Wenn man sich die Menschen, die für die Sicherheit von Unternehmensnetzwerken zuständig sind, vorstellt wie die Kommandanten mittelalterlicher Burgen, dann müssten jene sich im Moment fühlen, als hätten Belagerer plötzlich ein Mittel erfunden, Wassergraben und Burgmauer fast nach Belieben unerkannt zu überwinden.
Was für Burgherren Gräben und Mauern, sind für Unternehmen Sicherheitssysteme, die verhindern sollen, dass über das Netzwerk Eindringlinge an den Schatz der Firma gelangen: kritische Daten wie Businesspläne oder Konstruktionspläne.
Nun hat die finnische Firma für Netzwerksicherheit Stonesoft eine neue Art der Bedrohung entdeckt, die in der Lage ist, nahezu alle auf dem Markt befindlichen Systeme zur sogenannten intrusion protection (IPS) zu überlisten.
"Das ist, als ob sie mit einem Tarnkappenbomber durch die Nacht fliegen", sagt Hermann Klein, der die Geschäfte von Stonesoft in den deutschsprachigen Ländern führt, "man kann sich unentdeckt bewegen".
Bei einer Live-Vorführung über das Internet zeigen die finnischen Netzwerkspezialisten, was mit unerkannt gemeint ist. Sie haben sich eine Art Baukasten eingerichtet, mit der sie Sicherheitssysteme über das Internet angreifen können. Verwenden sie dabei eine bereits bekannte Methode, blockieren die Systeme zum Schutz gegen Eindringliche die Attacke und halten den versuchten Angriff in einer Log-Datei fest.
Tücken der Lücken
Anders der Angriff mit der neuen Methode. Ohne dass das IPS etwas ahnt, gelingt es den Angreifern, einen PC zu übernehmen, der von dem IPS vor genau solchen Attacken geschützt werden sollte. Binnen Sekunden taucht auf dem Bildschirm die Windows-Eingabeaufforderung des befallenen PCs auf - böswillige Angreifer könnten von diesem Computer nun zum Beispiel Daten herunterladen.
Aber wie funktioniert dieser Generalschlüssel? Er basiert auf Techniken, die in der Szene schon seit etwa zehn Jahren bekannt sind und gegen die alle Hersteller von Schutzsystemen auch längst Gegenmaßnahmen getroffen haben. Wenn diese Techniken, im Jargon Evasionstechniken genannt, aber miteinander kombiniert werden, lassen die Schutzysteme die Daten ungehindert passieren.
Sie ahnen dabei nicht, dass sich darin möglicherweise bösartige Software wie etwa die sogenannten Trojaner verbergen - Software, die auf befallenen Rechnern Hintertüren öffnen kann, zum Beispiel um weitere Schadsoftware nachzuladen oder Daten auszuspähen.
Was ist dran an der Bedrohung?
Gängige Evasionstechniken sind zum Beispiel, Daten in winzigen Stückchen zu schicken oder die Zeit zu manipulieren, die eine Verbindung offengehalten wird. Von solchen Techniken gibt es Tausende, kombiniert man sie miteinander, kommt man auf mehr als zwei Milliarden Möglichkeiten, wie Ari Vänttinen von der Stonesoft-Zentrale in Finnland sagt.
Man arbeite zwar daran, die eigenen Schutzsysteme gegen diese Bedrohungen zu wappnen, wegen der schieren Menge sei dies aber nicht zu hundert Prozent zu schaffen, sagt Hermann Klein. Mit Software-Updates werde man genau wie andere Anbieter versuchen, die Kunden zu schützen. Klein empfiehlt aber Firmen, die wertvolle Daten zu schützen haben, die Rechner, auf denen diese gespeichert sind, gut zu warten. Darauf müsste stets die aktuelle Reparatursoftware installiert werden, die die Softwareanbieter gegen Sicherheitslücken herausgeben.
Um Schaden anzurichten, nützt es den Angreifern nämlich wenig, wenn sie lediglich Graben und Mauer überwinden. Sie müssen auch Gelegenheit bekommen, Kisten und Kasten in der Burg selbst zu durchwühlen. Das können sie aber nur, wenn es auch innerhalb der Burg Sicherheitslücken gibt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht daher keinen Grund für übertriebene Sorge: "Andere und zusätzlich vorhandene Sicherheitseinrichtungen in einer mehrstufigen Verteidigung werden dadurch nach aktuellem Sachstand nicht angegriffen und können weiterhin erfolgreich Angriffe abwehren", so die Behörde.
Eine solche mehrstufige Verteidigung etwa durch einen Virenscanner oder Filter für den Netzverkehr empfehle das BSI grundsätzlich. In vielen Firmen sei dies auch gängige Praxis. Oft aber auch nicht, wie das Beispiel von schädlicher Software wie etwa dem Wurm Conficker zeigt.
Obwohl die Lücken seit Jahren bekannt sind, über die er sich verbreitet, findet er ständig neue Opfer. Anfangs waren sogar Krankenhäuser und Einrichtungen der Bundeswehr betroffen.