rating service  security service privacy service
 
2019/09/14 ÖVP-Hackeraffäre - Legende ist bestenfalls unglaubwürdig
bisher bekannte Angriffsszenarien lassen auf Steinzeit-EDV schließen - fahrlässiger oder sogar grob fahrlässiger Umgang mit Daten - Österreich weiter gefordert endlich an moderne Informationsgesellschaft anzuschließen - weiterhin Kompetenzdschungel in der Cyber-Defense

Unglaubwürdige Angriffsszenarien

Die ÖVP - so die selbst gebaute Legende - sei über mehrere Wochen Ziel eines Hackerangriffs geworden, bei dem es gelungen sei zumindest ein Administrator-Passwort zu stehlen, Logdateien zu manipulieren und verfälschte Daten an Stelle der richtigen Daten zu plazieren.

Es ist hoch an der Zeit diese Legende bezüglich ihres informationstechnischen Wahrheitsgehalts zu bewerten.


Hackerangriff

Jedes österreichische Unternehmen mit Internetanschluss wird jeden Tag im Schnitt einige hundert Mal "angegriffen". Meist sind es mehr oder minder geglückte Versuche alte Schwachstellen systematisch auszuspähen. Ziel eines Hackerangriffs zu sein ist somit nicht die seltene Sensation, sondern der Normalfall. Entscheidend ist die erfolgreiche Abwehr oder zumindest das rasche Erkennen. "Ziel eines Hackerangriffs zu sein" sagt somit überhaupt nichts aus, darüber könnten sich alle Firmen täglich beklagen.


Stehlen eines Administrator-Passwortes

Es ist zumindest seit 10 Jahren Stand der Technik in zentrale Informationssystemen eine 2-Faktor-Authentisierung zu verwenden. In der Regel ist es ein Passwort + zusätzliche Hardware, wie Smartcards, Token oder Smartphones. Ein Angreifer müsste dann Passwort + Hardware stehlen, was wohl auch dem dümmsten Administrator nach wenigen Stunden auffallen sollte.

Bei Hochrisiko-Systemen wird in der Regel noch das Vier-Augen-Prinzip angewandt. Kritische Aktionen müssen von zwei Personen gemeinsam durchgeführt werden.

Nicht ohne Grund hat die EU seit kurzem im Bankingbereich auch für Endkunden die 2-Faktor-Authentisierung verpflichtend vorgeschrieben. Offenbar wurde keine dieser Maßnahmen bei der ÖVP beachtet.


Manipulieren von Logdateien

Es ist seit vielen Jahren Stand der Technik, Logdateien nicht direkt auf den Systemen abzuspeichern, auf denen sie angefallen sind. Im Idealfall werden sie in einem völlig anderen Rechenzentrum gespeichert. Hier bieten sich Cloud-Lösungen an.

Ein Angreifer müsste daher vor seiner eigentlichen Attacke den Logging-Standort kennen und manipulieren, damit er später Spuren verwischen kann. Das ist ohne Insiderwissen nicht machbar.

Alternativ könnte ein Angreifer versuchen das Erzeugen von Logdateien zu verhindern und damit Spuren verwischen. Dies fällt jedoch in einem geordneten IT-Betrieb innerhalb kürzester Zeit auf und führt zu einem Alarm.

Üblicherweise erfolgen Loggings nach Kategorien der Schwere der Störung und Kategorien wie "Alert", "Emergency" oder "Critical" führen zu sofortigen Benachrichtigungen der verantwortlichen Personen. Nichts von alle dem wurde offenbar in der ÖVP umgesetzt.


Wochenlang unbemerkt

Es ist Stand der Technik eine Betriebsüberwachung zu betreiben, die sowohl das operative Geschäft, laufende Dienste, Anomalien im Betrieb, als auch klassische Angriffe erkennt und anzeigt. Je nach Größe eines Computernetzes sind zwischen 500 und mehreren Tausend Prüfpunkte erforderlich, die alle paar Minuten geprüft werden. Bei einem so kleinen System wie bei der ÖVP wird man schon mit 500 Checks auskommen.

Stand der Technik ist es auch, eine derartige Überwachung redundant zu betreiben, in der Regel durch ein inneres und ein externes Überwachungssystem.

Entscheidend an derartigen Betriebsüberwachungen ist die Berücksichtigung von Anomalien, wie angehäufte Zugriffe von entfernten IP-Adressen, Zugriffe zu ungewöhnlichen Uhrzeiten oder auch ungewöhnliche interne Verbindungen. In der Regel lassen sich dadurch Vorbereitungshandlungen erkennen und abstellen. Zusätzlich umfasst ein deratiges System ein effiziente Verständigung über mehrere Kanäle (eMail, SMS, ...).

Wenn nur geringe Teile davon umgesetzt sind, bleibt das unerwünschte wochenlange Einnisten eines Angreifers nicht unbemerkt. Offenbar wurde davon nichts in der ÖVP umgesetzt.


Ersetzen echter Daten durch verfälschte

Es ist Stand der Technik wichtige Dokumente durch Signatur-, Hash- und Zeitstempelverfahren gegen unerwünschte Veränderung zu schützen. Derartige Systeme gibt es in allen Preisklassen und Qualitätsstufen, die besten Verfahren sind eIDAS-konforme Signatur- und Zeitstempelverfahren, wie sie die EU vorsieht.

Diese Verfahren erlauben es fälschungssicher festzustellen, welchen Inhalt ein Dokument zu einem bestimmten Zeitpunkt hatte. Offensichtlich wird keine dieser Techniken bei der ÖVP eingesetzt.


Firewall und Virenscanner sind nur unterstes Sicherheitsniveau

In der öffentlichen Diskussion und durch die Hersteller werden Virenscanner und Firewalls als Non-Plus-Ultra der IT-Sicherheit dargestellt. Allenfalls wird empfohlen möglichst oft Sicherheitsupdates zu machen.

Faktum ist, diese Maßnahmen sind bestenfalls unterstes Sicherheitsniveau, fehlerhaft angewandt können sie mehr Schaden als Nutzen anrichten.

Stand der Technik sind mittlerweile Intrustion-Dedection, das Erkennen unerwünschter Zugriffsversuche, laufende Logginganalyse, Schwachstellenscan, Netzwerksegmentierung und die Analyse von Anomalien.

Zentrale Bedeutung kommt Definition des Normalbetriebs und die Analyse von Anomalien zu. Das betriebliche Geschehen jedes Unternehmens ist höchst individuell und stellt den Fingerprint des IT-Betriebes dar. Dieser Fingerprint kann von Angreifern von außen de facto nicht unbemerkt ausgespäht oder erraten werden. Hackversuche führen rasch zu Anomalien und damit zu Alerts.

Freilich sind alle Maßnahmen nutzlos, wenn nicht ein effizientes Überwachungs- und Benachrichtigungssystem installiert ist mit laufender Betriebsüberwachung, einem Meldungssystem und täglich tiefergehende Analyse.


Kleine Checkliste zur Mindestsicherung

Unternehmen die Opfer von "Hacker-Attacken" sind, sollten folgende Fragen beantworten können:
- Wie ist das Logging gemäß Stand der Technik organisiert?
- Wird das Logging regelmäßig geprüft? Wie oft?
- Haben alle kritischen Bereiche eine 2-Faktor-Authentifizierung?
- Gilt bei kritischen Aktionen das 4-Augen-Prinzip?
- Sind wichtige Dokumente mit Zeitstempel, Signatur- und Hahsverfahren gesichert?
- Wie ist eine effizente Betriebsüberwachung organisisert?
- Erfolgen zu allen kritischen Vorfällen effiziente Benachrichtigungen?
- Sind Normalbetrieb und seine Abweichungen ausreichend definiert?
- Wird nach Abweichungen aktiv gesucht?
- Werden ausreichende Intrution-Dedektion-Systeme eingesetzt?
- Sind die Funktionen und Netzwerke nach dem Stand der Technik gegliedert?
- Werden Schwachstellenscans regelmäßig durchgeführt?


Bescheidene Rolle des Bundeskriminalamts (BKA)

Nicht zu beneiden ist das BKA, das mit einer "Hacker"-Affäre konfrontiert ist und den kriminellen Täter identifizieren soll. Wenn jedoch Informationssysteme nicht nach Stand der Technik betrieben werden, gibt es keine verwertbaren Spuren. Hier ist die Politik gefordert endlich Mindeststandards für den Betrieb vorzugeben.

Leider gibt es in Österreich keine funktionierende Sicherheitsszene. Die staatlichen Bemühungen sind hoffnungslos zwischen den Ministerien und den Ländern zersplittert. Das Ergebnis sind zahlreiche 1-5 Personen-Teams, die sich bestenfalls auf Google- und Newsletter-Niveau mit Hackerangriffen beschäftigen. Ein funktionierendes Cyber-Team, dass tatsächlich initiativ werden kann, wird nicht unter 100 Spezialisten möglich sein.


Österreich hinkt internationaler Entwicklung (hoffnungslos) hinterher

Während andere EU-Staaten längst die Verwendung von Zeitstempeldiensten und digitaler Signatur bei der Verwaltung wichtiger Betriebsunterlagen, wie Bilanzen, Verträge, Rechnungen, Angeboten oder Mitteilungen an die Behörden einfordern, ist nicht davon in Österreich umgesetzt.

Hans G. Zeger, Obmann ARGE DATEN: "Was in Ungarn und Polen längst Verwaltungspraxis ist, sollte auch in Österreich möglich sein. 60-90% aller Missbrauchs- und Betrugsversuche, von BUWOG angefangen wären längst aufgeklärt, würden die zugehörigen Dokumente nach dem Stand der Technik verwaltet."


Anpassung der Informationsregeln an digitales Zeitalter überfällig

Auch die Informationspflichten der Unternehmen sollten an das digitale Zeitalter angepasst werden. Statt - leicht verfälschbare - Textinformationen über Unternehmen sollten diese verpflichtet werden Ihre Unternehmens-Daten signiert, also fälschungssicher in jedem eMail, jeder Website oder jeder anderen digitalen Nachricht zu übermitteln. 90% des Phishing- und Rechnungsbetrugs unter dem zehntausende Österreicher leiden, könnte damit vermieden werden.


Resüme

Jeder Hackerangriff ist eine kriminelle Aktion, es liegt aber auch in der Verantwortung von Betreibern derartige Aktionen nicht (grob) fahrlässig zu begünstigen. Oder war das ganze doch so erwünscht?


Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster