Incident Response – irgendwann trifft's jeden
IT-Sicherheitsvorfälle werden von den betroffenen Unternehmen oft totgeschwiegen – ein nicht immer richtiger Ansatz, wie der Fall DigiNotar zeigt.
Hinweis: Der Autor dieses Artikels ist Christoph Baumgartner. Er ist CEO und Inhaber der auf Security Consulting und Security Audits spezialisierten OneConsult GmbH.
Der gute Ruf und Daten, wie beispielsweise das Kundenverzeichnis, Konstruktionspläne, Forschungsaufzeichnungen, Rezepturen oder Source Codes, sind entscheidende Assets moderner Unternehmen, die oft mit viel Fleiss, Zeit und Geld erschaffen wurden. Umso ärgerlicher ist es, wenn diese Werte quasi zum Nulltarif von Dritten empfindlich beschädigt oder gar entwendet werden. Besonders hart hat es DigiNotar getroffen, einen holländischen Anbieter von digitalen Zertifikaten, der aufgrund einer erfolgreichen Hackerattacke im September 2011 Konkurs anmelden musste. Doch was war geschehen?
DigiNotar stellte digitale Zertifikate aus, die als elektronische Identitätskarten im Internet dienen. Mit ihnen lassen sich beispielsweise Banken und Betreiber von Onlineshops die Echtheit ihrer E-Banking-Portale und Onlineshops bestätigen, indem sie sich von Zertifizierungsstellen (Certification Authority, CA) wie eben DigiNotar auf ihre Identität hin überprüfen lassen. Nach erfolgreicher Überprüfung stellt die CA ein SSL-Zertifikat aus, das die Bank oder der Betreiber des Onlineshops auf dem Webserver installiert. Die Besucher des Webservers können ab diesem Zeitpunkt die Identität des Anbieters verifizieren, indem das Zertifikat vom Browser beim Herausgeber des entsprechenden Zertifikats auf seine Gültigkeit hin verifiziert wird. Die Sicherheit steht und fällt somit mit der Vertrauenswürdigkeit der Gültigkeitsbestätigung und der CA.
Was lief schief?
Einem oder mehreren Hackern war es gelungen, trotz Sicherheitsmassnahmen digital in die Systeme von DigiNotar einzudringen und über mehrere Tage hinweg mehr als 500 gefälschte Zertifikate auszustellen. Der Fall wäre wohl nicht so rasch publik geworden, wenn nicht prominente Organisationen und Dienste wie Facebook, Google, Microsoft, Skype, Twitter und die CIA betroffen gewesen wären. Das Problem bei gefälschten digitalen Zertifikaten im Vergleich zu gefälschten Papieren ist, dass Fälschungen genauso echt wie das Original aussehen und nur indirekt aufgrund der Verknüpfung mit einem «falschen» Server erkennbar sind.
Dieser Vorfall traf die anerkannten Zertifizierungsstellen im Internet, deren Modell auf Vertrauen basiert, empfindlich. So mussten die Softwarehersteller so rasch wie möglich neue Softwareversionen oder Patches veröffentlichen, die die von DigiNotar herausgegebenen Zertifikate als ungültig erkennen.
DigiNotar wusste gemäss den Untersuchungsergebnissen bereits seit mehreren Tagen von der laufenden Hackerattacke, schien aber mit dem Vorfall überfordert zu sein. So beschloss man, die Attacke zu verheimlichen und nach deren Bekanntwerden herunterzuspielen. Diese fatale Strategie führte DigiNotar direkt in den Konkurs, weil das Haupt-Asset, die Vertrauenswürdigkeit, quasi über Nacht wegfiel. Dieses schädliche Verhalten hat Einfluss auf die Reputation aller CAs.
Korrektes Vorgehen und Default Best Practices
Eines vorweg: Es gibt bei Hacker- und Malware-Attacken oder Datenklau nicht das eine richtige Vorgehen, sondern es geht darum, die Strategie mit den geringsten (potenziell) unerwünschten Nebenwirkungen zu erkennen und konsequent umzusetzen. Folgende Empfehlungen sollen als Hilfe dienen, haben aber keinen Anspruch auf Vollständigkeit:
Alarmieren: Bei Sicherheitsvorfällen muss als Erstes der IT-Sicherheitsverantwortliche beziehungsweise die für derartige Vorfälle zuständige Stelle (CISO, IT-Leiterin, Rechtsdienst etc.), aber zumindest der Vorgesetzte informiert werden, mit Angaben über Zeitpunkt, Art des Vorfalls, Auswirkungen und Ausmass des bisher erkennbaren Schadens.
Reflektieren: Jetzt gilt es, einige Fragen zu klären – eine kleine Auswahl: Wie hoch ist der zu erwartende Schaden in zeitlicher Abhängigkeit? Soll nur direkte Schadensbegrenzung betrieben werden oder möchte man sich die Option offenhalten, rechtliche Schritte gegen den Verursacher einzuleiten? Wie hoch ist das Risiko, unbeteiligte / nicht massgeblich beteiligte Dritte zu belangen? Welche Lösungsansätze mit welchen technischen, organisatorischen, rechtlichen, finanziellen, das Firmen-Image betreffenden direkten und indirekten Konsequenzen kommen in Betracht?
Da einige juristische Stolpersteine existieren, sollte die Rechtsabteilung nach Möglichkeit in die Entscheidungsfindung einbezogen werden. Bei computerforensischen Unterfangen müssen zwingend entsprechende Spezialisten beigezogen werden, da hinsichtlich Beweissicherung, Analyse und Dokumentation strikte Regeln eingehalten werden müssen. Nur so ist die Verwertbarkeit vor Gericht gewährleistet.
Reagieren: Sobald ein Entscheid gefallen ist, gilt es klar zu kommunizieren und entsprechende Massnahmen zu ergreifen und zu dokumentieren.
Hacker- und Malware-Attacken: Falls das System auf Kosten einer möglichen Strafverfolgung möglichst rasch wieder verfügbar sein soll, gilt folgendes Standardvorgehen:
1. Das betroffene System temporär vom Netz nehmen;
2. die letzte nicht kompromittierte Datensicherung einspielen;
3. das System anschliessend härten;
4. das System mittels eines Security-Scans oder Penetration-Tests auf Sicherheitslücken überprüfen und falls nötig erneut härten;
5. erst dann wieder ans Netz anschliessen.
Datenklau: Bei In-flagranti-Situationen den Sicherheitsdienst oder die IT-Sicherheitsverantwortlichen rufen lassen, die betroffene(n) Person(en) nach Möglichkeit an weiteren Manipulationen und am Verlassen des Raumes hindern, ohne handgreiflich zu werden! Vermeintliche Heldentaten sind hier fehl am Platz.
Vorbeugen ist besser als nachbessern
Technische Massnahmen wie Firewalls, Virenscanner, Netzwerk-Zonierung und Datenverschlüsselung sollten heute selbstverständlich sein. Aber genauso wichtig sind organisatorische Massnahmen wie eine Risikoanalyse und -beurteilung (welchen Gefahren ist das Unternehmen ausgesetzt, wie hoch sind Eintrittswahrscheinlichkeit und potenzielle Schadenshöhe?), die Klassifikation von Informationen/Daten (was ist überhaupt schützenswert?), das Verfassen von zielgruppengerechten Handlungsanweisungen (Policies), die Definition einer IT-Sicherheitsorganisation (IT-Sicherheitsverantwortlicher rapportiert an wen und hat welche Pflichten und Kompetenzen?), Change-Management-Prozesse (was wird wann, wie und von wem gemacht?) und detaillierte Notfallpläne, damit feststeht, wie in welchem Szenario zu agieren ist.
Die Szenarien müssen in sogenannten Notfallübungen durchexerziert werden. Andernfalls herrscht im Ernstfall garantiert Chaos. Eine Hilfestellung zu möglichen Massnahmen findet sich beispielsweise in der ISO/IEC-Normenfamilie 2700x oder in den BSI-Standards 100-x.
Fazit
IT-Sicherheitsvorfälle durch Dritteinwirkung können einer Organisation ernsthaften Schaden zufügen. Doch es existieren Mittel und Wege, wie Unternehmen sich schützen und negative Folgen verhindern oder vermindern können.
Bund und Schweizer Finanzsektor vertiefen ihre Zusammenarbeit für mehr Cybersicherheit
Update: Darum kommt die KI-Siri von Apple erst 2026
Sophos' erfolgreichste Schweizer Partner messen sich auf der Gokart-Strecke
Mistral AI lanciert sein erstes Reasoning-Modell
Fast Schweizerdeutsch - aber eben nur fast
3AM-Ransomware-Gruppe setzt auf virtuelle Maschine für verdeckte Angriffe
St. Galler Kantonalbank sucht Leiter Cybersecurity & IAM
Graubünden ernennt Leiterin der neuen Aufsichtsstelle Datenschutz
EPFL macht Adrian Wägli zum Vice President Operations
