Der Amerikaner Bruce Schneier gilt als Sicherheits-Guru. Diesen Ruf hat er sich unter anderem als Autor mehrere Bücher und als Entwickler von Verschlüsselungsalgorithmen erarbeitet. Inzwischen arbeitet Schneier als Chief Security Technology Officer bei BT und hat so noch immer einen Sitz in der vordersten Reihe, wenn es um Angriffe auf die Firmen-IT und deren Verteidigung geht. Im Interview mit der COMPUTERWOCHE spricht Schneier über Attacken auf SSL-Ausgabestellen, staatlich unterstützte Angriffe, wie man die eigenen Ressourcen schützt und warum wir seit zehn Jahren mit schlechten IT-Sicherheitsprodukten kämpfen.
CW: Allein im ersten Halbjahr 2011 haben wir drei erfolgreiche Attacken auf Aussteller von SSL-Zertifikaten gesehen. Sind diese Firmen zu nachlässig?
Bruce Schneier: Das würde ich pauschal so nicht sagen. Wir wissen einfach nicht, ob sie nachlässig gehandelt haben oder ob sie das Opfer eines sehr ausgefeilten Angriffs wurden, wie etwa im Fall der RSA-Attacke. Es kann durchaus sein, dass die Firmen sich gegen normale kriminelle Angriffe zur Wehr setzen können, aber gegen die Attacken von Behörden oder Geheimdiensten keine Chance haben. Das ist das Problem der Advanced Persistent Threats (mehr Informationen), sie sind eben per Definition eine ständige und ausgefeilte Bedrohung. Die Attacken auf Diginotar und RSA sind ein gutes Beispiel: Die Firmen waren kein direktes Ziel, sondern die Angreifer sind über einen Zulieferer eingedrungen. Gegen solche Attacken ist eine Verteidigung enorm schwer.
CW: Schaden diese Attacken dem SSL-Konzept insgesamt?
Bruce Schneier: SSL war nie ein besonders gutes Konzept. Ich denke, die Angriffe ändern wenig, sie machen höchstens auf die in SSL enthaltenen Fehler aufmerksam. Für uns in der Sicherheitsindustrie sind die Angriffe nichts Neues.
CW: Wer hätte die Ressourcen für solche Angriffe?
Bruce Schneier: Meiner Meinung gibt es zahlreiche Gruppen, die zu solchen Attacken fähig sind. Nehmen Sie beispielsweise Anonymous. Die Fähigkeiten dieser Gruppe sind wirklich überraschend. Zumindest bei den Angriffen auf RSA und Diginotar scheinen aber staatliche Stellen dahinterzustecken. Das bedeutet wiederum, dass diese Angreifer mehr Erfahrung und mehr Ressourcen zur Verfügung haben. Grundsätzlich zeichnet diese Attacken aber nichts aus, was nicht auch Gruppen wie Anonymous leisten könnten.
CW: Erleben wir wirklich mehr Angriffe oder sind die Attacken erst jetzt in den Fokus der Medien geraten?
Bruce Schneier: Es ist eine Mischung aus beidem. Angriffe, die im letzten Jahr noch ignoriert wurden, landen jetzt in den Medien. Das liegt zum einen daran, dass diese Themen gerade en vouge sind. Andererseits haben sie nun einen politischen Hintergrund. Attackieren sich zwei Techie-Gruppen gegenseitig mit verwirrenden Angriffsarten, so wird das keine Nachricht. Wenn aber die iranische Regierung auf Zertifikatsstellen losgeht, die SSL-Zertifikate für iranische Dissidenten zur Verfügung stellt, ist das hochpolitisch. Oder wenn die Unterstützer von Wikileaks die Server von Kreditkartenfirmen ins Visier nehmen. Das sind Schlagzeilen.
Ich denke, dass Aspekte jenseits der IT in der jeweiligen Geschichte die Computerseite mitziehen. Wird erst einmal über die Angriffe berichtet, dann will man auch mehr über die Angriffsarten schreiben. Man erklärt, was ein Zertifikat ist, was eine Certificate Authority macht. Dann wird auch über die Technologie geschrieben - aber nur, weil der eigentliche Hintergrund nichttechnisch ist.
- Security-Sünde Nr.1
Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock). - Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen
Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede) - Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks
Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog). - Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde
Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec). - Die sozialen Netzwerke und die Sicherheit
Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede). - Die Security-Sünden und die sozialen Medien
Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede) - Neue Medien und neue Netze bedeuten neue Herausforderungen
Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede). - Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden
Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011). - Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden
Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011) - Warum Antivirus-Software und Firewall definitiv nicht genügen können
Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011) - Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen?
Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock). - Security-Sünde Nr.5
Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).