Risiko ist das, was unser Leben -oft unbewußt- bestimmt. Wenn IT Security “Experten” von Security sprechen, so assoziieren wir unter anderem die Sicherheitsleute, die Zollkontrollen und all das, was wir als Einschränkung unserer Freiheit wahrnehmen – nicht zu letzt die ewigen Passwortprobleme. Der Begriff Security ist folgerichtig negativ belegt. Deshalb habe ich mir angewöhnt statt von Security lieber von Risiken zu sprechen – denn mit dem Begriff verbinden wir wertneutraler eine allgemeine Thematik.
Hinweis vorweg: Ich nehme keinesfalls in Anspruch, den nachfolgenden Text als vollständig und fehlerfrei verkaufen zu wollen. Es ist ein Kompromiss zwischen meinem Interesse das Verständnis in diesem Bereich zu fördern einerseits und der dafür ohne Auftrag aufgewandten Zeit andererseits. Es ist (m)eine Sicht der Dinge und bestimmt nicht die einzig mögliche Sichtweise.
In Abschnitten:
- Die Angreifer
- Der Angriff
- Die Abwehrmaßnahmen
- Der Schaden
- Die Wahrscheinlichkeit
- Das Risiko
- Abschließend
Die Angreifer
Grundsätzlich ist jede konkurrierende Interessensgruppe potentieller Nutznießer einer Schadenssituation bei den Piraten. Das heißt folgerichtig, dass eine Vielzahl an Organisationen und Menschen mit den entsprechenden Möglichkeiten Angriffe auf die Piraten durchführen könnten.
Glücklicherweise ist der Großteil dieser Gruppen sehr wohl in der Lage diese Angriffe auf nicht-technischer Ebene, zum Beispiel durch gute Mediennutzung auszuführen. Hierbei muss dann auch seltener die Schwelle zur Illegalität überschritten werden und der Schaden in der Reputation kann sogar längerfristig wirken.
Neben der oben genannten Gruppe von kontroversen Interessensvertretern, gibt es weitere Gefahrengruppen. Zum Beispiel könnten extremistisch-ideologische Einzeltäter sich durch den Erfolg der Partei genötigt sehen, Ihr einen Dämpfer zu verpassen. Auch könnten ambitionierte Datenreisende („Script-Kiddies“) einfach Freude am Versuch haben.
Von ernstzunehmenden Angriffen, die kein kompromittierendes Ziel verfolgen, sondern die Sicherheit von Systemen erproben und verbessern (ethical hacking), könnte ebenfalls eine Gefahr ausgehen, die ich aber persönlich eher als gering einstufen würde.
Der Angriff
Das Dienste durch das Ausnutzen legaler Technologie zu einem Ausfall gebracht werden können ist nicht neu. Ein solcher Angriff ist zwar ärgerlich, aber wenn die Verfügbarkeit der Systeme unproblematisch ist, ist er auch nicht nachhaltig schädlich. Der Ausfall von Diensten zu bestimmten Zeiten (z.B. heiße Wahlkampfphase, großes Live-Event etc.) kann aber sehr wohl zu Schädigungen in der Außenwahrnehmung führen.
Nun aber gesetzt dem Fall, wir haben es mit einem Angreifer oder einer Angreifergruppe zu tun, deren Ziel nicht ein Ausfall der Systeme (deny of service), sondern ein gezieltes Kompromittieren ist. Hierbei kommt es dann gewöhnlich zu einem überlegten Einsatz von vielen Techniken und Methoden. Techniken des Social Engineering (z.B. Spearfishing) genauso wie Netzwerkangriffe (wiretapping, DNS re-route, crafted network packages, etc.) und zero-day Vulnerabilities kommen zum Einsatz. Und, nicht zu vergessen, der Angreifer verfolgt im der ersten Angriffswelle ein Ziel und hat viel Zeit dieses zu erreichen. Er braucht Zugang zu dem System.
Das Vorgehen sähe dabei in etwa so aus:
- Informationen über die eingesetzten Systeme sammeln (locations, IP, OS, Apps, extensions, routing etc.)
- Informationen über die Menschen dahinter sammeln (Aufgaben, Background, Sicherheitsempfinden, Aufmerksamkeit, Vorlieben, Interessen etc)
- Das anzugreifende System wählen (Geringe Wartung, bekannte Vulnerabilities, hoher vermuteter Informationsgehalt, unzureichende Schutzmechanismen)
- Angriff ausführen
- Hintertür einbauen und Spuren verwischen
- Systemdaten kopieren und offline analysieren (logs, Webroots, registry, /etc dir, pam, history, snmp strings, temp folders etc.)
- gefundene Accountdaten und Informationen bei anderen System über den offiziellen Zugriff probieren
- Schaden anrichten
Die Abwehrmaßnahmen
Die wichtigste Abwehrmaßnahme ist nicht in der Technologie, sondern im Menschen zu finden. Ein hohes Sicherheitsbewußtsein aller Beteiligten ist DIE Grundvoraussetzung für erfolgsversprechende ernsthafte Gegenmaßnahmen. Hierbei aber muss die Technik helfen. Denn vor jeder Gegenmaßnahme steht das Erkennen eines Angriffs.
Deny of Service Angriffe
Gegenmaßnahmen für eine Teilgruppe der DOS (Deny of service)-Angriffe lassen sich einfach umsetzen (Patching, Kapazitätsplanung). Gegenmaßnahmen für den Bereich der netzwerkbasierten DOS Angriffe sind aber teilweise technologiebedingt nur durch erheblichen Mehraufwand erfolgsversprechend umsetzbar.
Probing Angriffe
Bezeichne ich als halbherzige Angriffsversuche mit Hilfe von vorgefertigten Tools durch mehr oder weniger begabte ambitionierte Datenreisende. Schutz bietet in den meisten Fällen schon das Einhalten von Grundsätzen der IT Sicherheit.
Ernsthafte Angriffe
Zunächst steht zu befürchten, dass ernsthafte Angriffe über einen längeren Zeitraum unentdeckt bleiben – können. SIEM Systeme sind hier ein wichtiges Mittel, um zeitnahe Reaktionen zu ermöglichen.
Ebenso ist zu befürchten, dass IT durch Dritte auf den Angriff hingewiesen wird. Ein Szenario, welches leider häufiger beobachtet werden kann. Die Folgen in so einem Falle sind ins Besondere in Bezug auf die Außenwirkung zu bedenken.
Die Abwehr- und Schutzmaßnahmen, die ergriffen werden, müssen sauberen Prozessen folgen. Sie sind nicht nur technischer Natur (Border defense, Firewalls, DMZ, Intrusion Prevention, Content Filtering, Access Control, Patching, Hardening, Encryption etc) sondern im gleichen Maße auch organsatorischer Natur (dicsretionary vs. madatory access control, double proof, need-to-know, least-privilege, job-rotation, accreditation, etc.).
Grundsätzlich spielt sich die Abwehr von Angriffen auf mehreren Ebenen ab. Ähnlich wie eine Zwiebel mit Ihren Schichten, folgt das defense-in-depth Konzept dem Ziel, das Eindringen durch viele Schutzschichten zu erschweren.
Der Schaden
Die technische Infrastruktur der Piraten ist robust. Sie ist von Profis vernetzt und dezentral. Ein kurzfristiger Ausfall der Systeme führt wahrscheinlich nicht zu direkten finanziellen Einbußen, da kein Verkaufsgeschäft betrieben wird.
Für eine politische Organisation ist aber das Schadenspotential besonders im Bereich der Reputation zu suchen. Als Piratenpartei behaupten wir unter anderem Kernkompetenzen im Bereich Datenschutz, Transparenz und dem Internet allgemein. Ein Schaden, der also in diesen Bereichen entsteht wirft zwangsläufig die Frage nach der eigenen Kompetenz auf. Ein Sicherheitsunternehmen, bei dem eingebrochen wird, ist genauso fraglich, wie der KFZ Mechaniker, dessen PKW dauerhaft kaputt ist.
Besonders schwer wiegt ein Schaden, der durch Offenlegung von personenbezogenen Daten entstehen könnte, da es erklärtes Parteiziel ist, diese besser zu schützen (siehe SPD Hack im April 2012).
Dieser Schaden ist schwer zu bemessen und hängt auch mit der Publizität des Vorfalls zusammen. Ebenso spielt die Art der vorfallsbezogenen Kommunikation eine größere Rolle bei der Schadensbegrenzung.
Merke:
IT Schäden sind interdisziplinär! Der Pressesprecher, der Vorstand und die Fraktion müssen genauso im Boot sein, wie die betroffenen Mitglieder.
Die Wahrscheinlichkeit
In der IT Security besteht der Konsens, dass es die Frage, ob man angegriffen wird, nicht gibt. Die Frage muss lauten WANN man angegriffen wird. Die Wahrscheinlichkeit wie häufig und in welcher Intention ein Angriff erfolgt, lässt sich unter anderem aus einer fundierten Gefahrenanalyse ableiten. Hierfür stehen aber zu wenig Informationen zur Verfügung und es würde in diesem Kontext zu weit führen. Die Frage der Wahrscheinlichkeit eines Angriffs muss deshalb unbeantwortet bleiben.
Das Risiko
In der IT Security kann man Risiken kalkulieren. Allgemein gilt die Formel:
Risiko = Auswirkung * Wahrscheinlichkeit
Das Risiko in unserem Fall ist schwer zu beziffern, da die Auswirkungen, der Schaden, schwer zu belegen ist. Auch um die Wahrscheinlichkeit zu fixieren fehlen ausreichend Informationen und Fakten. Leider kann dadurch auch die Frage nach dem tatsächlichen Risiko nicht beantwortet werden und vieles verbleibt im Bereich wilder Spekulationen. Deshalb ist es mir nicht möglich zu einer belastbaren Risikoabschätzung zu kommen.
Abschließend
Ziel dieses Artikels sollte es auch eher sein, zum Nachdenken anzuregen. Ich freue mich über jedes Feedback und bin gerne bereit etwas ausführlicher zu werden… 😉
Und: Danke, dass Du bis zum Ende gelesen hast!