Datendiebstähle sind häufig mit der Vorstellung verbunden, dass Hacker stunden- oder tagelang gegen die Verteidigungssysteme eines Unternehmens kämpfen, um Zugang auf eine Datenbank zu erhalten. Die Wahrheit ist oft anders. Kriminelle sind faul. Sie kämpfen nicht mit Händen und Füßen, sondern suchen schlichtweg mit der Einstellung des geringsten Widerstands, um an ihr Ziel zu gelangen.
Oft wird ihnen die Arbeit sogar verblüffend leicht gemacht, wie die nachfolgenden berühmten Fälle von Datendiebstählen zeigen:
Marriott, 2020
Am 31. März gab der Hotelgigant Marriott bekannt, dass „eine unerwartete Menge an Gästedaten unter Verwendung der Anmeldedaten von zwei Mitarbeitern eines Franchise-Unternehmens abgerufen worden sein könnte“. Dabei wurden 5,2 Millionen Kundendaten offengelegt – darunter Namen, Adressen, Telefonnummern, Geburtsdaten und weitere Reiseinformationen. Um Zugang zu gültigen Anmeldedaten zu erhalten, hatte der Hacker kaum mit Widrigkeiten zu kämpfen.
Marriott hätte eine Reihe von Maßnahmen ergreifen können – die sowohl kostengünstig als auch einfach zu implementieren gewesen wären – um ein unerlaubtes Eindringen zu verhindern. Die Überprüfung der Logins wäre ein Anfang gewesen. Die Security-Teams hätten damit nachvollziehen können, von welchem Ort aus sich die Personen einloggten und potenzielle Bedrohungen sofort erkennen können. Eine Multi-Faktor-Authentifizierung hätte außerdem für Abschreckung sorgen können. Der Effekt ist vergleichbar mit Einbrechern, die in ein Haus einbrechen wollen: Wenn sie ein Schild mit der Aufschrift „Videoüberwachung in Betrieb“ sehen, besteht höhere Wahrscheinlichkeit, dass sie aufgeben und sich stattdessen ein leichteres Ziel suchen. Eine Multi-Faktor-Authentifizierung (MFA) hat dieselbe Wirkung. Sie schreckt zwar nicht die Angreifer mit einem starken Willen oder kriminelle Profis ab, aber viele Hacker sind weder die Fähigsten noch die Brillantesten. Es braucht oft nicht viel, um ihre Angriffe zu vereiteln.
Equifax, 2017
Equifax, eine der größten Auskunfteien für Verbraucherkredite in den USA, berichtete am 17. September 2017, dass die Namen, Adressen, Telefonnummern, Geburtsdaten, Sozialversicherungsnummern und Führerscheinnummern von 148 Millionen Amerikanern bei einem Verstoß aufgedeckt worden waren. Darüber hinaus seien 209.000 Kreditkartennummern gestohlen worden.
Die Web-Anwendung der Organisation lief auf Open-Source-Software. Das ist an sich kein Problem. Die Tatsache, dass die von Equifax verwendete Software ein bekanntes Sicherheitsproblem aufwies, jedoch keine Patches dafür enthielt, hingegen schon. Das Belassen von installierter Software auf Standard-
Die Angreifer konnten eine Fernzugriff-Schwachstelle für sich nutzen. Sie erstellten einen Fernzugang, der sie in das Equifax-Netzwerk brachte, fanden einen Server mit einer Passwortdatei und nutzten diese, um Zugang zu Daten in deren IT-Systemen zu erhalten.
Wie bei Marriott wäre die Lösung einfach gewesen: Software auf dem neuesten Stand halten, Anwendungen isolieren, keine Passwörter im Klartext und keine Passwortdateien aufbewahren. Die Schwachstelle selbst war innerhalb der Community ein bekanntes Problem, und schon allein dies hätte das Equifax-Sicherheitsteam alarmieren müssen. Mit dem ordnungsgemäßen Patchen aller Anwendungen, wäre eine Reihe an potenziellen Einfallstoren für externe Bedrohungen eliminiert gewesen.
Capital One, 2019
Es stellt sich die Frage, ob jemals bekannt geworden wäre, dass Capital One am 19. Juli 2019 kompromittiert worden ist, wenn die verantwortliche Hackerin Paige Thompson nicht online damit geprahlt hätte, dass sie in eine der größten Banken der Vereinigten Staaten eingebrochen sei.
Die Zahlen dazu sind erschütternd: Über 100 Millionen Kreditanträge, 140.000 Sozialversicherungsnummern, 80.000 US-Bankkontonummern und 1 Million kanadische Sozialversicherungsnummern konnten entwendet werden.
Capital One betrieb einen Webserver von Amazon. Da die Bank diesen falsch konfiguriert hatte, war Thompson war in der Lage, die Firewall zu durchbrechen und problemlos Privilegien und Zugangsdaten anzufordern. Sobald sie diese hatte, konnte Thompson anfangen, herumzuschnüffeln. Schnell stellte sie fest, dass sie Speicherzugriff hatte und wo sie die unverschlüsselten Datenbank-Backups fand.
Dieser Datendiebstahl wurde nicht etwa durch Sicherheitsprobleme der Cloud verursacht. Es war ein reines Konfigurationsproblem. Amazon Web Services teilen ihren Benutzern zwar mit, wie sie ihre Operationen konfigurieren und sichern können. Die Konfiguration bleibt jedoch den Kunden überlassen, da es keine allgemeingültigen Einstellungen für alle Fälle gibt. Capital One hingegen ignorierte einige der grundsätzlichen Empfehlungen und Thompson gelang so der Datendiebstahl ohne große Mühe.
Wäre der Metadatenserver richtig konfiguriert worden und hätte der Firewall-Account der Webanwendung keinen Zugriff auf Speicherplatz gehabt, wäre Paige Thompsons Vorstoß gestoppt worden. Mit nichts weiter als der richtigen Konfiguration hätten all diese Lücken vorab geschlossen werden können.
Welche Lehren können daraus gezogen werden?
Mit ein wenig mehr Sorgfalt ihren Abläufen hätten all diese Organisationen einen schwerwiegenden Datendiebstahl verhindern können. Schon vier kleine Sicherheitsmaßnahmentragen dazu bei, ein derartiges Risiko drastisch zu verringern:
- Prinzip der geringsten Privilegien: Sowohl Mitarbeiter als auch Dienste wie eine Webanwendung erhalten nur die Privilegien, die zur Erledigung ihrer Routineaufgaben erforderlich sind. Wenn jemand oder etwas bestimmte Zugriffsrechte nicht benötigt, werden sie auch nicht erteilt. Wenn eine Webanwendung zum Beispiel ohne direkten Zugriff auf Speicherdateien auskommt, sollte sie diesen auch nicht haben.
- Auditing und Alarmierung: Alles, was Benutzer tun, sollte protokolliert werden, insbesondere Aktivitäten, die nicht unter ihre Routinearbeiten fallen. Nach der Protokollierung sollten die Benutzeraktivitäten überprüft werden, um sicherzustellen, dass sie nur Aufgaben wahrnehmen, zu deren Ausführung sie berechtigt sind. Wenn unautorisiertes oder anormales Verhalten festgestellt wird, wie zum Beispiel das Einloggen in ein System weit außerhalb der normalen Geschäftszeiten, können Security-Teams automatische Warnmeldungen erstellen, um unerwünschte oder unangemessene Aktivitäten verhindern, verfolgen und stoppen zu können.
- Privileged Access Management: Derartige Lösungen verwalten sicher die Accounts von Benutzern mit erweiterten Berechtigungen für kritische Ressourcen. Diese Konten sind für Hacker von größerem Wert und damit ein bevorzugtes Ziel. Ihre genaue Überwachung kann sich daher für Security-Teams lohnen.
- Code-Überprüfung: Die Überprüfung jeglicher Codes auf Fehler oder schlechte Praktiken, wie zum Beispiel schwache Passwörter, trägt nicht nur zur Beschleunigung und Rationalisierung der Software-Entwicklung bei, sondern hilft auch, potenzielle System-Schwachstellen auf ein Minimum zu reduzieren.
Die wichtigste Lektion, die aufsehenerregende Datendiebstähle Unternehmen erteilen können, ist folgende: Die Risikominimierung beginnt für Security-Teams bereits bei den Grundlagen. Sich kritisch mit der Konfiguration von Software auseinanderzusetzen und prinzipiell keinen Benutzer oder Service ohne zusätzliche Authentifizierung als vertrauenswürdig zu erachten, sind wesentliche Bestandteile davon.