RSA lernt aus seinen kapitalen Fehlern

Angesichts der stürmischen Ereignisse dieses Jahres weiß Coviello, wovon er redet. Es ist sein Verdienst, dass eine Krise, die andere Firmen ausgelöscht hätte, geschickt bewältigt wurde. Als der Security-Spezialist zu einem Opfer wurde, verhinderte sofortiges Handeln eine Katastrophe.

Flickschusterei an einem kaputten System

Coviello blickt jedes Jahr in seiner Rede auf die Cyberkrimininalität des vergangenen Jahres zurück, um auf die zahlreichen Seminare hinzuweisen, die typisch für die RSA-Konferenz sind. In diesem Jahr rückte er von seinem traditionellen Schema ab und beschrieb, welche Gedankengänge seiner Meinung nach bei der Festlegung einer Sicherheitsrichtlinie notwendig sind.

Beim Angriff auf das SecurID-Netzwerk musste seine Firma feststellen, dass die Verteidigungsmaßnahmen, die früheren Angriffen widerstanden, über Nacht veralteten, weil die Hacker eine neue Denkweise einsetzten. Die Kernbotschaft von Coviello lautet: Firmen verteidigen sich in der Informationstechnik wie die Franzosen die Maginot-Linie – und die Gegner umgehen sie einfach. »Aber wir können wieder aufholen, wenn wir uns anpassen und agiler werden.«

»Werfen wir einen Blick auf die heutige Cyber-Kriminalität. Wir werden keine Opfer von schelmischen oder neugierigen Hackern, die Systeme auf Schwachstellen untersuchen. Die Zeiten von Reverse-Engineering-Angriffen oder Attacken mit zufälligen Daten sind vorbei.« Die heutigen Angreifer würden mit anderen Methoden arbeiten, aber alle versuchen nach wie vor, den schwächsten Punkt des Gegners zu finden. Die Angreifer setzen heutzutage auf Abwandlungen von Social-Engineering- und Phishing-Methoden oder nutzen bekannte Sicherheitslücken aus.

Neue Bedrohungen, neue Ziele, neue Motivationen

In diesem Jahr wurde der Hacktivismus geboren. Politisch motivierte Angreifer, deren Ziel es ist, Websites zu blockieren oder Organisationen durch den Diebstahl und die Veröffentlichung von geheimen Informationen in Verlegenheit zu bringen.

Wir haben auch eine andere Art von politischen Angriffen gesehen, den Regierungen gegeneinander führen. Und diese Methoden werden langsam auch in der Betriebsspionage eingesetzt.

»Eine kriminelle Gruppe kann einen Botnetz-Bausatz für Drive-by-Attacken kaufen, Spam-Kits für Spam-Wellen erwerben und ein bombensicheres Hostingpaket sowie eine nicht zurechenbare Domain buchen. Sie werden ihre Schwachstelle finden«, warnte Coviello.
Weniger deutlich drückte sich Coviello bei seiner Unterscheidung zwischen Cyberkrimininalität und von staatlicher Seite gelenkten Attacken aus. Er beschrieb die Unterschiede mit den Worten: »Sie wollen in ihrem Netzwerk bleiben, um ihre Verteidigungsstrategien zu studieren und ihr Verhalten darauf abstimmen, bis sie bekommen, was sie wollen.«

Das mag für Attacken zutreffen, die von Staaten ausgehen aber auch Cyberkriminelle handeln so. Unentdeckt in einem System zu bleiben, erhöht die Chancen auf gute Beute.

»Durch diese Angriffe werden IT-Organisationen dauerhaft, dynamisch und intelligent bedroht. Die Sicherheits-Dogmen der Vergangenheit sind kein adäquates Gegenmittel mehr. Viele Sicherheitstechnologien haben ihr Verfalldatum längst überschritten und bieten nur noch einen verschwindend geringen Wert. Deshalb müssen die Sicherheitsspezialisten ihr Denken und Handeln ändern«, so Coviello.

Die drei Säulen einer flexiblen Verteidigungsstrategie

Coviello unterteilt die neuen Anforderungen an die IT-Sicherheit in drei wesentliche Elemente:

Ein Sicherheitssystem muss risikobasiert arbeiten, aber auf einer viel feineren Ebene als in der Vergangenheit. Risiko ist eine Funktion der Verwundbarkeit, Wahrscheinlichkeit und des Wertes der Informationen. Je höher deren materieller Wert ist, desto wahrscheinlicher ist es, dass man angegriffen wird.

Um Schwachstellen aufzuspüren, muss das System aus der Perspektive der Hacker betrachten werden. Das, was unwichtig erscheint, könnte ein Restrisiko enthalten: Eine PR-Firma in den USA sah ihren Aktienkurs fallen. Ein verärgerter Ex-Mitarbeiter hatte die Zahlen des Geschäftsberichts in der Pressemitteilung geändert. Wer hätte gedacht, dass eine Pressemitteilung ein Ziel sein könnte?

Der nächste Bereich, dem man seine Aufmerksamkeit widmen sollte, ist die Anpassungsfähigkeit der Sicherheitsstruktur. Aktuelle Maßnahmen können häufig die Lage nicht richtig einschätzen und schaffen es nicht, raffinierte Angriffe zu vereiteln.

Die neue Herangehensweise muss nach Ansicht von Coviello Methoden beinhalten, die Unterschiede zu normalen Zuständen, Nutzerverhalten und Transaktion erkennen, egal wie klein diese Unterschiede sind.

Außerdem muss das Sicherheitssystem Zusammenhänge erkennen können. Eine zielgerichtete Priorisierung von Gegenmaßnahmen muss sich auf die besten verfügbaren Informationen stützen. Die Anforderungen dieses Ansatzes gehen über das hinaus, was mit der Auswertung von Protokollen möglich ist.

Datenzugriff ist der Schlüssel zum Erfolg

Die Unternehmen sollten ihrer IT-Sicherheit einen Echtzeitzugriff auf alle wichtigen Daten erlauben, damit diese Sicherheitsprobleme sofort aufspüren können. Damit das funktioniert, müssen die Daten zusammen gefasst werden, rät Coviello.

Je größer dieser Informationspool ist, desto besser lassen sich daraus Schlüsse ziehen, was innerhalb des Unternehmensnetzwerks und der Datenhaltung passiert. Der Datenpool könnte noch vergrößert werden, wenn Unternehmen sich untereinander austauschen würden.

Coviello schloss seine Rede mit dem oben angeführten Nietzsche-Zitat und fügte hinzu: »Werden wir das umsetzen, was wir gelernt haben? Werden wir die erforderlichen Mittel einsetzen, um schneller und agiler zu sein? Werden wir den Willen haben, um uns das System zu schaffen, was wir benötigen? Wir haben ein gemeinsames Ziel: Eine solide Grundlage für unsere Nachfolger zu schaffen, an die man sich erinnert.«