Angriffe aus dem Web
Vorsicht Gefahr!

Konstantin Pfliegl,
BetriebssystemIT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeOpen SourceSicherheitSicherheitsmanagementSoftwareWorkspace

Gefahren für Clients & Server

Angriffe aus dem Web

Trotz seiner enormen Vorzüge birgt das Internet für angeschlossene Rechner Gefahren ? für Clients und Server gleichermaßen. Wer nicht die nötigen Sicherheitsvorkehrungen trifft, wird schnell zum Opfer eines Hackerangriffs. Als Folge entstehen Unternehmen hohe Kosten für das Wiederherstellen von Daten und ein nicht immer genau zu beziffernder Betrag für entgangene Umsätze. Die finanziellen Konsequenzen eines erfolgreichen Hackerangriffs sind ungleich höher als die Investitionen für eine entsprechende Absicherung.

Fälscher und Diebe am Werk
Eine Gefahr von externen Angriffen ist das Fälschen von Informationen. Tückisch hierbei ist, dass veränderte Informationen unter Umständen erst nach einiger Zeit auffallen und bis dahin bereits einen nicht unerheblichen Schaden angerichtet haben. Dazu zählen etwa manipulierte Buchhaltungsdatenoder auch Veränderungen an Lieferlisten. Vergleichsweise harmlos, aber dennoch nicht minder ärgerlich und folgenreich, ist das Verändern Ihrer Webseiten. Ebenfalls denkbar ist der Diebstahl von Daten. Im schlimmsten Fall landen Bilanz oder Kundendatei bei der Konkurrenz. Der Schaden kann erhebliche Folgen für das Firmengeschäft haben. So werden gestohlene Daten entweder vom Hacker direkt missbraucht, wie etwa bei Kreditkartendaten, oder teuer verkauft. Dabei können auch bekannte und nicht geschlossene Sicherheitslücken in Webbrowsern der Firmen-Clients ausgenutzt werden.

Netzwerkattacken

Angriffe aus dem Web

Einer der bekanntesten Angriffe gegen Server sind so genannte Denial-of- Service-Angriffe, bekannt als DOS. Gezielte Angriffe auf Sicherheitslücken einer Software auf dem Server können diesen letztendlich zum Absturz bringen. Aber es braucht dabei nicht einmal einer Sicherheitslücke: Auch eine große Menge an »normalen« Anfragen auf einen bestimmten Serverdienst können ausreichen, dass der Server seinen Dienst versagt. Dies ist vor allem dann der Fall, wenn man einen Dienst attackiert, dessen Antwort eine Menge Rechenleistung erfordert. Eine Variante von DOS-Angriffen sind so genannte Denial-of-Service-Attacken, kurz DDOS. Diese Angriffe basieren meist auf dem Zuschütten des Servers mit sinnlosen Datenpaketen. Derartige Angriffe passieren meist von einer Vielzahl von Rechnern aus. Auch wenn es sich dabei nur um sinnlose Datenpakete handelt ? bearbeitet werden sie dennoch alle vom Server, so dass er wegen Überlastung letztendlich in die Knie geht. Die Absenderadressen werden dabei von Hackern gefälscht, so dass noch dazu oft ein völlig unbeteiligter Host mit den Antwortpaketen des angegriffenen Servers bombardiert wird.

SYN-Flooding
Bei Hackern beliebt ist das SYN-Flooding. Hierbei erzeugt man so viele halboffene Verbindungen zum Server, bis dessen Limit erreicht ist und dieser keine neuen Verbindungen mehr annehmen kann. Ebenfalls beliebt sind Smurf-Angriffe. Diese Angriffsvariante löst einen Ping-Sturm an eine Broadcast-Adresse aus, die stets alle Rechner in einem Netzwerk erreicht. Da meist alle Rechner auf einen Ping-Befehl antworten, ist das Netz so schnell überlastet.

Fremdgesteuerte Server

Angriffe aus dem Web

Eine weitere Angriffsvariante ist das Nutzen Ihres Rechners für weitere Angriffe. Hierfür kommen so genannte Rootkits zum Einsatz. Dabei handelt es sich um Programme, welche bereits vorhandene Systemdienste auf dem Linux-Rechner ersetzen, um sich selbst davor zu schützen, entdeckt zu werden. Mit Hilfe der manipulierten Programme kann der Hacker dann stets ohne Aufwand wieder auf Ihr System zurückkommen und es für Angriffe auf andere Rechner nutzen. In Misskredit geraten dann Sie, weil ein Angriff von Ihrem Host kam. Ihr eigener Server wird so schnell zur Quelle krimineller Aktivitäten. Dass diese Problematik nicht nur theoretischer Natur ist, zeigt das Beispiel des Webhosters Schlund+Partner und des Phatbot-Wurms.

Aus den eigenen Reihen
So groß auch die Gefahr von außen ist ? man darf als Administrator die Gefahr nicht unterschätze, die aus dem eigenen Netzwerk kommen kann. Oft sind interne Angriffe auch deutlich einfacher. Eine Firewall steht einem selten im Weg und intern laufen in der Regel eine Menge mehr Dienste als nach außen. Und mehr Dienste bedeuten eine größere Angriffsfläche. Ein Mitarbeiter kann im internen Netz meist ungesehen nach Sicherheitslücken suchen oder anderen störenden Aktivitäten nachgehen, ohne dass dies so schnell auffällt. Manch ein Administrator und Firmenchef mag vielleicht denken, dass in einem Unternehmen nur loyale Mitarbeiter beschäftigt sind. Aber die Gründe für einen Angriff aus den eigenen Reihen sind vielseitig. Das kann etwa aus Ärger einer versagten Gehaltserhöhung sein oder ein gekündigter Mitarbeiter will sich am letzten Arbeitstag noch einmal rächen. Ein Problem ist das bis dato noch mangelnde Sicherheitsbewusstsein im Firmennetz. Meist sichert man zwar nach außen alles nach bestem Wissen und Gewissen ab, intern sind jedoch Stichworte wie Verschlüsselung meist ein Fremdwort. Und wenn dazu noch Zugriffsrechte unzureichend gesetzt sind, ist es für einen Mitarbeiter ein Leichtes, an nicht für ihn bestimmte Informationen heranzukommen und diese zu verändern oder gar weiterzugeben. Und damit man dem Angestellten nicht auf die Schliche kommt, verändert der auch gleich noch ? die meist ebenfalls unzureichend gesicherten ? Protokolldateien.

Vorsicht vor Datenverlust

Angriffe aus dem Web

Auch wenn es eigentlich nicht als Angriff zu werten ist, aber ein nicht unbeträchtlicher Teil von Datenverlusten geschieht durch unbeabsichtigtes Löschen von Daten. Mit dem Setzen entsprechender Zugriffsrechte vermindert man die Gefahr, dass ein Angestellter versehentlich Daten löscht, für dessen Zugriff er eigentlich gar nicht befugt sein sollte. Gegen das Löschen von Dateien, auf die ein Mitarbeiter arbeitsbedingt Zugriff braucht, hilft leider auch diese Lösung nicht. Hierfür benötigen Sie entsprechende Backupstrategien in Ihrem Unternehmen, mit denen sich weitere Artikel dieser Ausgabe der Linux Professionell beschäftigen.

Kontrolle ist besser
Die Gefahr von Angriffen auf den eigenen Server sollte man nicht auf die leichte Schulter nehmen. Auch die Annahme vieler, dass man anstatt eines Windows-Systems vermeintlich bombensichere Linux-Systeme einsetzt, ist leider ein Trugschluss. Auch das Open-Source- System ist den gleichen Gefahren ausgesetzt wie jedes andere Betriebssystem auch. Als Administrator benötigt man daher ein umfassendes Sicherheitskonzept für die IT-Infrastruktur. Selbstverständlich sollte dieses Konzept auch auf die Vorund Nachteile der einzelnen eingesetzten Systeme eingehen und berücksichtigen. Nicht vergessen sollte man neben den genannten Risiken die Gefahren, welche von Viren, Würmern und weiteren digitalen Schädlingen wie Trojanern ausgehen. Auch wenn Sie als Firmenserver einen vergleichsweise vor Viren sicheren Linux-Server betreiben ? wenn Windows- Clients eingesetzt werden, ist die Gefahr weiterhin vorhanden. Vor allem Trojaner sind gefährlich: Ein Anwender führt ein bekanntes Programm aus und dieses arbeitet auch wie gewünscht. Doch im Hintergrund führt es heimlich zusätzliche Aktivitäten aus, die zum Beispiel ein Hintertürchen ins System öffnen. Angreifer erhalten somit unter Umständen einen vollständigen Zugriff auf den PC und können die Kontrolle übernehmen.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus