Wie die NSA zentrale IT-Systeme angreift – und wie Sie sich schützen!

Im NSA-Report der Unternehmensberatung Corporate Trust wurden erstmalig die Dokumente der NSA-Whistleblower nicht vor einem gesellschaftspolitischen Hintergrund, sondern auf ihre Aussagekraft für die IT-Sicherheitslage in der deutschen Wirtschaft untersucht. Im ersten Teil dieser dreiteiligen Serie beleuchteten die Autoren des Reports die Spionageziele sowie die technische und organisatorische Vorgehensweise der NSA. Teil 2 gibt nun einen Ausblick auf die Fähigkeiten der NSA in naher Zukunft und erläutert, wie sich dies auf die aktuelle Firmenpolitik deutscher Unternehmen auswirken sollte. Teil 3 ordnet die NSA-Aktivitäten in einen internationalen Kontext ein.

Die Fähigkeiten der NSA, die durch Snowdens Dokumente bekannt wurden, haben die Welt beeindruckt. Die meisten technischen Dokumente stammen jedoch aus den Jahren 2007 bis 2010. Dass die NSA ihre Technologien auf die seitdem hinzugekommenen Smartphones und Apps adaptiert hat, gilt als sicher; als Beweis dafür kann auch der aktuelle Vault-7-Leak dienen. Die folgenden Beispiele sollen dies verdeutlichen.

Beispiel 1: Startpunkt des NSA-Skandals war PRISM. Mit diesem Projekt verschaffte sich die NSA Zugriff auf die Produkte aller großen amerikanischen Internetdienste: Microsoft, Google, Facebook, YouTube, Skype, AOL und Apple. Katalogisiert werden Suchanfragen, Chats, E-Mails, Telefonie (Voice-over-IP), Videos und sonstige Daten (Prism Case Notations, Grafik 1). Das Wissen über PRISM stammt aus dem Jahr 2010. In den vergangenen sieben Jahren ist die Cloud-Nutzung in Firmen laut verschiedenen Umfragen von zehn bis 20 Prozent auf über 50 Prozent gestiegen - das heißt, immer mehr IT-Systeme werden in großen Rechenzentren konzentriert.

Es ist davon auszugehen, dass die NSA mittlerweile jedes größere Cloud-Rechenzentrum mit geeignetem Equipment implantiert hat, um eine Komplettüberwachung sicherstellen zu können. Dies dürfte sich kaum auf die USA und ihre Partnerländer beschränken: Angesichts der technischen Fähigkeiten der NSA ist mit einer zumindest unfreiwilligen und mittelbaren Implantierung (zum Beispiel durch manipulierte Router) bei jedem Cloud-Provider weltweit zu rechnen.

COMPUTERWOCHE-Serie NSA-Report:

Teil 1: Wikileaks und die Folgen für die IT-Sicherheit in Deutschland

Teil 2: Wie die NSA zentrale IT-Systeme angreift - und wie Sie sich schützen!

Teil 3: Deutschland ist auf Cyber-Angriffe schlecht vorbereitet

NSA greift Server, Clients und Netzwerke gezielt an

Beispiel 2: Jeder Prozessor besitzt mehrere Ebenen, auf denen er Programme ausführen kann. Dabei kann jeweils die übergeordnete Ebene auf die unteren Ebenen zugreifen. Dies soll den Betriebssystemkern, die Treiber und normale Software voneinander trennen. Moderne Prozessoren kennen jedoch unter der Betriebssystemebene noch den Systemmanagement-Modus, mit dem bestimmte Hardwarefunktionen gesteuert werden können. Aus den Snowden-Leaks wissen wir, dass die NSA für Dell-Server (Projekt "Deitybounce") seit 2006 und für HP-Server (Projekt "Ironchef", siehe Grafik 2) seit 2007 die Möglichkeiten hat, durch Manipulation des BIOS dauerhaft und unbemerkt vom Betriebssystem eigene Programme auszuführen.

Mit zunehmender Verbreitung von Windows 8 und 10 ist die Verwendung eines Standard-UEFI-BIOS mittlerweile der Regelfall geworden. Neu sind die Zugriffsoptionen auf das Netzwerk und die Möglichkeit, während der gesamten Nutzung des Rechners Codeteile auch parallel zum Betriebssystem auszuführen. Hinzu kommt, dass nahezu alle UEFI-Versionen auf die gemeinsame Codebasis Intel TianoCore zurückgreifen. Es ist davon auszugehen, dass Geheimdienste auf dieser Grundlage über Softwareimplantate für faktisch jede Plattform (Server oder Clients) verfügen. Die jüngsten Vault-7-Leaks zu den Praktiken der CIA geben einen Einblick, wie fortgeschritten diese Angriffstechnologie bereits ist.

NSA, CIA und Co. entwickeln Waffen für den Cyber-Raum

Ebenso wie verschiedene andere Dienste und Militäreinheiten auf der ganzen Welt nutzt auch die NSA ihr technisches Know-how, um "Waffen" für ihre Operationen im Cyber-Raum zu produzieren. Dabei handelt es sich um Softwarestücke, mit denen man in geschützte IT-Systeme eindringen, Informationen stehlen oder Computer lahmlegen kann, im Fachjargon "Exploits" genannt. Da diese Waffen im Einsatz von verschiedenen Personen benutzt werden sollen, sind sie in der Bedienung möglichst einfach und entsprechend gut dokumentiert.

Die Wertigkeit einer Cybereinheit bemisst sich an der Anzahl und Qualität der Exploits in ihrem Arsenal. Das Potenzial dieser Cyberwaffen wächst mit jeder neuen IT-Revolution und wird im Zeitalter von Industrie 4.0, selbstfahrenden Autos, computergesteuerten Stromnetzen und dem "Internet of Things" die Zerstörungskraft von Atomwaffen erreichen. Cyberwaffen besitzen jedoch eine ganze Reihe weiterer besonderer Eigenschaften: Manche hinterlassen Spuren, durch deren Analyse sich die Idee hinter der Waffe herausfinden lässt; ein Experte kann sie dann nachbauen oder eine Verteidigungsmöglichkeit dagegen entwickeln. Damit besteht die Gefahr, dass eine solche Waffe durch ihren Einsatz in falsche Hände gerät oder nutzlos wird. Außerdem ist eine Cyberwaffe am Ende einfach nur ein Stück Software und kann demnach leicht kopiert werden. Bricht also ein Hacker in das Netzwerk einer Cybereinheit ein, kann er deren gesamtes Waffenarsenal stehlen.

Hacker stehlen Cyber-Waffen und verkaufen sie weiter

Dies ist bereits Realität: Eine Gruppe namens "Shadow Brokers" verkaufte im Jahr 2016 Cyber-Waffen einer NSA-Einheit an den Meistbietenden. Und auch in den Vault-7-Leaks sind einige Cyberwaffen enthalten. Solange staatliche Cyber-Einheiten überall auf der Welt aufrüsten und gleichzeitig Hackergruppen deren Arsenale stehlen können, wird sich die Wirtschaft ständig hochentwickelten Cyberwaffen gegenübersehen.

Oft wird behauptet, gegen die NSA bzw. gegen Cyberwaffen dieser Qualität könne man sich nicht schützen - das ist nicht korrekt. Fakt ist: Um sich gegen die NSA zu schützen, muss man mit mehreren gängigen Paradigmen brechen.

NSA-Angriffe: Wie Unternehmen ihre Kronjuwelen schützen

Ein Schutz gegen Angreifer auf dem Niveau der NSA ist nicht für alle Daten und Applikationen möglich. Realistisch gesehen kann ein Unternehmen höchstens ein bis zwei Prozent seiner Informationen auf dieser Ebene absichern - wir sprechen also vom Schutz der "Kronjuwelen". Diese müssen dementsprechend zuerst identifiziert werden.

Die IT eines Unternehmens muss dafür Zugeständnisse machen: Kosten, Verfügbarkeitsanforderungen und Benutzerfreundlichkeit müssen gegen den Schutz der Vertraulichkeit abgewogen und ein Kompromiss gefunden werden. Auf 98 Prozent der Daten trifft dies weiterhin zu; für die Kronjuwelen gelten folgende drei Regeln:

1) Vertraulichkeit kommt vor Verfügbarkeit.

2) Die Benutzerfreundlichkeit muss mindestens so hoch sein wie in der "normalen" IT.

3) Die Kosten für Konzeption, Anschaffung und laufenden Betrieb müssen akzeptabel sein, dürfen aber - relativ zur Größe der Umgebung - höher sein als in der normalen IT.

Hinzu kommen einige operative Veränderungen: Alle Benutzeraktivitäten rund um die Kronjuwelen werden vollständig aufgezeichnet, sind komplett rückverfolgbar und die Protokolldateien werden auf unbestimmte Zeit archiviert. Es findet keine Anonymisierung statt - dies wird jedem User klar mitgeteilt und alle müssen dem explizit zustimmen. Jeder Benutzer muss außerdem eine gesonderte Vertraulichkeitserklärung unterzeichnen und ein polizeiliches Führungszeugnis vorlegen. Alle Berechtigungen werden für maximal sechs Monate vergeben und verlieren zum Ende dieses Zeitraums automatisch ihre Gültigkeit.

Alle ausgehenden bzw. verarbeiteten Daten werden protokolliert und verifiziert (Full Data Loss Prevention). Administratoren können nicht auf die Daten zugreifen, sondern nur die Systeme administrieren und die Rechte vergeben. Konzeptionsarbeiten und tiefgehende Administrationseingriffe dürfen nur direkt am Gerät und nach dem Vier-Augen-Prinzip durchgeführt werden. Alle Kronjuwelen-Systeme müssen robust, stabil, selbstheilend und autark arbeiten. Die Anzahl der notwendigen administrativen Aktionen ist durch konsequente Simplifizierung/Automatisierung auf ein Minimum zu reduzieren.

Alle IT-Systeme für die Kronjuwelen befinden sich in einer physikalisch hochgesicherten Umgebung -einem "Serversafe" - und sind videoüberwacht. Der Videoserver befindet sich wiederum im Serversafe. In diesen führen also zwei Kabel: ein Strom- und ein Netzwerkkabel. Eine Monitoring-Mannschaft überwacht sämtliche Vorgänge im Safe, sinnvoll unterstützt durch Tools und Alarmsysteme - am Ende zählt aber die menschliche Intelligenz. Die Monitoring-Mannschaft sieht nur die Logs, nicht die Daten. Kein Administrator ist in der Monitoring-Mannschaft und umgekehrt.

Nur wirklich einfache Systeme können abgesichert werden. Die Systeme, auf denen Kronjuwelen lagern, sind auf die absolut essenziellen Komponenten beschränkt, maximal gehärtet, maximal vereinfacht und in ihrer Funktionsvielfalt maximal reduziert. Zugriffe auf die Kronjuwelen-Systeme sind immer verschlüsselt und mit einer Zwei-Faktor-Authentifizierung geschützt. Die Umgebung ist voll segmentiert, mit einem streng definierten Firewall-Regelwerk. Jedes Segment hat dedizierte Server und Hardware, es gibt keine segmentübergreifende Virtualisierung bzw. Serverblades. Ein Beispiel für eine solche Architektur zeigt Grafik 3.

Diese Anforderungsliste schreckt die meisten Firmen ab. Insofern ist es nun an der Zeit, die eigenen Prozesse, das eigene Personal und die eigene Technologie auf den Prüfstand zu stellen: Wie viel Geld müssen wir in Cybersicherheit investieren, damit wir für die Zukunft gerüstet sind?