iX Special 2019
S. 104
Sicherheit und IT-Recht
Innovationsfähigkeit

IT-Sicherheit muss Unternehmen voranbringen

Schutz beflügelt

Karsten Nohl

Ausgaben für die IT-Sicherheit sehen die meisten Firmen lediglich als Schutz vor Hackern. Dabei handelt es sich um Investitionen in die Innovationsfähigkeit – wenn sich die Security-Teams auf die wirklich wichtigen Dinge konzentrieren.

Security-Themen stehen immer höher auf der Agenda fast aller Firmen. Das liegt an der Digitalisierung, Geopolitik und am immer besseren Verständnis – auch seitens der Presse –, was alles hackbar ist. Aber wann erreicht die IT ein ausreichendes Sicherheitsniveau, bevor sie an einer Überdosierung leidet?

Eventuell kommt die Frage schon zu spät: Ist in manchen Bereichen schon heute Sicherheit erdrückend, während andere Bereiche noch immer zu wenig abgesichert sind? Leider ist diese Situation, also eine Schutzkette mit manchen starken und anderen schwachen Gliedern, heute Realität. Dabei kann und sollte die IT und IT-Sicherheit einen wichtigen Beitrag zur wirtschaftlichen und gesellschaftlichen Zukunft leisten, indem eine bessere Balance gefunden wird.

Rostige Kette ohne wirklichen Schutz

Nicht immer führt mehr Aufmerksamkeit zu einem besseren Schutz, denn sie springt schnell von Trend zu Trend. Angreifer konnten ihre Erfolge seit vielen Jahren mit den immer gleichen Methoden erzielen, während die Sicherheits-Community, wie Kinder beim Fußball, ständig die Richtung wechselt und stets dem neuesten Hype hinterherläuft.

Woran lässt sich festmachen, dass sich die IT-Sicherheit nicht auf ihre schwächsten Glieder konzentriert? Drei Bereiche zeigen dies deutlich:

  • Red Teaming: Im Auftrag einer Firma untersuchen Spezialisten wie die Firma des Autors ihre Sicherheit. Bei diesen offenen Hacking-Übungen wird das Hacking-Ziel, aber nicht die Mittel definiert. Erfahrungsgemäß gelingt es den Angreifern, innerhalb weniger Tage oder Wochen ganze Unternehmensnetze zu übernehmen. Und das jedes Mal aufgrund von fehlenden Patches, schlechten Passwörtern oder Mitarbeitern, die sich durch Social Engineering täuschen lassen.
  • Echte Hacking-Vorfälle: Seit Jahren kann jeder Beobachter nachvollziehen, wie kriminelle Hacker in Unternehmensnetze eindringen. Auch hier zeigt sich immer das gleiche Muster fehlender Patches, schlechter Passwörter oder erfolgreichen Phishings.
  • Weltweiter Schwachstellenscan: Die ersten beiden Punkte könnte man theoretisch darauf zurückführen, dass es sich schlicht um besonders schlecht geschützte Firmen handeln würde – besser vorbereitete Unternehmen bräuchten keine externe Hilfe und kämen nicht in die Schlagzeilen. Dass das nicht der Fall ist, beweist ein internetweiter Schwachstellenscan von ins­gesamt 40000 Konzernen und Mittelständlern. Über alle Regionen und Branchen hinweg finden sich gravierende Sicherheitslücken in Form von fehlenden Patches und schlechter Infrastrukturhärtung inklusive schwacher Default-Passwörter (siehe Abbildung 1).
Je nach Branche variiert die Anzahl der Schwachstellen. Gut schneiden solche ab, die kaum Dienste ins Internet stellen oder stark in Informationsschutz investieren (Abb. 1).

Hacker setzen in aller Regel auf lange bekannte Schwachstellen, da sie sonst nichts benötigen, um in große Firmen einzudringen. WannaCry und NotPetya richteten 2017 zum Beispiel ausschließlich bei solchen Unternehmen Milliardenschäden an, die ihre Windows-Systeme nicht jeden Monat patchen. Und dabei lässt sich Windows-Patching komplett automatisieren. Ähnliche Virenwellen aufgrund von nicht aktuell gehaltenen Linux-Servern oder Middleware-Komponenten sind laut den Ergebnissen des weltweiten Schwachstellen-Scans somit nur eine Frage der Zeit.

Will die Security-Community also Hacking erschweren, muss sie sich stärker auf grundlegende Themen konzentrieren. Dem neusten Trend hinterherzulaufen macht sicher mehr Spaß und ist auch einfacherer zu vermarkten – mehr Sicherheit erzielen Firmen aber erst, wenn die Basishygiene in Form von Patches und Infra­strukturhärtung zuverlässig gewährleistet ist.

Zu viel und gleichzeitig zu wenig gemacht

Im Umkehrschluss bedeutet das, dass Firmen ohne diese Basishygiene nicht in komplexere Sicherheitsthemen investieren müssen. Aufwendige Sicherheitskonzepte für Cloud-Umgebungen oder Mobilgeräte ergeben zum Beispiel erst dann Sinn, wenn PCs ihre Windows-Patches zuverlässig installieren. Folglich machen viele Unternehmen gleichzeitig zu viel und zu wenig in Sachen Sicherheit. Einerseits gibt es drakonische Verfahren für relativ kleine Probleme, häufig, indem Administratoren ihren Mitarbeitern den Zugang zu neuer Technik erschweren oder verbieten. Andererseits finden Basishygiene-Themen zu wenig Berücksichtigung. Eine Schutzkette mit teils rostigen Gliedern ist das Ergebnis.

Wenn dieses Ungleichgewicht weiter besteht, könnte die Sicherheit ihren momentan hohen Stellenwert wieder verlieren. Nötig sind Kompromisse, die sowohl die Sicherheit als auch die Innovationsfähigkeit und damit Zukunft eines Unternehmens gewährleisten. Die Mischung aus zu viel und zu wenig wirkt hingegen wie ein Placebo. Fakt ist, dass die Sicherheit vieles verlangsamt, erschwert und verteuert – Hacker aber immer noch in wenigen Tagen ganze Firmen lahmlegen können. Kann man sich den ganzen Aufwand dann nicht sparen?

Nein, denn ein Grundmaß an Sicherheit ist nach wie vor wichtig, wenn auch an vielen Stellen nur homöopathisch wirksam: Der Glaube an Sicherheit erleichtert Firmen den Schritt in die Digitalisierung, vor dem sich heute noch viele fürchten. Für diesen psychologischen Effekt ist es erst einmal egal, ob die Sicherheit wirklich wirkt oder die Schutzkette nach wie vor an vielen Stellen rostet.

Über den psychologischen Effekt hinaus können Security-Experten die Schutzkette aber auch wirklich stärken. Solch effektive Sicherheit bedeutet nicht unbedingt mehr Aufwand, sondern vielmehr einen starken Fokus auf die Themen, an denen echte Hacker arbeiten – fehlende Patches, schwache Passwörter und Phishing. Noch immer weisen 0,1 Prozent der von großen Firmen genutzten Hosts die Heartbleed-Schwachstelle von 2014 auf, die sich durch ein einfaches Update beseitigen lässt (siehe Abbildung 2). Andere einfach zu behebende Schwachstellen wie die durch den Equifax-Hack bekannt gewordene Apache-­Struts2-Lücke finden sich ebenfalls nach wie vor bei großen Unternehmen.

Ein Internetscan von Unternehmens-IP-Adressen findet viele generische Schwachstellen, die auf schlechte System- und Fire­wall-Konfiguration sowie fehlende Patches zurückgehen (Abb. 2).

Bei der Härtung von Systemen sieht es ähnlich düster aus: Pro Million gescannter IP-Adressen finden sich Tausende versehentlich ins Internet gestellte Quelltextsammlungen, teils mit Produktivpasswörtern. Auch nach Default-Kennwörtern und über das Internet erreichbare Management-Interfaces muss man nicht lange suchen. Unternehmen machen also immer wieder ähnliche Fehler beim Konfigurieren und Patchen ihrer Systeme. Oft handelt es sich um dieselben Firmen, die bereits an vermeintlich viel fortschrittlicheren Sicherheitsthemen arbeiten, zum Beispiel ­Threat Intelligence, Machine Learning, Deception und Blockchain.

In Tagen gehackt

Grundlegende Sicherheit sollten Unternehmen durch eine Kombination aus Messen und Priorisieren angehen. Entscheidend ist, ob eine geplante Sicherheitsmaßnahme die gesamte Schutzkette oder nur einen ohnehin für Hacker unattraktiven Teil stärkt.

Als Faustregel kommt hierzu die Mean-Time-to-Breach-­Methode (MTTB) zum Einsatz. Sie misst regelmäßig, wie schnell Hacker ein Unternehmen übernehmen können. Das geschieht entweder auf Basis echter Hacking-Vorfälle oder durch Red Teaming. Für die meisten Unternehmen bewegt sich der MTTB in der Größenordnung weniger Tage, bei besser geschützten Firmen beträgt er hingegen mehrere Wochen.

Sicherheitsmaßnahmen beurteilt man entsprechend danach, ob sie den MTTB erhöhen. Wenn zum Beispiel beim letzten Red Teaming und bei echten Hacking-Vorfällen immer fehlende Windows-Patches das Grundübel darstellten, helfen neue iPhone-­Container oder monatlich statt jährlich geänderte Passwörter wenig.

MTTB lenkt die Aufmerksamkeit auf die schwächsten Glieder der Schutzkette, also häufig auf die Basishygiene-Themen, und weg von der täglich wechselnden Security-Berichtslage. Den MTTB erstmalig zu bestimmen ist technisch einfach, aber organisatorisch häufig schwer durchzusetzen. Wenn der Sicherheitschef nach Jahren der Investitionen feststellt, dass die eigene Firma immer noch innerhalb von Tagen hackbar ist, fühlt er die eigenen Leistungen herabgesetzt. Oder noch schlimmer: Er entscheidet, dass sich die Firma viel zu schnell verändert, und erklärt Innovationen den Krieg.

Seine Einstellung sollte aber genau umgekehrt sein: Der Stolz auf die starken Teile der Schutzkette schließt nicht aus, dass der Fokus als Nächstes auf den bisher vergessenen, noch immer rostigen Kettengliedern liegen muss. Diese neuen Herausforderungen bringen häufig den Spaß an der Sicherheit zurück: Man setzt sich mehr mit dem Tun echter Hacker auseinander und arbeitet nicht mehr tagtäglich Checklisten ab.

Der MTTB birgt auch ein Risiko, die IT zu verunsichern. Wenn Angreifer in Tagen an alle Daten kommen, muss man nun nicht mit dem Schlimmsten rechnen? Statistisch gesehen: nein. Die meisten betroffenen Firmen kommen unbeschadet davon – noch gibt es schlicht viel mehr potenzielle Opfer als Hacker. Entscheidend ist das Interesse von Kriminellen an den eigenen Daten und Systemen. Da sich genau dieses Interesse aber ständig weiterentwickelt und vor allem in letzter Zeit durch Ransomware viel mehr Daten für Hacker attraktiv geworden sind, schläft es sich trotzdem schlecht beim Gedanken daran, dass man in kurzer Zeit Opfer werden kann.

Angreifer auf ihrem Weg ins Firmennetz entdecken

Folglich ist der MTTB nur die halbe Wahrheit auf dem Weg zu effektiver Sicherheit. Als zweite Messmethode muss man die Detection Coverage beachten. Sie zeigt, welchen Prozentanteil gewöhnlicher Hacking-Aktivität die Sensoren einer Firma zuverlässig erkennen können. Zu diesen Aktivitäten gehören Netzwerkscans, Passwort-Brute-­Forcing, der Einsatz von Exploits, Lateral Movement in einer Windows-Domäne und das Erstellen von Backdoors.

Im Grunde durchläuft jeder Angreifer bis zum erfolgreichen Hack viele dieser Schritte nacheinander, also ist bereits eine relativ geringe Detection-Coverage in der Lage, die meisten Hacker zu erkennen. Ein Unternehmen mit einem MTTB von einer Woche zwingt den Kriminellen, vieles auszuprobieren. Wenn er innerhalb dieses Zeitraums zum Beispiel 20 verschiedene Methoden probiert, ist es selbst bei einer Detection Coverage von 10 Prozent fast garantiert, dassder Hacker rechtzeitig auffällt.

Leider sind die meisten Unternehmen noch auf beiden Augen blind, erreichen also nicht einmal eine Detection Coverage von 10 Prozent. Diese Sichtbarkeitslücke lässt sich aber in fast allen Fällen schneller als Patching und Hardening optimieren, womit man zügiger seine Hacking-Abwehr verbessert. Zudem ist die Arbeit an der Detection Coverage in der Regel nicht invasiv für die Organisation, verlangsamt also nicht die Kollegen.

Sobald MTTB und Detection-Coverage einmal bestimmt sind, passieren in der Regel zwei Dinge:

  • Die Fokussierung der Sicherheitsanstrengungen wird sehr viel klarer: Statt iPhone-Security-Containern steht zum Beispiel endlich das Patching von lange vergessenen Middleware- und Legacy-Komponenten auf der Tagesordnung.
  • Innovationsentscheidungen werden sehr viel einfacher: Wo bisher noch jedes Pentest-Ergebnis und jede noch so weit herge­holte Hacking-Sorge zum Verzug von Innovationen führte, bietet der MTTB endlich eine klare Messlatte. Solange ein Angreifer die Gesamtorganisation ohnehin innerhalb weniger Tage hacken kann, sollten neue Produkte und Dienste nur etwas besser als diese Messlatte sein – aber keinesfalls zu 100 Prozent sicher.

Die Verantwortung von Sicherheitsexperten für das Gelingen von Innovation – und damit für die Zukunftsfähigkeit der Firma – kann man nicht überbetonen: Jedes durch falsch priorisierte Sicherheitsbedenken verlangsamte Projekt spielt Mitbewerbern in die Hände.

Schutz neuer Produkte richtig dosieren

Auf die Dauer setzt sich besonders verbissene Security fast nie durch: Wenn mehrere Unternehmen an ähnlichen Ideen arbeiten, ist besonders hohe Sicherheit häufig erst einmal ein Wettbewerbsnachteil. Sichere Produkte benötigen meist eine längere Entwicklung und sind manchmal weniger benutzerfreundlich. Somit haben unsichere Produkte häufig einen Startvorteil und sammeln bereits Marktanteile, wenn andere noch ein Pentesting und Source-­Code-Reviews durchführen.

Nach dem initialen Erfolg finden einige erfolgreiche Hersteller Zeit und Budget, endlich an die Sicherheit zu denken – häufig, bevor Hacker wirkliches Interesse entwickeln. Zum Beispiel war das iPhone alles andere als sicher, hängte BlackBerry jedoch schnell ab. Apple hat die letzten zehn Jahre dazu genutzt, Schritt für Schritt Sicherheit ins iPhone zu bringen, und bietet heute eine der sichersten Plattformen.

Aus diesen Erfolgsgeschichten können Sicherheitsverantwortliche noch viel lernen. Leider hat man meist nicht die Wahl, Produkte ab der ersten Minute komplett sicher zu gestalten und gleichzeitig zum Erfolg zu führen. Allerdings kann man seine Anstrengungen auf die Basishygiene fokussieren, von der alte wie neue Produkte profitieren.

Grundsätzlich ist die Security also nicht nur für den Schutz zuständig, sondern auch dafür, eine innovationsfreundliche IT-Umgebung herzustellen und zu erhalten. Gerade Deutschland hinkt hier hinterher und versteckt sich lieber hinter Sicherheitsbedenken, als doch einmal die schnelle Digitalisierung zu wagen. Unternehmen in den USA haben bei gleichem Umsatz fast 50 Prozent mehr Technik im Internet stehen. Und hier sind die Internetriesen noch nicht einmal mitgezählt, sondern ausschließlich klassische Branchen, die sich über den Atlantik hinweg gut vergleichen lassen: Banken, Versicherungen, Hersteller von Industriegütern und Autos.

Konservative IT ergibt schlechteren Schutz

Amerikanische Firmen haben also bei gleicher Branche und gleicher Unternehmensgröße 50 Prozent mehr Wetten offen, dass sich mit der Digitalisierung zusätzliche Umsätze generieren lassen. Wer nicht digitalisiert, riskiert seine Zukunft – und das oft, weil er sich vor Hacking-Risiken fürchtet. Gleichzeitig jedoch scheint diese technikkonservative Einstellung nicht effektiv Hacking-Risiken zu verhindern: Trotz niedrigerer Investition bleibt bei hiesigen Unternehmen etwa die gleiche Zahl an Schwachstellen offen wie bei ihren progressiven Vettern.

Obwohl ein amerikanisches Unternehmen also deutlich mehr Technik im Internet stehen hat, macht es pro Technikelement aber 25 Prozent weniger Fehler in Form fehlender Patches und schlechter Härtung (siehe Abbildung 3). Das ergibt Sinn, weil die meisten Schwachstellen auf alte statt auf neue Technik zurückgehen.

Europäische Firmen stellen weniger Technik ins Internet als ihre Konkurrenten aus den USA. Trotzdem weisen sie signifikant mehr Schwachstellen auf (Abb. 3).

Somit schließen sich Innovation und Sicherheit keineswegs aus, sondern sind vor allem gemeinsam zu erreichen. Mit MTTB und Detection Coverage gibt es bereits zwei Katalysatoren der nötigen Kettenreaktion: Beide Messmethoden zeigen klare nächste Schritte auf. Mit Patching und Hardening erhöht sich der MTTB, ein Aufbau der fachlichen Kompetenz des Monitoring-Teams verbessert die Detection Coverage.

Vor allem dieser Aufbau eines umfassenden Security-Monitorings ist häufig mit Kosten verbunden, die in aller Regel höher ausfallen als ein Verlangsamen oder Verbieten neuer Technik über Security-Richtlinien. Entsprechend sollte man das Sicherheitsbudget nicht als verhinderten Hacking-Schaden sehen. Stattdessen muss es Teil der Zukunftsinvestition sein: Es ist die primäre Aufgabe der Security-Teams vieler Firmen, Innovation zu fördern, indem in jedem Ausbauschritt neuer Produkte und Dienste ein angemessenes Maß an Schutz vorhanden ist.

Die Zukunft ist digital und wird immer Hacking-Vorfälle beinhalten. Mit offenen Armen auf die Digitalisierung zuzugehen verspricht, den Hackern vom Verständnis der eigenen Technik einen Schritt voraus zu sein. Wer sich stattdessen vor neuer Technik fürchtet, riskiert das Talent und die Automatisierung zu verpassen, die nötig sind, um Legacy-Technik sicher zu halten. Und dann wird die Furcht zur selbsterfüllenden Prophezeiung.

Fazit

Sicherheitsexperten haben als Vertreter einer Splittermeinung jahrelang auf mehr Aufmerksamkeit für das Thema Sicherheit hingearbeitet. Am Ziel angekommen ist es nun Zeit, nicht weiter als Lobbyisten aufzutreten, sondern stattdessen auf die beste Balance aus Sicherheit und Innovation hinzuarbeiten. Diese Reise beginnt beim Messen von MTTB und Detection Coverage, meist folgen große Anstrengungen bei Basishygiene-Themen und dem Aufbau eines Security-Monitoring-Teams. Sie birgt außerdem eine unangenehme Erkenntnis: zu jedem Zeitpunkt hackbar zu sein. Wie alle anderen Unternehmen auch. Wie es um die Sicherheit der eigenen Firma steht, können Interessierte unter autobahn.security nachvollziehen. (fo@ix.de)

Dr. Karsten Nohl

ist Sicherheitsforscher sowie Sicherheitsverantwortlicher in großen Unternehmen. Zu seinen Forschungsgebieten gehört die Sicherheit von Mobilfunknetzen, Bezahlsystemen und anderen kritischen Infrastrukturen. Er leitet die SRLabs sowie einen Risk-Management-Think-Tank in Berlin, Jakarta und Hongkong.

Kommentieren

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen