Der „Jenga-Turm“ der Datensicherheit

Der auf dem Buch von Michael Lewis basierende aktuelle Film „The Big Short“ beschäftigt sich mit dem Platzen der amerikanischen Immobilienblase. Beziehungsweise damit, wie eine Gruppe von Wall-Street-Freaks den Zusammenbruch des Hypothekenmarkts voraussieht. Keiner der Anhaltspunkte war ein großes Geheimnis.

Und es gibt durchaus Parallelen zum Thema Datensicherheit. Eine Hypothese könnte sein, dass es eine Reihe offensichtlicher Anzeichen dafür gibt, dass ein Unternehmen vielleicht nur ein paar Hacking-Angriffe weit von einem Kollaps entfernt ist.

Beweisstück A: In einem seiner Blog-Artikel berichtet Sicherheitsexperte Brian Krebs von neuen Authentifizierungsmethoden bei Google und Yahoo. Google testet neue, passwortfreie Login-Methoden für Gmail aus. Dabei wird eine Benachrichtigung an die für die jeweilige E-Mail-Adresse hinterlegte Handynummer gesendet. Sobald die Anfrage akzeptiert wird, kann der Nutzer ohne Passwort auf Gmail zugreifen.

Yahoo bietet seit Oktober letzten Jahres einen ähnlichen Dienst mit On-Demand-Passwörtern an. Will sich ein Nutzer anmelden, sendet Yahoo einen vierstelligen Zufallscode an ein anderes Gerät. Gibt der Nutzer dann diesen Code auf der Website ein, kann er auf sein Konto zugreifen.

Was Phishern ins Netz geht

Krebs ist diesen Neuerungen gegenüber angemessen skeptisch.

Grundsätzlich sei es zwar immer hilfreich Authentifizierung zu verbessern sagt Krebs. Allerdings ist er auch der Meinung, dass Ansätze wie die beschriebenen lediglich zu raffinierteren Phishing-Angriffen führen werden.

Derartige Systeme könnten anfällig für Man-in-the-Middle-Angriffe sein. Krebs allerdings deutet an, dass Phisher solche Dienste für ihre Zwecke verwenden und gefälschte Benachrichtigungen an Nutzer verschicken könnten. Nachrichten, in denen weitere Informationen angefordert werden.

Hat sich der Dienst erst ein Mal beiderseitig etabliert, so die These, würde unter Umständen nicht mehr so genau hingesehen. Die potenzielle Folge: Passwörter oder Informationen landen bei den Absendern gefälschter Nachrichten. Neben Google und Yahoo testen auch andere Online-Dienste solche und ähnliche Methoden. So wie Unternehmen sich zunehmend für Multifaktor-Authentifizierung entscheiden. Es ist leider ganz und gar nicht auszuschließen, dass dabei die eine oder andere Sicherheitslücke gleich mit entsteht.

Das dunkle Seite des Internets

Neben den Analysen von Brian Krebs sind es vor allen die Unmengen an bei den jüngsten Datenschutzverstößen offengelegten Daten, die als „Beweisstück B“ für die eingangs formulierte Hypothese dienen. Personenbezogene Daten und sensible Informationen sind so über das dunkle Internet in den Besitz von Hackern gelangt. Cyberkriminelle verfügen also über deutlich mehr und bessere Informationen um künftige Phishing- und Social-Engineering-Angriffe vorzubereiten.

Man denke etwa an den gigantischen Sicherheitsvorfall, bei dem über 190 Millionen Datensätze US-amerikanischer Wähler veröffentlicht wurden. Mit Geburtsdatum, E-Mail-Adresse und politischer Zugehörigkeit. Ganz zu schweigen von den massiven Datenschutzverletzungen bei OPM, IRS und denen bei verschiedenen Versicherungsunternehmen.

Ein anderes Beispiel betrifft die Daten im Gesundheitswesen. Es landen enorme Mengen von Gesundheitsinformationen in den IT-Systemen von Unternehmen, die nicht notwendigerweise in diesem Bereich tätig müssen. Gerade diese Informationen sind oftmals so unzureichend geschützt, dass sie in den letzten Jahren immer wieder Hackern in die Hände gefallen sind. Auch solche Daten eignen sich hervorragend, um weitere Angriffe vorzubereiten.

Der „Jenga-Turm“ der Datensicherheit

Doch zurück zum Film „The Big Short“.

In dieser Filmszene demonstriert Ryan Gosling seinen Wall-Street-Kollegen, auf wie schwachen Beinen der Hypothekenmarkt tatsächlich steht.

Dazu verwendet er einen Jenga-Turm, aus dem er nach und nach die unteren Holzsteine entfernt. Schließlich stürzen auch die hochwertigeren Hypothekensteine an der Spitze des Turms ein, weil das Fundament sie nicht mehr ausreichend stützt.

Und diese Analogie lässt sich leicht auf die Themen Datenschutz und Datensicherheit übertragen. Damit beschäftigen sich Konzepte wie das Red-Team-Konzept. Anhand dessen lässt sich auf der Führungsebene eines Unternehmens erklären, warum sich IT-Sicherheit durchaus mit einem Jenga-Tower vergleichen lässt.

Ganz oben in diesem Turm sind starker Schutz am Perimeter und Datenverschlüsselung angesiedelt. Doch darunter findet man oftmals nur unzureichend gesicherte Daten. Und in Richtung Fundament des Turms sieht es noch schlechter aus: nur wenig effektive Authentifizierungsmethoden, schwache Passwortrichtlinien, eine verzögerte Patch-Verwaltung und eine Datenüberwachung, die nicht der Norm entspricht.

Die Hand des Mitarbeiters am Turm symbolisiert die Angriffsversuche, die ein Hacker schon unternommen hat. Dank bereits gestohlener Daten und anhand sensibler Informationen, die er auf der dunklen Seite des Internet erstanden hat (Malware, personenbezogene Daten, gestohlene Anmeldedaten), weiß der Angreifer, welche Holzsteine er aus dem Fundament ziehen muss, um leichter an die nächste Schicht schlecht geschützter Daten zu gelangen.

Und das bringt schließlich den kompletten Turm zum Einsturz. Auch für die CIOs unter den Zusehern ein eindringliches Bild.

Man kann wohl kaum davon ausgehen, dass es 2016 ein IT-Pendant zur weltweiten Finanzkrise geben wird, bei dem Online-Handel und Internet quasi eingefroren werden. Doch dass die IT-Datensicherheit auf einem wackeligeren Fundament steht als den meisten lieb ist, davor warnen IT-Sicherheitsexperten seit Jahren.