Gute Zeiten für Unternehmens-Hacker – Chancen und Grenzen der Digital Forensic
In der digitalen Forensik treten die IT-Sicherheitsexperten gegen Täter an, denen man eigentlich nur auf die Schliche kommen kann, wenn diese einen Fehler machen und das passiert immer seltener. Doch genau diesen einen Fehler im Datenrauschen eines Unternehmens zu finden, ist aufwändig, kompliziert und führt nicht selten ins Leere. Big Data könnte hier zu einer neuen Waffe gegen die Hacker werden.
Nur zwei Prozent der in einer Studie befragten europäischen Unternehmen würden eine in ihrem System entdeckte Sicherheitslücke publik machen, meldet der Unified Security Management(USM)-Anbieter AlienVault. 38 Prozent informieren die zuständigen Behörden, 31 Prozent teilen die Sicherheitslücke nur Mitarbeitern mit. Und lediglich 11 Prozent der befragten IT-Verantwortlichen gaben an, solche Informationen der weltweiten Security Community anzuvertrauen.
Organisationen, die eine Sicherheitslücke in ihrem System entdecken, stecken offensichtlich in einem Dilemma. Auf der einen Seite würde die Bekanntmachung eines solchen Vorfalls anderen Unternehmen helfen, Attacken zu vermeiden. Andererseits könnte eine Veröffentlichung den Ruf der Firma schädigen, heißt es in der Analyse weiter.
Tatsächlich gibt es allen Presseberichten zum Trotz kaum Lagebilder oder gesicherte Erkenntnisse darüber, wie kriminelle Hacker vorgehen, an welchen Stellen sie angreifen, wie erfolgreich sie sind. Die IT-Verantwortlichen können eventuelle Angreifer aus ihren Netzwerken heraus kaum beobachten – sie sehen sie frühestens in dem Moment, in dem sie angreifen. Etwa in dem sie die Sicherheitssysteme darauf trainieren, verschiedene Muster von Netzwerkzugriffen auszuwerten, diese auf mögliche Angriffe zu prüfen und bei Verdacht Alarm zu schlagen.
Doch solange sich die Hightech-Gangster tarnen und die Security Systeme täuschen sind die Unternehmen machtlos. Und so hacken die Angreifer Internetserver, sie hangeln sich von Maschine zu Maschine – immer mit der Absicht ihre Identität und den Weg ihres Angriffs zu tarnen. Haben sie schließlich die Ports ihres Opfers gefunden, erfolgt der Angriff meistens sehr langsam und versteckt – “low and slow”.
Über Wochen oder Monate prüfen sie die Firewalls auf Schwachstellen, klopfen verschiedenste Netzwerkgeräte ab. Sie versuchen Zugang auf Geräte der Mitarbeiter zu erhalten und von dort weiter ins Netzwerk einzudringen. Sobald sie einen offenen Port entdeckt haben, loggen sie sich in die Applikationen und Datenbanken ein und finden ihre Beute – beispielsweise Kontoinformationen, Kundenadressen, Kreditkartendaten.
Später, auf dem Rückzug durch den Irrgarten der Unternehmensnetzwerke, hinterlassen sie alles möglichst so, wie sie es vorgefunden hatten. Gute Cyberangreifer löschen alle Spuren aus den Datenbanken, aus den Routern und Speichern, rückwärts bis zu den Proxyservern, die sie für den Angriff genutzt haben. Sicherheitsspezialisten halten es für praktisch ausgeschlossen, einen professionellen Angreifer durch das Internet zu verfolgen – falls es den IT-Abteilungen eines angegriffenen Unternehmens überhaupt auffällt, dass sie Opfer eines Verbrechens geworden sind. Nach verschiedenen Schätzungen bemerken bis zu Zweidrittel der Unternehmen nicht, dass ihnen Einbrecher Daten gestohlen haben.
Bis die virtuellen Alarmglocken anspringen, haben die Angreifer die Systeme schon lange wieder verlassen. Jetzt übernehmen die Ermittler und versuchen in den Systemen die Spuren der Attacke zu finden.
Keine leichte Aufgabe – ein weltumspannender Konzern betreibt Rechenzentren und Netzwerke auf allen Kontinenten mit tausenden Servern und Router, die rund um die Uhr laufen. Zehntausende Mitarbeiter greifen gleichzeitig auf die Netzwerke und die Datenspeicher zu. Im Takt von Millisekunden überträgt das Unternehmen Datenströme in Produktionen und Niederlassungen. Es verschickt Bestellungen und Überweisungen an Partner oder Banken, Mails und Dokumente an die Mitarbeiter, Auftragsbestätigungen oder Rechnungen an die Kunden.
Die Forensiker wissen, dass dieses Rauschen der Daten die ideale Tarnung ist, aus der die Angreifer zuschlagen – und in die sie wieder verschwinden. Hier beginnen sie nach einem – möglicherweise – winzigen Datensatz zu suchen, den die Einbrecher beim Rückzug übersehen haben und der Hinweise auf die Tat liefern könnte.
Die Ermittler treten gegen Täter an, die sie selbst als “brillant” bezeichnen. Die Experten sehen, wie ihre Angreifer immer geschickter vorgehen. Sie selbst müssen vor allem darauf vertrauen, dass die Gegner einen Fehler machen. Und genau diesen einen Fehler zu finden ist aufwändig und kompliziert.
Es ist von Beginn an aussichtslos, den Eindringling über eine manuelle Suche zu finden. Wahrscheinlicher ist, dass die Auswertungen der Datenbanken mit den Logfiles zu einem Ergebnis führen. Finden die Ermittler hier keine Spuren, werden die Untersuchungen richtig teuer.
Die Experten betonen, dass der Einsatz einer Big-Data-Lösung meistens der letzte mögliche Schritt ist, um Hinweise auf die Täter zu bekommen. Allerdings ist diese Entscheidung nicht einfach – Big Data ist so teuer, dass es in den meisten Fällen die Entscheidung des Managements ist, dieses Werkzeug zum Einsatz zu bringen.
In den Big-Data-Systemen suchen die Algorithmen nach Anomalien in den Netzwerkdaten. Um allerdings aus diesen Anomalien zu schließen, dass es sich um einen Angriff oder gar um einen Straftatbestand handelt, gehört viel Aufbereitung und Datenanalyse. Am Ende muss die Forensik in Millionen Daten ein Muster finden, das auf einen Angriff schließen lässt – etwa weil es dem Muster früherer Attacken gleicht. Erst dann können die Ermittler dem Management bestätigen, dass es einen Angriff gegeben hat.
Der nächste Schritt ist herauszufinden, was konkret passiert ist und wer der Angreifer sein könnte, dann berechnen die Ermittler die Höhe des Schadens.
Schließlich diskutieren IT-Abteilung, Sicherheitsverantwortliche, Rechtsabteilung und das Management die Frage, ob sie den Vorfall öffentlich machen – etwa indem das Unternehmen die Beweise gegen die mutmaßlichen Angreifer zusammenstellt und sie anzeigt. Typischerweise werde dieser Gedanken verworfen, berichten verschiedene Experten unabhängig voneinander.
Die Liste der Gründe ist lang und jedes Unternehmen fällt diese Entscheidung aus einer jeweils eigenen Perspektive heraus. Häufig fürchtet das Management um die Marke und den Ruf und beschließt die Einbrüche zu verschweigen. In anderen Organisationen warnt die Rechtsabteilung vor juristischen Konsequenzen, weil durch den Angriff persönliche Daten von Kunden oder Mitarbeitern verlorengegangen sein könnten.
Als Nachweis eines Angriffes haben die Ermittler möglicherweise nur sehr abstrakte Muster und Indizien, die sie zu einer Beweiskette zusammenfügen. Eine Beweisführung, die für IT-Laien kaum nachvollziehbar ist – in diesem Fall raten Anwälte oft von einer Klage ab. Ihre Sorge ist, dass die Beweise vor den Gerichten nicht standhalten.
Denn auf der Gegenseite verlassen sich die Angreifer auf spezialisierte Anwälte, die die Schwächen der Unternehmensnetzwerke und der IT-Abteilungen sehr gut kennen. Wie Experten berichten, reiche schon der Nachweis, dass ein notwendiges Update nicht installiert ist, aus, um einen Prozess platzen zu lassen.
Am Ende suchen die Unternehmen das Gespräch mit den Angreifern. Nach der Vermittlung durch die Anwälte lernen Ermittler und Angreifer sich kennen, man schüttelt sich die Hände und beschließt – nach einer Vereinbarung über eine gewisse Summe als Schweigegeld – sich in Zukunft aus dem Weg zu gehen.