Virus Bulletin 2017: Einfallstor Komplettvernetzung

Dass der Gesundheitsbereich im puncto IT-Sicherheit erheblichen Nachholbedarf hat, ist ein offenes Geheimnis. Die Vorzüge und der Nutzen einer zunehmenden Vernetzung müssen hier sorgfältig gegenüber den potenziellen Risiken abgewogen werden – schließlich geht es hier nicht nur um höchst persönliche Daten, sondern auch um Menschenleben. Je näher am Patienten ein bestimmtes Gerät oder eine Software eingesetzt wird, desto umfangreicher muss dieses unterschiedliche Auflagen und Standards erfüllen. Dieser sehr langwierige und kostspielige Prozess ist sehr unflexibel und macht eine kurzfristige Reaktion auf akute Sicherheitsprobleme so gut wie unmöglich. So kann eine Krankenhaus-IT nur Probleme „umschiffen“, ohne diese wirklich lösen zu können. Fest steht jedenfalls, dass Vernetzung zwar viele Vorteile bringt, aber Vernetzung um jeden Preis kann nicht die Antwort sein. In einigen Fällen muss auch offen die Frage gestellt werden, ob eine Vernetzung bestimmter Geräte überhaupt sinnvoll ist.

Die Virus Bulletin hat, wie andere IT-Security Konferenzen auch, einen direkten Einfluss auf die Vorgehensweisen derjenigen, die Schadsoftware herstellen und Datendiebstahl betreiben. Diese Akteure beobachten sehr genau, was in der IT-Sicherheitsbranche vorgeht und passen sich sehr schnell an. So berichtete Gabor Szappanos von einem seiner Fälle, in denen er eine Schadsoftware analysiert hatte. Die Analyse war offensichtlich korrekt, denn der Autor der Malware verwies in einem Diskussionsforum auf Szappanos‘ Analyse. Mit einem Augenzwinkern stellte er fest: „Man gilt wohl spätestens dann als Experte, wenn andere deinen Namen benutzen, um einen Streit zu gewinnen.“
Es gab auch Fälle, in denen Forscher ihre Ergebnisse zu einer Schadsoftware auf einer Konferenz vorstellten – und innerhalb weniger Tage wurde die Malware komplett geändert, sodass die Analyse nicht mehr zutraf. Die Konkurrenz schläft also nicht.

Auch Geräte wie Router sind ein zunehmend interessantes Ziel und wurden in einem Vortrag mit dem Titel „The router of all evil: more than just default password & silly scripts“ (dt.: „Der Router allen Übels: Mehr als nur Standardpasswörter und blöde Skripte“) genauer beleuchtet.  Zwar sind nicht geänderte Standardpasswörter nach wie vor ein Problem, allerdings werden zunehmend auch Schwachstellen in Routern genutzt, um beispielsweise Schadsoftware zu verbreiten und Botnetze aufzubauen. Genutzt werden die gekaperten Geräte dann unter anderem für Überlastangriffe gegen bestimmte Dienste oder Webseiten. Einen prominenten Fall hierzu gab es auch bereits in Deutschland: der „Telekom-Hack“ Ende 2016. Hier wurde versucht, einen Botnetz-Client auf Telekom-Routern zu installieren, was jedoch aufgrund diverser Fehler fehlschlug, die der Täter machte. Ein weiterer Angriff machte ebenfalls 2016 Schlagzeilen. Hier waren hunderte gekaperte internetfähige Webcams für einen Überlastangriff verantwortlich, der kurzzeitig dafür sorgte, dass Twitter in einigen Ländern nicht mehr erreichbar war. Zuletzt machte der KRACK-Angriff auf WLAN-Verschlüsselungen von sich reden – in einer Machbarkeitsstudie eines belgischen Forscherteams stellte sich heraus, dass sich die Verschlüsselung eines Drahtlosnetzwerkes aushebeln lässt, indem ein „Konstruktionsfehler“ in der Verschlüsselungsroutine ausnutzt wird. Zwar kommt dies in der Praxis (noch) nicht vor, aber auch dieses Ereignis zeigt, dass sich AV-Experten auch über die Geräte Gedanken machen müssen, die die meiste Zeit im Hintergrund ihren Dienst erledigen – damit man sie eben nicht eines Tages gegen uns verwenden kann. Sie machen beinahe schmerzhaft deutlich, dass Softwareupdates nicht nur für unsere PCs und Mobilgeräte überlebenswichtig sind, sondern auch für die Geräte, die uns ein Netzwerk überhaupt erst ermöglichen.

Eine Netzwerkumgebung sicher zu machen wird zunehmend zu einer Aufgabe, die von IT-Abteilungen immer schwerer zu bewältigen ist. Das gilt für fast alle Branchen, insbesondere aber für den Gesundheitsbereich. In ihrem Vortrag über die Konsequenzen schlechter IT-Sicherheit in der Pflege machte Jelena Milosevic deutlich, dass „IT-Sicherheit“ und „IT-Abteilung“ eigentlich getrennt werden müssten, um die effektive Sicherheit zu verbessern. Schließlich können IT-Experten zwar ein Netzwerk aufbauen, verwalten und unterhalten – aber die meisten IT-Angestellten sind eben keine IT-Sicherheitsexperten. Es ist daher sinnvoll, IT-Sicherheit von eigens dafür eingestellten Experten übernehmen zu lassen. Da die Sicherheitsanforderungen mehr und mehr steigen, ist dieser Mehraufwand für herkömmliche IT-Abteilungen zunehmend schwer zu bewältigen, selbst wenn ein Geschäftsführer zusätzliche Administratoren einstellt, die aber wiederum nicht auf IT-Sicherheit spezialisiert sind. 

Zwar ist es naturgemäß schwierig, die Zukunft vorauszusagen, allerdings sind einige Trends deutlich erkennbar. Mit dem Internet of Things wachsen auch die Herausforderungen an die IT-Sicherheit. Neue wie altbekannte Einfallstore bieten Angreifern die Möglichkeit, an das zu kommen, was die heutige Wirtschaft und das Alltagsleben dominiert: unsere Daten.
Spektakuläre Fälle von Datendiebstahl, Datenlecks und Pannen in der Sicherheit wird es in Zukunft immer mehr geben. Auch das ist nicht wirklich überraschend – dieser Trend hält seit Jahren an. Was neu dazukommt, sind Schadprogramme, die keine andere Funktion haben, als großflächig Schaden anzurichten. NotPetya und Industroyer sind nur zwei exemplarische Beispiele.
Was als Zitat in zahlreichen Filmen auftaucht, gilt auch für die IT-Sicherheitsbranche: Wenn man sich schon gegenseitig in den Rücken fällt, dann hat der Gegner schon fast gewonnen. Gegenseitiges Vertrauen und Unterstützung statt Häme gegenüber Opfern von Datendiebstahl werden Schlüsselelemente künftiger Strategien sein. Diesem Thema werden wir uns demnächst auch noch eingehender widmen.