Ene, mene, muh – geknackt bist du
“Es ist kinderleicht, die Sicherheitsvorkehrungen der Firmen-IT zu umgehen.” Ein niederschmetternder Satz – und ein Schlag in das Gesicht eines jeden Administrators.
Dieses Angriffsszenario wird als Teil des Überbegriffs ARP-Poisoning verstanden. ARP steht für Address Resolution Protocol und sorgt als Netzwerkprotokoll dafür, dass der Hardware im Netz Internet-Adressen zugeordnet werden können. Das läuft über das klassische Anfrage-Antwort-Spiel und hier kann man fleißig dazwischen pfuschen. Denn mit Hilfe des ARP-Poisonings kann ein Hacker die ARP-Nachrichten fälschen, indem er den Cache aktualisiert und ihn mit falschen Informationen durch gefälschte (gespoofte) ARP-Replys ‘vergiftet’.
ARP-Poisoning gilt zudem als Basis für weitere komplexe Attacken. Denn ist ein nicht zwangsweise sehr versierter Hacker, der auch ein normaler Mitarbeiter sein könnte, erst einmal in diese Netzwerkebene eingedrungen, lassen sich immer neue Sniffer platzieren.
Der menschliche Makel
Die bewussten Angriffe sind das eine. Sie können von außen, aber auch von innen, von der Mitarbeiterseite, kommen und sie haben vielfältige Gründe. Da ist vielleicht der gekündigte Arbeitnehmer, der nicht klar damit kommt, dass man ihn und nicht den Kollegen entlassen hat. Da sind die Neugierigen, denen es einfach in den Fingern juckt, einmal zu erfahren, was es denn so an Geheimnissen in der Firma gibt.
Das Gros der Datengefährdungen und -schäden im Unternehmen, in welcher Form auch immer, stammt aber von denjenigen, die sich sorgfaltswidrig verhalten. Ohne es zu merken befördern sie Firmendaten ins Nirvana oder öffnen die Tür für Angreifer von außen. Man kann es ja fast nicht mehr hören, aber immer noch kleben Post-Its mit Passwörtern an den Monitoren. Noch immer existiert in vielen Firmen keine Policy, wie mit Download-Versuchen der Mitarbeiter vorgegangen werden soll und noch immer stöpseln die Außendienstler ihre Laptops bedenkenlos ins Netz, ohne dass irgend jemand darauf achtet, ob das Gerät mit Viren verseucht ist.
Nach wie vor fehlt vielen IT-Abteilungen das Geld, entsprechende Abwehrmaßnahmen zu installieren, obwohl den Technikern durchaus bewusst ist, dass sie bei einem Desasterfall auf dem Schleudersitz sitzen, auf dem er zuerst herausgeschossen wird.
Wie im ersten Teil beschrieben, mangelt es nicht ihnen an Kenntnis, sondern den Geschäftsführern. Denen zu vermitteln, dass der Einsatz dieses oder jenes Abwehr-Produkts notwendig ist, ist oft aussichtslos. Hierfür Budget zu fordern macht so viel Sinn wie anderswo die Bitte, keine zweite Staffel von ‘Germany´s Next Topmodel’ auszustrahlen. Man kommt nicht bis zu den Entscheidern in der Chefetage.
Gegenmittel vorhanden
Dabei gäbe es so viele wie einfache Mittel, das Firmennetz abzusichern. Die Ciscos und Checkpoints dieser Welt verkaufen Firewalls, Intrusion Detection und Intrusion Prevention Systeme, die aufhalten sollen, was unvorsichtige Mitarbeiter in ihrer Mitteilungslaune angelockt haben. Antiviren-, Antispam- und überhaupt Antimalware-Tools – die Liste der Anbieter ist lang – tun ihr übriges.
Manche Unternehmen haben sich auf interne Sicherheitsmechanismen spezialisiert. Der ‘IntraProtector’ von Comco beispielsweise erkennt Angriffe auf Router, Switches oder andere Netzwerkkomponenten wie Server oder WLAN-Router. Ähnliche Ansätze melden nicht identifizierte Geräte, sobald sie sich ins Netz einklinken. Andere überwachen die Datenbewegungen, vergleichen sie mit definierten Policies und blockieren gegebenenfalls ihren Versand. Wieder andere, wie der ‘OptimIP Network Router’ von Procera Networls, arbeiten als reines Kontroll-Tool und überwachen beispielsweise den Gebrauch von Bandbreiten, damit Mitarbeiter nicht höhere Bandbreiten nutzen als erlaubt.
Fast alle Angriffsituationen ließen sich im Keim ersticken. “Die Bereitschaft der Mitarbeiter, sich selbst als Risikofaktor auszuschließen, ist durchaus vorhanden”, sagte Rechtsanwalt Wilfried Reiners während der Diskussion und Schulungen gemeint, die bei den Anwendern die so dringend benötigte Sensibilität schaffen. Diese erste Maßnahme wäre ebenso kinderleicht wie der Angriff auf ein ungesichertes Netz.