Open Source im professionellen Einsatz
Linux-Magazin 08/2013
©Michelle Albers, 123RF.com

©Michelle Albers, 123RF.com

Grundlagen der IT-Risikoanalyse

Risikobewusst

,

Informationssicherheit ist wichtig, kostet aber ordentlich Geld. Die IT-Risikoanalyse ermittelt zu schützende Daten und Werte und kalkuliert, welche Schutzmaßnahmen sich rechnen.

905

Die Anbieter von Security- und Antimalware-Produkten zeigen gerne den jugendlichen Hacker mit Kapuzenpulli als Bedrohung von IT-Systemen. In der Regel stellen aber die Mitarbeiter eines Unternehmens die größere Gefahr für die Informationssicherheit dar. Sie sind für rund 70 Prozent der Vorfälle verantwortlich, außenstehende Angreifer, die insbesondere offene Sicherheitslücken ausnutzen, nur für rund 30 Prozent. Die Norm ISO/IEC 27005 [1] zum IT-Risikomanagement zählt schlecht ausgebildete oder fahrlässige Mitarbeiter, verärgerte oder böswillige Angestellte sowie unehrliche oder gerade gekündigte Mitarbeiter zu den Gefahren.

Analyse tut not

Auch kleine bis mittlere Unternehmen sind von Spionage, Datendiebstahl und Verlust von Vertraulichkeit betroffen. Meist fehlt es am nötigen Know-how und an den finanziellen Mitteln, um sich dagegen zu wehren. Das betriebswirtschaftliche Instrument, um die Situation in den Griff zu bekommen, ist die Risikoanalyse. Sie ist das Werkzeug, um die Risiken für ein Unternehmen zu identifizieren, finanzielle Auswirkungen zu berechnen, Schwachstellen zu identifizieren, Bedrohungen einzuschätzen sowie die Auswirkungen zu bewerten, die eintreten würden, wenn jemand die bestehenden Schwachstellen und Konflikte ausnutzen würde. Ihr Zweck ist es, auch in Sachen Informationssicherheit die Kosteneffizienz sicherzustellen.

Die Analyse bezieht auch externe Dienstleister mit ein, zum Beispiel Anbieter von Penetrationstests, die Schwachstellen ausfindig machen. Die Resultate der Analyse stellen einen dringlichen, realistischen und wirtschaftlichen Grund dar, Verfahren und Gegenmaßnahmen im Unternehmen zu implementieren. Die Risikoanalyse, einmal angestoßen, ist allerdings ein Prozess, der sich fortlaufend weiterentwickeln muss.

Im Rahmen einer solchen Untersuchung steht meist der Mensch als größter Risikofaktor im Fokus. Daher gilt es zunächst, zu verstehen, was Personen bewegt, Angriffe gegen Unternehmen und Privatpersonen zu starten. Bei den so genannten Hacktivisten sind die Motive etwa politische: Sie kämpfen für die Freiheit der Bürgerinnen und Bürger. Neugierde, Anerkennung und Motivation, Machtgefühl, Langeweile, Sucht und Besessenheit können hinter den Angriffen stecken. Meist aber ist finanzielle Bereicherung das vorherrschende Motiv für viele Einbrüche in Computersysteme. Hintergründe liefert der Kasten "Die Kosten und Gewinne der Angreifer".

Die Kosten und Gewinne der Angreifer

Den Schaden, den Firmen durch Cracker erleiden, behandelt der vorliegende Artikel. Aber auch die Angreifer selbst unterliegen einer Art Kostenstruktur. Das mag im ersten Moment überraschen, doch die Vorstellung vom einsamen Hacker, der in seiner Wohnung hockt und aus Lust am Machbaren oder aus purer Bosheit Daten stiehlt, ist eine romantische. Cracken ist heute in der Regel ein Business, bei dem aus Angebot, Nachfrage und Nebenkosten Preise entstehen. Natürlich findet das Marktgeschehen im Verborgenen statt, denn die gehandelten Dienstleistungen, Produkte und Daten sind überall illegal.

Das Sicherheitsunternehmen Kaspersky Lab hat vor einiger Zeit diesen Schwarzmarkt untersucht. So kostet die Miete eines 1000 Maschinen umfassenden Botnetzes im "Discount Bot Shop" oder bei "Bot-Seller" rund 30 US-Dollar, 5000 Bots sind leicht rabattiert für 140 Dollar zu haben. Die Geschäftsanbahnung findet per Jabber, ICQ oder in Foren statt (Abbildung 1). Die monatlichen Preise für einen so genannten Bulletproof-Hoster, der seinen Kunden keinerlei Restriktionen auferlegt, bewegen sich zwischen 20 und 120 Dollar. Wer sich während des Steuerns von Botnetzen oder bei Geldtransfers vor Nachstellungen von Strafverfolgungsbehörden unsichtbar machen will, nimmt Crypter genannte Clouddienste in Anspruch. 60 Dollar kostet beispielsweise Saddam's Crypter auf Lebenszeit – wie lang auch immer das bei einem Service diesen Namens sein mag.

Abbildung 1: Wer an der richtigen Stelle fragt, bekommt ein Angebot zu einem Botnet, sogar Gewährleistung und Support gibt es.

Neben der Infrastruktur für Angriffe braucht der Cracker auch noch für seine Zwecke geeignete Soft-, sprich Malware. Das Remote-Administrationstool Black Shades Net beispielsweise ist ab 40 Euro zu haben. Das DDoS-Werkzeug IP Killer oder den "Stealer" Pieces of Eight etwa kann sich jedermann für 35 Euro zu Diensten machen. Wer einen Exploit gleich im Internet verteilen lassen möchte, muss ungefähr 500 Euro pro Monat aufbringen.

Den ganzen Aufwand kann sich der Kriminelle aber auch sparen, wenn er einfach verifizierte Kreditkartendaten oder erbeutete Paypal-Accounts möchte. Die kann er nämlich zu zivilen Preisen gleich fertig kaufen (Abbildung 2).

Abbildung 2: Kreditkartendaten und Paypal-Accounts mit Funktions- und Deckungsgarantie.

Die recht geringen Preise lassen vermuten, dass das Angebot illegaler Dienste und Software größer als die Nachfrage ist. Wer erbeutete Accounts nicht selbst verwertet, sondern weiterverkauft, kann wie gesehen auch nur wenig erzielen. Dass die unmittelbaren und die Reputationsschäden bei ihren Opfern ungleich höher sind, interessiert die Akteure des Cracker-Business nicht. (Jan Kleinert)

Die typischen Schwachstellen lassen sich in Hardware (unzureichende Wartungszyklen), Software (Schwachstellen bei der Programmierung), Netzwerk, Personal, Standort und Organisation untergliedern. Die Organisation steht bei der Risikoanalyse an erster Stelle. Unter Organisation ist hierbei zu verstehen, dass nicht nur einzelne Abteilungen in die Analyse mit einbezogen werden, sondern das komplette Unternehmen. Viele Unternehmen machen den Fehler, etwa nur die Finanzbuchhaltung einer Analyse zu unterziehen, doch auch die IT-Abteilung muss sich der Untersuchung stellen. Für die Zuständigkeiten ist der externe Prozessberater verantwortlich.

Kleine im Visier

Eine Studie von Imperva [2] unterstreicht den Trend zu Angriffen gegen kleine und mittelständische Unternehmen. Deren Sicherheitssysteme sind in der Regel weit weniger gut ausgebaut und gewartet als die der Großkonzerne. Dieses Phänomen soll 2013 weiter zunehmen. Web-basierte Angriffe laufen zudem mittlerweile weitgehend automatisiert ab, von der Identifikation der Ziele über das Finden der Schwachstellen bis hin zur Vollendung des Angriffs. Während gut gerüstete Konzerne diese Art von Gefahr relativ leicht abwehren können, ist die Lage in kleineren Unternehmen meist anders.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sicherheit rechnet sich

    Security Management beginnt immer bei der Risikoanalyse. Aus ihr leitet sich die Security Policy ab, die zu konkreten Maßnahmen führt. Aber nicht nur die einzelnen Maßnahmen, sondern der gesamte Prozess ist laufend zu kontrollieren, zu verifizieren und zu aktualisieren.

  • Bugs im Code

    Anwendungsentwickler holen sich aus dem Web zahllose Open-Source-Komponenten, darunter leider auch solche, die bekannte Sicherheitsprobleme haben. Daraus entsteht dann ein gefährliches neues Gemisch. Heartbleed lässt grüßen

  • Freies Grundschutzwerkzeug nimmt Fahrt auf

    IT-Verantwortliche, die ihre Sicherheit nach Regularien wie dem BSI-Grundschutz oder ISO 2700x organisieren, finden im Tool Verinice einen nützlichen Helfer. Die für November angekündigten Version 0.7 erweitert neben Java-Updates insbesondere die Bausteine für Datenschutz und Risikoanalyse.

  • HP und Symantec planen Disaster-Recovery-as-a-Service

    HP und Symantec haben eine Vereinbarung unterzeichnet, derzufolge sie gemeinsam ein Disaster Recovery as-a-Service (DRaaS) auf Basis von HPs Open-Stack-Implementierung entwickeln wollen.

  • Sicherheitsverwalter

    IT-Sicherheitsmanagement hat den Ruf, für den Administrator ein bürokratischer Alptraum ohne technischen Tiefgang zu sein. Das Linux-Magazin untersucht Motivation und Hintergründe dieses Ansatzes und stellt ein neues ISMS-Werkzeug vor, das antritt, um die Arbeit des Sicherheitsbeauftragten zu vereinfachen.

comments powered by Disqus

Ausgabe 08/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.