Aus der Not eine Tugend zu machen, das hatte sich CEO Arthur Coviello, wohl für seine diesjährige Keynote auf der RSA-Konferenz vorgenommen. Aus dem Hacker-Angriff auf sein Unternehmen im vergangenen Jahr leitete er die Notwendigkeit eines Paradigmenwechsels in der IT-Sicherheit ab:
"Wir müssen ein- für alle mal begreifen, dass Signatur-basierte Technologien ihr Haltbarkeitsdatum überschritten haben, und uns eingestehen, dass in unsere Netze eingedrungen werden wird. So etwas sollte uns nicht überraschen."
Vor einem Jahr aber dürfte man bei RSA doch noch überrascht gewesen sein, als in der Konzern-Zentrale in Bedford, Massachusetts, Hacker im Unternehmensnetz entdeckt wurden. Der Konzern veröffentlichte eine nichtssagende Erklärung, die die fast 300 Millionen Nutzer von RSA-Sicherungssystemen beruhigen sollte, aber eher das Gegenteil bewirkt hat. Mittlerweile gibt das Unternehmen Auskunft zu dem spektakulärsten Hack des vergangenen Jahres.
"Wir haben erkannt, dass wir Angreifer im Netz haben. Wir hatten mehrere unterschiedliche Angriffsaktivitäten erkannt. Und in dem Moment dann, als der Angreifer die Daten exfiltriert hat, sind wir eingeschritten."
So Dr. Michael Teschner von RSA Deutschland. Bevor die IT-Security-Leute eingeschritten sind, wurden die Hacker aber doch schon fündig:
"Im ersten Schritt wurden eben Daten entwendet, die im Zusammenhang mit unserem Secure-ID-Produkt stehen. Wir haben allerdings auch gesehen, dass die Angreifer noch in andere Bereiche wollten. Das konnten wir verhindern."
Bei den entwendeten Daten handelte es sich um kryptografische Schlüssel, mit denen kleine Secure-ID-Geräte Einmal-Passwörter für die Netze von Banken, Regierungsstellen und Rüstungsunternehmen errechnen. Mit diesen Passwörtern wollten sich die Hacker dann Zugang zu Rechnern von Lockheed Martin verschaffen. Das aber hätten sie nicht geschafft, sagt Dr. Michael Teschner:
"Da haben wir aus der Erkenntnis heraus, was bei uns entwendet worden ist, mit diesen Lockheed-Martin-Leuten gesprochen und haben mit denen dann erkennen können, dass eben Angreifer ins Netz kommen wollten. Aber das konnten wir zusammen mit den Spezialisten von Lockheed Martin an dieser Stelle verhindern."
Bei RSA hat man aus den Vorfällen die Erkenntnis gewonnen, dass sich Hacker nicht mit Sicherheit aus der gesamten Unternehmens-IT aussperren lassen. Es gibt Bereiche – wie etwa das Mail-System – die sich nicht hermetisch abschotten lassen. Andere Bereiche, beispielsweise Rechner, auf denen Betriebsgeheimnisse abgespeichert werden, müssen deshalb zusätzlich gesichert werden. "Intelligence-driven Security" nennt RSA das Sicherheitskonzept, das es seither propagiert, etwas blumig. Im Kern geht’s dabei um Wissen – darüber, was im Unternehmensnetz vor sich geht, und darüber, was außerhalb los ist.
"Also wenn wir über die Abwehrmaßnahmen reden, dann gibt es immer verschiedene Informationen oder Fakten, die hier zusammengeführt werden müssen. Das eine ist, was passiert in meinem Unternehmen? Welche Security-Mechanismen habe ich und funktionieren die? Und das andere ist: Mit welchen Angriffs-Szenarien muss ich rechnen? Da gibt es auch die Notwendigkeit, hier solche Daten zentral zu erfassen, zu kategorisieren und eben den Unternehmen zu Verfügung zu stellen."
Viele Hacker-Attacken ließen sich nur abwehren, wenn Angriffsmuster in einer zentralen Datenbank archiviert werden. Davon sind etliche IT-Sicherheitsfachleute mittlerweile überzeugt. Dem steht entgegen, dass viele Attacken überhaupt nicht bekannt werden, weil Unternehmen einen Renommee-Schaden befürchten, wenn sie zugeben, gehackt worden zu sein.
Im bundesdeutschen Innenministerium beispielsweise wird deswegen auch über eine Meldepflicht für sicherheitsrelevante Vorfälle in der IT nachgedacht. Ansonsten läuft die propagierte Intelligence-driven Security darauf hinaus, die Datenkommunikation im Unternehmen konsequent zu überwachen und alles genauer unter die Lupe zu nehmen, was von der Norm abweicht.
"Wir müssen ein- für alle mal begreifen, dass Signatur-basierte Technologien ihr Haltbarkeitsdatum überschritten haben, und uns eingestehen, dass in unsere Netze eingedrungen werden wird. So etwas sollte uns nicht überraschen."
Vor einem Jahr aber dürfte man bei RSA doch noch überrascht gewesen sein, als in der Konzern-Zentrale in Bedford, Massachusetts, Hacker im Unternehmensnetz entdeckt wurden. Der Konzern veröffentlichte eine nichtssagende Erklärung, die die fast 300 Millionen Nutzer von RSA-Sicherungssystemen beruhigen sollte, aber eher das Gegenteil bewirkt hat. Mittlerweile gibt das Unternehmen Auskunft zu dem spektakulärsten Hack des vergangenen Jahres.
"Wir haben erkannt, dass wir Angreifer im Netz haben. Wir hatten mehrere unterschiedliche Angriffsaktivitäten erkannt. Und in dem Moment dann, als der Angreifer die Daten exfiltriert hat, sind wir eingeschritten."
So Dr. Michael Teschner von RSA Deutschland. Bevor die IT-Security-Leute eingeschritten sind, wurden die Hacker aber doch schon fündig:
"Im ersten Schritt wurden eben Daten entwendet, die im Zusammenhang mit unserem Secure-ID-Produkt stehen. Wir haben allerdings auch gesehen, dass die Angreifer noch in andere Bereiche wollten. Das konnten wir verhindern."
Bei den entwendeten Daten handelte es sich um kryptografische Schlüssel, mit denen kleine Secure-ID-Geräte Einmal-Passwörter für die Netze von Banken, Regierungsstellen und Rüstungsunternehmen errechnen. Mit diesen Passwörtern wollten sich die Hacker dann Zugang zu Rechnern von Lockheed Martin verschaffen. Das aber hätten sie nicht geschafft, sagt Dr. Michael Teschner:
"Da haben wir aus der Erkenntnis heraus, was bei uns entwendet worden ist, mit diesen Lockheed-Martin-Leuten gesprochen und haben mit denen dann erkennen können, dass eben Angreifer ins Netz kommen wollten. Aber das konnten wir zusammen mit den Spezialisten von Lockheed Martin an dieser Stelle verhindern."
Bei RSA hat man aus den Vorfällen die Erkenntnis gewonnen, dass sich Hacker nicht mit Sicherheit aus der gesamten Unternehmens-IT aussperren lassen. Es gibt Bereiche – wie etwa das Mail-System – die sich nicht hermetisch abschotten lassen. Andere Bereiche, beispielsweise Rechner, auf denen Betriebsgeheimnisse abgespeichert werden, müssen deshalb zusätzlich gesichert werden. "Intelligence-driven Security" nennt RSA das Sicherheitskonzept, das es seither propagiert, etwas blumig. Im Kern geht’s dabei um Wissen – darüber, was im Unternehmensnetz vor sich geht, und darüber, was außerhalb los ist.
"Also wenn wir über die Abwehrmaßnahmen reden, dann gibt es immer verschiedene Informationen oder Fakten, die hier zusammengeführt werden müssen. Das eine ist, was passiert in meinem Unternehmen? Welche Security-Mechanismen habe ich und funktionieren die? Und das andere ist: Mit welchen Angriffs-Szenarien muss ich rechnen? Da gibt es auch die Notwendigkeit, hier solche Daten zentral zu erfassen, zu kategorisieren und eben den Unternehmen zu Verfügung zu stellen."
Viele Hacker-Attacken ließen sich nur abwehren, wenn Angriffsmuster in einer zentralen Datenbank archiviert werden. Davon sind etliche IT-Sicherheitsfachleute mittlerweile überzeugt. Dem steht entgegen, dass viele Attacken überhaupt nicht bekannt werden, weil Unternehmen einen Renommee-Schaden befürchten, wenn sie zugeben, gehackt worden zu sein.
Im bundesdeutschen Innenministerium beispielsweise wird deswegen auch über eine Meldepflicht für sicherheitsrelevante Vorfälle in der IT nachgedacht. Ansonsten läuft die propagierte Intelligence-driven Security darauf hinaus, die Datenkommunikation im Unternehmen konsequent zu überwachen und alles genauer unter die Lupe zu nehmen, was von der Norm abweicht.
