Sicherheitsvorfälle: "unnötig" bis "skurril" Sicherheitsvorfälle: "unnötig" bis "skurril" - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.03.2015 :: Printausgabe 4/2015 :: Michael Krausz*

Sicherheitsvorfälle: "unnötig" bis "skurril"

Ob ungepatchte Alt-Server oder offene Industriesteuerungen: Die Krux mit Sicherheitsvorfällen ist, dass man zu spät sieht, was

übersehen wurde. Dagegen versprechen standardisierte Sicherheitssysteme jedem Security-Verantwortlichen einen ruhigen Schlaf.

Michael Krausz ist international als Information Security Consultant im Einsatz.

Michael Krausz ist international als Information Security Consultant im Einsatz.

© CIS

Zieht man ein Resümee der interessantesten, unnötigsten und teuersten Sicherheitsvorfälle der jüngeren Vergangenheit, möchte man nicht glauben, wie leicht es Angreifern oft gemacht wird. Sogar trotz umfassender Security-Richtlinien kommt es vor, dass jugendliche Neo-Hacker mühelos Eingang in die Systeme finden – weil Vorgaben nur so viel wert sind, wie sie auch kompromisslos angewendet werden. So waren in drei Fällen von Cyber-Attacken, aus dem Umfeld strafrechtlicher Ermittlungen, die Täter jeweils 14 bis 15 Jahre jung. Einer davon hatte mehr als 200 Webseiten geknackt. Der Fehler in den Systemen war mehrfach derselbe: eine inkorrekte Konfiguration des Nutzer-Logins, die zu einfache Passwörter erlaubte. Der Täter brauchte nur die logischen Standard-Passwörter durchzuprobieren.  

Kurzer Prozess
Einer der wohl unnötigsten Vorfälle der jüngsten IT-Geschichte war jener, bei dem die betroffene IT-Abteilung eine wahre Meisterleistung darin vollbrachte, nicht ganz zentrale Prozesse entweder ungenau oder gar nicht zu definieren. So meinte man eines Tages, dass der einfachste Weg, einen Server außer Betrieb zu nehmen, der sei, dieses Gerät aus dem DNS zu entfernen, aber still im Netzwerk zu belassen und nicht mehr zu warten. Über Monate hinweg addierten sich die nicht gepatchten Lücken, sodass im Laufe der Zeit rund vier Mio. Datensätze von Hackern unbemerkt abgesaugt werden konnten. Der Vorfall wurde erst erkannt, als die Daten in diversen Foren verkauft wurden. Die Aufarbeitung des Vorfalls verschlang einen gut sechsstelligen Betrag und wäre völlig vermeidbar gewesen – ein verbindlicher Prozess zur Außerbetriebnahme von Produktionsservern hätte gereicht.

Doppelt teuer
Mit der teuerste Sicherheitsvorfall ereignete sich 2009 bei Heartland Systems, als über hundert Millionen Kreditkartendatensätze ausspioniert wurden. Die Aufräumkosten betrugen rund zehn Millionen Pfund, wobei der Verfall des Aktienkurses – 70 Prozent in einer Woche – noch nicht berücksichtigt ist.
SCADA-Systeme zur Steuerung industrieller Infrastruktur rücken verstärkt in das Visier von Hackern aus dem staatsnahen Umfeld. Während aber das Virus Stuxnet über nicht-gesperrte USB-Ports eingeschleust wurde und »nur« Zentrifugen der iranischen Urananreicherungsanlagen lahmlegte, gab es in den USA 2014 bereits die erste spektakuläre Tanklagerexplosion, die auf Eindringlinge via Internet zurückgeführt wurde.
Europa ist da vergleichsweise bescheiden. Das einzige bisherige Highlight aus Hacker-Sicht war ein Staudamm, dessen SCADA-Interface so schlecht abgesichert war, dass es von jedem, der die IP-Adresse in einem kleinen öffentlichen DHCP-Bereich "erraten" würde, hätte bedient werden können – inklusive Öffnung der Dammschleusen. Gemeldet wurde die Lücke von einem US-Studenten, der beim Surfen zufällig auf das offene Interface gestoßen war und die Fatalität der "Benutzerfreundlichkeit" erkannte. Die Administratoren hatten schlicht eine falsche Initialkonfiguration angelegt und sind nie auditiert worden. Dass weiter nichts passiert ist, war vor allem Glück. Aber genau darauf sollte es nicht ankommen!

Sicherheit mit System

Insgesamt lässt sich beobachten, dass Sicherheitsvorfälle an Schärfe und Schwere verlieren, wenn Organisationen ein strukturiertes Sicherheitssystem mit inhärenten Kontroll- und Verbesserungsschleifen implementiert haben. Die Einführung standardisierter und somit zertifizierbarer Security-Systeme mit integriertem Risk Management und verbindlichen Policies kann als wirksamer Beitrag dazu gewertet werden, dass der gesunde Schlaf eines jeden CISO nachhaltig gewährleistet wird.

*Michael Krausz ist international als Information Security Consultant im Einsatz. Darüber hinaus fungiert er bei der Zertifizierungsorganisation CIS als Auditor für Informationssicherheit nach ISO 27001.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Bewertungen: 5.0 von 5. 1 Stimme(n).
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr

Hosted by:    Security Monitoring by: