Der Unterschied zwischen Wissen und Machen

Erinnern Sie sich noch an Equifax? Vielleicht in Kombination mit dem Wort „Hack“? Der Equifax-Hack im September 2017 gehörte damals zu den folgenreichsten Hackerangriffen der jüngeren Geschichte. Die Angreifer erbeuteten etwa 143 Millionen Datensätze, ausgespäht wurden Kunden in den USA; Kanada und in UK. Der Vorfall ist deshalb besonders dramatisch, weil Equifax als größte Wirtschaftsauskunftei der USA über extrem sensible Daten verfügt. Man sollte annehmen, dass die Sicherheitsvorkehrungen ebenfalls extrem massiv sind. Doch die Hacker konnten sich über mehrere Monate Zugriff auf verschiedene Systeme verschaffen, blieben lange unentdeckt und erbeuteten Sozialversicherungsnummern, Geburtsdaten, Adressen, Führerscheinnummern, 290.000 Kreditkartennummern und andere Daten. Welche Folgen das für die Betroffenen hatte, wird sich nie feststellen lassen, doch man kann davon ausgehen, dass die Datensätze in den entsprechenden Foren fleißig gehandelt und ausgenutzt wurden und werden.

Nun gilt ja gern der Spruch „100-prozentige Sicherheit kann es nicht geben“, siehe aktueller Bundestags-Hack. Und das ist auch richtig, wer alles wegsperrt und abschottet kann weder kommunizieren noch arbeiten. Doch vor kurzem wurde der lange erwartete, ausführliche Untersuchungsbericht des Vorfalls öffentlich. Und der ergibt, dass bis zum totalen Sicherheitsoverkill noch etwas Luft gewesen wäre. Eine ganze Menge Luft, genaugenommen. Was der Bericht nämlich sehr schön zeigt, ist dass die Sicherheitsvorkehrungen zwar in der Regel vorgesehen waren, aber nicht umgesetzt wurden. Zum Teil listen die Autoren haarsträubende Fehler, die weder etwas mit fehlenden finanziellen Mitteln noch mit komplexen Angriffsmethoden zu tun hatten.

Der auslösende Faktor, der den Zugriff zunächst ermöglichte, war ungepatchter Apache Struts Code. Die IT-Abteilung hatte zwar nach der Schwachstelle gescannt, aber nur im Root-Verzeichnis, nicht in den Subdirectories. Die Hacker konnten die Schwachstelle mit einem Exploit ausnutzen und kamen so erstmal in das Netzwerk hinein. Dort konnten sie sich in Ruhe umsehen denn – und das ist fast unglaublich – das IDS-System konnte den SSL-verschlüsselten Datenverkehr nicht im Klartext lesen, weil ein Zertifikat abgelaufen und nicht erneuert worden war. Und zwar 19 Monate lang. Die Architektur stimmte, die Hardware war da, aber im Betrieb hatte keiner daran gedacht einen Prozess aufzusetzen, der die Ablaufdaten der Zertifikate überwachte. Prompt klingelten auch alle Alarmglocken, als das Zertifikat endlich erneuert wurde und das IDS riesige Mengen unautorisiert abfließender Daten meldete.

Ebenfalls klassisch unnötig und leichtsinnig war es, ein uraltes Datenbanksystem, dass nur Zugriff auf drei andere Datenbanken benötigte, nicht entsprechend zu segmentieren. Durch den Vollzugriff auf das komplette Netz erhielten die Angreifer Zugriff auf 48 weitere Datenbanken außerhalb des Systems. Der Report beschreibt zahlreiche weitere Versäumnisse, die man grob gesagt mit dem Wort „Planlos“ zusammenfassen kann.

Ja, 100% Sicherheit wird es nie geben und jeder kann Fehler machen. Aber ein Fehler sollte nicht derart fatale Folgen haben, genau dafür sind ja Maßnahmen wie Segmentierung, DMZ, Firewalls und vor allem durchdachte und gelebte Prozesse da. Wer sich blind auf das IDS verlässt steht im Regen, wenn es versagt. Equifax zeigt, dass IT-Sicherheit zunächst sinnvolle Organisation und Prozesstreue verlangt und erst dann technische Maßnahmen. Dass damals der Admin gefeuert wurde, der die Struts-Lücke übersehen hat, aber CSO und CIO erst nach öffentlichem Druck gingen, ist bezeichnend. Die Informationssicherheit wurde eben nicht als ganzheitliches Konstrukt gesehen, mit sinnvollen Richtlinien aus dem Management und daraus abgeleiteten Maßnahmen und Prozessen die auch unter Druck und im Arbeitsalltag umsetzbar waren. Stattdessen regierten Silodenken und Wegducken bei unangenehmen Aufgaben, alles kombiniert mit fehlender Führung. Von 100% ist das weit entfernt.