NSA hackt zusammen mit dem britischen Geheimdienst

Jim Carlsson, CEO von Clavister.

Jim Carlsson, CEO von Clavister.

Kürzlich wurde bekannt, dass der US-Geheimdienst NSA und sein britisches Pendant GCHQ das Digital Security-Unternehmen Gemalto gehackt und dabei Millionen Verschlüsselungscodes von SIM-Karten gestohlen haben. Es soll der IT-Security- und Kommunikationsindustrie verziehen sein, wenn sie dabei ein starkes Déjà-vu-Gefühl überkommt. Weniger als zwei Jahre zuvor, seit den ersten Enthüllungen von Edward Snowden, kommen die Neuigkeiten vielleicht nicht überraschend, aber wieder einmal fragen sich Firmen weltweit, wer hinter ihren Daten her ist.

Während „Lawful Interception“, die rechtmäßige Überwachung, als gut dokumentierter Prozess auf legaler Basis ohne Überraschungen stets akzeptiert wurde, führte die Aufdeckung staatlich unterstützter Hacking-Angriffe und Überwachungsmaßnahmen international zu massiven Verurteilungen. Nach den ersten Snowden-Enthüllungen überschlugen sich Regierungsbeamte förmlich, Unternehmen und der Öffentlichkeit mitzuteilen, dass PRISM, das NSA-Überwachungsprojekt für Daten- und Sprachaustausch, nicht bei ihnen eingesetzt worden sei. Zudem wurde gebetsmühlenartig erklärt,  dass zahlreiche Sicherheitsvorkehrungen bestünden, um den Diebstahl von Daten und Aufzeichnungen zu verhindern. Angesichts des Gemalto-Hacks und jüngsten Berichten darüber, dass die CIA unbedingt die Verschlüsselung von Apple durchbrechen wolle, ist allerdings nachvollziehbar, dass Unternehmen wenig überzeugt davon sind, nicht selbst in der Schusslinie zu stehen.

Gemeinschaftssinn eröffnet Hintertüren

Nicht nur staatlich geförderte Attacken stellen für IT-Abteilungen Risiken dar; auch Backdoors in Netzwerk-Equipment wie Security Gateways und Firewalls sind akute Gefahrenstellen. Auch wenn sie sich vom Wesen her stark unterscheiden, haben die Heartbleed- und Shellshock-Angriffe verdeutlicht, dass selbst die robustesten Security-Lösungen durch Schwachstellen in der Codierung unterwandert werden können. Beide nutzten einfache Coding-Fehler aus, und das Hauptproblem war nicht der Fehler an sich, sondern eher die Annahmen tausender Menschen weltweit, was die Integrität und Sicherheit von Open Source Coding angeht.

Dem Unbekannten gegenüberstehen

Unternehmen sehen sich der großen Herausforderung gegenüber, zu erkennen, wer sie angreift und warum. Wie Gemalto bewiesen hat, ist es fast unmöglich, festzustellen, ob man Ziel von Überwachungsorganisationen ist. Und noch gibt es auch keine internationale Internet Security Task Force, die aktiv nach Coding-Schwachstellen sucht und sie nach Entdeckung schließt. Klar ist, dass es für Organisationen immer schwieriger wird, herauszufinden, wem und welchen Lösungen sie vertrauen können. Jede Organisation innerhalb der Wertschöpfungskette könnte zu jeder Zeit dazu aufgefordert werden, einer Landesregierung Informationen zur Verfügung zu stellen und damit auch Schlüssel zu Daten auszuhändigen. Zur gleichen Zeit könnte ein Unternehmen einem Cyberkriminellen ausgeliefert sein, der kurz davor ist, aufzudecken, dass das Kernsystem, auf das zum Schutz des Netzwerks vertraut wird, von einem einfachen Coding-Fehler betroffen ist.

Seit PRISM ist sicher anzunehmen, dass die Geheimdienste der Supermächte die Fähigkeit haben, scheinbar ungehindert Unternehmen und Privatpersonen zu überwachen, um Informationen zu sammeln. Ist es wirklich klug, Firmen Zugang zu unternehmenseigenen Richtlinien und Daten zu gewähren, in deren Herkunftsländern die Regierungsbehörden jederzeit und ohne ordentliches Gerichtsverfahren ebenfalls darauf zugreifen könnten?

Open Source-Codierungen wiederholt testen

Zudem sollten Firmen sicherstellen, dass alle ihre Lösungen unter strengen Vorgaben entwickelt, getestet und nochmals geprüft werden, um sicherzustellen, dass alle Schwachstellen eliminiert wurden. Natürlich wissen Hacker um das blinde Vertrauen von Unternehmen auf eine Menge ungetestete Codierungen in Websites, Apps, Security-Lösungen etc. Und dies eröffnet den Kriminellen wiederum Unmengen Angriffsgelegenheiten. Wenn Unternehmen weiterhin die Vorteile von Open Source nutzen und umsetzen möchten, ist es offensichtlich, dass Open Source-Codierungen wiederholt getestet werden müssen, um potenzielle Schwachpunkte zu reduzieren, bevor sie eingerichtet werden, unter der Annahme, sie seien sicher.

Ob PRISM, Gemalto-Hack, Heartbleed und Shellshock: Unternehmen vertrauen auf die Transparenz der Regierungen und die Robustheit von Open Source Codings, ohne zu prüfen, ob ihr Vertrauen auch gerechtfertigt oder verdient ist. Und wenn Organisationen immer wiederkehrende Déjà-vus verhindern wollen, ist unverdientes Vertrauen ein Luxus, den sie sich einfach nicht länger leisten können.

Autor: Jim Carlsson, CEO Clavister. Gegründet im Jahr 1997, ist Clavister ein Mobile- und Network Security-Provider. Die Lösungen basieren auf Einfachheit, gutem Design und sehr guter Performance, um sicherzustellen, dass Cloud-Service-Anbieter, große Unternehmen und Telekommunikationsbetreiber den bestmöglichen Schutz gegen die digitalen Bedrohungen von heute und morgen erhalten.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>