bvmedien
Aufrufe
vor 5 Jahren
Flag

die bank 04 // 2018

  • Text
  • Banken
  • Unternehmen
  • Digitalisierung
  • Digitale
  • Anforderungen
  • Deutschen
  • Frauen
  • Institute
  • Insbesondere
  • Banking
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG Ein

DIGITALISIERUNG Ein solches System zu betreiben ist grob fahrlässig, vor allem in Firmen, bei denen es auf Sicherheit ankommt. Umso erstaunlicher, dass der japanische Energieversorger Tepco (bekannt durch die Fukushima-Katastrophe) aus Kostengründen 48.000 PCs im Firmennetzwerk bis 2019 weiter mit Windows XP betreiben will. Eine Einladung an jeden Hacker! Triviale Passworte Passworte sind schwer zu merken, und oft hat man im Alltag und Berufsleben sehr viele davon. Da ist es kein Wunder, wenn die Passwort- Nutzer zur Bequemlichkeit neigen und einfache Passworte verwenden. Diese lassen sich aber auch sehr leicht austesten. Vor zwei Jahren wurde die Dating-Seite Ashley Madison gehackt. Die Hacker erbeuteten 36 Mio. Passworte (bzw. deren Hashes) und veröffentlichten viele davon. Von den 15 Mio. veröffentlichten Passworten war etwa jedes 30. Passwort sehr trivial, wie z. B. 123456, das Wort „Password“ oder auch „querty“ (Buchstabenfolge auf Tastatur). Solch einfachen Passworte sind leicht zu erraten und in Sekundenschnelle mit einfachen Hackertools zu knacken. Wer solche Passworte verwendet, braucht sich nicht zu wundern, wenn Hacker dies ausnutzen. Dies musste auch ein 2015 gehackter französischer TV-Sender spüren, der als Passwort für Twitter das wenig originelle „passwortfürtwitter“ hatte. Ist es immer so einfach? Die hier gezeigten Angriffe sind besonders einfach durchzuführen. Doch sollte man nicht vergessen, dass es sehr komplexe, durchdachte Angriffe gibt, deren Vorbereitungen weit über solche einfachen Tricks hinweggehen. Im Dezember 2015 griffen Hacker die ukrainische Stromversorgung an. Dazu führten sie einen hochkomplexen und über Monate vorbereiten Angriff gegen einen Stromanbieter durch. Dieser war so durchdacht, dass die Hacker sogar am Tag des Angriffs die Telefonanlage des Stromanbieters lahmgelegt hatten, um die Analyse und Behebung des Störfalls zu erschweren. Auch die – vermutlich von amerikanischen Geheimdiensten über Monate entworfene – Malware Stuxnet, die vor mehreren Jahren iranische Atomanlagen angriff, war von einer solchen Komplexität, dass man davon ausgeht, dass die Entwicklungskosten im Bereich von Millionen Dollar lagen. Für Stuxnet wurden gültige, aber nicht offiziell beantragte Signaturen („digitale Ausweise“) für Treiber eingesetzt sowie Fachwissen aus den Herstellerfirmen der angegriffenen Software verwendet. Ein solcher Aufwand ist selten und ein solcher Angriff schwer zu verhindern. Wie die oben aufgeführten anderen Beispiele jedoch zeigen, ist es oft gar nicht schwer, einen Angriff zu starten, da die Schutzmaßnahmen (technisch, organisatorisch und personell) oft zu gering ausfallen. So ist die sogenannte SQL-Injection seht Beginn dieses Jahrtausends eine der häufigsten Angriffsvektoren gegen Webseiten. Dieser Angriff ist inzwischen in der Literatur sehr genau beschrieben, die Gegenmaßnahmen sind recht einfach, und seit vielen Jahren gibt es sogar einen Standard für die Sicherheit von Webseiten (OWASP), der schon bei deren Entwicklung einfachste Ratschläge gibt, wie dies zu vermeiden ist. Dennoch ist die SQL- Injection seit weit über einem Jahrzehnt einer der erfolgreichsten Angriffsarten. Warum sollte ein Hacker auch einen hochkomplexen Angriff führen, wenn er mit einfachsten Mitteln erfolgreich sein kann? Ein Einbrecher muss ja auch keinen Tunnel in ein Haus graben, wenn die Hintertür offen steht. Crime as a Service Hinzu kommt, dass es selbst den unerfahrenen Hackern inzwischen durch moderne Kommunikationsmedien möglich ist, schnell und einfach an Tools und Wissen für Angriffe zu gelangen. So gibt es im Internet auf offiziellen und seriösen Bestellseiten Hackertools schon ab 4 €. Bücher mit dem dazugehörigen Wissen sind frei erwerbbar und ersetzen im Selbststudium ehemals teure Hackerschulungen, die oft tausende von Euros kosten. Wer keine Lust hat, sich die Hände selber schmutzig zu machen und Zeit in das Erlernen von Hacking-Angriffen zu stecken, kann im Darknet, dem nicht so einfach zugänglichen Teil des Internets, Hacker beauftragen. Diese führen für einen Obulus ab ca. 250 € pro Tag Angriffe gegen beliebige Firmen durch, z. B. sogenannte DDoS-Attacken gegen deren Webseiten. Ebenso kann man im Darknet Computerviren maßgerecht designen lassen, für die der Entwickler sogar noch Garantie gibt: Wird der Virus innerhalb einer bestimmten Zeitspanne von Antivirus-Software gefunden, so wird kostenlos ein neuer Virus entwickelt. Diese spezielle, übers Netz buchbare Dienstleistung, „Crime as a Service“, verstärkt die Angreifbarkeit von allen Systemen. 56 04 // 2018

DIGITALISIERUNG Fehlende Maßnahmen Anfang dieses Jahrtausends gab es einen großen Hype in vielen Firmen zur Schulung der Mitarbeiter gegen Computergefahren, Awareness genannt. Schulungsfirmen überboten sich in der Kreativität der Darstellung der Inhalte. So gab es in vielen Unternehmen Kantinenveranstaltungen zur Passwortsicherheit und sogar Computerspiele auf CD, die die Lerninhalte vermitteln sollten. Nun, eineinhalb Jahrzehnte später, haben viele Firmen ein etabliertes computergestütztes Lernprogramm zur IT-Security, das meist recht generisch und lieblos die Inhalte zur Cyber Security vermittelt. So kommt es dann immer wieder zu Ausbrüchen von Verschlüsselungstrojanern in Firmen, da die Mitarbeiter einfach unbedacht Mailanhänge anklicken, die sie nicht erwarten und bei denen der gesunde Menschenverstand eigentlich davon abraten sollte, diese zu öffnen (z. B. Rechnungen für einen BMW, wenn man gar keinen Dienstwagen hat). Gleichzeitig ist nach ungefähr zwei Jahrzehnten der intensiven Beschäftigung mit Cyber-Gefahren in den Unternehmen das Thema IT- Sicherheit doch noch nicht richtig angekommen. Veraltete oder nicht gepatchte Betriebssysteme sind eine Einladung für jeden Hacker. Umso unverständlicher war 2015 eine Meldung in der Presse, dass der Pariser Flughafen Orly einen größeren Ausfall zu beklagen hatte, da es Probleme mit Windows 3.11 gab – einem 23 Jahre alten Betriebssystem, das wohl dort noch genutzt wird. Fähige Hacker gegen unfähige Sicherheitschefs Fragt man sich nun, ob die Hacker besser oder die Sicherheitsverantwortlichen schlechter geworden sind, so ist die Antwort „sowohl als auch“. Hacker haben heute mehr Möglichkeiten, vom Softwarekauf bei Amazon bis hin zu Dienstleistungen im Darknet, gleichzeitig findet man aber auch Anleitungen mit Passworten für Geldautomaten im Internet und 23 Jahre alte Betriebssysteme in kritischen Infrastrukturen. Wenn man es also ganz kritisch betrachtet, hat sich eigentlich nichts geändert. Angriffe, die seit der Jahrausendwende gut funktionieren (Beispiel SQL-Injektion), werden trotz einfach durchführbarer Gegenmaßnahmen immer noch nicht verhindert. Unwissende User nutzen auch im Jahre 2018 immer noch einfachste Passworte. Selbst Herzschrittmacher der neuesten Generation haben immer noch einen ungeschützten WLAN-Zugang ohne Passwort. In Produktionsanlagen wie z. B. Hochöfen ist die Steuerungsanlage noch immer mit dem Internet verbunden, was dazu führte, dass vor mehreren Jahren ein Hacker in Deutschland einen Hochofen zerstörte. FAZIT IT-Sicherheit ist leider auch in diesem Jahrtausend noch nicht überall in den Köpfen angelangt. Schlechte Passworte, veraltete Betriebssysteme, ungepatchte Software und leichtsinniger Umgang mit Informationen bestimmen immer noch das Bild in vielen Firmen. Unternehmen produzieren immer noch Geräte ohne jegliche Sicherheit, egal ob IoT-Geräte (Internet of Things), die schwere Sicherheitsmängel haben, oder Software, die keine Aktualisierung vorsieht (häufig bei Java-basierenden Anwendungen zu finden). Gleichzeitig werden die Möglichkeiten, die den Angreifern auf der „dunklen Seite“ zur Verfügung stehen, immer reichhaltiger (z. B. Virusbestellung im Darknet). Diese Asymmetrie der Entwicklung – Stagnation bei den Verteidigern, Fortschritt bei den Angreifern – wird immer wieder zu verheerenden Angriffen führen. Die direkten Auswirkungen (Produktionsausfall) werden zunehmen, genauso wie die indirekten (Reputationsverlust) und die Strafen durch Behörden, etwa durch die neue Datenschutz-Grundverordnung. Immerhin beginnt man langsam, die Bedeutung von IT-Security für ein Unternehmen zu verstehen, siehe BSI-Gesetz zu kritischen Infrastrukturen. Mittelfristig wird ein neues Konzept auftauchen, dass „Security by Design“ vorsieht, also vom ersten Planungsschritt an. Ob aber nicht gleichzeitig die Angreiferseite auch wieder ein bisschen besser wird, wird die Zukunft zeigen. Der Wettstreit um die IT-Sicherheit ist und bleibt spannend. Autor Dr. Sebastian Broecker, CISSP, ist seit neun Jahren Chief Information Security Officer bei der Deutschen Flugsicherung GmbH und nebenberuflich engagiert als Fachjournalist und Referent für IT-Security. Zuvor arbeitete der promovierte Chemiker in einer großen deutschen Bank als Experte für Cyber Security und IT-Risiken. 04 // 2018 57

die bank

Leser login

AbbrechenAnmelden
Als Leser registrieren

Sign upAbbrechen
Suche