(openPR) Heute gab 1blu, eines der größten Webhosting-Unternehmen in Deutschland, bekannt, dass es Opfer einer umfassenden Datenentwendung und eines damit zusammenhängenden Erpressungsversuchs wurde. Dr. Christian Polster, Chief Strategy Officer von RadarServices, Europas führendem Anbieter für kontinuierliche und vorausschauende IT-Sicherheitsüberprüfung und IT-Risikoerkennung als Managed Service, kommentiert den Angriff.
Was passiert ist
Die Angreifer verschafften sich Zugang zu vertraulichen Daten, darunter massenhafte Kundendaten inklusive Zugangsdaten für den Kundenlogin, für E-Mail-Konten, FTP, MySQL, 1blu-Drive sowie persönliche Daten. Sie verlangen die Zahlung einer hohen Geldsumme, anderenfalls drohen sie mit einer Veröffentlichung der erbeuteten Daten.
Laut Information von 1blu erfolgte der Zugriff auf das interne 1blu-System über eine fehlerhafte Serverkonfiguration, die dem Angreifer ein sukzessives Ausspähen der mehrstufigen Systemarchitektur ermöglichte. Zwar werden die Daten zum Großteil verschlüsselt gespeichert, die Verschlüsselung konnte jedoch offensichtlich vom Hacker entschlüsselt werden. Erleichtert wurde der Zugriff dadurch, dass die internen Vorgaben zur Sicherheit von Keys und Passwörtern von einzelnen Mitarbeitern nicht eingehalten wurden.
Aus Sicht der Kunden von 1blu ist die Entwendung ihrer Passwort-Daten besonders dramatisch. Vor allem Privatpersonen verwenden oftmals gleiche Passwörter für verschiedene Zugänge, zum Beispiel für Emailkonten, Onlinehändler, Onlinebanking oder ihre PCs im Beruf. Für Angreifer ist es ein leichtes, die erbeuteten Daten automatisiert auf verschiedensten Portalen nach dem Prinzip „trial and error“ auszuprobieren und so die Identität ihrer Opfer anzunehmen.
Die Entschlüsselung von Daten im Mittelpunkt
„Die von 1blu beschriebene Entschlüsselung von Daten kann zwei Ursachen haben: ein mit Schwachstellen behaftetes Verschlüsselungsverfahren oder viel Zeit, die der Angreifer im Unternehmensnetzwerk verbrachte, bevor er entdeckt wurde“, so Christian Polster.
Ursache 1: Verschlüsselungsverfahren mit Schwachstellen
Vergleichbar wäre dieser Fall mit dem Diebstahl von 130 Millionen Kunden bei Adobe in 2013. Adobe nutzte das Verfahren des Verschlüsselns, nicht des „Hashings“ (=die Verwendung von Algorithmen bei der Verschlüsselung). So verschlüsselte Adobe damals alle Passwörter mit Triple DES (3DES). Hierbei ist es möglich, dass ein Angreifer die Schlüssel errät. Sind alle Passwörter mit dem gleichen Schlüssel verschlüsselt, werden sie leichter sichtbar. Eine wesentliche Erleichterung beim Erraten der Schlüssel geben Kunden dem Angreifer unbewusst, in dem sie gleiche Passwortabfolgen verwenden (zum Beispiel 123456 oder namederwebseite123).
Ursache 2: Der Angreifer ist lange unbemerkt im Unternehmensnetzwerk
Millionenfacher Datendiebstahl geschieht nicht über Nacht. Angreifer halten sich monatelang im Netzwerk auf. Sie suchen Wege, um an die oftmals durch mehrere Sicherheitsmechanismen geschützten Daten heranzukommen. Haben sie diese Daten gefunden, entwenden sie sie möglichst unauffällig, das heißt sukzessive in kleinen Mengen über einen langen Zeitraum. Die Sicherheitsmechanismen – vom Virenschutz über die Firewall bis zur Netzwerküberwachungssoftware – schlagen so keinen Alarm. Sie decken alle ihre jeweiligen, ganz speziellen Einsatzgebiete ab und arbeiten nebeneinander, nicht zusammen und nicht als selbstlernende Systeme. Sie werden von professionellen Angreifern schlichtweg überlistet.
Wie sich Unternehmen vor derartigen Angriffen konkret schützen können
Unternehmen müssen ihren Fokus auf das proaktive Aufspüren von Sicherheitslücken und das zeitnahe Erkennen von Angriffen auf Ihre IT statt auf die Abwehr „fiktiver“ Gefahren richten. Diese Herangehensweise ist die einzige Möglichkeit, den Schaden für Kunden und das eigene Unternehmen im Angriffsfall zu begrenzen“, so Polster.
Die kontinuierliche Gesamtüberprüfung der IT-Infrastruktur liefert alle notwendigen Informationen. Sie umfasst drei Komponenten: eine kontinuierliche Schwachstellenanalysen von innen und außen, eine laufende Analyse und Korrelation von Logs der einzelnen Systeme und eine ständige Überwachung aller Einfallstore für Schadsoftware und aller Kommunikationskanäle über die Unternehmensgrenzen hinweg.
Die kontinuierliche Schwachstellenanalyse
Jeden Tag entstehen neue Angriffsarten und damit neue Sicherheitslücken oder Schwachstellen in der IT eines Unternehmens. Das kontinuierliche Aufspüren dieser Probleme aus einer internen Sicht (innerhalb des Unternehmensnetzwerkes) und aus einer externen (aus dem Internet) ist Voraussetzung, um zum Beispiel um ein fehlendes Hashing und damit eine unsichere Verschlüsselung aufzudecken.
Die Log-Datenanalyse und Korrelation
Angreifer versuchen ihre Bewegungen im Netzwerk so normal wie möglich aussehen zu lassen. Dennoch könnten zum Beispiel Logins von einem Benutzer auf mehreren Systemen von unterschiedlichen IPs zur gleichen Zeit verdächtig sein. Alle Logs von Servern, Netzwerkgeräten, Applikationen und anderen zentralen Einrichtungen müssen daher zentral analysiert und mit den Erkenntnissen aus den Intrusion Detection Systemen korreliert werden.
Die Überwachung der Einfallstore für Schadsoftware und der Kommunikationskanäle
Ein Angreifer muss früher oder später die Daten aus dem Unternehmen zu externen Zielen im Internet übertragen. Dies fällt bei einem umfangreichen Security Monitoring aller Systeme, des Datenverkehrs und der Zugriffe auf sensible Systeme und Dateien auf. Datentransfer von internen zu externen IPs, zu denen keine Geschäftsbeziehung besteht, muss umgehend festgestellt und von Experten analysiert werden. Dies erfordert den Einsatz von Intrusion Detection Systemen (IDS) und anderen Werkzeugen sowie die Unterstützung durch Experten, die diese richtig konfigurieren, an aktuelle Gegebenheiten anpassen und deren Erkenntnisse analysieren.
Das komplette Set dieser hochspezialisierten Analysen wird ressourcenschonend von Managed Security Services Anbietern erbracht. Die Besonderheit der Dienstleistungen von RadarServices liegt darin, dass Daten dabei nie das Kundenunternehmen verlassen, womit die Vertraulichkeit und Sicherheit jederzeit gewährleistet ist.
„Ein Angriff, wie er heute auf 1blu bekannt wurde, kann nur aufgrund eines lückenhaften IT-Sicherheitsmonitoring erfolgreich sein. Aus unserer Sicht sind die technischen als auch die organisatorischen Werkzeuge bekannt, die den Schaden drastisch begrenzen hätten sollen“, so Polster abschließend.
