UniCredit Bank Austria UniCredit Bank Austria
Wir sind für Sie da
VideoTelefonie testen
Allgemeine Anfragen
Kartensperren
UniCredit Bank Austria UniCredit Bank Austria
Wir sind für Sie da
VideoTelefonie testen
OnlineBanking | BusinessNet
Vorlesen

Sicherheit für Unternehmen

Böswillige Attacken auf seriöse Unternehmen

Ihr Unternehmen ist jeden Tag aufs Neue gefährdet. Viren, Angreifer und sogar unbeabsichtigte Benutzerfehler stellen eine ernsthafte Bedrohung dar, die schwerwiegende Folgen haben kann. Anhand des folgenden Szenarios sollen diese Bedrohungen mit Beispielen böswilliger Attacken und deren Folgen verdeutlicht werden. Sie zeigen auf, wie wichtig vorbeugende Maßnahmen sind.

Viren
Im April 2003 gingen bei InternetnutzerInnen auf der ganzen Welt E-Mail-Nachrichten von FreundInnen und Bekannten mit pornografischem Inhalt ein. Wieder andere BenutzerInnen mussten feststellen, dass ihr Internetzugriff blockiert war, weil sie angeblich Spam-E-Mails versendeten. Andere wiederum fanden sich auf Newsletter-Listen wieder, für die sie sich nie angemeldet hatten.

Bald wurde klar, dass ein neuer Virus namens "Klez" für das Chaos verantwortlich war. Der Klez-Virus griff tief in die Trickkiste, um sich schnell zu verbreiten. Zunächst gab der Virus vor, dass die infizierten E-Mail-Nachrichten von echten E-Mail-BenutzerInnen versendet wurden, indem er das Adressbuch des infizierten BenutzerInnenkontos verwendete. Dadurch wurden die E-Mail-Systeme noch zusätzlich mit unnötigen Warnungen, Antworten und Schuldzuweisungen blockiert. Dann wurden die BenutzerInnen auch noch dazu verleitet, die infizierte Nachricht zu öffnen, da in den Betreffzeilen "eine urkomische Webseite" oder "unzustellbare Nachricht" zu lesen war.

Spätere Versionen des Virus infizierten auch die eigenen Dateien der BenutzerInnen. Klez durchsuchte die Festplatten der infizierten BenutzerInnen nach einem geeigneten Dokument, infizierte dieses und leitete es daraufhin per E-Mail an andere Benutzer weiter. Auf diese Weise gelangten viele private BenutzerInnendateien an die Öffentlichkeit.

Klez nutzte ein Problem in der E-Mail-Software Microsoft Outlook aus, das schon vor Jahren entdeckt und mit kostenlosen Microsoft-Updates zum Herunterladen behoben wurde. Entwickler von Antivirensoftware wurden darauf aufmerksam und aktualisieren ihre Erkennungssoftware innerhalb von Stunden, aber die Auswirkungen des Virus waren noch Monate später spürbar. Der Schaden, den der zerstörerische und aggressive Virus angerichtet hat, wäre also durchaus vermeidbar gewesen. Klez zählte zu den folgenschwersten Viren, ist aber nur einer von Tausenden jährlich neu auftretenden Viren.

E-Mail-Spoofing und Phishing
"Ich gebe zu, ich bin ein Riesenfan von eBay. Seit Jahren verwende ich die Webseite als Handelsplatz. Vor kurzem erhielt ich eine offiziell aussehende eBay-Nachricht und wurde darauf hingewiesen, dass mein Dienst in Kürze ausgesetzt würde. Ich klickte also auf den Link in der E-Mail-Nachricht, der mich (wie ich fälschlicherweise annahm) auf die eBay-Seite brachte, machte einige persönliche Angaben und reichte das Formular ein. Erst später erkannte ich, dass an der Sache etwas faul war. Ich öffnete die eBay-Webseite und stellte fest, dass man mich dazu verleitet hatte, meine persönlichen Daten an eine unbekannte Quelle zu schicken."

E-Mail-Nachrichten zu senden, die eine andere Absenderin bzw. einen anderen Absender vorgeben, ist ein alter Trick, der als E-Mail-Spoofing bekannt ist. Meist soll die Empfängerin bw. der Empfänger beim E-Mail-Spoofing dazu gebracht werden, eine Spam-Nachricht zu öffnen, indem vorgetäuscht wird, die Nachricht sei von einer legitimen Absenderin bzw. Absender. Im Gegensatz dazu steht das "Phishing", bei dem es sich um eine weitaus gefährlichere Abart des E-Mail-Spoofing handelt. In der Regel sendet eine Angreiferin bzw. Angreifer eine E-Mail-Nachricht, die den Anschein hat, als würde sie von offizieller Stelle stammen (etwa eBay oder Microsoft). In der E-Mail-Nachricht enthaltene Links leiten Sie zu einer Webseite weiter, die der echten Seite täuschend ähnlich ist. Es handelt sich dabei allerdings um eine Webseitenattrappe, die Sie dazu verleiten soll, Ihre persönlichen Daten preiszugeben, die wiederum für Spam-Listen oder zum Diebstahl Ihrer Kontoinformationen verwendet werden können.

Computerdiebstahl
"Ich holte mir meinen Bordschein am Flughafen. Die Tasche mit dem Notebook stand gleich neben mir. Ich habe wirklich gut aufgepasst, mir ist überhaupt nichts Verdächtiges aufgefallen." Für einen gestohlenen Computer lassen sich bis zu 50 Prozent seines Einzelhandelspreises erzielen. Kein Wunder, dass jährlich Zehntausende Notebooks gestohlen werden.

Diese Situation wiederholt sich Abertausende Male, und mit dem Ersatz des Computers ist die Sache noch lange nicht zu Ende. Denn mit dem Verlust des Notebooks geht der Verlust bedeutender, oft vertraulicher Informationen einher.

Nicholas Negroponte, der Gründer des Media Lab des Massachusetts Institute of Technology (MIT), wurde beim Betreten eines Gebäudes von einem Sicherheitsbeamten gefragt, wie viel sein Notebook wert sei. Seine Antwort lautete: "Etwa ein bis zwei Millionen Dollar." Der monetäre Wert des Computers belief sich zwar nur auf ein paar Tausend Dollar, aber der Wert der darin enthaltenen Daten betrug ein Vielfaches davon.

Betrachtet man die Anzahl der jährlich gestohlenen Computer, ist es erstaunlich, wie wenig BenutzerInnen ihre Daten verschlüsseln oder sichere Kennwörter verwenden, um unautorisierten Zugriffe vorzubeugen. Es ist auch überraschend, wie wenig Kleinunternehmen ihre Mitarbeiterinnen und Mitarbeiter über grundlegende Sicherheitsmaßnahmen aufklären.

War-Driving
Ein War-Driver zählt zur neuen Generation illegaler HackerInnen. Zum erfolgreichen Hacken benötigen sie lediglich ein Notebook, eine Netzwerkkarte für drahtlose Netze, gratis herunterladbare Software und eine Antenne, die aus einer Aludose angefertigt werden kann. Damit können sie in drahtlose Netzwerke von Privat- und FirmenbenutzerInnen eindringen, die in ihrer Nähe sind.

Die meisten drahtlosen Netzwerke sind völlig ungeschützt. Viele HerstellerInnen drahtloser Netzwerke haben die Verschlüsselungsfunktion sogar standardmäßig deaktiviert. Die BenutzerInnen aktivieren die Verschlüsselung oft nicht und verwenden auch keine zusätzlichen Sicherheitsmaßnahmen. Dadurch wird es für jeden möglich, eine drahtlose Verbindung aufzubauen und zu nutzen. Beim War-Driving handelt es sich nicht einfach nur um einen Streich unter Computerfreaks: Manche Eindringlinge versuchen, auf Dateien zuzugreifen und das System zu beschädigen. Glücklicherweise ist der Schutz eines drahtlosen Netzwerks relativ unkompliziert, und die meisten War-Driver können durch ein paar einfache Maßnahmen aufgehalten und abgewiesen werden.

Vertrauliche Informationen
Herr Jahn arbeitet für eine erfolgreiche Werbeagentur. Er hatte Schwierigkeiten mit seinem Computer, also wandte er sich an einen Mitarbeiter des technischen Teams. Der Techniker war schnell zur Stelle, meldete sich als Administrator beim Netzwerk an und behob das Problem. Unter Zeitdruck machte er sich nach Beendigung seiner Arbeit sofort auf den Weg, um das nächste Problem zu lösen. Leider vergaß er, sich vom System abzumelden. Neugierig wie er war, beschloss Herr Jahn, sich ein bisschen umzusehen. Er fand eine Tabelle mit den Gehaltsinformationen seiner KollegInnen. Bei nächster Gelegenheit würde er auf eine ordentliche Gehaltserhöhung bestehen.

Sein Arbeitgeber konnte sich glücklich schätzen, dass Herr Jahn nur auf eine Gehaltserhöhung aus war. Man stelle sich nur vor, was geschehen wäre, wenn er ein unzufriedener Mitarbeiter auf einem Rachefeldzug gewesen wäre. Wäre es Ihnen Recht, dass die gesamte Belegschaft erfährt, wie viel Sie verdienen? Oder möchten Sie, dass jemand Zugang zur Buchhaltung des Unternehmens erhält? Und wie würden sich Ihre KonkurrentInnen freuen, wenn Sie diese Informationen bekommen?

Mit Hilfe der Technik können Situationen wie diese vermieden werden, aber die Technik stellt nur einen Teil der Lösung dar. Die beste Hardware und Software nutzt nichts, wenn Sie nicht auch auf bewährte Richtlinien, Verfahren und Schulungen zurückgreifen können.

Illegales Hacking
Frau Jilhanek, Managerin einer kleinen kommerziellen Webseite, die Nischensoftware vertreibt, war mit ihrer neu konzipierten Webseite sehr zufrieden. Das Unternehmen verfügte nun über seinen eigenen Webserver und eine Breitbandverbindung, so dass das Unternehmen die Webseite auch selbst hosten konnte. Freitagabend ging Frau Jilhanek noch zuversichtlich in ihr Wochenende.

Montagmorgen erwartete sie allerdings eine ganz andere Situation. Über das Wochenende waren illegale HackerInnen in ihre Webseite eingedrungen, hatten sie gelöscht und deren Inhalt durch pornografische Darstellungen ersetzt. Darüber hinaus hatten Hunderttausende Leute über das Wochenende fleißig Bilder von der Webseite heruntergeladen. Die Bandbreitenbeanspruchung stieg ins Unermessliche, und das Unternehmen sah sich mit einer Rechnung von mehreren Tausend Dollar konfrontiert. Frau Jilhaneks Vorgesetzter hatte bereits E-Mail-Nachrichten von Kunden erhalten, die sich über die Webseite beschwerten.

Nach Angaben eines Antivirensoftware-Entwicklers gingen in diesem Jahr bei Unternehmensservern durchschnittlich 30 Angriffe pro Woche ein. Der Großteil dieser Attacken stammt von Amateur-HackerInnen, auch "Skript-Kids" genannt, die sich ohne viel Vorwissen der Tools bedienen, die gratis auf dem Internet bereitstehen, um Schwachstellen in Netzwerken eruieren zu können. Mit diesen Tools wird das Netzwerk willkürlich nach anfälligen Systemen durchsucht, deren Schwachstellen daraufhin ausgenutzt werden. Ein kleines Unternehmen ist potenziell hier genauso gefährdet wie ein multinationaler Konzern.

Viele dieser Tools nutzen Sicherheitslücken aus, die leicht durch Updates geschlossen werden können. Im Jahre 2001 gelangte eine Gruppe von Skript-Kids, die sich "Sm0ked Crew" nannten, über eine allseits bekannte und bereits mit einem Update versehene Lücke einer Webserversoftware in die Webseiten von Intel, Gateway, Disney und The New York Times, um sie zu verunstalten. Ein Update dazu war bereits lange vor dem Angriff verfügbar, nur hatten die Administratoren es einfach nicht installiert. Vernünftige Vorsichtsmaßnahmen und aktualisierte Software hätten diesen Angriff leicht verhindern können.

Wenn sich die Unternehmen schon nicht vor Teenagern und ihren leicht zugänglichen Tools schützen können, wie wollen sie sich erst vor erfahrenen und talentierten Angreifern mit böswilligen Absichten absichern?

Erstellen Sie Sicherungskopien
Herr Keiler ist Geschäftsführer eines florierenden Architekturbüros. Mit 30 Mitarbeitern und einer Reihe von multinationalen Kunden vertraute das Unternehmen für die Geschäftskommunikation voll auf das E-Mail-System. Die Mitarbeiter verwendeten E-Mail insbesondere dazu, Änderungsanfragen ihrer Kunden zu erfassen. An einem Nachmittag passierte schließlich das Unausweichliche: Der E-Mail-Server fiel auf Grund eines katastrophalen Hardwarefehlers aus, und die Daten wurden beschädigt.

"Kein Problem", dachte Herr Kellner, "unser Supportteam hat doch eine Sicherungskopie erstellt, wir stellen die Daten einfach wieder her." Das Unternehmen verfügte tatsächlich über eine umfangreiche Bandbibliothek und bewahrte alle Kopien der Sicherungen außerhalb der Büroräume auf. Erst nachdem man einen ganzen Tag lang versucht hatte, das E-Mail-System aus den Sicherungsbändern wiederherzustellen, erkannte man, dass die Daten nicht ordnungsgemäß gesichert worden waren. Da bis dahin keine Tests zur ordnungsgemäßen Wiederherstellung der Daten durchgeführt wurden, hatte man das Problem bislang nicht erkannt. Einen Plan zur Wiederherstellung gab es nicht.

Die Datensicherheit hängt demnach nicht nur von der richtigen Hardware und Software ab. Es geht auch um den korrekten Ablauf von Prozessen.