Seite 2: 4. Zentrale Infrastrukturen meiden

Inhaltsverzeichnis

Zentrale Infrastrukturen mögen theoretisch relativ einfach zu verwalten sein, sind aber auch eine Methode, um es Angreifern besonders leicht zu machen, denn sie sind zentral angreifbar. Das zeigt sich beispielsweise beim Bundestags-Hack von 2015. Im Bundestag gibt es (je nach Anzahl der Abgeordneten) etwa 600 bis 700 kleine eigenständige Einheiten, denn jedes Abgeordnetenbüro ist in seiner Arbeit eigenständig und besteht aus etwa fünf bis acht Mitarbeitern.

Bei der IT wird aber alles zentral verwaltet, alle Mitarbeiter stehen im gleichen Active Directory, nutzen weitgehend die gleichen Fileserver, die gleiche Infrastruktur. Ist diese kompromittiert, sind potenziell alle Büros betroffen. Solch zentrale Infrastrukturen und dazu noch eine Microsoft-Monokultur sind ein Traum für Angreifer. Aber was spricht dagegen, in jedem Büro eine Art eigenes NAS mit allen Daten, lokaler User-Verwaltung und zentralem (natürlich verschlüsseltem) Backup zu installieren?

"Bundeshack": Hackerangriff auf deutsche Regierungsnetze

Ausländische Hacker drangen in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden ein.

• Kommentar zum Bundeshack: Schluss mit Schlangenöl und Monokultur!
• Bundeshack: Chaos Computer Club fordert Ende der "Flickschusterei" bei IT-Sicherheit
• Bundeshack: Angriff laut de Maizière technisch anspruchsvoll und lange geplant
• Bundeshack: "Veritabler Cyberangriff" läuft weiter, Details bleiben vorerst geheim
• "Bundeshack": Bundestagsabgeordnete verlangen umfassende Aufklärung
• Sicherheitskreise: Hackerangriff auf Regierungsnetz lief mindestens bis Mittwoch
• Bundesregierung: Hackerangriff auf Regierungsnetz "isoliert und unter Kontrolle"
• Sicherheitskreise: Hacker drangen in deutsches Regierungsnetz ein

5. Verwaltung muss selbst Kompetenzen aufbauen!

In der öffentlichen Verwaltung, aber auch in großen Unternehmen, läuft im IT-Bereich ohne externe Mitarbeiter kaum etwas. Besser wäre, wenn die Unternehmen und Behörden eigene Kompetenzen aufbauen und intern gut qualifizierte Mitarbeiter hätten, die nicht nur im Trial-and-Error-Verfahren so lange herumprobieren bis etwas zu funktionieren scheint. Dies muss sich aber auch in der Bezahlung niederschlagen. Gut qualifizierte Mitarbeiter kosten Geld, und sie brauchen Zeit und Gelegenheit zum Lernen. Das Geld ist da besser angelegt als bei externen Mitarbeitern. Solange Juristen in der öffentlichen Verwaltung meist deutlich besser bezahlt werden als (interne) Techniker, wird sich da aber nicht viel ändern. Natürlich wird man nicht umhin kommen, externe Spezialisten hinzuzuziehen. Diese Maßnahme sollte aber primär die Schulung interner Mitarbeiter zum Ziel haben.

Oft wird behauptet, dass die Angreifer "extrem professionell" vorgehen würden, so dass man sich gar nicht schützen könne. Eines der wenigen öffentlich bekannten Dokumente – die Analyse des Hacks der Linksfraktion im Bundestag aus dem Jahr 2015 – zeigt aber: die Angreifer (angeblich die berüchtigten von APT28) waren eher amateurhaft unterwegs und nur erfolgreich, weil die Server-Administratoren noch laienhafter agierten.

6. Mehr Mut für neue Wege!

Der Entscheider, der sich für ein reines Microsoft-Universum entscheidet, hat kaum etwas zu befürchten: wenn es klappt, ist alles gut. Wenn es schief geht, ist irgendjemand anderes schuld. Er hat ja das gemacht, was alle anderen auch machen. Der Preis dafür ist nicht nur monetär hoch, sondern die Kunden sind auch auf Gedeih und Verderb auf die Entscheidungen des Herstellers angewiesen.

Es reicht aber nicht, einfach Microsoft-Produkte hier und da durch Open Source Software zu ersetzen. Ein Teil des gesparten Geldes sollte in die Weiterentwicklung gesteckt werden und die Änderungen grundsätzlich an die jeweilige Community zurückgegeben werden. Nur so profitieren alle und man koppelt sich nicht von der Weiterentwicklung ab. Dies sind für viele Behörden ungewöhnliche Wege, aber durch diese wurden viele Software-Projekte stark.

7. Schnelle Updates und schlanke Systeme

In der Vergangenheit waren viele Schädlinge oder Angriffe deswegen erfolgreich, weil veraltete Software eingesetzt wurde. Daher ist es Pflicht, dass Betriebssystem und Anwendungen schnell aktualisiert werden. Mit zentralen Paketverwaltungen wie bei den gängigen Linux-Systemen oder FreeBSD funktioniert das besser, auch wenn manche Linuxe bei weniger prominenter Software schlampern.

Damit Updates schnell eingespielt werden können, empfiehlt es sich im Server-Bereich, leichtgewichtige System-Level-Virtualisierung wie FreeBSD-Jails oder Linux-Container zu nutzen. Dann sind im einzelnen Server oft nur wenige Softwarekomponenten installiert, die sich ohne andere Dienste zu beeinträchtigen problemlos und schnell aktualisieren lassen.

Wir werden auch in Zukunft von diversen Hacks hören. Mit jedem steigt die Chance, dass IT-Sicherheit ein Stück weit an Bedeutung gewinnt. Vielleicht sollten wir uns also über jeden einzelnen Hack freuen? (mho)