IT-Sicherheit in Unternehmen 19.10.2012, 19:55 Uhr

Betriebliche Software ist eine oft genutzte Angriffsstelle

Die Sicherheit von Geschäftsanwendungen ist heute mehr denn je gefährdet. Sie wurden für den Zugang per Internet und Mobilgerät geöffnet. Auf diesen Wegen finden immer mehr Eindringlinge unerkannt Zugang in Firmensysteme.

Ein herkömmliches Türschloss lässt sich von einem Profi in nicht mehr als 4 s knacken. Das klingt schnell. Deutlich anspruchsvoller ist es, ein komplexes SAP-System mit seinen Millionen Zeilen von Programmcode binnen 60 s zu knacken. Dies gelang Alexander Polyakov, einem SAP-Berater, im Mai 2012 auf dem Positive Hacker Day. Er zeigte die zehn häufigsten Schwachstellen in einem SAP-System auf. Sie sind in einem Video zu sehen und in dem Sonderheft „SAP & Sicherheit“ (10/2012) der SAP-Firmenzeitschrift „S@pport“ nachzulesen.

Dieser Vorfall hätte die SAP-Kunden eigentlich beunruhigen müssen. Stattdessen scheinen sie aber weiterzuwursteln. Denn vielfach setzen sie Eigenentwicklungen auf SAP-Basis ein. Da diese selbst wiederum Millionen Codezeilen groß sind, aber in kürzester Zeit „mit heißer Nadel gestrickt“ wurden, kam im Design vielfach der Sicherheitsaspekt zu kurz. Die Folge sind Schwachstellen, wie sie Polyakov aufzeigte.

„Durch Sicherheitslücken in Anwendungen“, gibt HP-Sicherheitsexperte Arved Graf von Stackelberg zu bedenken, „können sogar die hinter den Anwendungen liegenden Datenbanken ausgelesen werden.“ Das sei etwa bei Sony passiert. Sony entstand so ein massiver Imageschaden. Angreifer könnten theoretisch ein solches löchriges System zum Absturz bringen, doch das wollen sie meist gar nicht. SAP-Systeme, die 60 % des Welthandels abwickeln, bieten viel lohnendere Ziele: Unmengen von Firmendaten und Transaktionen.

„Der Handel mit gestohlenen firmenvertraulichen Daten aus dem Internet blüht wie kein anderer Wirtschaftszweig“, weiß René Reutter, Abteilungsleiter für Informations- und Telekommunikationssicherheit bei T-Systems. „Die Motivation virtueller Eindringlinge ist dabei immer stärker an finanzielle Interessen gekoppelt – Daten sind bares Geld, illegale Zugriffe ein Millionengeschäft.“ Der Trend gehe zu gezielten Angriffen auf Firmen, insbesondere Forschungs- und Entwicklungsabteilungen.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) Informationssicherheit Die Autobahn GmbH des Bundes
Frankfurt Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Evonik Operations GmbH-Firmenlogo
Ingenieur (m/w/d) Informatik / Elektrotechnik / Automatisierungstechnik / Chemische Produktion Evonik Operations GmbH
WIRTGEN GROUP Branch of John Deere GmbH & Co. KG-Firmenlogo
Project Manager Surveying and Designfor Machine Control (m/w/d) WIRTGEN GROUP Branch of John Deere GmbH & Co. KG
Ludwigshafen am Rhein Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Systemingenieur (m/w/i) für Oberflächeninspektion IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Bundespolizei-Firmenlogo
Ingenieur/in Elektro-/Nachrichtentechnik o. ä. für Satellitenkommunikation (w/m/d) Projektgruppe EU Bundespolizei
Sankt Augustin Zum Job 
Hochschule Hamm-Lippstadt-Firmenlogo
wissenschaftliche*r Mitarbeiter*in (m/w/d) für die Entwicklung einer Wissensdatenbank im Bereich der Sektorenkopplung Hochschule Hamm-Lippstadt
Hochschule Bielefeld-Firmenlogo
W2-Professur Software Engineering Hochschule Bielefeld
Gütersloh Zum Job 
Safran Data Systems GmbH-Firmenlogo
Embedded Software Engineer (m/w/d) Safran Data Systems GmbH
Bergisch Gladbach Zum Job 
Hochschule Bielefeld (HSBI)-Firmenlogo
W2-Professur Software Engineering Hochschule Bielefeld (HSBI)
Gütersloh Zum Job 
Kreis Gütersloh-Firmenlogo
Mitarbeiter (m/w/i) für Digitalisierung und Prozessmanagement Kreis Gütersloh
Rheda-Wiedenbrück Zum Job 
Bisping & Bisping GmbH & Co. KG-Firmenlogo
Projektleiter (m/w/d) Internetkommunikation / Telekommunikation Bisping & Bisping GmbH & Co. KG
Lauf an der Pegnitz Zum Job 
Bisping & Bisping GmbH & Co. KG-Firmenlogo
Projektleiter (m/w/d) Glasfaserausbau Bisping & Bisping GmbH & Co. KG
Lauf an der Pegnitz Zum Job 
Stadt Frankfurt am Main-Firmenlogo
Ingenieur:innen (w/m/d) Verkehrstechnik Stadt Frankfurt am Main
Frankfurt am Main Zum Job 
Leibniz Institut für Naturstoff-Forschung und Infektionsbiologie e.V. Hans-Knöll-Institut (HKI)-Firmenlogo
Software Engineer (m/f/div) Leibniz Institut für Naturstoff-Forschung und Infektionsbiologie e.V. Hans-Knöll-Institut (HKI)
Leibniz Institut für Naturstoff-Forschung und Infektionsbiologie e.V. Hans-Knöll-Institut (HKI)-Firmenlogo
Software Engineer (m/f/div) Leibniz Institut für Naturstoff-Forschung und Infektionsbiologie e.V. Hans-Knöll-Institut (HKI)
Prognost Systems GmbH-Firmenlogo
Technischer Kundenbetreuer / Elektroingenieur (m/w/d) im Customer Support Prognost Systems GmbH
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) C-ITS Entwicklung Die Autobahn GmbH des Bundes
Frankfurt am Main Zum Job 
Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA)-Firmenlogo
Doktorandin / Doktorand (w/m/d) im Themenfeld: Künstliche Intelligenz Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA)
Dortmund Zum Job 
Hamburger Stadtentwässerung AöR ein Unternehmen von HAMBURG WASSER-Firmenlogo
Ingenieur (m/w/d) Elektrotechnik als Projektleiter Hamburger Stadtentwässerung AöR ein Unternehmen von HAMBURG WASSER
Hamburg Zum Job 

Das Problem für die Bekämpfer solcher Bedrohungen sind nicht nur die Schlupflöcher in den Anwendungen, wie sie Polyakov etwa für SAP aufzeigte. Es sind auch nicht nur die Entwickler, denen immer weniger Zeit bleibt, eine Anwendung „wasserdicht“ zu machen – falls dies überhaupt eine Anforderung ans Design ist. Es sind vor allem die Betreiber der Anwendungen selbst. „Mehr als 90 % der Angriffe wären zu verhindern gewesen, hätten Unternehmen ihre Informations- und Telekommunikationssysteme gewartet und beispielsweise Updates für Betriebssystem- und Anwendungsebene zeitnah eingespielt“, beklagt Reutter ein schon lange bekanntes, aber immer wieder anzutreffendes IT-Sicherheitsleck.

Alle befragten Softwarehersteller implementieren deshalb vorbeugend im eigenen Haus ausformulierte Prozeduren und Methoden, um Anwendungssicherheit in die Entwicklungs- und Bereitstellungsphase einzubauen. Nachträglich liefern sie regelmäßig Patches und Updates aus.

„Im Konzern Telekom wurde ein Privacy & Security Assessment (PSA) eingeführt“, berichtet Reutter. „Es ist ein integriertes Verfahren für technische Sicherheit und Datenschutz als Bestandteil der Produkt- und Systementwicklungsprozesse.“ Auch die SAP sorgt nach Angaben von Chief Product Security Officer Gerold Hübner für die Qualität des Codes: „SAP setzt ein System der gegenseitigen Kontrolle durch drei unabhängige Abteilungen ein: Eine Abteilung definiert die Sicherheitsanforderungen, die andere wendet sie in der Softwareentwicklung an und die dritte überprüft zum Schluss deren Einhaltung.“

Beide Unternehmen helfen ihren Kunden durch Teams von Sicherheitsexperten, den Fall der Fälle zu bewältigen. „Die wenigsten Firmen“, so Reutter, „verfügen über das notwendige technische Know-how, geschweige denn über die personellen Ressourcen, um ihre Netzwerke sowie Informations- und Telekommunikationsressourcen Tag und Nacht von Grund auf zu durchleuchten – gleichermaßen von innen wie von außen.“ Denn oft bemerken sie Angriffe und Datendiebstähle nicht. Und falls doch, fehlen effiziente Notfallpläne und geschulte Sicherheitsexperten.

Die Kunden sind inzwischen sensibilisiert und investieren kräftig in Sicherheitswerkzeuge. Leider denken sie dabei wie ein mittelalterlicher Burgbaumeister: Sie befestigen die Wälle, während der Feind schon im Inneren lauert. Um nämlich so lange wie möglich spionieren zu können, verhalten sich die Würmer, Viren und Trojaner möglichst still. Sie sind nur mit entsprechend ausgefeilten Lösungen aufzuspüren, die den Datenverkehr filtern und in der Lage sind, verschiedene auffällige Ereignisse miteinander zu korrelieren: „Moment mal, darf der Benutzer ABC überhaupt Dateien der Kategorie XYZ über den Port 80 verschicken?“ Diese Kategorie von Überwachungswerkzeugen bezeichnen die Experten als „System Information  & Event Management“, kurz SIEM. Solche vollautomatisch arbeitenden Lösungen sind selten preisgünstig, aber zunehmend aus der Cloud zu abonnieren.

Letzten Endes kommt es, wie so häufig, auf den Benutzer an: Wer keine Patches und Updates einspielt, muss sich nicht wundern, wenn sein Produkt oder seine Patente in anderen Weltgegenden unerlaubt benutzt werden. In einer Weltwirtschaft, die zunehmend in Netzwerken zusammenwächst, ist Vertrauen gut, Kontrolle aber meistens besser. „Was bislang bekannt wurde, ist nur die Spitze des Eisbergs“, warnt René Reutter.  

Ein Beitrag von:

  • Michael Matzer

    Michael Matzer arbeitet als Journalist, Übersetzer, Rezensent und Buchautor. Big Data und Industry of Things zählen zu seinen Schwerpunkten.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.