Die Enthüllungen durch Edward Snowden seit Juni 2013 sorgen zwar in den Medien immer wieder für Schlagzeilen, im deutschen Mittelstand hält sich die Betroffenheit aber noch in Grenzen. Weder in der Jahresplanung 2014 noch im lauschigen Kamingespräch lassen die Firmenlenker und Web-Verantwortlichen durchblicken, dass sie sich ernsthafte Sorgen machen.
Wir (in meiner Firma bei tripuls) sehen das anders: nachdem immer detaillierter bekannt wird, wie die Geheimdienste an Daten herankommen, werden diese Lücken zunehmen von „gewöhnlichen“ Kriminellen, Spionen und Saboteuren genutzt werden. Fünf große Bereiche werden dabei die Hauptrolle spielen.
Windows XP & Office 2003
Am 8. April 2014 stellt Microsoft den Support für Windows XP und Office XP (vulgo: Office 2003) ein. Jede Firma, die diese Produkte noch produktiv nutzt, handelt grob fahrlässig – und das dürften nicht wenige sein: erst kürzlich kam heraus, dass ein Großteil der deutschen Geldautomaten noch damit laufen. Die Gefährdungslage ist kaum zu unterschätzen, denn Windows XP kann mit einfachsten Handgriffen aufs Kreuz gelegt werden.
Datenklau aus Webshops
Schon seit Jahren bemerken wir einen gewissen Zweckoptimismus bei den Betreibern von Webshops. Frei nach dem Motto „Hauptsache, der Shop läuft“ werden Updates zwar mehr oder weniger regelmäßig eingespielt, ein echtes Sicherheitskonzept oder gar Einbruchstests beauftragen nur wenige. Allzu lang wird diese Haltung nicht mehr gut gehen, denn allein die kürzlich entdeckten xt:Commerce-Lücken und der spektakuläre Diebstahl von 40 Millionen Kreditkartendaten beim US-Händler Target mitten im Weihnachtsgeschäft haben klar gezeigt, wie existenziell Datensicherheit für einen Webshop ist.
Ungeziefer auf dem Smartphone
Dass Viren und Trojaner auf Android-Smartphones leichtes Spiel haben, ist ja allgemein bekannt. Seit kurzem wissen wir aber, dass auch die Apple-Fraktion um die Sicherheit ihrer Telefone bangen muss. Die bis zu 6 Jahre alten Snowden-Dokumente geben jedenfalls einen ganz guten Einblick, was nötig ist, um ein iOS-Gerät zu missbrauchen. Basierend auf diesem Wissen werden zahlreiche Cracks neue Angriffswege finden und ausprobieren.
Das Internet der Dinge
Intelligente Stromzähler, vernetzte Fernseher und Feuermelder powered by Google – das alles ist Fakt im Jahre 2014. Das Problem an dieser Entwicklung ist, dass die Produzenten von Stromzählern, Fernsehern und Feuermelder keinen Plan vom Internet haben. Stattdessen wird die IT einfach angeflanscht – und hinterher wundert man sich, was alles schief laufen kann. Wir gehen davon aus, immer öfter von gehackten Stromzähler, spionierenden Fernsehern und allwissenden Feuermeldern zu hören. Sogar Kühlschränke sollen schon beim Spam-Versand erwischt worden sein.
Geld her oder Daten weg
Prozessoren, Mainboards und Festplatten werden seit Jahren zunehmend mit verschlüsselungstauglicher Hardware ausgeliefert. Während Privatleute diese Funktionen kaum kennen und (gefühltermaßen) selten aktiveren, werden Trojaner-Programme sie in Zukunft vermehrt nutzen. Binnen kürzester Zeit wird dann die Fotosammlung oder gleich die ganze Festplatte in Geiselhaft genommen – und ein Lösegeld erpresst. In den letzten Jahren sahen wir zwar schon einige zaghafte Versuche, die aber technisch eher simpel realisiert waren. Doch seit 2013 kam mit Cryptlocker eine Ransomware ans Licht, die sich nicht ohne weiteres wieder entfernen ließ.
Der Weg ist das Ziel
In den heimischen vier Wänden käme kein deutscher Mittelständler auf die Idee, sein Hausdach gegen einen Flugzeugabsturz zu sichern. Andererseits wird derselbe Mensch nachts die Haustür schließen, vielleicht sogar abschließen. Und genau wie auch zu Hause geht es in der IT nicht darum, absolute Sicherheit zu bekommen, es geht um einen angemessenen Schutz.
Seit Juni 2013 wissen wir, was der NSA vor 6 Jahren möglich war, so alt ist ein Gutteil der Dokumente. Die Methoden werden öffentlich seziert und diskutiert – und sie werden selbstverständlich von böswilligen Menschen zu deren Vorteil genutzt werden.
Und ganz davon ab, was alles böses über das Internet kommen kann: auch firmenintern ist der Schutz der IT neu zu überdenken. Immerhin kann mittlerweile jeder PC-Laie bei Amazon für kleines Geld USB-Keylogger kaufen, die jedes Passwort einfach mitspeichern. Wann haben Sie das letzte Mal hinter Ihren PC geschaut?
Ausblick
Wir bei tripuls können nicht ihre Probleme mit dem USB Keyloggern lösen – sorry ;-). Unser Fokus ist das Web, da sind wir gut. Wir leisten Beratung, Security Review Services, regelmäßige Update-Zyklen und Testings. Wir arbeiten bevorzugt präventiv, sind aber auch zur Stelle, wenn das Kind in den Brunnen gefallen ist.
Pingback: Einbruch in xt:Commerce 3? Gar kein Problem… – Andreas W. Ditze