IT-Sicherheit ist ein Thema, um das sich Verantwortliche in jedem Unternehmen, das Daten digital verarbeitet, Gedanken machen sollten. Doch im Alltag besteht die Gefahr, dass es beim guten Vorsatz bleibt, wenn nicht explizit ein Mitarbeiter, als IT-Sicherheitsbeauftragter, mit dieser Aufgabe betraut wird. Daher gibt es die Möglichkeit, einen Mitarbeiter vorzusehen, der sich haupt- oder nebenamtlich darum kümmert, das eigene System abzusichern.

Muss jedes Unternehmen einen IT-Sicherheitsbeauftragten bestellen?

IT-Sicherheit ist vom Datenschutz zu unterscheiden. Der eine Bereich umfasst die Absicherung der IT-Infrastruktur, der andere den Umgang mit personenbezogenen Daten. Zu trennen sind beide Felder dennoch nicht. Bei einem Systemeinbruch durch einen Hacker, sind meistens auch persönliche Daten von Kunden und Mitarbeitern betroffen. Für die meisten Firmen gibt es zwar keine Pflicht, einen IT-Sicherheitsbeauftragten zu bestellen. Wenn aber Daten abfließen konnten, weil eklatante Sicherheitsmängel in der IT vorlagen, kann eine Haftung der Geschäftsführung gegeben sein. Diese kann sich, je nach Rechtsform des Unternehmens, aus nachfolgenden Gesetzen ergeben:

-Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG),

-dem Aktiengesetz (AktG),

-Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).

Für Unternehmen, die eine Tätigkeit im Bereich der kritischen Infrastrukturen (KRITIS) ausüben, ist die Benennung eines IT-Sicherheitsbeauftragten ohnehin vorgeschrieben. Dies ist im IT-Sicherheitsgesetz festgelegt (IT-SIG). Zu den Unternehmen zählen beispielsweise Energieerzeuger, Telekommunikationsanbieter und Wasserwerke.

Wo ist ein IT-Sicherheitsbeauftragter angegliedert?

Die Rolle des IT-Sicherheitsbeauftragten ist nicht starr festgeschrieben. Dies ist beim Datenschutz anders. Die Rechte und Pflichten des Datenschutzbeauftragten sind im Bundesdatenschutzgesetz in den Paragraphen 6 und 7 festgelegt. Unter anderem ist dort geregelt, dass er rechtzeitig in Entscheidungen eingebunden werden soll und nicht weisungsgebunden sein darf.

Es ist sinnvoll, sich daran zu orientieren. Ein IT-Sicherheitsbeauftragter sollte direkt der Geschäftsführung unterstellt sein. Handelt es sich um einen Mitarbeiter der IT-Abteilung, besteht die Gefahr, dass es zu Interessenskonflikten kommt. Zudem sollte er standardmäßig gehört werden, bevor im IT-Bereich Entscheidungen getroffen werden. Außerdem muss ihm die Möglichkeit gegeben werden, auf die für seine Tätigkeit notwendigen Informationen Zugriff zu bekommen. Daher muss er freien Zutritt zu allen Bereichen haben und Zugriff auf die Systeme bekommen. Sinnvoll ist es auch, ihm das Recht zu geben, Kontrollen durchzuführen.

Welche Aufgaben erfüllt ein IT-Sicherheitsbeauftragter?

Grundsätzlich soll ein IT-Sicherheitsbeauftragter über Aufbau und Struktur der Informationstechnik im Unternehmen Bescheid wissen. Ihm obliegt es, sich zu Beginn seiner Tätigkeit einen kompletten Überblick zu verschaffen. Dazu muss er genau wissen, wie und wo Daten erhoben und weiterverarbeitet werden. Es ist für ihn notwendig, Kenntnis zu haben, welche Systeme und was für Hardwareprodukte eingesetzt werden. Zudem muss er die Schnittstellen zwischen den einzelnen Bereichen kennen. Dieses Wissen muss er laufend aktualisieren.

Darüber hinaus muss er über die aktuelle Bedrohungslage informiert sein. Nur so ist ihm möglich, die konkrete Gefährdung des eigenen Unternehmens einzuschätzen. Dies kann sich auf Schadsoftware, wie beispielsweise als Mailanhänge kursierende Verschlüsselungstrojaner beziehen. Ebenso aber auch auf unsichere Hardware, wie zum Beispiel eingesetzte Router, deren Verschlüsselung angreifbar ist.

Aus diesen Informationen soll ein IT-Sicherheitsbeauftragter konkrete Maßnahmen zur Einhaltung und Verbesserung der Datensicherheit entwickeln und vorschlagen. Dies sollte in Form von Richtlinien oder eines Maßnahmenkatalogs geschehen. Wichtig ist es, die Schutzziele und Maßnahmen zur Einhaltung zu dokumentieren. Nur so kann das Unternehmen im Schadensfall nachweisen, dass es Vorkehrungen getroffen hat und nicht fahrlässig gehandelt wurde.

Als Orientierung kann hierbei die Beschreibung eines Informationssicherheitsmanagements (ISMS) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dienen. Dort sind mögliche Gefahren systematisch in den Grundschutzkatalogen aufgelistet. Dies betrifft Elementarschäden wie Feuer und Wasser, aber auch Datenverlust durch Fehlbedienung oder Sabotage. Zudem werden dort konkrete Einschätzungen der Gefährdung von Geräten mit spezifischen Betriebssystemen gegeben. In der Folge sind dort Maßnahmen beschrieben, die zur Absicherung einzelner Endgeräte empfohlen werden.

Weitere Orientierungen können an den Normen:

– ISO/IEC 27001 (IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme, Anforderungen, zuletzt aktualisiert im Juni 2017) und

-ISO/IEC 27002 (IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management, zuletzt aktualisiert im Oktober 2013)

erfolgen.

Die Umsetzung der vorgeschlagenen Maßnahmen wird in der Praxis nach Beratung mit der Geschäftsführung geschehen. Schließlich können durch Austausch unsicherer Hardware oder Umstrukturierung von Arbeitsabläufen Kosten entstehen.

Zudem sollten vorgegebene Richtlinien auch in Audits oder Revisionen kontrolliert werden.

Weiterhin muss ein IT-Sicherheitsbeauftragter den Mitarbeitern als Ansprechpartner zur Verfügung stehen. Sie sollen ihm aufkommende Fragen, die IT-Sicherheit betreffend, stellen können. Auch Schulungen der Mitarbeiter führt ein IT-Sicherheitsbeauftragter durch.

Bei konkreten Gefährdungen, soll er kurzfristige Warnungen und Verhaltenshinweise an die Mitarbeiter herausgeben.

Zudem erstellt ein IT-Sicherheitsbeauftragter, Pläne für das Verhalten im Schadensfall und macht diese den Mitarbeitern zugänglich.

Voraussetzungen für den IT-Sicherheitsbeauftragten

In gewisser Weise muss ein IT-Sicherheitsbeauftragter Allrounder im IT-Bereich sein. Er benötigt das notwendige Fachwissen im gesamten überwachten Bereich. Um Kontrollen durchführen zu können, muss er in der Lage sein, die verwendeten Systeme auch selber zu bedienen. Zudem müssen seine Vorschläge zur Verbesserung praxistauglich sein, was ebenfalls entsprechende Kenntnisse voraussetzt.

Darüber hinaus muss er über aktuelle Entwicklungen in der Hardware, hier insbesondere in sicherheitsrelevanten Belangen, informiert sein.

Insbesondere aber muss er Kenntnisse im Bereich der IT-Security haben. Angriffe lassen sich am wirksamsten abwehren, wenn man weiß, wie sie im Detail funktionieren. Auch kann nur dann eine Überprüfung der eigenen Systeme auf eine Anfälligkeit erfolgen.

Einige Universitäten bieten Studiengänge mit Spezialisierung auf den Bereich an. Zudem gibt es diverse Anbieter von Fortbildungen und Zertifizierungen für dieses Tätigkeitsfeld.

Für kleine und mittelständische Unternehmen ist die Variante interessant, einen IT-Sicherheitsbeauftragten von einem externen Dienstleister zu verpflichten. Dies vermeidet den Schulungsaufwand eigener Mitarbeiter. Zudem kann es eine objektive Herangehensweise garantieren, wenn eine externe Person die Aufgabe übernimmt. Diese wird üblicherweise keine persönlichen Bindungen zu den Mitarbeitern haben und auch gegenüber der Geschäftsführung unbefangener auftreten. Weiterhin hat dieses Modell einen Vorteil, wenn die Größe der eigenen IT-Landschaft es nicht rechtfertigt, einen Mitarbeiter komplett mit der Aufgabe der IT-Sicherheit zu betrauen.

Fazit

Jedes Unternehmen tut gut daran, sich mit dem Thema zu beschäftigen, ob ein IT-Sicherheitsbeauftragter bestellt werden soll. Einerseits trägt es die Verantwortung für die ihm anvertrauten Daten, was bis zu einer persönlichen Haftung der Geschäftsführung bei Missbrauch führen kann. Andererseits gibt es inzwischen Bedrohungen, wie Verschlüsselungstrojaner, die auch umsichtige und vorsichtige Unternehmen betreffen und erhebliche Schäden anrichten.

Storage Spaces direct (S2D) ist ein System von Microsoft, mit dem skalierbarer softwaredefinierter Speicher realisiert wird. Es handelt sich um eine Funktion für die Betriebssysteme Windows Server 2016 und 2019 Datacenter. Dabei wird ein Cluster aus den physikalischen Speichermedien der eingebundenen Server erstellt und logischer Speicherplatz gebildet. Dieser ist hochverfügbar und kann unkompliziert erweitert werden.

Wie funktioniert Storage Spaces direct im Detail?

Direkte Speicherplätze, wie Storage Spaces direct (S2D) in deutschsprachigen Programmversionen heißt, nutzt das Prinzip der Virtualisierung. Aus den physikalischen Speichermedien, egal ob Festplatte, SSD oder NVM, wird ein Verbund gebildet. Der schnellste verfügbare Speicher wird dabei automatisch als Cache genutzt. In einer Abstraktionsschicht sorgt das Cluster Shared Volumes Filesystem (CSVFS) dafür, dass der gesamte Speicherbereich logisch wie ein Laufwerk verwaltet werden kann. Die Funktionalität der Dateiverwaltung wird optional durch das bekannte Desktop-Dateisystem NTFS oder ReFS, das spezielle Server-Dateisystem von Microsoft, gewährleistet. Microsoft empfiehlt die Verwendung von ReFS. Der Speicherplatz kann danach zentral verwaltet werden. Dies ist das Prinzip des softwarebasierten Speichers, dem Software-Defined Storage. Die Einrichtung und Verwaltung ist mit der integrierten Microsoft Powershell möglich.

Vorteile von Storage Spaces direct

Das System Storage Spaces direct (S2D) ist direkt in die neuen Server-Betriebssysteme integriert. Hierdurch ist eine reibungslose Einbindung gewährleistet. Aus einer gewachsenen, heterogenen Server-Landschaft kann ein einheitlicher Speicher gebildet werden, der für alle eingebundenen System verfügbar ist. Dieser ist in der Folge auch zentral administrierbar.

Das System ist zudem skalierbar. Mit wenigen Befehlen können nachträglich weitere Komponenten hinzugefügt oder ausgetauscht werden.

Ein bedeutendes Merkmal ist die Ausfallsicherheit. Hier unterscheidet man zwischen der Einzelparität, die einem RAID-5 gleicht und dadurch nur 50 Prozent des physikalischen Speichers nutzen kann und der dualen Parität. Diese ähnelt dem RAID-6 und die Effizienz steigt mit der Anzahl der eingebundenen Hardware-Speichermedien auf bis zu 80 Prozent.

Zudem verwendet Microsoft eine Technik mit Namen Local Reconstruction Codes (LRC). Dabei werden innerhalb der eingebundenen Medien kleinere Gruppen gebildet, damit der Aufwand zur Wiederherstellung nicht auf den gesamten Speicher angewendet werden muss, sondern nur auf die lokal betroffenen Bereiche. Zur Steigerung der Effizienz kann zudem parallel Spiegelung für Teile des Speichers verwendet werden. Dieser Speicher wird dann vorrangig für Schreibvorgänge genutzt und die Daten erste später in andere Speicherbereiche verschoben.

Nachteile von S2D

Storage Spaces direct (S2D) ist an die entsprechenden Server-Lizenzen gebunden. Das bedeutet, dass alle eingebundenen Systeme auch über eine Lizenz für Windows Server 2016 oder 2019 Datacenter verfügen müssen. Das verursacht Kosten von etwa 5000 Euro pro Server, der in den Verbund aufgenommen werden soll. Insbesondere wenn es vorrangig um eine File-Server-Funktionalität geht, gibt es günstigere Alternativen. Bei Nutzung als Plattform für virtuelle Maschinen, müssen die Kosten anderer kommerzieller Anbieter gegenübergestellt werden.

Alternativen zu Storage Spaces direct

Eine ähnliche Funktionalität wie Storage Spaces direct (S2D) bietet das 2012 vorgestellte Ceph. Das System wird unter der GNU-General Public License angeboten und ist damit kostenfrei. An der Weiterentwicklung arbeiten namhafte Firmen. So sind beispielsweise die Hardware-Herstellern CISCO, Fujitsu und Intel sowie Linux-Distributoren, wie Red Hat, SuSE und Canonical (Entwickler von Ubuntu) beteiligt. Es ist allerdings nur unter Linux lauffähig.

Früher war 3DES eine der bekanntesten und beliebtesten Formen der Verschlüsselung. Der Verschlüsselungsalgorithmus basiert auf dem für die US-Regierung entwickelten DES-Algorithmus, den ab den 1980er-Jahren so gut wie alle Hersteller in ihren Programmen hatten.

3DES – Definition

Bei 3DES handelt es sich um einen Verschlüsselungsalgorithmus. Obwohl es offiziell als Triple Data Encryption Algorithm (3DEA) bekannt ist, wird dieser Verschlüsselungsalgorithmus am häufigsten als 3DES bezeichnet. Dies liegt daran, dass der 3DES-Algorithmus die DES-Verschlüsselung (Data Encryption Standard) dreimal verwendet, um zu sichernde Daten zu verschlüsseln.

DES ist ein Symmetric-Key-Algorithmus, der auf einem Feistel-Netzwerk basiert. Als symmetrische Key-Verschlüsselung wird dabei derselbe Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Das Feistel-Netzwerk macht diese beiden Prozesse nahezu identisch, was zu einem Algorithmus führt, dessen Implementierung effizienter ist.

DES hat sowohl eine 64-Bit-Block- als auch eine Schlüsselgröße, in der Praxis gewährt der Schlüssel jedoch nur 56-Bit-Sicherheit. 3DES wurde aufgrund der geringen Schlüssellänge von DES als sicherere Alternative entwickelt. In 3DES wird der DES-Algorithmus dreimal mit drei Schlüsseln ausgeführt. Er wird jedoch nur als sicher angesehen, wenn drei separate Schlüssel verwendet werden.

Triple DES verschlüsselt die Eingabedaten dreimal. Die drei Schlüssel werden dabei mit k1, k2 und k3 bezeichnet. Diese Technologie ist im Standard von ANSIX9.52 enthalten. Triple DES ist abwärtskompatibel mit regulärem DES.

3DES ist vorteilhaft, da es eine erheblich größere Schlüssellänge hatals die meisten anderen Verschlüsselungsmodi. Der DES-Algorithmus wurde jedoch durch den Advanced Encryption Standard des National Institute of Standards and Technology (NIST) ersetzt. Somit gilt 3DES nun als veraltet. Software, die für ihre Kompatibilität und Flexibilität bekannt ist, kann problemlos für die Triple-DES-Integration konvertiert werden. Daher ist diese Form der Verschlüsselung möglicherweise nicht annähernd so veraltet, wie von NIST angenommen.

Die Geschichte der 3DES-Verschlüsselung

Da 3DES von DES abgeleitet ist, ist es am besten, zuerst den früheren Standard, DES, zu erklären. In den 1970er-Jahren suchte das National Bureau of Standards (NBS – inzwischen in NIST umbenannt) nach einem Algorithmus, der als Standard zur Verschlüsselung sensibler, aber nicht klassifizierter Regierungsinformationen verwendet werden konnte.

Die NBS akzeptierte Vorschläge für einen Standard, der ihren Anforderungen entsprach, aber keiner der Kandidaten aus der ursprünglichen Runde setzte sich durch. Es wurden weitere Einsendungen entgegengenommen, und diesmal schickte IBM einen von seinem Team entwickelten Algorithmus durch. Die Vorlage wurde von der Luzifer-Chiffre abgeleitet, die Horst Feistel entworfen hatte.

1975 wurde der IBM-Algorithmus von der NBS als vorgeschlagener Datenverschlüsselungsstandard veröffentlicht. Die Öffentlichkeit wurde gebeten, sich zu dem Entwurf zu äußern, der einige Kritik hervorrief. Einige prominente Kryptografen behaupteten zum Beispiel, die Schlüssellänge sei zu kurz.

Zu der Zeit dachten viele in der kryptografischen Community, dass die National Security Agency (NSA) das Projekt sabotiert und sich eine Hintertür eingebaut hatte, so dass es die einzige Agency sein würde, die DES brechen könnte. Dieser Verdacht konnte jedoch nie bewiesen werden.

Trotz der anfänglichen Fragen zur Sicherheit des Algorithmus und zur Beteiligung der NSA wurde der IBM-Algorithmus 1976 als Datenverschlüsselungsstandard anerkannt. Er wurde 1977 veröffentlicht und 1983, 1988 und 1993 als Standard bestätigt. Die Notwendigkeit eines neuen Algorithmus wurde mit der Weiterentwicklung der Technologie und der Zunahme potenzieller Angriffe verstärkt.

3DES in der heutigen Zeit

Verschiedene Hackerangriffe zeigten, dass es weniger schwierig war, den Algorithmus zu brechen, als bisher angenommen. Im Jahr 1998 war Distributed.net in der Lage, DES innerhalb von 39 Tagen zu knacken.

Anfang 1999 hatte die Electronic Frontier Foundation mit Deep Crack die Zeit auf etwas mehr als 22 Stunden verkürzt.

Ein neuer Algorithmus wurde dringend benötigt. Dies war ein Problem, da es mehrere Jahre dauern würde, bis sich NIST mit dem Algorithmus, der zum Ersatzstandard wurde, dem Advanced Encryption Standard (AES), befasste.

Während die Verschlüsselung mit AES beschlossen wurde, wurde 3DES als Notlösung vorgeschlagen. Dabei wird der DES-Algorithmus dreimal mit drei separaten Schlüsseln ausgeführt. 1999 wurde DES erneut bestätigt, jedoch mit 3DES als idealem Algorithmus. Normales DES war nur in wenigen Anwendungen zulässig.

3DES entwickelte sich zu einem weit verbreiteten Verschlüsselungsalgorithmus, derheutzutage aufgrund seines hohen Ressourcenverbrauchs und seiner Sicherheitsbeschränkungen in den meisten Anwendungsfällen durch AES ersetzt wurde.

Schadsoftware und heimtückische Websites erkennen Sie nicht mit dem bloßen Auge. Auch Angriffe von Hackern können nicht einfach so und ohne eine im Hintergrund laufende Unterstützung abgewehrt werden. Hier kommt der Virenscanner ins Spiel, der sich auf jedem PC und Smartphone befinden und neben der Firewall zusätzlich vor Eindringlingen auf einem Computer oder dem Server schützen soll.

Definition Virenscanner

Grundsätzlich werden Virenscanner in drei verschiedene Arten, abhängig von ihrer Funktion unterteilt. Es gibt manuelle Scanner, Echtzeitscanner und Onlineprogramme zur Aufspürung und Unschädlichmachung von Schadware. Jeder Virenscanner dient unabhängig seiner häufig implementierten Zusatzfunktionen dazu, Würmer, Trojaner und Viren aufzuspüren und diese in die Quarantäne zu verschieben oder durch Löschung unschädlich zu machen. Antivirus-Programme sperren Hacker aus und sind neben der Firewall essenzielle Schutzmechanismen für die sensiblen Daten auf Servern und Computern. Der Begriff Virenscanner ergibt sich aus der Funktion des Programms, das bestenfalls automatisch im Hintergrund läuft und den PC kontinuierlich nach Schadware scannt.

Anwendungsbereiche von Virus-Scannern

Ein Antivirus-Programm ist für Heimanwender ebenso wichtig wie für Firmen. Viren oder Mal- und Spyware gefährden die Funktionalität Ihres Computers und stellen die digitale Sicherheit durch das Ausspähen und Abgreifen von Daten in Frage. In den letzten Jahren haben sich immer mehr Virenscanner-Hersteller darauf konzentriert, künstliche Intelligenz einzubauen und auf diesem Weg die Entdeckung und Unschädlichmachung von Schadware zu beschleunigen. Noch vor einigen Jahren brauchte ein Virenprogramm bis zur Lösungsfindung meist einige Tage, was in der heutigen schnelllebigen Zeit unverhältnismäßig wäre. Ältere Scanner beschäftigten sich mit der Suche nach bekannten „Verhaltensmustern“ von Websites und nahmen die Einordnung in sicher und unsicher anhand dieser Faktoren vor.

Heute arbeitet der Virenscanner mit Analysen, die sich nicht auf bekannte Muster, sondern auf das tatsächliche Verhalten einer Website oder Software in Echtzeit beziehen. Schadware, aber auch Sicherheitslücken und Bugs werden aufgespürt und können nach der Verschiebung ins Quarantäneverzeichnis entfernt werden.

Die verschiedenen Begrifflichkeiten im Zusammenhang mit Virenscannern

Wenn Sie sich intensiv mit Virenscannern beschäftigen, wird Ihnen der Begriff Vulnerability häufiger vor Augen geführt. Die Bezeichnung wird in verschiedenen Bereichen verwendet und steht für die Wunde, beziehungsweise die Verwundbarkeit. PC-Technik und Serverschutz mit geringer Vulnerabilität, also mit einem minimalen Verwundungsrisiko bieten Ihnen die beste und der Datenschutzgrundverordnung entsprechende Sicherheit. Im Kontext zu Sicherheitslücken taucht der Begriff Exploit auf. Exploits sind kleine Programme von Hackern. Sie spüren Schwachstellen in Software und auf Computern auf. Für einen effektiven Rundumschutz sollte Ihr Antivirus-Programm daher nicht nur konventionelle Schadware aufspüren, sondern sich vollumfänglich für die Sicherheit im Internet und die Sicherheit Ihrer Daten einsetzen lassen. Beim effektiven Schutz für Unternehmen muss man auf komplexere und geräteübergreifende Lösungen setzen.

Antivirus-Lösungen für Firmen

Zwei essenzielle Faktoren spielen bei der Entscheidung für einen Virenscanner eine übergeordnete Rolle. In größeren Firmen werden Programme bevorzugt, die man unkompliziert zentral installieren und auf gleichem Weg verwaltet. Dabei sollte der Virenscanner kostenlos und äußerst effektiv sein. Die Einzelinstallation und Updates über jeden einzelnen Computer wären zu aufwendig. Sie würden obendrein innerhalb des Systems Lücken und damit die Gefahr von Eindringlichen von außen begünstigen. Zentrale Lösungen mit Management-Option sind für Firmenkunden die beste Lösung. Es gibt verschiedene renommierte Hersteller von Antivirus-Software, die kostenlose Komplettlösungen für Unternehmen anbieten.

Bei ESET nennt sich die Lösung ESET Remote Administrator (kurz ERA) und ist eine kostenlose Möglichkeit für Firmen, sich umfassend vor Schadware und den damit verbundenen Sicherheitsrisiken und Kosten zu schützen. Die Ausrichtung des Managements hängt davon ab, wie viele Geräte Sie mit einem Virenscanner überwachen und von Sicherheitsrisiken befreien möchten.

Der Virenscanner muss zum Risiko passen

Bei der Auswahl eines Virenscanners sollten Sie als gewerblicher Anwender mit Kompetenz und einer realistischen Einschätzung Ihrer Risiken vorgehen. Fakt ist, dass ein Scanner für Trojaner und Würmer heute nicht mehr ausreicht und mehr Schadware durchlässt als stoppt. Da die Kombination von Scanner häufig zu Kompatibilitätsproblemen führt, sollten Sie sich für eine Software entscheiden. Arbeiten Sie mit sensiblen Daten im Kundenverkehr, ist ein besonders umfangreicher Schutz notwendig. Wenn Sie sich für einen Virenscanner entscheiden, prüfen Sie vorab die Updates für die stetige Aktualisierung und Anpassung auf neue Risiken.

Die 2010er Jahre werden wohl in die Annalen der Geschichte als das Jahrzehnt der Cyberangriffe  von Hackern auf Behörden, Organisationen und Netzwerke eingehen. Beinahe wöchentlich werden neue Hacking Attacken auf Unternehmensnetze gemeldet. Doch wer sind diese Hacker und wie gehen sie bei ihren Angriffen auf fremde Systeme vor?

Was ist ein Hack?

Hacken bedeutet so viel, wie die Grenzen des Möglichen auszutesten. Mit dieser Beschreibung versuchte der US-amerikanische Informatiker und Sicherheitsforscher Richard Stallman, die Vorgehensweise von Hackern zu beschreiben. Aus seiner Sicht ist das ein äußerst kompliziertes Unterfangen, denn Hacker sind so vielfältig wie die von ihnen eingesetzten Tools und Attacken. Während Hacker in vielen Filmen nur einige Sekunden benötigen, um in ein Computernetzwerk einzudringen, sieht die Realität wesentlich anders aus. Oft steckt hinter einem erfolgreichen Hack-Angriff wochen- oder monatelange Detailarbeit. Computersysteme sind nur eins von vielen Angriffszielen, die Hacker heutzutage ins Visier nehmen. So lassen sich zum Beispiel smarte Fernseher und Kühlschränke und internetfähige Automobile manipulieren.

Wie dringen Hacker in Computersysteme ein?

Gute Hacker kennen sich nicht nur mit Computersystemen aus, sondern können auch Menschen verleiten, ihnen Informationen zu verraten. Eine der ältesten und heute noch aktiv genutzten Methoden ist deshalb eine, die kaum technische Kenntnisse voraussetzt: das sogenannte „Social Engineering“. Bei dieser Methode tischt der Angreifer dem Opfer Lügengeschichten auf und bittet ihn um Hilfe. Mit diesen Geschichten verführen Hacker Nutzer dazu, ihnen Log-in-Daten preiszugeben, infizierte Dateien auszuführen oder ihnen Geld zu überweisen.

Auch sogenannte „Phishing-Angriffe“ sind traditionelle Manipulationstricks, mit denen Hacker versuchen, an Privatdaten von Nutzern zu gelangen. Die kriminellen Angreifer geben sich dabei in vielen Fällen als Mitarbeiter von Banken, Firmen oder Online-Anbietern wie Ebay, Amazon und PayPal aus. Sie fälschen E-Mails und Webauftritte bekannter Unternehmen und setzen darauf, dass die Opfer ihrer Angriffe ihre Log-in-Daten in gefälschte Formulare eintragen, die dem Original ähneln.

Bei der sogenannten „Man-in-the-Middle-Attacke“ zapft der Angreife einen Kommunikationsweg zwischen zwei Geräten an, die miteinander kommunizieren. Betreibt das Opfer etwa Onlinebanking auf seinem Smartphone in einem öffentlichen WLAN-Netzwerk, kann der Angreifer die Daten manipulieren.

Eine andere Methode, um an Log-in-Daten zu kommen, ist das sogenannte „Brute-Force-Verfahren“, das als Brechstange im Arsenal moderner Hacker-Tools bezeichnet wird. Anstatt die Zugangsdaten der Opfer auszuspähen, probieren Hacker auf Log-in-Seiten mit automatisierten Tools alle möglichen Passwörter. Diese Methode klappt vor allem Dann, wenn sich Nutzer für simple und kurze Passwörter entscheiden und die Log-in-Seite beliebig viele Versuche zulässt.

Ein weiterer Weg, um Schadsoftware zu verteilen, sind sogenannte „Drive-by-Downloads“. So wird das unbewusste und unbeabsichtigte Herunterladen von Dateien bezeichnet. Eine Webpräsenz oder eine Werbeanzeige kann so manipuliert werden, dass bereits der Abruf der Webseite dazu führen kann, dass Schadsoftware automatisch auf den Rechner des Opfers heruntergeladen und installiert wird.

Wie nutzen Hacker DDoS-Attacken?

Bei DDoS-Attacken (Distributet-Denial-of-Service-Attacken) handelt es sich um Überlastungsangriffe, durch deren Einsatz Server und Webdienste zeitweise unbrauchbar gemacht werden. Hacker versuchen mit dieser Methode u. a. Schutzgeld von Unternehmen zu erpressen, deren Online-Angebote durch einen längeren Ausfall einen Imageschaden erleiden würden, sodass dadurch die Nutzerzahlen ihrer Online-Dienste auf dem Spiel stehen könnten. Damit eine DDoS-Attacke erfolgreich verläuft, muss der Angreifer genügend infizierte Computer zur Verfügung haben, um einen ausreichend großen Traffic generieren zu können. Deshalb setzen Hacker bei einer Überlastungsattacke in der Regel ein Botnetz ein. Diese digitale Zombie-Armee setzt sich aus infizierten Geräten zusammen, die mit dem Internet verbunden sind. Deren Besitzer bekommen in den meisten Fällen gar nicht mit, dass ihr Computer oder Tablet-PC für DDoS-Attacken missbraucht wird.

Die Lieblingstools

Hacker bedienen sich einer Vielzahl unterschiedlicher Schadsoftware-Programme, um in Computernetzwerke einzudringen und Daten zu stehlen. Als Schadsoftware (Malware) werden alle Computerprogramme und Codefragmente bezeichnet, die unerwünschte oder schädliche Handlungen auf einem Computersystem ausführen, wie beispielsweise Ausspähen von Nutzerverhalten. Traditionelle Antiviren-Lösungen sollen solche Programme erkennen und automatisch entfernen können. In den meisten Fällen reicht ein einfaches Antivirenprogramm aus, um gängige Schadsoftware vom Rechner fernzuhalten.

Problematisch wird es jedoch bei den sogenannten „Zero-Day-Lücken“. Hierbei handelt es sich um Sicherheitslücken, die dem Hersteller noch nicht bekannt sind und somit auch noch nicht gepatcht werden konnten. Hackertools, die sich Zero-Day-Schwachstellen zunutze machen, werden „Zero-Day-Exploits“ genannt. Diese Art der Exploits ist in der IT-Branche sehr wertvoll. Denn Hersteller möchten von Schwachstellen in ihren Systemen zuerst erfahren, weshalb Belohnungen für Hinweise angeboten werden. Auf dem Schwarzmarkt können Zero-Days Cyberkriminellen jedoch viel mehr Geld einbringen.

Wie gefährlich Zero-Day-Exploits wirklich sind, zeigte WannaCry im Jahr 2017. Der Erpressungstrojaner nutzte einen Zero-Day-Exploit namens „Eternal Blue“, um sich rasend schnell zu verbreiten und weltweit Millionen von Rechnern zu infizieren.

Kann man sich schützen?

Die schlechte Nachricht lautet, dass prinzipiell jedes System gehackt werden kann. Die entscheidende Frage ist jedoch, wie schnell und wie leicht ist es für den Hacker, Zugang zu einem bestimmten Computersystem zu erlangen. Es sind unterschiedliche Tools, wie beispielsweise OpenVAS erhältlich, die Ihnen dabei helfen können, eine Vulnerability-Analyse Ihres Computersystems oder Netzwerks durchzuführen.

Bei einem Exploit handelt es sich um ein Computerprogramm, das Sicherheitslücken von Software-Produkten aufzeigt und deren Ausnutzung ermöglicht. Sie stellen potente Werkzeuge für Hacker und Cyberkriminelle dar, um in geschützte Computersysteme einzudringen, um Datendiebstahl und ähnliche illegale Aktivitäten zu begehen. Exploits können jedoch auch bei der Beseitigung von Schwachstellen genutzt werden.

Allgemeine Informationen

Exploits stellen systematische Wege dar, um aufgrund von Schwachstellen in Form von Programmierfehlern der Software in Computersysteme und Netzwerke einzudringen. Dabei kann es sich sowohl um rein theoretische Beschreibungen der Sicherheitslücke (Proof of Concept), als auch um ausführbare Programme zur direkten Ausnutzung der jeweiligen Sicherheitslücke handeln. Für Hacker und andere Cyberkriminelle sind sie wichtige Tools, um unbefugten Zugriff auf ein Computersystem zu erlangen und dieses nach persönlichen Wünschen zu manipulieren. Darüber hinaus werden Exploits eingesetzt, um Sicherheitsschwachstellen genau zu dokumentieren und für deren Beseitigung mittels Software-Updates und -Patches zu sorgen. In vielen Fällen machen sich Exploits sogenannte „Pufferüberläufe“ (Buffer Overflow) zunutze. Dabei handelt es sich um Programmierfehler, die es ermöglichen, Programmcode in einem nicht dafür vorgesehenen Bereich des Arbeitsspeichers auszuführen, um beispielsweise Adminrechte oder Zugriff auf geschützte Dateien und Ordner zu erhalten. Viele nutzen zudem schlecht programmierte Schnittstellen aus, mit denen eigene Codefragmente zur Ausführung gebracht werden können.

Bedeutung für Netzwerk- und Systemsicherheit

Durch den Einsatz gängiger Exploits können Computersysteme und Netzwerke auf Schwachstellen geprüft werden. Falls bereits Patches und Updates für bekannte Sicherheitslücken installiert sind, kann mit den entsprechenden Exploits die Wirksamkeit dieser Updates verifiziert werden. Neben einzelnen gibt es auch sogenannte „Exploit-Pakete“, die eine Vielzahl unterschiedlicher Schwachstellen in einem einzelnen Programm sammeln. Ein System lässt sich auf diese Weise auf eine Großzahl verschiedener Lücken prüfen. Für den Cyberkriminellen erhöht sich jedoch durch den Einsatz solcher Pakete die Wahrscheinlichkeit, dass er in ein System eindringt und dieses manipuliert.

Einteilung von Exploits nach Angriffsart und zeitlichen Aspekten

Abhängig von der eingesetzten Angriffsart und den zeitlichen Aspekten lassen sich Exploits in folgende Kategorien einteilen.

Remote-Exploits sind in erster Linie darauf ausgelegt, Schwachstellen in Netzwerksoftware auszunutzen. Sie basieren auf dem Einsatz manipulierter Datenpakete. Ein lokaler Exploit hingegen wird direkt auf dem Computersystem des Opfers ausgeführt. Eine auf den ersten Blick harmlos wirkende Datei kann beispielsweise mit einem bösartigen Codefragment versehen sein, der beim Ausführen der Datei eine Schwachstelle des Systems ausnutzt. Bei Denial-of-Service-Exploits (DoS-Exploits) wird kein eigener Programmcode auf den angegriffenen Computersystemen ausgeführt, sondern ein solcher Exploit verursacht eine Überlastung der Anwendung. Webanwendungen, die SQL-Datenbanken als Datastore verwenden, sind unter Umständen für Injection-Exploits anfällig. Ein Zero-Day-Exploit ist eine Sicherheitslücke, die erst kürzlich entdeckt wurde und die dem Hersteller des Computersystems noch nicht bekannt ist. Diese Art  ist besonders tückisch. Da sie frühestens beim ersten Angriff auf ein System entdeckt werden kann und für die kein entsprechendes Sicherheitsupdate existiert. Da die Hersteller erst einen Patch für den Exploit entwickeln müssen, erhalten die Angreifer mehr Zeit, um eine größere Zahl von Systemen zu infiltrieren und großen Schaden anzurichten.

Exploits als Hacker Tools

Exploits werden in vielen Fällen zusammengepackt, sodass der Hacker ein System auf eine große Zahl von Sicherheitslücken prüfen kann. Sollten eine oder mehrere Sicherheitslücken entdeckt werden, kommen die entsprechenden Exploits zum Einsatz. Solche Pakete verwenden zudem clevere Verschlüsselungsverfahren wie die sogenannte „Code-Obfuskation“, um es Sicherheitsforschern zu erschweren, ihre Funktionsweise nachzuvollziehen. Zu den bekanntesten und meistgenutzten Paketen gehören:

–     Neutrino: Hierbei handelt es sich um ein russisches Kit, das einige für die Java-Plattform enthält.

–     Nuclear Pack: Dieser  befällt seine Opfer mit PDF– und Java-Exploits und infiziert befallene Computer auch mit dem tückischen Bank-Trojaner „Caphaw“.

–     Blackhole Kit: Hierbei handelt es sich um eine der größten Gefahren des Jahres 2012, die ältere Browser-Versionen von Chrome, Firefox, Safari und Internet Explorer  Millionen von Rechnern infiziert hat.

–     Angler: Bei diesem handelt es sich um eines der hoch entwickelsten Kits, die auf dem Underground-Markt erhältlich sind.

Schutzmaßnahmen

Um sich  zu schützen, sollten regelmäßig veröffentlichte Patches und Updates auf das Computersystem installiert werden. So können Sie sicherstellen, dass der Rechner vor bereits bekannten Exploits geschützt ist und dass Sicherheitslücken geschlossen sind. Es können Firewalls, leistungsstarke Virenscanner, oder Intrusion Detection und Intrusion Prevention Systeme eingesetzt werden, die Hacker-Angriffe rechtzeitig erkennen und ungewollten Datenverkehr aus dem Internet automatisch unterbinden. Das Ausnutzen bisher unbekannter Sicherheitsprobleme durch Zero-Day-Exploits lässt sich jedoch kaum verhindern. Diese Hacker-Angriffe lassen sich nur dann abwehren, wenn bei der Programmierung der Anwendungen hohe Qualitätskriterien beachtet wurden. Durch durchdachte Testverfahren und ein hohes Maß an Sorgfalt können Design- und Programmierfehler bereits während der Entwicklungsphase entdeckt und behoben werden.