Cyberkrieg: Was Hacker jetzt empfehlen
Der Krieg in der Ukraine hat die Gefahr von Cyberangriffen durch russische Computerspezialisten weltweit erhöht. Da sich Deutschland durch Sanktionen und Waffenlieferungen zumindest mittelbar an dem Krieg beteiligt, wird auch hier das Thema IT-Sicherheit immer wichtiger. Mögliche Angriffsziele im Heidekreis wie die Stadtwerke oder das Heidekreis-Klinikum sehen sich prinzipiell gewappnet (Böhme-Zeitung vom 11. März). Doch wie sieht die Gefahr eigentlich genau aus? Wie laufen Cyberattacken konkret ab?
Im Mindspace-Komplex am Hamburger Rödingsmarkt sitzen zahlreiche junge Unternehmen, die dynamisch an der wirtschaftlichen Zukunft tüfteln. Jan Kahmen und Till Oberbeckmann vom Unternehmen Turingpoint gehören auch dazu, sind seit drei Jahren auf dem Markt. Mit ihren acht Mitarbeitern beraten und unterstützen sie Unternehmen und Institutionen bei der Sicherheit ihrer Informationstechnologie. Dazu gehört regelmäßig auch das, was Kriminelle am Computer machen: hacken, also das Angreifen von fremden Systemen.
Durch Hacks das Personal schulen
Allerdings macht Turingpoint das im Einverständnis mit seinen Kunden. Der Angriff wird simuliert. Ohne echten Schaden anzurichten, klopfen die Berufshacker die Systemsicherheit von Unternehmen ab. „In einer ersten Stufe erfassen wir die Schwachstellen“, erklärt Oberbeckmann im Gespräch mit der Böhme-Zeitung. Da werde zunächst festgestellt, welche Softwareprodukte, Programme, Apps und auch welche Endgeräte genutzt werden. Daraus ergebe sich schon ein erstes Bild. „Je nach Größe und Komplexität der Systeme können viele hundert Schwachstellen identifiziert werden.“ Im nächsten Schritt befasst sich Turingpoint damit, die Systeme simuliert anzugreifen, also von außen in die IT einzudringen. „Da geht es zunächst darum, das Personal zu sensibilisieren und zu schulen“, so Oberbeckmann.
Häufig gibt es Probleme in der Nutzung der Büro-IT. Vor allem windowsbezogene Produkte böten Angriffsflächen, erklärt Oberbeckmann. „Windows hat den Anspruch, abwärtskompatibel zu sein“, sieht der Experte hier die größten Herausforderungen. Die Schwachstellen seien nur mit größtem Aufwand durch Programmkonfigurationen zu verändern. Ein klassischer Schwachpunkt sei zudem die Passwort-Sicherheit. „In vielen Fällen ist es leider dasjenige Passwort, das vom Hersteller bei Auslieferung des Geräts gesetzt war – das kann man aber in Datenbanken nachschauen und so den Administratorzugang erlangen.“ IT- Beauftragte in Unternehmen empfehlen deshalb meist auch die Veränderung ursprünglicher Passwörter durch komplexe neue Passwörter, die sich aus Zahlen und Buchstaben sowie Sonderzeichen zusammensetzen.
Doch auch der E-Mail-Verkehr habe es in sich, erinnert Kahmen an einen Angriff auf das Neusser Krankenhaus vor einigen Jahren, bei dem nach dem Öffnen eines Mailanhangs die gesamte Klinik-IT blockiert war, weshalb unter anderem auch ein Rettungswagen mit einer Patientin ein weiter entferntes Klinikum anfahren musste. Diesen Zeitverzug über- lebte die Patientin nicht. Die Böhme-Zeitung hatte den Hintergrund seinerzeit für eine Recherche der IT-Sicherheit der Kliniken in der Region genutzt, was in mehreren Häusern zu Veränderungen geführt hatte.
Cyberkrieg: Zehn Pfund genügen, um Passwörter zu kaufen
Da Angriffe meist – aber nicht immer – von außen erfolgen, sind E-Mail-Anhänge klassische Problemzonen. Einmal geöffnet, können sich versteckte Programme entfalten und den angestrebten Schaden anrichten. Unternehmen seien in der Regel gezwungen, Kompromisse bei der Sicherheit einzugehen. „Am sichersten ist es natürlich, wenn man alle Netzstecker zieht und die IT runterfährt“, doch dafür seien die Systeme ja nicht da. Unternehmen müssen mit Lieferanten und Kunden kommunizieren und somit immer ein Restrisiko eingehen.
Sensibel seien darüber hinaus sogenannte Switches und Router, die man als Knotenpunkte zwischen Systemen begreifen könne.
Wenn man interne Systeme angreifen wolle, müsse man eine gewisse physische Nähe eingehen, um sich reinhacken zu können, etwa über das W-Lan. Besonders Serverräume und ähnliche Anlagen seien zu schützen. Mehr noch, die Experten empfehlen den Unternehmen auch sicherzustellen, dass dokumentiert wird, wer wann worauf zugreift, „damit nachher nachverfolgt werden kann, ob gegebenenfalls auch ein Täter von Innen aktiv geworden ist“. Innentäter seien gar nicht so selten. Oberbeckmann verweist auf eine britische Studie, die ermittelt habe, dass im Mittel bereits absurd niedrige zehn Pfund genügten, um Unternehmenspasswörter zu kaufen. „Die Studie war vielleicht nicht repräsentativ, aber es fehlt gleichwohl vielen Mitarbeitern das Bewusstsein für die Bedeutung der Passwortsicherheit.“
Im Großen und Ganzen sehen die beiden Geschäftsführer von Turingpoint gerade die öffentlichen Bereiche wie Kreis- und Kommunalverwaltungen bei der IT-Sicherheit nicht ganz so gut aufgestellt. „Besser sieht es in der Wirtschaft aus.“ Dabei gehören auch Verwaltungseinheiten zur sogenannten kritischen Infrastruktur.
BSI empfiehlt regelmäßige Penetrationstests
Angriffe auf IT-Systeme sind laut dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) selbst für kleine Behörden und Unternehmen kein Fremdwort mehr. Um sich optimal zu schützen, müsse man sich neben den üblichen Sicherheitsvorkehrungen auch auf die Perspektive der Angreifer einlassen. Penetrationstests sind ein geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer Web-Anwendung festzustellen und die möglichen Erfolgsaussichten eines Angriffs. Angeboten werden hierbei vom BSI zwei Testmethoden: der IS-Penetrationstest sowie der IS-Webcheck. Um langfristig einen guten Sicherheitseindruck über die IT-Systeme zu gewinnen, empfiehlt das BSI den Verwaltungseinheiten, die Tests in regelmäßigen Abständen zu wiederholen.
Um IT-Sicherheit anzugehen, ist nach Kahmen und Oberbeckmann das erste Prinzip, die Software-Updates auszuführen. Die Aktualisierungen müssten regelmäßig durchgeführt werden, „das gilt auch für IP-Telefone und Drucker“, nicht nur für Standardsoftware.
Die bislang schlimmste Variante einer Schwachstelle haben Mitarbeiter von Turingpoint bei einem Kunden des produzierenden Gewerbes ausgemacht. Eine zentrale Produktionsmaschine sei mit dem Internet verbunden, der Rechner nicht mehr der aktuellste gewesen. In den Pausen hätten Mitarbeiter genau diesen Rechner dann zum privaten Surfen im Internet genutzt. Für kriminelle Hacker ist so eine Situation wie ein offenes Scheunentor, über das ein ganzer Betrieb langfristig lahmgelegt werden kann.
Der Sicherheitstest kostet bis zu 20 000 Euro
Wenn Berufshacker ans Werk gehen, verbringen sie „in der Regel mehrere Wochen“ damit, die Systeme eines Kunden zu „penetrieren“, also anzugreifen. Ein Teil der Arbeit können die Mitarbeiter von Turingpoint automatisch mit selbst entwickelten Tools durchführen, doch vieles bleibt manuelle Arbeit. 10000 bis 20000 Euro müsse man als Unternehmen schon investieren, um einen Penetrationstest durchzuführen. Am Ende gebe es die Sicherheitsberatung und ein Zertifikat.
Turingpoint hat sich allerdings auch dem Sozialen verschrieben, nutzt Terminlücken, um ehrenamtliche Institutionen kostenfrei zu beraten. Gerade erst habe ein ukrainischer Spendenverein angefragt, berichtet Kahmen, dass sich das Unternehmen hier gerne engagieren und die IT-Sicherheitsinteressen unterstützen wolle.