Die Digitalisierung schreitet voran und mit ihr wächst auch der Grad an Vernetzung. Digitale Liefer- und Produktionsprozesse führen in diesem Zusammenhang zu einer stetig zunehmenden Zahl an Verbindungen zu Partnerunternehmen, Lieferanten und Kunden.
Und im selben Atemzug werden aber auch die IT-Infrastrukturen der Unternehmen aufgrund neuer Paradigmen und immer neuer Funktionen zunehmend komplexer. Dabei spielt die Cybersecurity eine immer größere Rolle. Denn bereits 2019 waren laut einer Bitkom Studie zum Thema Cybercrime dreiviertel aller Unternehmen Ziel von Cyberattacken. Und die Situation hat sich in den letzten Monaten und Jahren zweifelsohne verschärft. Daher ist es für die Verantwortlichen in den Organisationen unabdingbar geworden, sich mit der Sicherheit der eigenen Infrastruktur zu befassen.
Zwar ist generell die überwiegende Zahl der Hersteller von Lösungen daran interessiert, dass ihre Produkte bereits im Auslieferungszustand so sicher wie möglich sind. Doch dies ist nur ein Teilaspekt, wenn es um den sicheren Betrieb von Software in Unternehmen geht. Ebenso wichtig ist nämlich auch die Konfiguration der Lösungen im Betrieb. Und genau dies stellt die Verantwortlichen nicht selten vor eine Herausforderung.
Fehlerhafte Konfigurationen begünstigen Sicherheitsrisiken
Verlässliche Daten zur Häufigkeit von für die Sicherheit relevanten Falsch- oder Fehlkonfigurationen sind rar. Allerdings liefern gerade die Webauftritte von Organisationen mit eigenen Online-Shops einen Anhaltspunkt dafür, dass auch abseits des Softwarecodes Sicherheitsrisiken lauern. Denn auch der Konfiguration fällt in puncto Security eine wichtige Rolle zu.
Als Beispiel kann hier auf IDOR (Insecure Direct Object Reference) verwiesen werden. Dabei handelt es sich um einen Fehler in der Zugriffskontrolle – häufig bei Web-Apps oder APIs – sofern ein direkter Zugriff auf eine interne Datenbank erfolgt und dieser nicht authentifiziert bzw. kontrolliert wird. Für Cyberkriminelle ist es vergleichsweise einfach, diese Fehlkonfiguration auszunutzen. So z.B. falls für Nutzer die Möglichkeit besteht, Inhalte einer Online-Plattform durch andere Inhalte zu ersetzen. Erfolgt die Konfiguration nicht mit der nötigen Sorgfalt, kann der Angreifer sodann das Verhalten der Plattform ändern, Daten abzweigen oder unter Umständen die Plattform zum Hosten von Malware verwenden.
Der Aufwand für die Cyberkriminellen hält sich dabei in Grenzen, da IDOR-Angriffe leicht umsetzbar sind. Hierzu werden lediglich HTTP-Anfragen durch Änderung eines Parameters manipuliert, um auf diese Weise an die Information der Wahl zu gelangen. Möglich wird der Angriff erst dadurch, wenn bei der Entwicklung von Webseiten bzw. Web-Apps nicht darauf geachtet wird, dass der Zugriff auf Informationen kontrolliert werden muss. Unter Hackern erfreuen sich IDOR-Angriffe großer Beliebtheit und lassen sich folglich häufig bei realen Attacken beobachten. Allerdings gibt es verschiedene Arten dieses speziellen Angriffs. Hierzu gehören unter anderem:
- Website- Modifikation: Dabei können Hacker den Wert einer Optionsschaltfläche, eines Kontrollkästchens, von APIs und Formularfeldern ändern, um so die Informationen von Website-Benutzern zu sammeln.
- URL-Manipulation: Hier wird die URL des Clients durch Veränderung der Parameter der HTTP-Anfrage manipuliert.
- HTTP-Anfragen: Diese können IDOR-Schwachstellen beinhalten.
Eine IDOR-Schwachstelle war so zum Beispiel der Grund, weshalb die umstrittene Social-Media- und Microblogging-Plattform Parler ein Datenleck beklagen musste. Denn die Beiträge, die auf dem Dienst veröffentlicht wurden, waren in ihrer URL aufsteigend nummeriert – generell ein Anhaltspunkt für eine IDOR-Lücke. Veränderte ein Webseitenbesucher also lediglich die Nummerierung in der URL, hatte dieser ohne Einschränkungen Zugriff auf den betreffenden Beitrag. So war es einem Hacker möglich, ohne großen Aufwand einen Code zu schreiben, mit dem sämtliche Nachrichten, Fotos, Videos und Daten der Plattform abgegriffen wurden. Bei öffentlichen Beiträgen wurden sogar die darin enthaltenen Geodaten des Verfassers mit heruntergeladen, wodurch auch die Wohnorte der betreffenden Benutzer ersichtlich wurden. Sicherheitslücken dieser Art schaden nicht nur der Reputation der für eine Webseite verantwortlichen Organisation. Sie können unter Umständen auch erhebliche finanzielle Schäden in Form von Strafzahlungen nach sich ziehen, wenn entsprechende Daten entwendet werden.
Automatische Tests haben Schwächen
Für Unternehmen stellt sich in Sachen Sicherheitslücken folglich die Frage, wie man diesen begegnen kann. Dabei stehen zwar eine Vielzahl von Tools zur Verfügung, allerdings gibt es mitunter Sicherheitslücken – wie der IDOR-Schwachstelle -, bei denen diese Hilfsmittel wenig ausrichten können. Auch ein klassischer Penetrationstest führt in diesem Fall nur zum Erfolg, wenn der Tester jeden erdenklichen Parameter in sämtlichen Abfrageendpunkten durchgeht. Derlei Angriffsversuche zu Testzwecken erfordern zudem aufseiten der Security-Verantwortlichen ein hohes Maß an Kreativität und unzählige Security-Tests, um entsprechende Schwachstellen aufzuspüren.
White-Hat-Hacker schaffen Abhilfe
Da technische Lösungen auch auf absehbare Zeit nicht in der Lage sein werden, den Einfallsreichtum und die Kreativität von Menschen in Gänze zu kopieren, sind die Verantwortlichen somit gezwungen, andere Wege zu gehen, um Sicherheitslücken auszumerzen. Da die bestehenden IT-Teams in den meisten Fällen jedoch bereits mehr als genug zu tun haben, könnte deren Sorgfalt – die bei der Identifikation von Sicherheitslücken zweifelsohne erforderlich ist – in Mitleidenschaft gezogen werden, wenn man ihnen diese Aufgabe zusätzlich überträgt.
Einen Ausweg bieten hier unabhängige Experten, die für die Überprüfung der Konfigurationen verantwortlich zeichnen. Dies muss selbstredend vor dem eigentlichen Produktivbetrieb geschehen. Andernfalls besteht das Risiko, dass Angreifer eine Schwachstelle als erste identifizieren und diese in der Folge selbst nutzen oder gewinnbringend versteigern. Die Verantwortlichen stehen jedoch häufig vor der Herausforderung, mit entsprechenden Experten in Kontakt zu kommen und sie wissen oft nicht, welche Budgets dafür aufzuwenden sind. Dass für diese Tätigkeit genau diejenigen perfekt geeignet sind, vor denen das Unternehmen eigentlich geschützt werden soll, kommt dabei nur wenigen in den Sinn. Denn neben den kriminellen Hackern gibt es auch ethische Hacker, die sogenannten White-Hat-Hacker, deren Know-how und Kreativität beim Aufspüren von Sicherheitslücken für Organisationen einen wertvollen Beitrag leisten kann.
Rettung durch die Hacker-Community
Zu finden sind diese ethischen Hacker sogar relativ einfach – wenn man weiß, wo man suchen muss. Denn Bug-Bounty-Plattformen wie HackerOne fungieren hier als Mittler zwischen Organisationen und diesen Hackern. Zudem tragen sie dafür Sorge, dass alle Beteiligten aus der gemeinsamen Arbeit einen Nutzen ziehen.
Haben sich die Verantwortlichen einer Organisation für eine Zusammenarbeit mit Hackern entschieden, wird letzteren erlaubt – abhängig von der jeweiligen Vereinbarung und den Zielen – z.B. in Konfigurationen von Anwendungen, Webseiten, Apps oder auch Infrastrukturen nach Sicherheitslücken zu suchen.
Die Bezahlung der Hacker erfolgt auf einen zuvor vereinbarten Prämienmodell. Kosten entstehen dem Unternehmen also nur dann, wenn die Hacker Sicherheitslücken finden und die für den Prozess vorgesehenen Verfahrensweisen einhalten. Gewöhnlich unterscheidet sich die Höhe der Prämie je nachdem, wie gravierend die gefundene Schwachstelle ist. Je schwerwiegender eine Sicherheitslücke ist, desto höher fällt die Prämie aus.
Organisationen profitieren dabei von einem skalierbaren Prozess, um Ausgaben und Kosten immer nachvollziehen und überblicken zu können. Darüber hinaus besteht keine Notwendigkeit, zusätzliche Mitarbeiter einzustellen, sondern externe Sicherheitsprofis kümmern sich um das Auffinden von Schwachstellen.
Rechtlich abgesichert
Da jedoch das Vorgehen der Hacker, also das Eindringen in fremde Systeme, im Grunde illegal ist, müssen sich beide Seiten zunächst rechtlich absichern und vereinbaren, was zulässig ist und was nicht. Dies geschieht mittels sogenannter VDPs (Vulnerability Disclosure Program), die ein zentrales Element des Vertrags zwischen den Hackern und der Organisation darstellen. Auf diese Weise sparen sich die Unternehmen die Zeit, einen solchen Vertrag mit jedem Hacker einzeln abzuschließen. Darum kümmert sich an ihrer Stelle die Bug-Bounty-Plattform.
Was die Umgebung anbelangt, in der die Hacker versuchen, in die Systeme der Unternehmen zu gelangen, sollte sich diese an den realen Bedingungen orientieren. Gemeint ist damit, dass die beauftragten Hacker die gleichen Bedingungen bei ihren Tests vorfinden, mit denen es auch ein krimineller Angreifer zu tun hätte. Dadurch wird sichergestellt, dass gefundene Schwachstellen auch bei einer tatsächlichen Attacke zu einer Kompromittierung führen und ihre Beseitigung folglich zwingend geboten ist. Somit können sich die Verantwortlichen der Organisation ein Bild davon machen, wie Schwerwiegend ein erfolgreicher Angriff auf ihre Systeme gewesen wäre. Nachdem der Hacker eine gefundene Sicherheitslücke dokumentiert hat, wird von ihm ein valider Report dazu erstellt und an das Unternehmen übergeben. Um die Beseitigung der Schwachstelle muss sich in der Folge die Organisation kümmern. Diese profitiert nicht nur dadurch, dass die Lücke geschlossen wird, sondern auch das interne Know-how kann auf Basis der gelieferten Reports gesteigert werden, sodass ähnlich gelagerte Sicherheitsprobleme schon von vornherein vermieden werden können.
Die ethischen Hacker, deren Expertise sich Unternehmen durch einen solchen Ansatz zunutze machen, sind ausgewiesene Fachleute auf ihrem Betätigungsfeld. Ihre Aufgabe besteht darin, genauso, wie es kriminelle Angreifer machen, Sicherheitslücken aufzuspüren und in Systeme einzudringen. Mit dem Unterschied, dass sie ihr Fachwissen zur Steigerung der Sicherheit einsetzen und so einen Beitrag für den Schutz der Organisationen, aber auch der ihrer Kunden leisten. Der im Falle eines erfolgreichen Angriffs drohende Reputationsverlust sowie eventuell ins Haus stehende Strafzahlungen bei Datendiebstählen können damit vermieden werden.