Angriffe auf IT-Großstrukturen

Die Angriffe auf IT-Großstrukturen, auf Rechenzentren und auf Datenspeicher in der Cloud häufen sich. Ausgerechnet den nach eigenen Angaben „weltweiten Marktführer für E-Mail- und Web-Sicherheit“ erwischte es wenige Tage vor Sony: Am 9. April wurde die Internetpräsenz von Barracuda Networks „gehackt“, die entwendeten Kunden- und Mitarbeiterdaten waren anschließend in Auszügen im Internet einsehbar. Was niemand für möglich gehalten hätte, wurde Mitte März zum Albtraum für RSA, den renommierten Hersteller von Verschlüsselungssystemen. Die SecurID des amerikanischen Unternehmens ist eines der ältesten und bekanntesten Authentisierungs-Systeme zur sicheren Anmeldung an Rechnern. Mehr als 40 Millionen Menschen nutzen die kleinen Hardware-Tokens, die alle 60 Sekunden ein neues Einmalkennwort generieren.

Der Einbruch in die RSA-Server erfolgte durch ein Hintertürchen, das wiederum über eine Sicherheitslücke in Adobes Flash-Player installiert wurde. Und dann ging alles Schlag auf Schlag. Mit Hilfe eines Fernwartungs-Tools forschte man nach Zugangsdaten, loggte sich ein, verschaffte sich weitere Administrator-Rechte, sammelte die gewünschten Daten ein, komprimierte und verschlüsselte sie und schickte sie an einen externen FTP-Server. Weniger aggressiv gingen Unbekannte Anfang Februar bei einem Angriff auf das Netzwerk der amerikanischen Börse Nasdaq vor. Sie sahen sich nur um und ließen glücklicherweise das elektronische Handelssystem intakt. Gern brüsten sich die großen Handelsplätze und Banken damit, dass ihre IT-Systeme so sicher wie die des Militärs seien. Aber „wenn Ihnen einer etwas Böses will und die Mittel dazu kennt, kann er auch die von ihm gesuchten Wege finden“, sagte ein Sicherheitsexperte einer großen deutschen Bank dieser Zeitung.
Sicherheitslücken für 100 Dollar

Sind die spektakulären Angriffe auf IT-Systeme der vergangenen Monate nur eine Häufung von Einzelfällen? Oder treten jetzt neue und schwerwiegende Strukturprobleme ans Licht? IT-Sicherheitstechnik ist für die Öffentlichkeit intransparent. Jenseits aller Spekulation bleiben einige Beobachtungen: An erster Stelle hat sich das Hacking professionalisiert. Aus der sportlichen und idealistischen Betätigung cleverer Netzwerkspezialisten ist ein profitabler Geschäftszweig der organisierten Kriminalität geworden. Eingebrochen wird nicht mehr aus hehren Motiven, sondern arbeitsteilig und in Banden, die wiederum eine Wertschöpfungskette von der Entdeckung einer Sicherheitslücke bis hin zur Kontoplünderung aufgebaut haben.

Zweitens sind Sicherheitslücken die Wurzel allen Übels. Die sogenannten Exploits in Betriebssystemen, Kommunikationsprotokollen und in Anwendungsprogrammen werden von Angreifern genutzt, um in Unternehmensnetzwerke einzudringen. Solche Schwachstellen, die es in jeder Software gibt, werden auf Schwarzmärkten im Internet angeboten, teils sogar meistbietend versteigert. Sicherheitslücken für Windows kosten weniger als 100 Dollar, Exploits für Unternehmens- oder Regierungsnetzwerke sind zu Preisen von bis zu 50.000 Dollar zu haben.
30.000 Schwachstellen-Analytiker

Sicherheitslöcher kann man nur dann stopfen, wenn man sie kennt. Eine der wichtigsten Forderungen für eine sichere IT wäre eine strikte Offenlegung und Veröffentlichung aller zu schließenden Lücken, womit gleichzeitig auch dem Schwarzmarkt der Exploits das Wasser abgegraben würde. Google hat diese Mechanismen erkannt und bezahlt Hacker für die Bekanntgabe von Lücken. Was sich vorbildlich und naheliegend anhört, ist jedoch systemübergreifend und politisch nicht durchsetzbar. Denn Nachrichtendienste und Sicherheitsbehörden sind unabdingbar auf solche unveröffentlichten Sicherheitslücken angewiesen, wenn sie mit „Remote Forensic Software“ beispielsweise eine heimliche Online-Durchsuchung von PC durchführen wollen. Würden Löcher sofort geschlossen, gäbe es keinen „Bundestrojaner“. Nach der geltenden Sicherheitsdoktrin der westlichen Länder sind die staatlichen, auf Exploits beruhenden Überwachungssysteme wichtiger als die Abwehr krimineller Angriffsprogramme. Dieser Widerspruch ist nicht auflösbar. Nur am Rande sei bemerkt: In aller Welt gibt es rund 30.000 Schwachstellen-Analytiker. Davon arbeiten etwa 10.000 in der Volksrepublik China. Und nur ein Dutzend in Deutschland.

Auch wenn drittens IT-Technik überwiegend im Dunklen bleibt: Unternehmen, deren Infrastruktur angegriffen wird, müssen sich zumindest einer Nagelprobe stellen. Nämlich der Frage, wie lange die verwendeten Lücken bereits bekannt oder veröffentlicht sind. Etliche Angriffe der vergangenen Monate basieren auf Schwachstellen, die man bereits vor fünf Jahren hätte ausbügeln können. Solche Unternehmen müssen sich zu Recht den Vorwurf der Nachlässigkeit gefallen lassen. Man wird künftig mehr Transparenz erwarten dürfen, also etwa eine kontinuierliche öffentliche Dokumentation der durchgeführten Sicherheits-Updates als Pflichtberichterstattung.

Bis dahin bleibt nur ein pessimistisches Fazit: Wenn Daten in digitaler Form vorliegen, ist die Möglichkeit des Missbrauchs immanent. Es gibt keine technischen Verfahren, die eine vollständige Sicherheit zum Schutz vor unbefugtem Zugriff bieten. Die bisherigen Vorstellungen einer fortwährenden Steigerung von Sicherheit führen in die Irre. Es wird Zeit, diese Gedanken zu verabschieden und über hinnehmbare Unsicherheiten zu reden.