmäßig Schwachstellenscans auszuführen und auszuwerten. Denn Hacker schlafen nicht, sie entwickeln ihre Malware und Methoden weiter.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Jahresbericht zur Cyber-Sicherheitslage für Deutschland 2020 die wichtigsten Zahlen zusammengefasst. Hier eine Auswahl: