Wie man Sicherheitsangriffe überlebt

Der Amerikaner Bruce Schneier gilt als Sicherheits-Guru. Diesen Ruf hat er sich unter anderem als Autor mehrere Bücher und als Entwickler von Verschlüsselungsalgorithmen erarbeitet. Inzwischen arbeitet Schneier als Chief Security Technology Officer bei BT und hat so noch immer einen Sitz in der vordersten Reihe, wenn es um Angriffe auf die Firmen-IT und deren Verteidigung geht. Im Interview mit der Computerwoche spricht Schneier über Attacken auf SSL-Ausgabestellen, staatlich unterstützte Angriffe, wie man die eigenen Ressourcen schützt und warum wir seit zehn Jahren mit schlechten IT-Sicherheitsprodukten kämpfen.

Allein im ersten Halbjahr 2011 haben wir drei erfolgreiche Attacken auf Aussteller von SSL-Zertifikaten gesehen. Sind diese Firmen zu nachlässig?

Bruce Schneier: Das würde ich pauschal so nicht sagen. Wir wissen einfach nicht, ob sie nachlässig gehandelt haben oder ob sie das Opfer eines sehr ausgefeilten Angriffs wurden, wie etwa im Fall der RSA-Attacke. Es kann durchaus sein, dass die Firmen sich gegen normale kriminelle Angriffe zur Wehr setzen können, aber gegen die Attacken von Behörden oder Geheimdiensten keine Chance haben. Das ist das Problem der Advanced Persistent Threats, sie sind eben per Definition eine ständige und ausgefeilte Bedrohung. Die Attacken auf Diginotar und RSA sind ein gutes Beispiel: Die Firmen waren kein direktes Ziel, sondern die Angreifer sind über einen Zulieferer eingedrungen. Gegen solche Attacken ist eine Verteidigung enorm schwer.

Schaden diese Attacken dem SSL-Konzept insgesamt?

Bruce Schneier: SSL war nie ein besonders gutes Konzept. Ich denke, die Angriffe ändern wenig, sie machen höchstens auf die in SSL enthaltenen Fehler aufmerksam. Für uns in der Sicherheitsindustrie sind die Angriffe nichts Neues.

Wer hätte die Ressourcen für solche Angriffe?

Bruce Schneier: Meiner Meinung gibt es zahlreiche Gruppen, die zu solchen Attacken fähig sind. Nehmen Sie beispielsweise Anonymous. Die Fähigkeiten dieser Gruppe sind wirklich überraschend. Zumindest bei den Angriffen auf RSA und Diginotar scheinen aber staatliche Stellen dahinterzustecken. Das bedeutet wiederum, dass diese Angreifer mehr Erfahrung und mehr Ressourcen zur Verfügung haben. Grundsätzlich zeichnet diese Attacken aber nichts aus, was nicht auch Gruppen wie Anonymous leisten könnten.

CW: Erleben wir wirklich mehr Angriffe oder sind die Attacken erst jetzt in den Fokus der Medien geraten?

Bruce Schneier: Es ist eine Mischung aus beidem. Angriffe, die im letzten Jahr noch ignoriert wurden, landen jetzt in den Medien. Das liegt zum einen daran, dass diese Themen gerade en vouge sind. Andererseits haben sie nun einen politischen Hintergrund. Attackieren sich zwei Techie-Gruppen gegenseitig mit verwirrenden Angriffsarten, so wird das keine Nachricht. Wenn aber die iranische Regierung auf Zertifikatsstellen losgeht, die SSL-Zertifikate für iranische Dissidenten zur Verfügung stellt, ist das hochpolitisch. Oder wenn die Unterstützer von Wikileaks die Server von Kreditkartenfirmen ins Visier nehmen. Das sind Schlagzeilen.

Ich denke, dass Aspekte jenseits der IT in der jeweiligen Geschichte die Computerseite mitziehen. Wird erst einmal über die Angriffe berichtet, dann will man auch mehr über die Angriffsarten schreiben. Man erklärt, was ein Zertifikat ist, was eine Certificate Authority macht. Dann wird auch über die Technologie geschrieben - aber nur, weil der eigentliche Hintergrund nichttechnisch ist.

Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).

Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)

Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).

Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).

Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).

Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)

Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).

Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).

Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)

Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)

Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).

Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).

Wieviel Security ist genug?

Sie arbeiten als Chief Security Technology Officer für BT, ein Unternehmen mit durchaus interessanten Daten für Hacker. Haben Sie nach den Attacken im Frühjahr etwas in ihren Abläufen geändert?

Bruce Schneier: Bei BT mussten wir nichts verändern. Schauen Sie sich die Vorgehensweise von Lulzsec oder Anonymous an: Es gibt eine Tendenz zu einfachen Zielen. Die meisten Angriffe sind weder neu noch innovativ.

Sie meinen also, man muss nicht das sicherste System besitzen, sondern nur eines, das sicherer ist als die anderen?

Bruce Schneier: Richtig. Hatte eine Firma also in den letzten Jahren bereits eine gute Sicherheitspolitik, so sollte sie auch in diesem Jahr sicher sein. Der Großteil der Attacken ändert nicht die Herangehensweise der Unternehmen an IT-Sicherheit, sie validiert lediglich was man bisher getan hat.

CW: Sie erwähnen in ihren Büchern, dass man Sicherheit als Prozess verstehen muss, nicht als einzelne Technik. Wie erkläre ich diese Herangehensweise meinen Kollegen oder meinem Vorgesetzen, anstatt nur ein neues Produkt einzuführen?

Bruce Schneier: Manchmal haben Sie da keine Chance. Menschen lösen gerne Probleme. Die Herangehensweise ist: Ich habe dieses Problem, das kann ich mit jenem Produkt oder genau diesem Ansatz lösen, Problem erledigt. Diese Vorgehensweise klappt wunderbar bei natürlichen Phänomenen. Nehmen Sie beispielsweise eine Flut. Wir wissen, wie eine Flut abläuft, wie sie sich ankündigt und wie man Gegenmaßnahmen einleiten kann.

Sobald Sie sich aber gegen Menschen verteidigen, greifen diese Erfahrungswerte nicht mehr. Menschen passen sich an. Wenn Sie eine Verteidigungsmaßnahme einrichten und die Sache damit für erledigt erklären, werden Angreifer einen Weg darum herum suchen. Die einzige Lösung ist es, die eigene Verteidigungsstrategie immer wieder zu prüfen, anzupassen und zu optimieren. Es ist möglich, dass Sie ihren Vorgesetzten davon nicht überzeugen können. Das ist der Grund, warum Firmen Opfer von Gruppen wie Lulzsec werden. Sicherheitsstrategien, die vor zwei Jahren aktuell waren, sind heute oft hinfällig.

CW: Gibt es allgemein gültige Return-of-Investment-Modelle, mit denen ich meinen Vorgesetzen den Wert einer speziellen Sicherheitsmaßnahme schmackhaft machen kann?

Bruce Schneier: Das ist sehr schwer. Ich denke, die meisten ROI-Modelle sind ziemlich fehlerhaft. Viele werden von Firmen entwickelt, die Sie überzeugen wollen, ihre Produkte zu kaufen. Sie sind sinnlos und man erkennt dies meist schnell. Es ist schwer, einen ROI für Sicherheit festzulegen und der Markt verzweifelt regelmäßig daran.

CW: Was ist das Minimum, das eine Firma für IT-Sicherheit einplanen sollte?

Bruce Schneier: Diese Frage beantworte ich nie, denn es kommt immer darauf an. Es kommt darauf an, welche Firma, es kommt darauf an, was die Firma produziert. Jeder möchte immer eine Checkliste mit fünf Punkten, die er abhaken soll. Aber sehen Sie es mal so: Was ist das Minimum, das Sie für die Sicherheit Ihres Hauses investieren sollten?

CW: Es kommt darauf an…?

Bruce Schneier: Richtig. In der IT-Sicherheit ist es das Gleiche. Es gibt sinnvolle Maßnahmen, allerdings sollte man sich nie auf ein Minimum begrenzen. Stattdessen muss man sein Unternehmen genau analysieren. Überprüfen Sie ihre Aktivposten und definieren Sie, was für Ihr Unternehmen wichtig ist.

CW: Gibt es einen Weg herauszufinden, was IT-Sicherheit kosten sollte?

Bruce Schneier: Wissen wir nicht. Es gibt von Richard Clarke dieses großartige Zitat, indem er behauptet, dass manche Firmen mehr für den Kaffee ausgeben als für die Sicherheit ihrer Daten. Ich bin mir nicht sicher, woher er diese Zahlen hat. Aber nein, ich kann Ihnen keine Zahl nennen. Es kommt auf das Unternehmen an und was dieses im Einsatz hat. Und es ändert sich ständig. Wenn man beispielsweise etwas wie das iPad einführt, dann ergeben sich ganz andere Probleme und Kosten.

Risiko-Management kommt zu kurz

Brauchen wir neue Ansätze für das Risiko-Management? Wie kann ich als IT-Sicherheitsverantwortlicher bei einem Zwischenfall erklären, dass ich alles Mögliche getan habe?

Bruce Schneier: Die bisherigen Ansätze funktionieren wunderbar - sie werden nur nicht genutzt. Risikomanagement ist gut definiert und erforscht. Aber es ist niemals das Ziel, alles Mögliche zu tun. Möchten Sie beispielsweise alles tun, um Diebstahl zu verhindern, würden Sie sich in Ihrem Zimmer einsperren und dieses niemals verlassen. Das bedeutet allerdings, dass man keinen Job kriegen kann und wahrscheinlich stirbt.

Alle möglichen Maßnahmen kann man nie ergreifen, das ist schlicht zu teuer. Stattdessen muss es darum gehen, alles Vernünftige zu unternehmen. Ein Beispiel: Die Mordrate in Berlin ist nicht gleich null, denn das wäre einfach zu teuer. Sondern es ist eine Zahl, welche die Gesellschaft als akzeptabel einstuft. Ist diese Zahl zu hoch, verlangt die Bevölkerung mehr Polizisten, ist die Zahl zu niedrig, stellen wir die hohen Ausgaben für Sicherheit in Frage. Irgendwo dazwischen ist ein Kompromiss, bei dem sich Kosten und der Nutzen die Waage halten. Menschen treffen diese Entscheidungen jeden Tag.

Als Unternehmen kann man diese Entscheidung formaler gestalten und herausfinden, welche Sicherheit man für welche Kosten erhält. Wenn man das richtig macht, kann man seinem Chef erklären: "Ein Zwischenfall wird uns so und so viel kosten. Wenn wir diesen Betrag investieren, kommt der Zwischenfall vielleicht einmal alle zehn Jahre vor. Aber das ist ok, denn ein Zwischenfall alle fünf Jahre würde uns so viel mehr kosten - sprich, wenn wir einen Bruchteil mehr investieren, spart uns dies im Ende Geld." Ist also das Risikomanagement in Ordnung, ist der zweite Teil Ihrer Frage hinfällig.

Die IT-Sicherheit gerät aber meist in den Fokus, wenn etwas schiefgeht.

Bruce Schneier: Richtig, und das ist das Problem der Sicherheitsleute. Wenn alles glatt läuft, dann nimmt es niemand wahr. Niemand ruft an und sagt: Hey, das Netzwerk läuft heute aber großartig, Dankeschön. Es ist schwer, ein Netzwerk-Verantwortlicher zu sein.

2001 erschien die erste Ausgabe ihres Buches "Secrets & Lies. IT-Sicherheit in einer vernetzten Welt" in Deutschland. Ich habe es vor kurzem erneut gelesen. Die Themen haben sich nicht wirklich geändert, oder?

Bruce Schneier: Ja, ist das nicht seltsam? Ich habe das Buch im Jahr 2000 geschrieben und bin selbst überrascht wie aktuell die Themen noch sind.

Ein Satz ist mir im Gedächtnis geblieben: "Der Markt belohnt echte Sicherheit nicht, sie ist schwierig, langsam und teuer." Gilt das auch heute noch?

Bruce Schneier: Das ist immer noch so. Und es wird sich nichts ändern, solange sich bei der Haftung für Sicherheitsprodukte nichts ändert und es keine Gesetze oder ähnliches gibt, die schlechte Sicherheitsprodukte abstrafen.

Gibt es hier bereits Ansätze?

Bruce Schneier: Nein, eine Lösung des Problems ist noch in weiter Ferne. Die finanziellen Anreize sind dabei der schwierigste Teil, das war schon immer so. Das galt vor zehn Jahren und gilt noch heute. (mec)

Das Interview mit Bruce Schreier führten unsere Kollegen von Computerwoche.