Sind Informationen noch zu schützen? Wenn man die Angriffe auf Sony, RSA, DigiNotar oder Mitsubishi betrachtet, scheint das eher nicht der Fall zu sein. Und in der Tat: Die Risiken für die Informationssicherheit sind größer, als es den meisten von uns bewusst ist. Die Frage ist: Was muss man tun um sich zu schützen?
Unternehmen gehen zwar immer offener mit Datenverlusten um, die genannten und bekannten Fälle sind aber nur die Spitze des Eisbergs. Genaue Zahlen gibt es nicht, aber einige Sicherheitsspezialisten vermuten, dass annähernd 90 Prozent der größten Unternehmen bereits Opfer eines gezielten, langfristig angelegten und ausgefeilten Angriffs geworden sind. APT (Advanced Persistent Threat) ist das Schlagwort dafür.
Nicht jeder der genannten Fälle war unbedingt ein APT. Bei Sony war es vielleicht ein eher einfach strukturierter Angriff. Im Falle von RSA, DigiNotar und auch Mitsubishi waren es nach dem, was man weiß, doch sehr ausgeklügelte Angriffsszenarien. Dass dabei der Iran als Urheber bei DigiNotar und China als Ursprungsland der Attacken auf Mitsubishi – und dort den Rüstungsbereich – gehandelt werden, ist nicht überraschend. Wenig überraschend ist aber auch, dass schlagkräftige Beweise für die Urheberschaft fehlen.
Wenn man die Zahlen aus dem RSA Monthly Online Fraud Report und vergleichbaren Quellen betrachtet, ist ein permanenter Anstieg der Attacken zu verzeichnen. So haben sich die Phishing-Angriffe auf Kreditinstitute alleine im August verdoppelt. Und auch andere Werte steigen weiterhin massiv an.
Letztlich wird bei dieser Entwicklung deutlich, dass sich die IT-Sicherheit nicht im gleichen Tempo weiterentwickelt hat wie die Möglichkeiten der IT und die Vernetzung. Hinzu kommt, dass sich auch das Wissen über IT-Sicherheit nicht annähernd so schnell verbreitet wie es erforderlich wäre
Hundertprozentige Sicherheit gibt es nicht
Längst kann und darf man nicht mehr davon ausgehen, dass irgendetwas sicher ist. CAs (Certificate Authorities), die Zertifikate für SSL-Server ausstellen, sind nicht mehr unbedingt sicher. Hardware-Tokens kann man auch nicht mehr bedingungslos als sicher einstufen. Dass Firewalls oft löchriger als ein Sieb sind, ist ohnehin hinlänglich bekannt. Was aber folgern wir daraus?
In erster Konsequenz muss man sich über die Risiken klar werden – und zwar ehrlich und bewusst. Eine Risikobewertung und differenzierte Einschätzung und die Definition von Maßnahmen zur Erkennung von Bedrohungen und zur Reaktion auf Angriffe – auch solche, die man nicht erwartet oder als völlig unwahrscheinlich eingestuft hat – ist ein erster Schritt.
Die Überprüfung der IT-Sicherheitsorganisation und der Prozesse ist ein weiterer Schritt. Privilegierte Benutzer müssen kontrolliert werden, sensitive Aktivitäten erfordern ein Mehr-Augen-Prinzip. Hier gibt es meist unzählige Lücken. Und diese Lücken werden gerade in APTs auf dem Weg über Social Engineering-Attacken, das Einschleusen von weiterer Malware auf diesem Weg und das schrittweise Vorarbeiten bis zu den wirklich sensitiven Systemen genutzt.
Sicherheit muss daher auch mehrstufig sein. Je mehr Stufen es gibt und je weniger Sicherheit von einem einzelnen System wie einer Firewall oder eine CA abhängt, desto besser können Risiken adressiert werden. Wenn man einzelnen Instanzen nicht mehr vertrauen kann, muss man das Vertrauen dadurch gewinnen, dass man sich auf viele relativ verlässliche Instanzen verlässt. In der Summe sinkt das Risiko. Nur: Absolute Sicherheit gibt es eben nicht.
Mittelfristig wird auch das Thema der Ausbildung immer wichtiger werden. IT-Sicherheit muss einen zentralen Stellenwert in der IT-Ausbildung erhalten, beginnend in den Schulen und bis hin zu den Universitäten. Es braucht mehr Experten, es braucht aber auch ein breiteres Grundbewusstsein über die Risiken und die Dinge, die man einfach bleiben lassen sollte.
Dennoch werden wir mit den Bedrohungen leben müssen und damit, dass wir die Risiken nicht ausschalten, sondern nur minimieren können. Noch wird die Situation meist unterschätzt – in der Realität sind die Risiken aber deutlich größer, als die meisten von uns befürchten.