Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

26.06.2014
von: Fireeye

Was IT-Sicherheit mit der Maginot-Linie zu tun hat

In einer Rangliste der sinnlosesten Bauwerke in der Geschichte der Menschheit hätte die Maginot-Linie in Frankreich gute Chancen auf einen Spitzenplatz. Diese milliardenteure Festungslinie an der Ostgrenze Frankreichs wurde nach dem Ersten Weltkrieg errichtet und sollte das Land vor einem weiteren Angriff Deutschlands schützen. Tat sie aber nicht, denn die deutschen Truppen umgingen im Mai 1940 dieses Bollwerk einfach und rollten es später gemächlich von hinten auf.

Ähnlich wie französische Militärstrategen der Vorkriegszeit agieren nach Einschätzung des IT-Sicherheitsspezialisten FireEye, einem der Partner von Exclusive Networks, viele IT-Sicherheitsfachleute. Sie errichten um Unternehmensnetze herum eine "Cyber-Security-Maginot-Linie", mit Firewalls, Virenscannern, Security-Gateways und Intrusion-Prevention-Systemen (IPS). Diese Sicherungslinie könne kein Hacker durchdringen, so die Einschätzung der meisten Experten.

Test unter Praxisbedingungen
Damit unterliegen sie demselben Irrtum wie Frankreichs Generäle vor dem Zweiten Weltkrieg. Das ergab eine aktuelle Untersuchung, die FireEye zwischen Oktober 2013 und März 2014 durchführte. Das Unternehmen wertete dabei die Daten von 1600 seiner Appliances aus, die in mehr als 1200 Unternehmen in aller Welt im Einsatz sind. Im Unterschied zu den Labortests, die viele IT-Sicherheitsunternehmen verwenden, handelte sich es um eine Untersuchung unter Praxisbedingungen.

Hinzu kommt ein weiterer Punkt: Die Appliances von FireEye werden in der Regel "hinter" anderen Sicherheitssystemen implementiert, also besagten Firewalls und IDS-Lösungen. Das heißt, eigentlich müssten diese Systeme alle Angriffsversuche abwehren – und damit die FireEye-Appliance quasi arbeitslos machen.

Wie bei Maginot: Trügerische Sicherheit an der Cyber-Front
Doch der Test von FireEye erbrachte geradezu alarmierende Ergebnisse: An die 97 Prozent aller Unternehmensnetze wiesen massive Sicherheitslücken auf, und in rund 27 Prozent der Firmen identifizierten die FireEye-Appliances verdächtige Vorgänge, die auf die Aktivitäten von Advanced Persistent Threats (APTs) hinwiesen. APT werden meist für zielgerichtete Angriffe auf einzelne Unternehmen beziehungsweise IT-Systeme von speziellen Mitarbeitern eingesetzt, um verwertbare Daten zu entwenden.

Ein weiterer Beweis, dass es um die Wirksamkeit der Cyber-Maginot-Linien nicht gut bestellt ist: Im Schnitt gelang es 1,6 Exploits und 122 "Malware Droppern", die IT-Sicherheitssysteme zu überwinden.

IT-Systeme "telefonieren nach Hause"
Und ähnlich wie es Hitlers Armeen in Frankreich taten, haben sich Cyber-Kriminelle offenkundig längst in Firmennetzen gemütlich eingerichtet – ungehindert von IT-Security-Maßnahmen. Denn 75 Prozent der IT-Systeme, die FireEye im Rahmen der Untersuchung beobachtete, "telefonierten" heimlich nach Hause, nahmen also Kontakt zu so genannten Command-and-Control-Servern (CnC) auf.

Angreifer nutzen solche CnC-Server, um mit Schadsoftware infizierte fremde Rechner fernzusteuern. Solche "Zombie"-Systeme können beispielsweise dazu verwendet werden, um Spam-E-Mails zu versenden oder um Distributed-Denial-of-Service-Angriffe auf Web-Seiten oder E-Commerce-Systeme zu lancieren. Zudem kann der Datenaustausch mit einem CnC-Server darauf hindeuten, dass ein Angreifer Daten aus dem betreffenden Firmennetz "abholt".

Empfehlung: Flexible Verteidigung
Was also tun? Eine neue, noch aufwändigere Maginot-Linie errichten? Nein, so FireEye. Vielmehr sollten Anwender eine neue Verteidigungsstrategie wählen, die nicht auf signaturbasierten IT-Sicherheitsansätzen beruht. Denn solche Lösungen haben ein Kernproblem: Sie können nicht mit dem Tempo mithalten, in dem Angreifer neue Schadsoftware entwickeln oder Schwachstellen in Betriebssystemen und Anwendungen ausnutzen.

Weitere Empfehlungen: Unternehmen sollten eigene IT-Mitarbeiter oder Fachleute eines Dienstleisters damit beauftragen, bei sicherheitsrelevanten Vorfällen sofort Gegenmaßnahmen zu ergreifen. Oft fehlen in den IT-Abteilungen solche Experten, häufig aus Kostengründen. Dies ist zu kurz gedacht, denn wenn Geschäftsdaten in falsche Hände geraten oder Web-Seiten blockiert werden, kommt das ein Unternehmen deutlich teurer als das Gehalt eines IT-Fachmanns.

Die Ergebnisse des Tests hat FireEye in folgendem White Paper
zusammengefasst: "Cybersecurity's Maginot Line – A Real-World Assessment of the Defense-in-Depth Model". Es steht auf der Web-Seite des Unternehmens nach Registrierung kostenlos zur Verfügung.


Security-Finder Schweiz: Newsletter