Stuxnet – Wenn die Schadsoftware zum Politikum wird

IT-Sicherheit gewinnt als Thema zunehmend auch an politischer Bedeutung. Zwar gibt es im Rahmen von e-Government-Initiativen oder beim Thema Schutz kritischer Infrastrukturen bereits seit längerem Schnittstellen zwischen IT-Sicherheit und staatlicher Tätigkeit. Und dass Schadsoftware als Waffe in Strategien informationeller Kriegsführung gilt, wird auch bereits seit längerem im militärischen Schrifttum diskutiert. Zumal speziell Hacker aus dem chinesischen und russischem Raum immer mal wieder ungefragt die Güte der Sicherheitsmaßnahmen interessanter Regierungs-IT in westlichen Staaten antesten.

Aber dass ein Computervirus es bis auf die diplomatische Ebene schafft, das gab es bisher noch nicht.  Stuxnet schaffte das in den letzten Tagen. Stuxnet ist ein Virus, der es vor allem auf Prozessleittechnik von Siemens abgesehen hat, wie sie in Fabriken, Kraftwerken u.ä. eingesetzt wird und der sich vor allem im sonnigen Klima des Irans und in Indien wohlzufühlen scheint, wie das bisherige Verbreitungsschema zeigt.

Analysen des Stuxnet-Codes brachten Erstaunliches zutage. Die Programmierer der Software hatten offenbar sehr gute Kenntnisse in spezifischer Siemens-Technologie. Etwas das nicht unbedingt zum Standard-Repertoire von Schadsoftware-Autoren gehört. Zudem verbauten sie darin mehrere noch unbekannte Ansätze zum Ausnutzen von Sicherheitslücken (zero day exploits). Solche Exploits sind rar und daher auch sehr wertvoll. Sie können am Datenschwarzmarkt durchaus 5-6stellige Summen pro Stück einbringen. Wer immer Stuxnet gebaut hatte  – er war bereit viel Geld dafür aufzuwenden (durch Kauf oder den Verzicht auf den Verkauf der Exploits). Die Stuxnet-Schöpfer haben anscheinend bereits länger an der Schadsoftware gearbeitet und dabei exklusives Wissen genutzt.

Die Sicherheitsfirma Kaspersky Lab erklärte, es handele sich um einen bisher einzigartigen und sehr ausgefeilten Malware-Angriff, der mit fundiertem Wissen um die Industrieanlagensteuerung mit SCADA-Technologie (Supervisory Control and Data Acquisition) durchgeführt wurde. Kaspersky geht deshalb davon aus, dass es sich um einen staatlich unterstützten Angriff handelt.

„Das Verhaltensmuster von Stuxnet deutet darauf hin, dass der Virus offenbar nur in Anlagen mit einer speziellen Konfiguration aktiv wird“, so ein Sprecher von Siemens. Handelt es sich also um einen gezielten Akt von Cyber-Terrorismus, ausgehend von einem Geheimdienst oder einer militärischen Einrichtung? Diese Ansicht wird jedenfalls von der iranischen Regierung vertreten, die sich einer sich rasch ausbreitenden Virenplage auf einer inzwischen fünfstelligen Anzahl Rechnern gegenübersieht. Und zwar nicht auf den Chatbooks burkatragender Facebook-Nutzerinnen sondern auf für das Land wichtigen Prozessrechnern bis hin zur Atomanlage in Buschehr. Vertreter der iranischen Atomenergiebehörde arbeiten daran, den Wurm wieder aus den Rechnern zu entfernen.

Der Beauftragte für Informationstechnologie im iranischen Industrieministerium, Mahmud Liaji äußerte gegenüber der Presse, dass Stuxnet vor allem von Siemens entwickelte Kontrollsysteme angegriffen habe. Demnach knackt Stuxnet Systeme, die Industrieanlagen, Kraftwerke und auch Ölpipelines und -plattformen steuern, und liefert deren Informationen an noch unbekannte externe Empfänger weiter.

Stuxnet scheint demnach eher aufs Spionieren denn aufs Sabotieren ausgelegt worden zu sein. Gut möglich, dass sich da eine ernstzunehmende diplomatische Krise anbahnt. Zumal die iranische Führung aufgrund des weltweiten Drucks auf ihr Atomprogramm ohnehin etwas zur Paranoia neigt.

Noch offen ist, woher Stuxnet kam und wer ihn entwickelt hat. Klassische Motive zum Bau von Schadsoftware wie Internetbetrug, Spamverteilung oder Datendiebstahl zu kommerziellen Zwecken waren offensichtlich nicht Ziel der Entwickler. Und so vermuten auch Experten von Kaspersky, dass Stuxnet der Auftakt zu einem neuen Zeitalter ist: Die Zeit des Cyberterrorismus, der Cyberwaffen und der Cyberkriege, wie es Eugene Kaspersky, Chef und Mitgründer des Unternehmens formulierte. Kaspersky Lab geht daher davon aus, dass Stuxnet ein Prototyp künftiger Cyberwaffen sein könnte und ein inforationelles Wettrüsten in Gang setzen wird.

Ein Wettrüsten, das die Anbieter von IT-Sicherheitslösungen sowie Methoden zu deren Überwindung oder Umgehung zu den Waffenschmieden der informationellen Kriegsführung machen könnte.

Und so fordert General Michael Hayden, ehemaliger Direktor der Geheimdienste CIA und National Security Agency (NSA) bereits eine Ächtung des Cyber-Kriegs. Wahrscheinlich mehr als nur gut informiert darüber, was in den Waffenkammern und Laboren der Welt dazu entwickelt wird. Und wohl wissend, wie locker die US-Regierung sich Waffenächtungen (z.B. der von Landminen oder Streumunition) gegenüber sonst so verhält.

Das Arschgeweih im Internet – von der Langlebigkeit der Daten in sozialen Netzwerken

Das Internet vergisst nichts. Was einmal an Informationen hineingeraten ist, ist nur sehr schwer daraus wieder zu entfernen. Je länger Daten im Netz stehen, desto schwerer sind sie zu löschen, da sie dann schon von anderen weitergetragen, kopiert, zitiert usw. wurden und sich gewissermaßen ins „Langzeitgedächtnis der Welt“ eingebrannt haben. Sammeln sich auf diese Weise genügend Informationen über eine Person an – ob aktuell und zutreffend oder nicht – so kann eine Art „zweite Identität“ dieser Person im Netz entstehen. Und die muss mit dem Original nicht unbedingt allzuviel gemeinsam haben. Sie kann u.U. sogar eine Art „Eigenleben“ entwickeln, wenn  ihr immer mehr Daten zufließen, welche die Suchmaschinen und Aggregatoren zusammentragen.

Das Thema der digitalen Identität bzw. Reputation kann gerade für Jugendliche zur tickenden Zeitbombe werden. Den sie haben ihre berufliche Laufbahn noch vor sich, beginnen sie aber immer häufiger mit einer ansehnlichen Zahl „digitaler Altlasten“, verteilt auf diverse soziale Netzwerke.

Und so startete auch VR-Future, das Jugendportal der Volksbanken und Raiffeisenbanken kürzlich eine Artikelserie zum Umgang mit persönlichen Daten in sozialen Netzwerken. Treffend  verglich deren Chefredakteurin Susanne Dietz solche Daten in ihrer Haltbarkeit mit Körperkunst: „Es ist fast wie bei einer Tätowierung: Man muss sich heute die Frage stellen, ob man mit den veröffentlichten Informationen auch in fünf Jahren noch gut leben kann“. Und ergänzt: „Wir wollen Jugendliche beim Umgang mit sozialen Netzwerken dafür sensibilisieren, nicht unnötig viel von der eigenen Identität preiszugeben. Jeder weiß, dass es ein schlechtes Licht auf ihn wirft, wenn er anrüchigen Gruppen beitritt oder etwas veröffentlicht, was andere verunglimpft. Aber auch künftige Arbeitgeber nutzen soziale Netzwerke zu ihrer Information – so kann aus einem Jugendspaß schnell eine Spaßbremse für die eigene Karriere werden. Außerdem sollte Jugendlichen klar sein: Das Internet vergisst nie, denn Online-Dienste wie web.archive.org liefern auch nach Jahren noch alte Daten, die man selbst für gelöscht hielt“.

Es lohnt sich also, sich zum einen eine Strategie im Umgang mit sozialen Netzwerken zurechtzulegen: Was will man dort erreichen? Welche Ziele sollen mit den dort bereitgestellten persönlichen Informationen verfolgt werden? Und sich zum anderen intensiv mit den Datenschutzmöglichkeiten sowie den Methoden zu befassen, mit denen Informationen in dem jeweiligen System geschützt und gezielt für bestimmte Zielgruppen verfügbar gemacht oder gesperrt werden können. Auch hier gilt wieder der Grundsatz, dass das was „draußen“ ist, kaum mehr wirksam zurückgeholt werden kann.

Für die beiden weit verbreiteten sozialen Netzwerke Facebook und StudiVZ haben die Leute von VR-Future Leitfäden von Klicksave.de, einem EU-Projekt zum Thema Sicherheit für Verbraucher und Endnutzer im Internet, verlinkt. In ihnen lässt sich von der Einstellung der Zugriffsrechte auf das persönliche Profil über den Umgang mit Freundeslisten bis hin zur Verwendung von Zusatzapplikationen (Apps) alles nachschlagen, was für den bewussten und datensparsamen Umgang mit Facebook bzw. StudiVZ wichtig ist.

Klicksave.de – Facebook-Leitfaden

Klicksave.de – StudiVZ-Leitfaden

Clickjacking – der entführte Mausklick

Eine (nicht mehr ganz so) neue Angriffsmethode auf die Daten argloser Internetnutzer hinterlässt zunehmend Spuren in der Fachpresse: das Clickjacking.

Beim Clickjacking werden durch manipulierte Codeteile in Webseiten deren Nutzer dazu gebracht, durch Mausklicks Aktionen vorzunehmen, die tatsächlich zu ganz anderen Auswirkungen führen können, als es erwartet und angezeigt wurde.

Ein vereinfachtes Beispiel: Ein Nutzer klickt auf einen „Gefällt mir“-Button auf irgendeiner Webseite. Die erwartete Funktion besteht darin, dass nun die Webseite im Nachrichtenfluss der  Facebook-Freunde dieses Nutzers erscheint. Tatsächlich hat er aber in einem (optisch unsichtbar gemachten) Menü einen Link mit der Funktion „Webcam meines Rechners für den Zugriff von außen freischalten“, „Inhalt meines Mailadressbuchs an Adresssammelserver X schicken“ oder gar „Schadsoftware X im Hintergrund runterladen und installieren“ angeklickt.

Alles so vorbereitet und automatisiert dass es der Nutzer nur noch abnicken, äh -klicken muss. Da nur wenige Nutzer dazu zu bewegen sind, das freiwillig zu tun, muss es ihnen unbemerkt untergeschoben werden. Dabei hilft das Clickjacking. Technisch ist es bereits seit längerem kein Problem mehr, Webseiten mit für den Leser unsichtbaren Komponenten „anzureichern“, die im Hintergrund Aktivitäten entfalten. Dazu zählen z.B. Zählpixel auf Nachrichtenseiten, mit deren Hilfe Verwertergesellschaften abschätzen können, wie hoch der Anteil des einzelnen Urhebers an einem zu verteilenden Tantiementopf ausfällt. Oder im Hintergrund unbemerkt aufgebaute Verbindungen zu Werbemittelservern, die abhängig von ihnen übermittelten statistischen Nutzerdaten bestimmte Werbebanner ausliefern.

Zum Teil werden diese Funktionen von aktivem Programmcode, sog. „Scripts“, bewerkstelligt, die der Browser mit der Webseite herunterlädt und dann beim Rendern der Daten auf dem lokalen Rechner ausführt.

Für geplante böswillige Manipulationen und Attacken auf Nutzer werden die Webseiten entweder gezielt dafür erstellt und die Links darauf in Spam-Mails oder per Social-Media verbreitet. Oder aber es werden bekannte Webseiten, z.B. Nachrichtenportale möglichst unbemerkt gehackt und der Schadcode in sie eingebaut. Ein besonders beliebtes Ziel für Clickjacking-Angriffe sind Social-Media-Plattformen wie Facebook, Twitter oder XING, da dort die Nutzer ständig und in Größenordnungen selbst erstellte Inhalte verbreiten können, die dann in den Browsern (und auf den Rechnern) anderer Nutzer landen.

Doch wie genau wird nun der Anwender dazu gebracht, eine für ihn nachteilige Aktivität auszulösen?

Immer wieder gern genommen werden dafür iFrames (inline frames). Das sind HTML-Codeelemente mit denen sich Inhalte anderer Quellen (z.B. die bereits erwähnten Schadcodefragmente) in Webseiten einfügen lassen. Das kann dann auch ein Javascript sein, dass mit einem anklickbaren aber unsichtbaren Bedienelement unbemerkt dem Mauszeiger folgt. Der Anwender wird also, egal ob er auf Ja, Nein, den Rand oder sonst einen Bereich klickt, immer den Angriff auslösen – daher der Name „Clickjacking“.

Der Ansatzpunkt für Schutz gegen Clickjacking besteht also darin, es nur vertrauenswürdigen Webseiten zu gestatten, aktive Inhalte wie Scripts auf den eigenen Rechner zu übertragen und dort zur Ausführung zu bringen. Dabei können browserspezifisch getroffene Sicherheitseinstellungen in aktuellen Webbrowsern helfen. Oder auch PlugIns wie NoScript für Firefox, dass es dem Nutzer erlaubt jeder Website genau „auf die Finger zu sehen“ von woher sie welche Inhalte bezieht und es ihr für jeden Inhalt und jede Quelle einzeln zu erlauben oder zu verbieten. Speziell NoScript wurde erst kürzlich um Filterfunktionen für unsichtbare Inhalte wie sie mit Clickjacking-Attacken einhergehen erweitert.

Allerdings hat diese Vorgehensweise auch zwei Nachteile:

1. Ein Großteil der Webseiten funktioniert ohne Scripts nicht oder zumindest nicht richtig. Man kommt also ohne Prüfungen im Einzelfall sowie überlegtem Wählen von Sicherheitseinstellungen nicht herum – je nachdem welche Seiten man regelmäßig benutzt und wie gut der Schutz sein soll.
2. Man muss wissen was man tut.

Deutlich weiter reichen die Möglichkeiten für Unternehmen, um ihre Arbeitsplatzrechner vor scriptbasierten Attacken zu schützen.

Zeitlich begrenzte Sitzungen: Webapplikationen, bei denen der User ständig eingeloggt bleiben kann – wie z.B. bei Facebook – sind sehr anfällig für Clickjacking-Attacken. Deshalb sollten Anwender in regelmäßigen Abständen bzw. nach einer gewissen Zeit der Inaktivität automatisch abgemeldet werden. Oft beenden Anwender auch ihre Sitzungen nicht durch Abmelden sondern durch Schließen des Browserfensters. Die Sitzung bleibt dann im Hintergrund noch offen und kann ggf. von Dritten unbemerkt übernommen werden (z.B. durch Session Hijacking).

Anti-Spam-Maßnahmen: Clickjacking beginnt damit, dass der User zum Aufrufen gefährlicher Webseiten verleitet wird. Das geschieht häufig über Spam-Mails mit darin enthaltenen Links. Werden die Müllmails durch einen wirksamen Spamschutz gefiltert, nimmt diese Bedrohung bereits deutlich ab.

Gefilterte Webzugriffe: Web-Filter am Proxy-Server eines Unternehmens können Schadcodeverteilseiten blockieren oder User zumindest davon abhalten, gefährliche Seiten zu besuchen, die vielleicht Clickjacking-Code beinhalten. Wahlweise können sie Schadcodefragmente zu erkennen versuchen (heuristischer Filter) oder rein sperrlistenbasiert den Zugriff auf bestimmte Seiten blocken. Beides arbeitet allerdings nicht wirklich zuverlässig. Weder erkennt die Heuristik alles, noch sind die Sperrlisten stets aktuell und vollständig.

Webapplikationen vor Clickjacking-Scripts schützen: Web Application Firewalls können den gesamten Inhalt einer Website nach verdächtigem Code durchforsten und machen es Angreifern so sehr schwer, seinen Schadcode auf der Webseite einzuschleusen. Die Schutzmaßnahme der Wahl für Seitenbetreiber, die um ihren Ruf fürchten, wenn ihnen Hacker Schadcode unterschieben, der dann an die Kunden des Unternehmens verteilt wird.

Webanwendungs-Formulare schützen: In Webseiten mit Foren, Kommentarfunktionen und anderen Möglichkeiten für Nutzereingaben können  Web Application Firewalls dafür sorgen, dass diese Eingaben nicht ungeprüft und ungefiltert in nachgelagerten Systemen verarbeitet und weiterverbreitet werden.

Erneut geht es also um ein Hase-und-Igel-Spiel zwischen Angriff und Abwehr.

Wie Manager ihre CISOs sehen

Chief Information Security Officer (CISO) – so lautet in meist größeren Organisationen der klangvolle Titel des IT-Sicherheitsbeauftragten. Und dieser hat dort einen oft heiklen Job zu erledigen. Soll er doch einerseits das sachlich notwendige und rechtlich geforderte Niveau an Informationssicherheit aufrecht erhalten. Und dabei möglichst wenig Geld ausgeben sowie die reguläre Geschäftstätigkeit nicht unnötig behindern.

Es liegt auf der Hand, dass unterschiedliche Persönlichkeiten von IT-Sicherheitsmanagern dabei auch unterschiedlich an ihre Aufgaben herangehen. Und so konnte die Markforschungsagentur known_sense bei einer Befragung etlicher oberer Führungskräfte deutscher Unternehmen im Laufe des letzten Jahres interessante Details über deren Sicht auf ihre CISOs zutage fördern.

Die CISOs sollen möglichst Entwicklungen gestalten, den permanenten Wandel im Unternehmen bewältigen, dabei Stabilität sowie die Einhaltung von Regeln und Abläufen gewährleisten. Dabei sollen sie auf Gefahren reagieren, sind jedoch durch notwendige Sicherheitsbestimmungen selbst eingeschränkt, sollten sich nicht auf eine rein blockierende „So geht’s nicht“-Position zurückziehen, müssen aber dennoch den Sicherheits-GAU stets vor Augen haben. Klingt nach einem jener Jobs, bei denen Widerspruchstoleranz, Belastbarkeit und Konfliktfähigkeit bereits in die Stellenbeschreibung hineingehören.

Zu solchen Positionen gehören notwendigerweise auch Macht und Befugnisse, welche geeignet sind, bei zielgerechtem Einsatz zur Durchsetzung sicherheitstechnischer Notwendigkeiten auch Konflikte mit Linienmanagern zu provozieren.

Dabei kristallisierten sich vier „Grundtypen“ von CISOs heraus, wobei jedoch in der Praxis die wenigsten IT- Sicherheitsmanager sich rein einem Typ zugehörig fühlen dürften. Die vier Grundtypen des CISOs:

Der selbstbewusste Vermittler
Er hat ein ausgeprägtes fachliches Know-how und ausgeprägte kommunikative Fähigkeiten. So kann er auf Augenhöhe mit der Geschäftsführung verhandeln. Allerdings gerät er so auch in Macht- und Konkurrenzsituationen hinein, die er für sich entscheiden muss, um nicht unterzugehen.

Der kompetente Sicherheitsspezialist
Er ist fachlich sehr kompetent und ein guter Berater und Unterstützer für Führungskräfte und Mitarbeiter. Allerdings fehlen ihm kommunikative Fähigkeiten. Außerdem neigt er dazu technische Insellösungen zu entwickeln, die auf längere Sicht hin unnötige Probleme und Kosten nach sich ziehen können.

Der mahnende Kontrolleur
Er ist ein wachsamer, verlässlicher und fürsorglicher IT-Sicherheitsmanager, der u.a. durch Mitarbeiterschulungen und das Etablieren von Standards zur Informationssicherheit im Unternehmen beiträgt. Allerdings gehören ein guter Schuss Paranoia sowie ein Hang zur Übertreibung (von Sicherheitsrisiken) zu seinem Handeln.

Der Streiter für die IT-Sicherheit
Er ist eine anerkannte Instanz im Unternehmen und tritt auch so auf. Er kann Vertrauen schaffen und steht für „die sichere Seite“. Allerdings ist er auch ein Bremser und Verzögerer. Innovationen sind nicht seine Stärke und Markttrends können ihn schon mal überholen.

Die Macher von known-sense ziehen daraus den Schluss, dass Manager und CISOs als Mit-Gestalter des Unternehmens sich kraft ihrer jeweiligen Befugnisse schon mal in die Quere kommen können.

Dabei können Führungskräfte und IT-Sicherheitsmanager jedoch auf Dauer nur gemeinsam und als Team erfolgreich auskommen. Zu groß sind – Stichworte Governance, Risk & Compliance – die gegenseitigen Abhängigkeiten inzwischen geworden.

In der Aus- und Weiterbildung von CISOs sollten daher auch deren Managementkompetenzen (Strategie, Taktik, Psychologie, soziale Kompetenzen) gestärkt werden, um ihnen ein erfolgreicheres Handeln auf Geschäftsführungs- und Vorstandsebene zu ermöglichen.

Eine Kurzzusammenfassung der Studie kann man sich bei known_sense kostenlos herunterladen (PDF, 1,3 MB), das vollständige Werk gibt es für 380 € dort zu bestellen.