Lessons Learned from Another Big Breach

Aus Fehlern kann man lernen: Diese Erkenntnisse haben wir aus einem großen Angriff gewonnen

Ein Interview mit Josh Shaul, Vice President, Web Security Products

Können Sie uns einige Hintergrundinformationen zum Problem der Datenschutzverletzungen geben?

Das ist wirklich ein riesiges Problem. Bisher wurde dieses Jahr mehr als eine Milliarde Datensätze gestohlen. Doch das Problem ist nicht neu. Bei den großen Angriffen, die es in die Nachrichten geschafft haben, z. B. bei großen Einzelhändlern, werden oft Nutzernamen und Passwörter gestohlen. Das Ziel ist es letztlich, Geld zu verdienen – meistens durch die illegale Beschaffung von Waren mithilfe der Daten anderer Nutzer und den Verkauf dieser Waren auf dem Schwarzmarkt. Solche Betrugsaktionen sind jedoch nicht auf das angegriffene Unternehmen beschränkt: Die Risiken betreffen auch andere Onlineunternehmen.

Das Ganze funktioniert so: Hacker stehlen nicht die tatsächlichen Passwörter. Sie rufen verschlüsselte – oder gehashte – Versionen der Passwörter ab, die als eine lange Folge von Einsen und Nullen dargestellt werden. Sie können die Verschlüsselung zwar nicht rückgängig machen, um das eigentliche Passwort zu ermitteln, aber die Hashing-Algorithmen, die Unternehmen zum Schutz ihrer Passwörter nutzen, sind wohlbekannt. Sie versuchen also, die Passwörter und mögliche Informationen, die vor dem Hashing zum Passwort hinzugefügt wurden, zu erraten. Das Ergebnis hashen sie mit demselben Algorithmus wie das Unternehmen, und manchmal erhalten sie hierbei eine Übereinstimmung: dieselbe Folge von Einsen und Nullen.

Als Nächstes nutzen sie die Tatsache aus, dass die meisten Nutzer ihre Passwörter in mehreren Konten verwenden – oder zumindest ähnliche Varianten. Die Angreifer beginnen mit riesigen Mengen an Nutzernamen und Passwörtern. Sie gehen von Website zu Website und versuchen dort, die Anmeldedaten zu verifizieren, ohne Spuren zu hinterlassen. Sie besuchen die Seite eines großen Einzelhändlers und finden Dutzende Konten von Nutzern bei dem Einzelhändler. Das Ganze wiederholen sie dann bei einer Bankingseite. Dann auf einer E-Commerce-Seite und so weiter und so fort.

Solche verifizierten Anmeldedaten sind sehr wertvoll. Die tatsächlichen Betrüger – für gewöhnlich nicht die Hacker selbst – kaufen die Anmeldedaten und missbrauchen die Konten, um an Geld zu kommen. Im schlimmsten Fall greifen die Betrüger nicht nur auf Shopping-, sondern auch auf Banking- oder private E-Mail-Konten zu. Und E-Mail-Konten können Betrügern ganz neue Möglichkeiten eröffnen: So können beispielsweise Onlinepasswörter für unterschiedliche Konten über das E-Mail-Konto zurückgesetzt werden.

Zusammengefasst stellen Datenschutzverletzungen also ein großes Problem dar, da Angreifer und Betrüger clever, hinterlistig, organisiert und automatisiert vorgehen: Und das ist ihr tägliches Handwerkszeug.

Was war das Besondere beim Equifax-Vorfall?

Die beim Equifax-Angriff gestohlenen Daten können wie zuvor beschrieben missbraucht werden. Das ist aber nur die Spitze des Eisbergs. Bei dem Angriff wurden umfangreiche personenbezogene Daten gestohlen – nicht nur Nutzernamen und Passwörter, sondern echte Namen und Adressen, Geburtsdaten und auch Sozialversicherungsnummern. Mit solchen Informationen können Betrüger direkt neue Konten im Namen der entsprechenden Nutzer einrichten oder Leistungen beantragen, wie z. B. Bank- und Shoppingkonten oder Kreditanträge. Aktuell bieten sich Kriminellen durch Identitätsdiebstahl bis dato ungeahnte Möglichkeiten.

Die bedeutendste analoge Datenschutzverletzung war wahrscheinlich die des Office of Personnel Management vor einigen Jahren. Auch hier wurden personenbezogene Daten von 21,5 Millionen staatlichen Angestellten und Vertragspartnern entwendet. Interessanterweise wissen wir nicht viel über das Ausmaß des darauffolgenden Identitätsdiebstahls. Entsprechende Statistiken sind schwer zu finden, da die betroffenen Unternehmen diese Daten nicht veröffentlichen müssen. Aber viele der betroffenen Personen haben sich wahrscheinlich auch für Services zur Kreditüberwachung, darunter auch bei Equifax, angemeldet, um die Risiken zu minimieren. Somit sind viele wieder am Ausgangspunkt angelangt – bei ihren gestohlenen Daten.

Wie wirkt sich diese Entwicklung auf Unternehmen aus?

Alle Unternehmen, die online Kunden bedienen, möchten diese Nutzer schützen und dafür sorgen, dass sie nicht Teil betrügerischer Transaktionen werden – egal, ob absichtlich oder nicht. Solche Transaktionen verursachen direkte Kosten, wie z. B. durch gestohlene Waren, Services oder Gelder, sowie Verwaltungskosten zur Beseitigung der Schäden und Wiederherstellung der Kundenkonten. Die finanziellen Auswirkungen sind enorm.

Nach dem Equifax-Vorfall beschäftigen Unternehmen ganz neue Sicherheitsbedenken, insbesondere rund um Identitätsdiebstahl. Wie schützen Sie Ihr Unternehmen und Ihre Kunden, wenn persönliche Informationen nicht mehr geheim sind? Und wenn die Datenpunkte, über die Sie Kundenidentitäten verifiziert haben, auch den Kriminellen bekannt sind?

Betrüger können Software schreiben, die versucht, Millionen neuer Konten bei Tausenden verschiedenen Unternehmen anzulegen. Wenn auch nur ein kleiner Prozentsatz dieser Versuche gelingt, reicht das für die Angreifer, um viel Geld zu entwenden. Vielleicht versuchen sie auch, Konten auf altmodische Weise anzulegen bzw. zu ändern, z. B. über das Callcenter des Unternehmens, wo sie alle erforderlichen Informationen angeben können. Dieses Problem lässt sich deutlich schwieriger lösen und erfordert eine umfassendere Authentifizierung, allerdings ist dieser Ansatz für Angreifer auch deutlich teurer. Dennoch: Wenn der mögliche Gewinn groß genug ist, machen sich Betrüger auch die Mühe, beim Telefonsupport echte Nutzer nachzuahmen. Und wie viele Supportmitarbeiter sind darin geschult, die kleinen Anzeichen eines Betrugsversuchs zu erkennen? Wie viele haben überhaupt je darüber nachgedacht?

CEOs und CIOs von Unternehmen, die internetbasierte Dienste anbieten, die mit den Finanzdaten von Kunden verknüpft sind, müssen Wege finden, um zu gewährleisten, dass sie durch die gestohlenen Daten nicht Teil des Identitätsdiebstahls werden, indem sie Kredite und Steuerrückzahlungen gewähren oder den falschen Nutzern Waren verkaufen.

Wie können Unternehmen sich und ihre Kunden schützen?

Seit dem Equifax-Vorfall müssen Onlineunternehmen sorgfältiger auf neue Konten sowie Konto- und Passwortänderungen achten – auch wenn diese telefonisch durchgeführt werden. Auch zusätzliche Authentifizierungsschritte sind empfehlenswert, und informierte Nutzer werden darin die zusätzliche Sicherheit erkennen und sich nicht von dem Mehraufwand abschrecken lassen.

Die meisten Unternehmen müssen besser erkennen, ob sie von Hackern angegriffen werden, die versuchen, Nutzernamen und Passwörter zu erraten. Denn selbst in kleinem Umfang lassen sich solche Versuche ermitteln. Weiterhin müssen sie besser darin werden, Menschen von Bots zu unterscheiden. Handelte es sich bei dem Anmeldefehler um ein falsch eingetipptes Passwort oder einen Bot, der versucht, das Passwort zu erraten? Handelt es sich bei dem Nutzer, der gerade ein neues Konto anlegt, um eine echte Person oder um einen Bot mit gestohlenen Informationen?

Und wenn es ein Bot ist, verhält er sich korrekt? Schließlich sind nicht alle Bots schlecht. So nutzen Kunden beispielsweise Mint oder Yodlee – Services, die Finanzinformationen zusammenführen – und gewähren den Services entsprechende Zugriffsberechtigungen für ihre Konten. Und wenn sich der Bot nicht korrekt verhält, werden Sie ihn schnell los oder können ihn in ein komplexes System umleiten, das ihn verwirrt und in dem Ihre Sicherheitsmitarbeiter seine Vorgehensweise untersuchen können?

Viel wichtiger ist jedoch, dass Unternehmen eine zusätzliche Sicherheitsebene für ihre Onlineumgebungen benötigen. Diese Sicherheitsebene muss gar nicht genau wissen, welche Assets sich hinter ihr verbergen. Sie muss jedoch präzise überwachen, wer Ihre Internetadresse besucht, und die neuesten Bedrohungen erkennen können.

Diesem Aspekt wurde zwar nicht die größte Aufmerksamkeit zuteil, aber er ist extrem wichtig. Equifax gab öffentlich bekannt, dass sie eine Schwachstelle in ihren Systemen gefunden hatten. Die Verantwortlichen waren der Meinung, dass sie alle Systeme, die diese Schwachstelle enthielten, gepatcht hätten ... aber sie haben eine übersehen. Und mehr brauchte es nicht. Die Angreifer haben die Schwachstelle gefunden und ausgenutzt.

Daraus können wir Folgendes lernen: Auch Unternehmen, die gewissenhaft daran arbeiten, Schwachstellen zu finden und schnellstmöglich zu beseitigen, können Bereiche übersehen. Es gibt immer Raum für Fehler. Vielleicht sind anfällige Systeme in Ihrem Netzwerk vorhanden, die nicht im Inventar enthalten sind und von denen Sie vielleicht gar nichts wissen. Und Patches sind nicht sofort wirksam: Software-Rollouts können Minuten oder sogar Tage in Anspruch nehmen. Angreifer, die die neuesten Schwachstellen kennen, nutzen sie möglicherweise bereits aus, während das Patching noch läuft.

In solchen Fällen können Unternehmen durch eine zusätzliche Sicherheitsebene gewährleisten, dass der Schutz nicht durch übersehene Bereiche gefährdet wird. Die Verantwortlichen von Equifax waren der Meinung, sie hätten alle Probleme gelöst, doch sie lagen falsch.

Welche anderen Unternehmensarten sind beliebte Ziele für Identitätsdiebstahl?

Hierzu sei zunächst einmal erwähnt, dass kein Unternehmen vor Cyberangriffen sicher ist. Alle Unternehmen, die online agieren und Kundendaten speichern, sind anfällig für Angriffe. Cyberkriminelle greifen immer dort an, wo viele wertvolle Daten zu holen sind. Das umfasst Kreditauskunfteien, große Kreditkartenanbieter und Unternehmen wie LifeLock, ein Unternehmen, das Schutz vor Identitätsdiebstahl anbietet und durch die Datenschutzverletzungen der letzten Zeit viele neue Kunden gewinnen konnte. Equifax wurde erfolgreich angegriffen, doch Verbraucher hoffen natürlich, dass solche zuvor genannten Unternehmen perfekte Sicherheitsmaßnahmen getroffen haben.

Weiterhin suchen sich Cyberkriminelle – ganz wie Diebe in der echten Welt – Ziele aus, bei denen viel Geld zu holen ist. Deshalb investieren Finanzdienstleister Unsummen in entsprechende Sicherheitsmaßnahmen. Sie schützen ihre Assets, den Betrieb sowie ihre Unternehmens- und Privatkunden. Und auch Einzelhandelskunden profitieren von diesem Maß an Sicherheit.

Anfälliger sind Unternehmen wie z. B. große Einzelhändler, die über Unmengen an Kundendaten verfügen, aber deren Gewinn – oder Motivation – nicht ausreicht, um den erforderlichen Schutz zu gewährleisten. Es herrscht ein Ungleichgewicht zwischen dem Wert der zu schützenden Daten und der Sicherheit, die sich die entsprechenden Unternehmen leisten können. Solche Unternehmen müssen ihre Sicherheitsmaßnahmen und -strategien nach dem Equifax-Angriff und den Unmengen dabei offengelegter Daten neu bewerten.

Auf Regierungsseite sind Steuerbehörden wahrscheinlich das größte Ziel. Sie verfügen über Informationen zu jedem Verbraucher – Informationen, nach denen sich Betrüger die Finger lecken. Zwar sind hier zuverlässige Sicherheitsmaßnahmen implementiert, um Daten zu schützen und Identitätsdiebstahl zu erkennen, aber sie sind eben nicht perfekt. Versicherungsagenturen, die Leistungen anbieten, wie z. B. Medicare, sind scheinbar besser darin, Daten zu schützen, als Betrugsversuche zu verhindern. Die Sicherheitsbemühungen werden dabei durch die Vielfalt betrügerischer Aktionen erschwert.

Eine Branche, die sich in einer besonders schwierigen Lage befindet, ist das Gesundheitswesen. Entsprechende Anbieter verfügen in ihren elektronischen Kunden- und Patientendatensätzen über Unmengen von personenbezogenen Informationen und medizinischen Daten. Durch HIPAA stehen sie unter großem Druck, die Patientendaten zu schützen. Zusätzlich herrscht eine grundlegende Spannung zwischen klinischen und anderen Ausgaben. Ärzte und medizinische Unternehmen konzentrieren sich auf das Wohl des Patienten – das ist schließlich ihre Aufgabe. Deshalb investieren sie lieber in medizinische Technologien als in IT oder Sicherheit. Ich hatte kürzlich ein interessantes Gespräch mit dem CIO eines großen medizinischen Zentrums. Er sagte mir, seine größte Sorge sei es, dass jemand sein Krankenhaus krank betritt, es gesund wieder verlässt und trotzdem schlechter dran ist als zuvor, weil seine Daten missbraucht wurden.

Sie reden von Cyberkriminalität, als sei es ein Geschäft.

Das ist sogar genau, was es ist. Es ist ein riesiges Geschäft mit unterschiedlichen Geschäftsmodellen. Bei manchen Cyberverbrechen, darunter staatlich finanzierte Angriffe, handelt es sich um Industriespionage. Die Angreifer stehlen technische Daten, geistiges Eigentum oder geschützte Informationen von Unternehmen und Regierungsbehörden. Andere Attacken zielen darauf ab, den Geschäftsbetrieb zu unterbrechen, indem die Verfügbarkeit von Servern, Netzwerken und Websites gestört wird. Solche Angriffe werden häufig von „Hacktivisten“ oder unzufriedenen Nutzern ausgeführt.

Bei den Cyberverbrechen, um die es heute geht – bei denen riesige Mengen personenbezogener Informationen gestohlen werden –, geht es meist darum, an Geld zu gelangen. Die Störung des Geschäftsbetriebs und die Rufschädigung der angegriffenen Unternehmen sind nur Kollateralschäden. Für diese Art von Cyberkriminalität gibt es eigene Märkte und Lieferketten:
  • Hacker finden Schwachstellen in Unternehmenssystemen und nutzen sie aus, um Unmengen von Daten zu einzelnen Nutzern zu stehlen.
  • Zwischenhändler kaufen die Daten als Ganzes und setzen Experten und Software ein, um Anmeldedaten zu ermitteln oder die Daten zu extrahieren, die für einen Identitätsdiebstahl erforderlich sind. Sie werten die Daten sozusagen auf.
  • Spezialisierte Betrüger kaufen die validierten Daten und verdienen damit Geld über verschiedene Kanäle, z. B. bei Einzelhändlern, Finanzdienstleistern, Versicherern und Steuerbehörden.
Die Lieferkette wird von einem ganzen Ökosystem von Anbietern und Ressourcen unterstützt, wie z. B. Softwareentwickler, die Betrugstools entwickeln, und Hacker, die ihre Leistungen für Geld anbieten. Es gibt so viele Services, mit denen sich gestohlene Daten oder Waren zu Geld machen oder Hackeraktivitäten verschleiern lassen. Und dieses Ökosystem verfügt mit Bitcoin sogar über eine eigene Währung.

Man kann also sagen: Cyberkriminalität ist ein echtes 24/7-Business. Hacker arbeiten rund um die Uhr, allerdings in verschiedenen Geschwindigkeiten. Sie greifen Unternehmen spezifisch an und versuchen, neu entdeckte Schwachstellen auszunutzen an, bevor sie gepatcht werden können. Hacker sind wie Speerfischer auf der Suche nach dem nächsten großen Fang. Aber sie arbeiten immer im Hintergrund, wo sie ihr riesiges Netz auswerfen und geduldig darauf warten, dass sich ein Fisch an der Oberfläche blicken lässt – und das sind manchmal sogar alte Schwachstellen, die längst gepatcht wurden.

Nach den Equifax-Vorfällen ist das wahrscheinlich der wichtigste Punkt für CEOs, CIOs, CSOs und Führungskräfte im Allgemeinen: Kenne deinen Feind. Sie haben es nicht mit einzelnen Hackern zu tun, sondern mit gut organisierten Cyberkriminellen mit unendlichen Ressourcen. Ihr Geschäft ist es, Verbraucher und Serviceanbieter zu betrügen. Und die Branche wächst stetig. Unterschätzen Sie also niemals die Fähigkeiten, Ressourcen oder die Kreativität Ihrer Gegenspieler, wenn es um den Diebstahl wertvoller Daten geht.

Verwandte CIO-Inhalte