Risiko Netzwerk – Teil 1: Risikofaktor Mensch


Überall und jederzeit lauern Gefahren für unbedachte Anwender und Unternehmen, die keine oder nur geringe Kenntnis von EDV-Systemen haben. Doch auch die, die bereits auf einen guten Fundus an Erfahrung in der IT-Branche zurückgreifen können, kann es relativ einfach treffen. In diesem und den folgenden Posts der Reihe „Risiko Netzwerk“ möchte ich auf einige Gefahren, aber auch über Schutzmechanismen berichten, die auf unterschiedlichen Ebenen Anwender und System vor den ungewollten Zugriffen und Angriffen von Fremden schützen sollen. 

Die größte Gefahr lauert nicht zwingend außerhalb eines Netzwerkes

Die Schutzmethoden sind mit der Zeit immer ausgeklügelter und komplexer geworden, doch wo es Entwickler von komplexen Schutzmechanismen gibt, da gibt es auch eben diese, die fähig sind, diese zu überwinden. Einige Unternehmen bieten sogenannte Penetrationstests für Unternehmen an. Bei solchen Tests wird gegen teils horrende Summen ein gezielter, gewollter Angriff auf die IT-Infrastruktur eines Unternehmens durch das anbietende Unternehmen durchgeführt, um Sicherheitslücken, Exploits und Backdoors in den verwendeten Systemen zu identifizieren, Wenn die Umgebung über mehrere Wege nach außen abgesichert ist, bleiben nur noch zwei Probleme: 
 
– Mitarbeiter und Einbrecher.
 
Leute mit direktem Zugriff auf die Systeme (Wartungstechniker, Raumvisagisten oder wie die Reinigungsfachkraft für Immobiliensäuberung heute genannt wird) sind zudem ebenfalls nicht außer Acht zu lassen.
 
Es ist unverzichtbar, dass Mitarbeiter (ob technisch, organisatorisch oder buchhalterisch beschäftigt), regelmäßig durch die IT-Abteilung oder einen externen Dienstleister über potentielle Gefahren, Gebote und Verbote und die allgemein notwendige Wachsamkeit aufgeklärt werden. Das kann durch einen Trainer, einen engagierten Informatiker aus der eigenen IT oder durch verpflichtend eingeplante Webinare realisiert werden. Die Möglichkeiten sind da schier unendlich, die Mitarbeiter adäquat zu schulen und sichern das Unternehmen gleichzeitig gegen das „habe ich nicht gewusst“ vom schelmisch grinsenden Mitarbeiter nach einer sicherheitskritischen Untat ab.
 

Der große Lauschangriff

Nicht nur bisher sehr schwierig einzuschätzende Organisationen wie die Geheimdienste GCHQ, NSA und den hiesig ansässigen Geheim- und Nachrichtendienste sind an Daten (eigentlicher Informations-Datensatz) und Metadaten (Verbindungsinformationen) interessiert. Es sind nicht nur die Daten an sich, die mittlerweile interessant sind. Nein, viel wichtiger ist beispielsweise für einen gezielten Angriff auf ein Unternehmen, eine Organisation oder gar ein militärisches Ziel die Information, wann und von wo nach wo Informationen geflossen sind. So lassen sich beispielsweise mittlerweile Bewegungsmuster anhand der Funkzellenortung relativ genau wiederspiegeln. Relativ genau bedeutet, dass bis auf zwei Meter genau der Versand einer Nachricht protokolliert und ausgewertet werden kann. Natürlich sammelt man Daten nur aus Angst, das Kind in der Nachbarschaft könnte vielleicht zum Attentäter werden, die Hausfrau und Mutter eine Straße weiter könnte zur Kinderschänderin werden und der Opa, der nebenan täglich seinen Vorgarten pflegt, könnte seit Jahren jemanden in seinem Keller halten oder einer radikal-militanten Organisation angehören. Doch wer garantiert, dass dieses Archiv an Verbindungsdaten keinem Misstäter in die Hände fällt, der eben genau das Kind in der Nachbarschaft digital beobachtet, ihm oder ihr vielleicht ein Stück weit mit einer falschen Identität nähert und sich so viele Gewohnheiten wie möglich notiert, um sie oder ihn nach monatelanger Beobachtung zu entführen? Wer garantiert, dass kein Dieb sich die Informationen zunutze macht, um zu sehen, wann sich jemand regelmäßig von seiner Sportstätte, einem Gasthaus oder einem Club „meldet“, um genau dann ein Zeitfenster für einen Einbruch zu finden? Diese Fragen kann man natürlich noch endlos weiterspinnen, doch was als Essenz bleibt ist klar: Ungewissheit und Unwohlsein. 
 
In Unternehmen hat das teils eine weitere Tragweite, wenn ein ganzes Unternehmen aufgrund von Industrispionage oder aufgrund eines sehr erfolgreichen Hacks schließen und mehrere hundert, vielleicht tausende Mitarbeiter vor die Straße setzen muss. Ich möchte die Tragweite eines solchen Vorkommnisses ungern mit Straftaten vergleichen, die mit Menschenleben zu tun haben, daher wende ich mich nun ab von dem eben gezeichneten Bild und gehe zu einer neuen gedanklichen Illustration über. 
 

Auch Mitarbeiter können eine Gefahr darstellen

Jahrelang hat Peter Winning in seinem Unternehmen einen akzeptablen und geschätzten Job in der Verwaltung geführt, weiß mittlerweile genau, wie er bei wem an welche Informationen kommt – auch wenn diese vielleicht nur durch Klatsch und Tratsch den Weg zu ihm gefunden haben und er eigentlich gar nichts davon erfahren hat. Offiziell – denn kaum etwas ist so schnelllebig, wie ganz heiße Neuigkeiten aus dem Ofen der Gerüchteküche, die meist vom Koch der Wahrheitssuppe stammen, der also direkt am Informationsherd steht. 
 
Vor einer Woche hat ihn ein Kumpel aus seiner Pokerrunde angehauen, dass er mal Neuigkeiten zu dem kurz vor dem Verkaufsstart stehenden neuen Ferrari rüberwachsen lassen soll. Er würde auch mehrere Kästen Bier und ein langes Wochenende im Ferienhaus des Kumpels auf Korsika als Gegenleistung dafür erhalten. „So ein paar Informationen zu den Maßen und den verwendeten Materialien können doch nicht schwer zu beschaffen sein für einen wie Dich!“ hatte er gemeint. Nein, schwer hat er es wirklich nicht. Einen Abteilungsleiter und dessen Cousin, der die Konstruktionszeichnungen am Rechner macht, müsste er ansprechen. Da sie sich lange kennen wird er von Ihnen bestimmt einiges an Informationen erhalten können, vielleicht sogar eine Skizze, damit eine ganze Woche auf Korsika drin ist. Gesagt getan – bei einem Kaffee auf dem Gang unterhalten sich Peter und sein Abteilungsleiter über das neue Wahnsinnsgeschoss mit über 90 % Kohlefaseranteil in der Karosse und weniger als 920 kg Eigengewicht. Sie gehen am Konstruktionsbüro vorbei und erhaschen mit dem Cousin des Abteilungsleiters einen Einblick in die Vermaßung und die Zusammensetzung der neuartigen Kohlefaser. „Ich kann Dir Screenshots davon machen und sie Dir auf einen USB-Stick kopieren, dann kannst Du es Dir in Ruhe zuhause ansehen“ bot der Cousin des Abteilungsleiters an. „Jackpot!“ dachte sich Peter und willigte ein. Natürlich wiesen seine Kollegen ihn auf Achtsamkeit und dem geltenden Betriebsgeheimnis hin, doch im Kopf war Peter in dem Moment, als er den Stick mit den Screenshots der Bemaßung und dem Mischverhältnis der Kohlefaser in den Händen hielt, bereits auf Korsika. Die Bierkästen hat er als erstes erhalten, später durfte er kostenlos eine Woche Urlaub auf Korsika machen und da er sogar Screenshots der Bemaßung herausbekommen und weitergegeben hatte, hat sein Kumpel noch die Flüge übernommen. Wie großzügig und freundlich von ihm, dachte er sich. Dass er ein halbes Jahr später bereits zu einer Haftstrafe von 5 Jahren und einem Schadensersatz von über 45.000 € verurteilt wurde, war ihm da noch nicht bewusst. Die Informationen waren jetzt eh durchgesickert und Porsche konnte nochmal 76 kg mehr an Gewicht einsparen und die Höchstgeschwindigkeit erneut um 24 km/h steigern, nachdem sie ein anderes Kohlefasergemisch verwendet und die Bemaßung etwas stromlinienförmiger angegangen haben. Porsche hat einen höheren Umsatz und einen höheren Gewinn im selben Jahr einfahren können als der Konkurrent und das vorwiegend, weil einige Produktoptimierungen kurz vor der Veröffentlichung vorgenommen wurden. 
 
Das Szenario ist natürlich rein fiktiv und beruht auf reiner Vorstellung – doch zeigt es sehr schön, wo die weitere Gefahr neben dem Angriff von außen lauert: Direkt in Deinem Büro! Jeder Mitarbeiter stellt ein potentielles Risiko dar. Das bedeutet nicht, dass jeder Mitarbeiter auch so denkt und erst recht nicht, dass alle Angestellten nur darauf aus sind, Informationen oder Waren aus dem Betrieb zu schaffen, jedoch muss einem das Risiko als Unternehmer bewusst sein. Wichtig ist, dass man diese Angst nicht zu Tode schweigt und auch nicht als unwichtig abtut, sondern proaktiv die Mitarbeiter schult und beispielsweise Ursache und Wirkung eines solchen Vorfalls aufzuzeigen.
 
Von außen kann jederzeit ein Angriff erfolgen, doch diese werden in der Regel bei einem gewissen Grundverständnis für Sicherheit und dem Bewusstsein um den Schutz der Unternehmensdaten früh abgewehrt und meist noch früher von entsprechenden Systemen erkannt. Von innen kann bereits seit Jahren ein schleichender Angriff im Gange sein, von dem niemand etwas mitbekommt, doch genau das ist die große Gefahr. Der Angreifer von Innen hat bereits die Firewall und weitere Sicherheitsmechanismen überwunden und greift völlig authentifiziert auf alle Daten zu. Eben deshalb ist die Erkennung umso schwieriger.
 

Die technischen Gefahren

Da es nicht nur rein organisatorische Gefahren, wie die Unwissenheit oder Dreistigkeit mancher Angestellten, führe ich hier kurz zusammen, was für Gefahren auf technischer Seite auf Unwissende lauern. Auf diese werde ich in weiteren Teilen der Serie Risiko Netzwerk detaillierter eingehen.

Als erstes wären da Sniffer zu nennen, die „Schnüffler“ im Netzwerk. Prinzipiell ist das Sniffen an sich ungefährlich, denn es wird „nur mitgehört“ – nicht jedoch die Folgen, die sich aus den gewonnenen Datensätzen in den falschen Händen ergeben. Desweiteren gibt es da noch das Vortäuschen einer falschen Identität bzw. das „Verstecken unter einer im Netzwerk bereits bekannten Identität“, Spoofing genannt. Spoofing kann unterschiedlich ausgeübt werden. Am häufigsten im Internet anzutreffen ist das Web-Spoofing – ein Man-in-the-middle-Angriff, bei dem URLs „überschrieben“ werden, um den Unwissenden über eine weitere Instanz zu schleusen, damit man (wie meist der Fall) an Zugangsdaten oder gesamte Adressblöcke gelangt. Der Nutzer bekommt hiervon in der Regel wenig mit, was es besonders für Laien sehr schwierig macht, einen solchen Angriff als solchen zu identifizieren.

Eine weitere Gefahr können sogenannte Online-Checks und Netzwerk-Scans darstellen. Diese sind allerdings nicht zwingend gefährlich, da sie auch oft zum Troubleshooting und der Hochverfügbarkeitskontrolle dienen. Die einfachste und wohl bekannteste Variante ist der Online-Check via ICMP-Echo bzw. Pings an eine oder mehrere Netzwerkadressen, um festzustellen, ob das Gerät grundlegend erreichbar ist. Es gibt allerdings durchaus auch komplexere Methoden, um die Verfügbarkeit eines Systems festzustellen. Hier wären Port-Scans, die die Verfügbarkeit von offenen Ports an einem Einzelsystem identifizieren können und vollumfassende Netzwerk-Scans, die ganze IP-Adressbereiche gleichzeitig durchforsten zu nennen. 


Zudem gesellen sich zu den bisher rein von den technischen Gegebenheiten abhängigen, aber doch mittlerweile recht generellen Gefahren solche, die rein auf Software-basis unterschiedlicher Systeme funktionieren. Zu nennen wären hier bereits bei der Entwicklung der Software implementierte Backdoors, also Hintertüren, die sich Entwickler beispielsweise für Updates und Analysezwecken offenhalten, die allerdings auch für Angreifer einen interessanten Anlaufpunkt bieten, um in ein sonst sicheres System zu gelangen. Zudem sind fehlerhaft programmierte Anwendungen für sogenannte Buffer-Overflows, also ein „Überlaufen“ einzelner Speicherbereiche empfänglich, sodass ein System mit vielen Anfragen, schlecht umgesetztem Software-Design und einem nichtmal zwingend böswilligen Tester leicht zum Absturz zu bringen ist. Um ein System abstürzen zu lassen oder einfach die Verfügbarkeit für einen Zeitraum zu unterbrechen, werden oft sogenannte DOS (Denial of Service)-Angriffe durchgeführt. Auf unterschiedlichsten Wegen kann so beispielsweise die Verfügbarkeit eines Servers, eines Dienstes (FTP, Mail…) unterbrochen und dem Betreiber oder dem Nutzer so ein erheblicher Schaden zugefügt werden. 

Lest mehr zu den technischen Feinheiten in den folgenden Posts der Serie „Risiko Netzwerk“.

Was denkt Ihr? Was ist gefährlicher? Ein schleichender Angriff aus den eigenen Reihen oder ein gezielter Angriff von Außerhalb?
Schreibt´s in die Kommentare!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.