“Vertrauliche Daten sind für die Konkurrenz ein gefundenes Fressen”

Feature | 1. August 2005 von admin 0

Sebastian Schreiber

Sebastian Schreiber

Herr Schreiber, als IT-Sicherheits-Tester und Hacker-Fachmann kennen Sie natürlich auch Ihre Gegenspieler – welche Ziele treiben einen Hacker an?

Schreiber: Nun, hier wäre erst einmal zu unterscheiden, um welche Art von Täter es sich handelt. Die breite Masse an Hackern besteht aus den so genannten Script Kiddies, Jugendlichen oder auch Studenten, die sich ohne viel Know-how und mit Hilfe vorgefertigter Programmteile aus dem Internet beispielsweise einen Virus zusammenbasteln und diesen dann freisetzen. Oder die Schaden anrichten, indem sie auf einer Website Texte oder ein Foto austauschen.

Das hört sich nach ungezielten Dummen-Jungen-Streichen an …

Schreiber: Ja, die meisten der Script Kiddies handeln aus Übermut, sie betrachten es als Sport, wetteifern um Aufmerksamkeit und können die Wirkung ihrer Handlungen nicht genau einschätzen. Diese ungezielten Störungen verursachen zum Teil jedoch hohe Schäden, beispielsweise wenn ein Internet-Shop lahm gelegt wird. Einige dieser Anfänger erweitern auch ihr technisches Know-how und werden zu “richtigen” Hackern. Das Ziel jedoch, gezielten Schaden in einem bestimmten Unternehmen anzurichten – das ist eher das Werk der klassischen Innentäter oder von professionellen Industriespionen mit hoher krimineller Energie.

Lässt sich abschätzen, wie viele ernstzunehmende Hacker es tatsächlich gibt?

Schreiber: Da es sich um eine Grauzone handelt, gibt es keine offiziellen Zahlen, ich kann Ihnen jetzt auch keine Schätzungen nennen, die wirklich fundiert wären. Aus beruflichen Gründen beobachten wir notwendigerweise die Szene und gehen auch auf die entsprechenden Treffen. Kürzlich gab es in den Niederlanden eine Veranstaltung mit 3.000 Teilnehmern. Diese Zahl dient natürlich nur als ungefähre Größenordnung.

Worum geht es den Tätern beim Eindringen in ein Firmennetzwerk? Um das Zerstören oder den Diebstahl von Daten?

Schreiber: Für die Profis ist es wesentlich attraktiver, ein Unternehmen auszuforschen und vertrauliche Daten heimlich zu kopieren, beispielsweise vom E-Mail-Server – das ist für die Konkurrenz im wahrsten Sinne des Wortes ein gefundenes Fressen.

Heißt das, der Konkurrenz werden die Daten angeboten? Oder heißt das, die Konkurrenz beauftragt selbst einen Profi-Hacker?

Schreiber: Sowohl als auch. Einerseits handeln Hacker auf eigene Faust und bieten die Daten entweder dem Unternehmen oder der Konkurrenz zum Kauf an. Andererseits gab und gibt es auch immer wieder Fälle, in denen die Konkurrenz einen Hacker gezielt beauftragt hat. Jedenfalls wird in der Wirtschaft nicht immer mit fairen Mittel gekämpft, und neben Korruption ist auch die Wirtschaftsspionage zu einem großen Problem geworden.

Welcher Schutz ist überhaupt möglich?

Schreiber: In diesem ständigen Wettlauf, der einem Katz-und-Maus-Spiel zwischen den Hackern und den Netzwerkadministratoren gleicht, gibt es zwei erfolgsentscheidende Faktoren. Zum einen setzt ein wirkungsvoller Schutz natürlich eine gute, das heißt sichere IT-Infrastruktur voraus. Zum anderen gute, das heißt in diesem Fall vertrauenswürdige und loyale Mitarbeiter. Hinzu kommt: so loyal die Mitarbeiter auch sind – manchmal machen Menschen eben auch unabsichtlich Fehler. Aus diesem Grund ist systemseitig ein Virenschutz und eine Firewall unabdingbar. Ein Intrusion Detection System wäre eine ideale Ergänzung. Bei der IT-Sicherheit wird ein altbekanntes Grundprinzip immer wieder deutlich: Jede Kette ist nur so stark wie ihr schwächstes Glied. Nach unserer Erfahrung sind Firmennetze zwar zu 99 Prozent sicher, ein letzter Prozentanteil ist jedoch anfällig und bildet damit eine Angriffsfläche für Eindringlinge. Diese eine verbliebene Schwachstelle versuchen wir durch Penetrationstests aufzuspüren.

Wie sieht ein solcher Penetrationstest, also ein Test-Angriff, aus und wie wird er durchgeführt?

Schreiber: Das ist individuell völlig unterschiedlich und hängt von den Gegebenheiten und Wünschen ab. Soll das ganze System oder nur bestimmte Komponenten getestet werden, soll der Test-Angriff aus dem Internet oder dem Firmennetz erfolgen, soll es ein schneller oder ein besonders intensiver Test sein. Je nach Komplexität des IT-Systems und inklusive Vorbereitung kann ein Test zwischen drei und zwanzig Tagen in Anspruch nehmen. Der Test selbst kann automatisch oder manuell oder in einer Kombination durchgeführt werden.

Was bringen automatische und was manuelle Tests?

Schreiber: Für die automatischen Tests gibt es unter den verfügbaren Sicherheits-Scannern viele gute Produkte auf dem Markt. Bei der Beurteilung der Qualität ist meiner Erfahrung nach ein wichtiges Kriterium, ob der Quellcode einsehbar ist. Im Hinblick auf diese Frage tendiere ich in der Regel zu Open-Source-Software. Aber ob frei oder kommerziell erhältlich: Mit Hilfe dieser Scanner lässt sich recht gut prüfen, über das Internet oder das Firmennetz, ob die getesteten Systeme anfällig sind für Angriffe. Sie geben jedoch nur einen groben Überblick über den Sicherheitszustand des Firmennetzes, da sie zum Beispiel nicht in der Lage sind, maßgeschneiderte Individualsoftware oder wenig verbreitete Branchenlösungen zu testen. Um einen detaillierten Einblick in die IT-Sicherheit eines Unternehmens zu erhalten, sind manuelle Analysen erforderlich. Zu diesem Zweck verwenden wir einerseits die im Netz erhältliche Hacker-Software als auch individuell zu erstellende Werkzeuge.

Und welche Testformen gibt es?

Schreiber: Ein Kriterium ist die gewünschte Aggressivität der Tests. Darf das System auf keinen Fall abstürzen, beschränken wir uns auf so genannte ‚weiche Tests’. Anderenfalls setzen wir selbst Denial-of-Service-Attacken ein, bei denen die Verfügbarkeit von Systemen angegriffen wird, um zu prüfen, ob sich ein System “abschießen” lässt. Ein anderes Kriterium ist der Wissensstand des Angreifers. Bei einem Whitebox-Test erhält der Angreifer vom Auftraggeber interne Informationen wie die Dokumentation über Prozessbeschreibungen, Kommunikationsströme, Firewalls und Netzwerkpläne und kann damit viel gezielter angreifen. Bei einem Blackbox-Test hingegen ist anfangs nichts über das Unternehmensnetzwerk bekannt, der Angreifer muss erst einmal im Trüben fischen …

Wie geht ein Angreifer in so einem Fall vor?

Schreiber: Er wird versuchen die Übergänge zum Internet zu finden, indem er beispielsweise die RIPE-Datenbank oder DNS-Server abfragt, in Newsgroup-Archiven recherchiert oder einen Mail-Bouncing-Test durchführt, um über diese Analyse die IP-Adressen zu erhalten. Damit ergibt sich ein guter Ansatzpunkt, um einen Angriff auf das Firmennetz zu starten.

Was ist bei der Projektplanung noch zu beachten?

Schreiber: Eine Frage ist hier, ob der Test angekündigt oder unangekündigt stattfinden soll. Und schließlich geht es darum, ob dieser Test einmalig oder zur regelmäßigen Überprüfung durchgeführt werden soll.

Wie hoch ist denn Ihre Erfolgsquote, wie häufig knacken Sie ein System?

Schreiber: Das hängt von der Beschaffenheit des Tests ab. Am erfolgreichsten sind in der Regel die Angriffe auf der Web-Applikationsebene. Hier gelingt es uns in circa 90 Prozent der Fälle in fremde Netze einzudringen. Meist spionieren wir Informationen aus. Neulich hatten wir aber auch einen Fall, wo wir zwar keine Informationen auslesen konnten, aber dafür in der Lage waren, Daten zu schreiben.

Welche Ergebnisse bringen solche Test-Angriffe?

Schreiber: Manchmal sind es tatsächlich die kleinen, unscheinbaren Details, die das Netzwerk anfällig machen. Ein typisches Beispiel wäre der Fall, bei dem ein großes Unternehmen einen Router mit Filterregeln zwischen das Internet und das Netzwerk gehängt hatte – die Filterregeln waren zwar angelegt, aber nicht aktiviert. Aufgrund dieser kleinen Nachlässigkeit war das gesamte Unternehmensnetzwerk potentiellen Angriffen völlig schutzlos ausgeliefert. Es ist eine der typischen Schwachstellen, dass Schutzvorrichtungen zwar vorhanden, aber nicht richtig konfiguriert sind. Oder das System war bereits einmal wasserdicht eingerichtet, dann wurde in diesem komplexen Gefüge eine Kleinigkeit umkonfiguriert, vielleicht ein weiterer Port geöffnet, und schon entsteht eine neue Sicherheitslücke – entdeckt ein Hacker mit gezielt kriminellen Absichten diese Lücke, steht schnell die Existenz des Unternehmens auf dem Spiel.

Welche Empfehlungen geben Sie für ein möglichst hohes Maß an IT-Sicherheit?

Schreiber: Die wichtigsten Empfehlungen für die Pflege des IT-Netzes wären: eine möglichst homogene Landschaft schaffen, möglichst wenige Netzwerk-Protokolle nutzen, die Komplexität wo immer möglich zu reduzieren, Robustheit und Redundanzen hingegen erhöhen. Weitere Kriterien wären: auf die Produktqualität und die Qualitätssicherung achten, ausschließlich qualifiziertes Personal einsetzen, das sich kontinuierlich fortbildet, keine unnötige Software oder nicht gebrauchte Ports öffnen und mit den Benutzerrechten höchst restriktiv umgehen. Das sind schon einmal solide Voraussetzungen für die IT-Sicherheit. Und dann natürlich noch das komplette System prüfen, prüfen und nochmals prüfen, vor allem nachdem etwas ganz oder in Teilen umkonfiguriert worden ist.

Wie sicher sind denn Ihre eigenen Systeme?

Schreiber (lacht): Also ich selbst bin von Berufs wegen ganz gewiss “paranoid” genug, um meine eigenen Systeme ständig auf dem besten Stand der Sicherheit zu halten.

Was setzen Sie denn ein, um sich und Ihr Unternehmen zu schützen?

Schreiber: Eigentlich nur die üblichen Sicherheitsvorkehrungen wie eine mehrstufige Firewall, Personal Firewalls und als weitere Sicherheitsgaranten vor allem gut geschulte Mitarbeiter, die ebenso problembewusst und “paranoid” wie ich denken und handeln.

Leave a Reply