IT-Sicherheitsrisiko Soziale Medien

Hackerangriffe über Xing, Facebook und Co.

Nicht selten bringen Cyberkriminelle und Hacker über das gezielte Ausnutzen persönlicher Kontakte – etwa in sozialen Netzwerken wie Xing oder Facebook – ihren Fuß in die Tür der Unternehmens-IT.

Wichtig ist die Ermittlung kritischer Anwendungen und Risiken, um den Fokus auf Systeme zu legen, die wichtige Daten enthalten und für die Unternehmensprozesse notwendig sind – so soll kein Hacker Eintritt in die Unternehmens-IT erhalten.

Auf die E-Mail mit einem nützlichen Programm hat System­administrator Peter Schmidt schon gewartet. Sie kommt vom Administrator eines großen Konzerns, den er über ein Webforum kennengelernt hat. Nachdem sich herausstellte, dass beide begeisterte Segler sind, entwickelte sich ein reger Austausch. Von so einem netten Kollegen nimmt man gerne nützliche Tools an, dachte Schmidt. Jedoch war er ahnungslos, dass sein Gegenüber ein 7.000 Kilometer entfernt sitzender professioneller Hacker war. Doch wie kam es zu dieser Situation? Über Karriereplattformen wie Xing fand dieser die Rolle von Peter Schmidt im Unternehmen heraus. Facebook lieferte seine Interessen und Hobbys. Schnell konnte er in einem Forum Schmidts Fragen beantworten, das Gespräch auf Hobbys lenken und durch die entstandene Vertrauensbeziehung ein Programm unterschieben. Dieses ermöglicht – tief in den Rechner eingenistet – einen Vollzugriff, und der Weg vom Admin-Rechner zu den Unternehmensanwendungen ist offen.

Das konstruierte Szenario beschreibt, wie Hacking auf Firmenanwendungen heute stattfinden kann. Hollywood zeigt den einsamen Hacker, der sich durch Firewalls hackt. Eine falsche Vorstellung, denn Angreifer nutzen einfachere Einstiege in das Netzwerk, wie das beschriebene Social Engineering. Auch präparierte USB-Sticks als Werbegeschenke erfreuen sich „gestiegener Beliebtheit“, um an die begehrten Daten zu kommen, zu stehlen, zu verändern und so einen unliebsamen Konkurrenten auszubooten.

Egal ob innovatives Technologie- oder Handelsunternehmen: Wichtige Daten gibt es bei jedem. Beim einen sind es Forschungsergebnisse und Konstruktionszeichnungen, beim anderen Kundendaten und Verträge. Althergebrachte Anwendungssysteme suggerieren dabei sichere Strukturen, wie sie es auch lange waren. Aber nicht nur Internetanwendungen sind gefährdet, sondern auch Systeme, die nicht extern verfügbar sind. So kann ein ausschließlich intern von der Buchhaltung genutztes System grundsätzlich über Social Engineering von außen erreicht werden. Der Angreifer dringt bis zum System vor und muss lediglich Sicherheitslücken der Software ausnutzen. Große Anwendungssysteme wie SAP sind zudem oft im Fokus der Hacker, da sie entgegen den Herstellerempfehlungen nur zögerlich aktualisiert oder über das Wartungsende hinaus genutzt werden. Eine Lücke zu finden, ist daher nicht schwer.

IT-Sicherheitslücken sind das Risiko

Bei IT-Sicherheit wird oft nur an ein gutes Berechtigungswesen gedacht. Berechtigungsschwächen sind jedoch nicht zwangsläufig so kritisch wie technische Sicherheitslücken, was ein Vergleich zeigt. Nutzt ein Mitarbeiter eine Schwäche bei den Berechtigungen aus, so sind Änderungen im System protokolliert. Es ist feststellbar, welcher Mitarbeiter welche Daten modifiziert hat. Die Ausnutzung einer technischen Schwachstelle setzt dagegen keinen Benutzer-Account im System voraus, wird nicht protokolliert und kann später nicht nachgewiesen werden. Betroffene Unternehmen wissen somit oft gar nicht, dass Daten abhandengekommen sind.

Sicherheitslücken werden zwar durch Hersteller gesucht und geschlossen, aber auch andere Sicherheitsexperten decken Lücken auf. Auf Hackerkonferenzen finden sich zunehmend Beiträge zu betriebswirtschaftlicher Software, und es kann von einem Handel mit entsprechenden Schwachstellen in Hackerkreisen ausgegangen werden. Somit sind viele Sicherheitslücken bekannt, aber in den Anwendungen nicht zwingend geschlossen. Maßnahmen wie Firewalls bieten daher nur eine, unzureichenden Schutz und eine trügerische Sicherheit. Überdies enthalten veraltete Systeme umso mehr technische Schwachstellen. In der Praxis zeigt sich dazu häufig, dass mit überholten Sicherheitsrichtlinien gearbeitet wird. Ein vor Jahren entwickeltes Sicherheitskonzept wird modernen Systemen nicht gerecht. Auch wenn neue Technologien, wie Webzugriffe, nicht genutzt werden, so sind sie oft aktiviert und stellen ungeschützte Flanken für Angriffe dar. Eine Herausforderung ist zudem, dass Sicherheitsabteilungen oft nicht die Kenntnisse besitzen, um betriebswirtschaftliche Systeme korrekt abzusichern. Interesse der Fachabteilung sind zufriedenstellende Geschäftszahlen, weshalb Sicherheitsmaßnahmen eher als hinderlich eingestuft und teilweise unterwandert werden, was ein weiteres hohes Risiko birgt.

Nachhaltige IT-Sicherheitsstrategie

Doch wie sollte ein Mittelständler mit diesen Gefahrenquellen umgehen? Sicherheitsverbesserungen erfordern zunächst immer Ausgaben. Gegensätzliche Ziele der Sicherheitsmaximierung und Ausgabenreduzierung sind somit gegeneinander abzuwägen. Erst dann kann mit konkreten Maßnahmen gestartet werden. Zunächst ist eine ganzheitliche Strategie zur Anwendungslandschaft zu entwickeln.

Wichtig ist die Ermittlung kritischer Anwendungen und Risiken, um den Fokus auf Systeme zu legen, die wichtige Daten enthalten und für die Unternehmensprozesse notwendig sind. Erst dann kann z.B. mit unabhängigen Experten die technologische Seite betrachtet werden. Es ist jeweils eine bewusste Entscheidung für oder gegen Maßnahmen zu treffen. Sicherheitsmaßnahmen sind nicht nur initial, sondern regelmäßig anzuwenden, zu prüfen und anzupassen. Jede bewusste Nichtabsicherung muss ein regelmäßiges Review erfahren.

Technische Sicherheitslücken können durch eine Software-Aktualisierungsstrategie geschlossen werden. Vernünftige Dokumentationen und standardisierte IT-Prozesse tragen dazu bei, dass Anwendungen stabil und sicher betrieben werden. Ein noch so sicheres System ist ungeschützt, wenn eigene Mitarbeiter es dem Angreifer öffnen, wie Peter Schmidt zu Beginn. Hier sind entsprechende Hausaufgaben zu erledigen, um die Kompromittierung von Mitarbeitern zu verhindern. Erst alles zusammen, Einführung eines Sicherheitsprozesses, Absicherung der Systeme, Schließen von Sicherheitslücken und Sensibilisierung der Mitarbeiter, führt dazu, dass Angriffsrisiken reduziert werden. Sind Maßnahmen dazu regelmäßig auf dem neuesten Stand, so kann langfristig auch von einem sicheren Systembetrieb gesprochen werden. 



Checkliste zur Steigerung der IT-Sicherheit

  • Sicherheit nicht auf einzelne Systeme beschränken, sondern die gesamte Architektur in einer ganzheitlichen ­Strategie betrachten
  • Bewusst für oder gegen Maßnahmen entscheiden und sich der Risiken klar sein
  • Nicht zu allgemeine Sicherheitsmaßnahmen entwickeln, sondern systemspezifische Vorgaben formulieren
  • Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen
  • Zweistufig unterwegs sein
  • Kompromittierung von Mitarbeitern verhindern
  • Durch Absicherung für unangreifbare Systeme sorgen

Quelle: Lynx-Consulting GmbH

Bildquelle: © iStockphoto.com/loveguli

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok