Betriebliche Software ist eine oft genutzte Angriffsstelle
Die Sicherheit von Geschäftsanwendungen ist heute mehr denn je gefährdet. Sie wurden für den Zugang per Internet und Mobilgerät geöffnet. Auf diesen Wegen finden immer mehr Eindringlinge unerkannt Zugang in Firmensysteme.
Ein herkömmliches Türschloss lässt sich von einem Profi in nicht mehr als 4 s knacken. Das klingt schnell. Deutlich anspruchsvoller ist es, ein komplexes SAP-System mit seinen Millionen Zeilen von Programmcode binnen 60 s zu knacken. Dies gelang Alexander Polyakov, einem SAP-Berater, im Mai 2012 auf dem Positive Hacker Day. Er zeigte die zehn häufigsten Schwachstellen in einem SAP-System auf. Sie sind in einem Video zu sehen und in dem Sonderheft „SAP & Sicherheit“ (10/2012) der SAP-Firmenzeitschrift „S@pport“ nachzulesen.
Dieser Vorfall hätte die SAP-Kunden eigentlich beunruhigen müssen. Stattdessen scheinen sie aber weiterzuwursteln. Denn vielfach setzen sie Eigenentwicklungen auf SAP-Basis ein. Da diese selbst wiederum Millionen Codezeilen groß sind, aber in kürzester Zeit „mit heißer Nadel gestrickt“ wurden, kam im Design vielfach der Sicherheitsaspekt zu kurz. Die Folge sind Schwachstellen, wie sie Polyakov aufzeigte.
„Durch Sicherheitslücken in Anwendungen“, gibt HP-Sicherheitsexperte Arved Graf von Stackelberg zu bedenken, „können sogar die hinter den Anwendungen liegenden Datenbanken ausgelesen werden.“ Das sei etwa bei Sony passiert. Sony entstand so ein massiver Imageschaden. Angreifer könnten theoretisch ein solches löchriges System zum Absturz bringen, doch das wollen sie meist gar nicht. SAP-Systeme, die 60 % des Welthandels abwickeln, bieten viel lohnendere Ziele: Unmengen von Firmendaten und Transaktionen.
„Der Handel mit gestohlenen firmenvertraulichen Daten aus dem Internet blüht wie kein anderer Wirtschaftszweig“, weiß René Reutter, Abteilungsleiter für Informations- und Telekommunikationssicherheit bei T-Systems. „Die Motivation virtueller Eindringlinge ist dabei immer stärker an finanzielle Interessen gekoppelt – Daten sind bares Geld, illegale Zugriffe ein Millionengeschäft.“ Der Trend gehe zu gezielten Angriffen auf Firmen, insbesondere Forschungs- und Entwicklungsabteilungen.
Das Problem für die Bekämpfer solcher Bedrohungen sind nicht nur die Schlupflöcher in den Anwendungen, wie sie Polyakov etwa für SAP aufzeigte. Es sind auch nicht nur die Entwickler, denen immer weniger Zeit bleibt, eine Anwendung „wasserdicht“ zu machen – falls dies überhaupt eine Anforderung ans Design ist. Es sind vor allem die Betreiber der Anwendungen selbst. „Mehr als 90 % der Angriffe wären zu verhindern gewesen, hätten Unternehmen ihre Informations- und Telekommunikationssysteme gewartet und beispielsweise Updates für Betriebssystem- und Anwendungsebene zeitnah eingespielt“, beklagt Reutter ein schon lange bekanntes, aber immer wieder anzutreffendes IT-Sicherheitsleck.
Alle befragten Softwarehersteller implementieren deshalb vorbeugend im eigenen Haus ausformulierte Prozeduren und Methoden, um Anwendungssicherheit in die Entwicklungs- und Bereitstellungsphase einzubauen. Nachträglich liefern sie regelmäßig Patches und Updates aus.
„Im Konzern Telekom wurde ein Privacy & Security Assessment (PSA) eingeführt“, berichtet Reutter. „Es ist ein integriertes Verfahren für technische Sicherheit und Datenschutz als Bestandteil der Produkt- und Systementwicklungsprozesse.“ Auch die SAP sorgt nach Angaben von Chief Product Security Officer Gerold Hübner für die Qualität des Codes: „SAP setzt ein System der gegenseitigen Kontrolle durch drei unabhängige Abteilungen ein: Eine Abteilung definiert die Sicherheitsanforderungen, die andere wendet sie in der Softwareentwicklung an und die dritte überprüft zum Schluss deren Einhaltung.“
Beide Unternehmen helfen ihren Kunden durch Teams von Sicherheitsexperten, den Fall der Fälle zu bewältigen. „Die wenigsten Firmen“, so Reutter, „verfügen über das notwendige technische Know-how, geschweige denn über die personellen Ressourcen, um ihre Netzwerke sowie Informations- und Telekommunikationsressourcen Tag und Nacht von Grund auf zu durchleuchten – gleichermaßen von innen wie von außen.“ Denn oft bemerken sie Angriffe und Datendiebstähle nicht. Und falls doch, fehlen effiziente Notfallpläne und geschulte Sicherheitsexperten.
Die Kunden sind inzwischen sensibilisiert und investieren kräftig in Sicherheitswerkzeuge. Leider denken sie dabei wie ein mittelalterlicher Burgbaumeister: Sie befestigen die Wälle, während der Feind schon im Inneren lauert. Um nämlich so lange wie möglich spionieren zu können, verhalten sich die Würmer, Viren und Trojaner möglichst still. Sie sind nur mit entsprechend ausgefeilten Lösungen aufzuspüren, die den Datenverkehr filtern und in der Lage sind, verschiedene auffällige Ereignisse miteinander zu korrelieren: „Moment mal, darf der Benutzer ABC überhaupt Dateien der Kategorie XYZ über den Port 80 verschicken?“ Diese Kategorie von Überwachungswerkzeugen bezeichnen die Experten als „System Information & Event Management“, kurz SIEM. Solche vollautomatisch arbeitenden Lösungen sind selten preisgünstig, aber zunehmend aus der Cloud zu abonnieren.
Letzten Endes kommt es, wie so häufig, auf den Benutzer an: Wer keine Patches und Updates einspielt, muss sich nicht wundern, wenn sein Produkt oder seine Patente in anderen Weltgegenden unerlaubt benutzt werden. In einer Weltwirtschaft, die zunehmend in Netzwerken zusammenwächst, ist Vertrauen gut, Kontrolle aber meistens besser. „Was bislang bekannt wurde, ist nur die Spitze des Eisbergs“, warnt René Reutter.
Ein Beitrag von:
