Von Script-Kiddies zum Profi-Cracker

Mittel gegen Spionage

Wie begegnen wir solchen Bedrohungen? Einerseits werden wir lernen müssen, mit derartigen Bedrohungen und vereinzelt entsprechenden Schadensfällen zu leben. Andererseits können wir uns darauf vorbereiten. Die Erkennung solcher Angriffe ist der erste Schritt. Anti-Spyware-Programme, Intrusion-Detection-Systeme (IDS) sind technische Mittel zur Erkennung. Der Datenfluss muss genau bekannt sein. Beim Aufbau und Design einer Online-Banking-Architektur ist dies zwingend, damit ein wirksamer Schutz gewährleistet werden kann.

Ist ein IDS-Lexikon angedacht, muss überlegt werden, welcher Datenfluss wo erwartet wird und welcher nicht, damit die Alarmierungsschwelle exakt eruiert und justiert werden kann. Andernfalls liefert das IDS zwar viele Daten, mit denen nichts angefangen werden kann. In einem solchen Fall ist das IDS zwar physisch präsent, aber nutzlos. Die Alarmorganisation muss genau definiert sein. Wer ist wann wofür verantwortlich? Es muss definiert sein, wer im Ernstfall entscheidet, ob die Online-Plattform ab dem Netz genommen werden soll und die Abkoppelung zeitnah durchsetzt.

Bei verteilten Systemen wie Online-Banking-Plattformen liegt die Achillesferse üblicherweise nicht beim Systembetreiber (in diesem Fall der Bank) sondern beim Benutzer. So werden die Applikationsserver mittels geeigneter Maßnahmen vor unerlaubtem Zugriff geschützt und die Kommunikation mit dem Client-PC erfolgt verschlüsselt. Die prüfenswerten Aspekte sind insbesondere Authentifizierung und Autorisierung.

Nach neuestem Stand der Technik sollten (zertifikatsbasierte) Zwei-Wege-Authentisierungsmechanismen (SSL v3) und idealerweise Drei-Komponenten-Authentisierung (User-ID, Passwort plus Smartcard/Secure-ID oder ähnliches) eingesetzt werden. Doch diese Maßnahmen greifen nicht, wenn der Client von einem gezielt für diesen Zweck entwickelten Trojaner kontaminiert wurde - denn dann kann sich der Angreifer in die Kommunikation einklinken und beispielsweise gezielt Geld vom Konto des Opfers transferieren oder via Client in die Bankapplikation eindringen. Aus diesem Grund sollten sensible Applikationen mittels Application Security Audits inklusive Penetration-Tests auf System- und Applikationsebene überprüft werden.

Bewusstsein schärfen

In einem Unternehmen müssen Mitarbeiter lernen, mit Angriffsszenarien umzugehen. Diese permanente Security Awareness wird mittels Trainings- und Lernprogrammen gefördert. Am einfachsten geht dies, wenn das Interesse am Thema beim Benutzer so stark ist, dass er sich mit den Firmenwerten identifiziert und für die Sicherheit der Firma einsteht. Dann sprechen wir von Informationssicherheitskultur. Diese erreichen wir mit gezielten, auf die Firmenkultur abgestimmten Awareness-Massnahmen. Um zu erreichen, dass Mitarbeiter eine Informationssicherheits-Kultur leben können, müssen ihnen entsprechende Werkzeuge mitgegeben werden. Das Tragen eines Sichtausweises sollte Pflicht sein. Inklusive der Verantwortung, einen Mitarbeiter ohne Sichtausweis zum Empfang zu begleiten.

Informationssicherheitskultur beginnt jedoch beim Management und muss vor- beziehungsweise mitgelebt werden.