Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Sicherheit im Netz/Vertrauen in die Sicherheit der Standardprodukte ist zu groß


13.07.2001 - 

Wirtschaftsspione erkunden das Web

Breit angelegte Virenattacken wie "I love you" versetzen die Unternehmen in hektische Betriebsamkeit. Dabei ist die Industriespionage wesentlich gefährlicher, und die Hindernisse gegen die Angriffe sind oft noch zu niedrig. Von Ralf Nemeyer*

Der ehemalige CIA-Chef James Woolsey gab unumwunden zu, dass die USA von behördlicher Seite ihrer Wirtschaft im weltweiten Wettbewerb unter die Arme greift, sprich: Man betreibt Wirtschaftsspionage. Zwar wurde es von offizieller Seite nie bestätigt, doch die Gerüchte halten sich hartnäckig, dass das ominöse Spionageprogramm mit dem inoffiziellen Namen "Echelon" dazu einen wichtigen Beitrag leistet. Nahezu ungehindert sollen einer Studie der Europäischen Union zufolge die USA und ihre Partner Australien, Neuseeland, Kanada und Großbritannien den Datenverkehr abhören.

Ob unter dem Namen "Echelon" oder auf andere Weise: Ziel der Lauschangriffe sind damit ganz klar nicht nur die Behörden. Vor allem auf die Wirtschaft soll es die National Security Agency (NSA), Nordamerikas Elite-Spion und Betreiber des Schnüffeldienstes, abgesehen haben. Das klingt durchaus glaubhaft.

Auch Telefon und Fax sind nicht sicher

So wurde während der Amtszeit Bill Clintons ein Advocacy Center eingerichtet, das den US-Unternehmen staatliche Unterstützung in den internationalen Märkten bietet. 145 Milliarden US-Dollar soll die regierungsseitige Hilfe Berichten dieses Centers zufolge den nordamerikanischen Unternehmen im Laufe der neunziger Jahre eingebracht haben, sprich: Verträge, die zustande kamen, weil der US-Wettbewerber über Informationen verfügte, die ihm einen Vorteil verschaften. Vier Milliarden Dollar Exportminus trafen demnach allein Deutschland.

Diese Form der Industriespionage beschränkt sich natürlich nicht nur auf das Internet. Abhöranlagen und Softwaresysteme scannen die via Telefon, Fax oder Internet übertragenen Daten und Informationen nach verdächtigen Stichworten. Dafür soll dem Neuseeländer Buchautor Nicky Hager zufolge beispielsweise das Rastersystem "Memex" der britischen Memex Technology eingesetzt werden. Ein weltweiter Ring aus Lauschstationen - darunter eine Anlage im bayerischen Bad Aibling, die nun allerdings geschlossen werden soll - zapft internationale und regionale Kommunikationssatelliten an, etwa die von Intelsat betriebenen. Darüber hinaus haben die Spürnasen ein Ohr an den physikalischen Kabelverbindungen des Internet. Der "Spiegel" wies bereits vor einiger Zeit darauf hin, dass sich "Echelon" bei seiner Suche vornehmlich auf Schlüsselwörter aus dem Wirtschaftsbereich stützt.

Dass das US-Unternehmen Boeing seinem Konkurrenten, dem europäischen Airbus-Konsortium, 1994 den Großauftrag aus Saudi-Arabien abluchste, soll der Flugzeughersteller gezielten Hinweisen seiner Regierung zu verdanken haben. Die Beteiligung von "Echelon" wurde dabei nie konkret bestätigt.

Gern zitiert wird auch das Beispiel des Automobilzulieferers, der aus dem Spiel gekickt wurde, weil sein Wettbewerber um zwei Mark niedriger angeboten hatte. Es ging um einen Fernwartzugang, den ein Geschäftsbereich des Mitbewerbers angeblich hatte und der dem anderen die Infos gab. Oder der Ausgang des Wettbewerbs zwischen dem französischen TGV und dem deutschen ICE über eine Lieferung von Eisenbahntechnik nach Korea: Man sagt, Siemens habe den Auftrag verloren, weil das Unternehmen sein Angebot per Fax über französische Leitungen gesendet hat. Oder haben Sie sich je schon einmal gefragt, warum sich die russische Raumfähre und das US Space Shuttle so ähnlich sehen?

Ebenso konnte ein Hersteller von Windkraftanlagen aus dem ostfriesischen Aurich nie beweisen, dass er Opfer eines Lauschangriffs geworden war. Nur musste das Unternehmen feststellen, dass es keine Importerlaubnis für die USA bekam, weil ein dort heimischer Anbieter genau die gleichen Geräte herstellte. Einem Bericht der "Zeit" zufolge nutzte das deutsche Unternehmen auch E-Mails und Faxe, um sich mit den Entwicklern abzustimmen. Die Vermutung lag nahe, dass die US-Firma mit Hilfe der NSA an die Informationen gelangte.

Vor allem diese Ungewissheit mangels direkter Beweise spielt den Industriespionen in die Hände. Werden Vorfälle bekannt, ordnet man sie flugs der Gerüchteküche zu. Von vielen Angriffen und Abhörerfolgen erfährt die Öffentlichkeit überhaupt nicht - oftmals werden sie nicht einmal von dem Opfer wahrgenommen.

Gerhard Schmid, Sprecher des temporären Echelon-Ausschusses der Europäischen Union, mahnt denn auch die Unternehmen zur Vorsicht (siehe CW Infonet News vom 14. Mai 2001). Seine Warnung ist durchaus berechtigt. Viele Angebotsdaten oder andere relevante Informationen gehen auch heute noch unchiffriert über Fernsprechverbindungen sowie als unverschlüsselte E-Mail übers Internet.

Zu großes Vertrauen in die Technik

Die scheinbar fehlende Sensibilität mag in zu großem Vertrauen in die bestehende Technik und in zu geringem Wissen über die Möglichkeiten der Spionage begründet sein. Hacking erfordert immer weniger Erfahrung. Mit Hilfe umfangreicher, leicht bedienbarer Tools wird es auch für weniger versierte Computerfachleute immer einfacher, Daten abzuhören und zu manipulieren. Im Fall staatlich geförderter Industriespionage kann man zudem davon ausgehen, dass ausreichend Hacker-Experten mit profundem Know-how vorhanden sind.

Darüber hinaus gibt es genügend Gerüchte über enge Verbindungen von US-Softwareherstellern zur NSA. So konnte der Verdacht nie ausgeräumt werden, dass Microsoft in seine Produkte einen Schlüssel für die NSA eingebaut hat. Andrew Fernandes hatte als Mitarbeiter des kanadischen Security-Softwareunternehmens Cryptonym in Windows NT einen Schlüssel mit dem Label "NSAKEY" entdeckt. Auch Lotus steht unter Verdacht, der NSA die Möglichkeit eingeräumt zu haben, die Lotus-Notes-Verschlüsselung zu knacken. Die PDS hatte dahingehend schon vor einigen Jahren eine Anfrage an den Bundestag gestellt (Drucksache 14/1057), weil die Bundeswehr damit arbeitet. Sollte die NSA tatsächlich die Recovery-Keys von amerikanischen Verschlüsselungsprodukten besitzen, bietet auch der stärkste Schlüssel keinen Schutz.

Dennoch stellt Verschlüsselung die einzige Möglichkeit dar, die Daten abhörsicher über die Netze zu transportieren. Mit angemessen langen Schlüsseln chiffrierte Informationen kann nicht einmal ein Superrechner in Klartext übersetzen. Allerdings besinnen sich die Unternehmen erst langsam darauf, den Datenverkehr zu verschlüsseln. Das Thema virtuelle private Netze kam erst in diesem Jahr so richtig auf - und dies ist meist der erste Schritt. Damit ist allerdings nur der interne Datenverkehr zwischen Niederlassungen oder die Kommunikation mit fest angebundenen Partnern geschützt. Ansonsten hat Klartext immer noch Oberhand.

Keinen Schutz bietet die Verschlüsselung der Daten allerdings gegen eine Datenstromanalyse, das heißt, der Schnüffler im Netz kann immer noch feststellen, wer mit wem über welches Protokoll wie oft kommuniziert und über welche Routing-Strecken die Daten laufen. Sollte beispielsweise die IP-Adresse eines für die Lauscher relevanten Unternehmens oder einer Regierung als "Suchbegriff" eingegeben sein, werden alle dahin gerichteten Nachrichten gefiltert. Das Ziel, nämlich eine Vertraulichkeit der Inhalte selbst, wird aber erreicht. Durch regelmäßige Übermittlung von Null-Informationen kann man in manchen Fällen der Datenstromanalyse effektiv begegnen.

Absicherung der Endgeräte

Wer befürchtet, aufgrund seiner Geschäftstätigkeit zu den bevorzugten Abhöropfern zu gehören, sollte sich zudem mit der physikalischen Absicherung der Endgeräte befassen. Andernfalls haben die Überwacher die Möglichkeit, die elektromagnetischen Signale eines Computers abzufangen. Das heißt, er ist einfach in der Lage, die Tastendrucke und Nachrichten, die auf dem Bildschirm erscheinen, ebenfalls "mitzulesen". Selbst Passwörter und Nachrichten, die das eigene Netz nicht verlassen, sind so ungeschützt. Die Lauscher empfangen die Informationen unter Umständen auf einer Distanz von 200 bis 300 Metern noch klar. Die Abwehrmethode, mit der dies verhindert werden soll, nennt sich Tempest Shielding - ein Verfahren, das von der US-Regierung in den späten sechziger Jahren entwickelt wurde und heute in der Spionageabwehr State of the Art ist. Herkömmliche Hardware wird hier durch gesicherte Geräte ersetzt. Allerdings ist derartiges Equipment relativ teuer, und dessen Einsatz reduziert die Anwenderfreundlichkeit erheblich.

"Echelon" beschränkt sich vermutlich nur auf das Abhören und Selektieren von Informationen, die bereits die Unternehmensgrenzen verlassen haben. Denkbar sind aber auch aktive oder indirekte Angriffe. Dass Industriespione aktiv in die Systeme ihrer Opfer eindringen, ist bislang noch nicht bekannt geworden. Kaum ein Unternehmen lässt es allerdings in die Öffentlichkeit dringen, wenn es erfolgreich gehackt wurde. Selbst bei den Erfolgsmeldungen über Angriffe auf Server der US-Behörden ist Vorsicht angebracht: Oftmals werden hier falsche Fährten gelegt - und die IT-Spezialisten werden sich hüten, ihr Geheimnis zu lüften.

Kriminelle DOS-Attacken

Auch Lutz Donnerhacke, einer der Gründer des Förderverein Informationstechnik und Gesellschaft (Fitug) ist überzeugt, dass kräftig in den Netzen spioniert wird. "Die Informationsbeschaffung durch Einsicht in fremde Systeme ist mittlerweile eine ganz normale Geheimdiensttechnik", äußerte er sich in einem Interview in politik-digital (www.politik-digital.de). Die Hauptgefahr liege im wirtschaftlichen Bereich. "Dort herrscht größtenteils Blauäugigkeit vor." Auch die Denial-of-Service-Attacken, also das gezielte Lahmlegen von Servern, auf Anbieter, deren Wohl und Wehe vom Umsatz im Netz abhängt, lässt sich in die Kategorie Wirtschaftskriminalität einordnen.

Beliebt zur Informationsabfrage sind I/O- und Socket-Attacken mit Hilfe von "malicious code". Gemeint sind hier ausführbare Programme, die sich unbemerkt über das Web oder als E-Mail in den Systemen einnisten können. Dazu zählen neben Java und ActiveX auch elektronische Postkarten, die neben ihrer sichtbaren Funktion unerwünschte Aktivitäten im Hintergrund ausführen. Dadurch lassen sich vom Besitzer des PCs Daten beispielsweise über Festplatten, Speicher, eingesetzte Betriebssystemversionen, Smartcards, Passworte oder Schlüssel beschaffen.

Kennt der Angreifer beispielsweise die Betriebssystem-Version, lassen sich leicht deren Schwachstellen herausfinden. Und es gibt bislang kein Standard-Betriebssystem, das keine Bugs und damit offene Eingangstüren für Hacker aufweist. Nicht viel anders sieht es mit Routern, Server-Software etc. aus. Die Informationsdienste wie "Securityfocus" (www.securityfocus.com) melden nahezu täglich neue Sicherheitslücken in Standardprodukten. Ziel der Angreifer ist es, Administrationsberechtigung zu erlangen, also die komplette Kontrolle über das System - damit steht ihnen Tür und Tor offen.

Gegen bösartigen, mobilen Code können sich Unternehmen recht gut schützen. Dies geschieht über proaktive Mobile-Code-Filtertechniken, die eingehende Programme während der Ausführung überwachen und bei unerwünschten Aktivitäten abbrechen. Eine weitere, wenn auch noch weniger effektive Möglichkeit bieten Trusted-based-Mechanismen wie die Authenticode-Technologie von Microsoft. Microsoft nutzt hier digitale Signaturen, die Empfängern von Download-Dateien garantieren soll, dass die Datei tatsächlich von dem genannten Absender stammt und während des Transports nicht verändert wurde. Die Sicherheit dieses Mechanismus ist so gut wie die Organisation, welche die Zertifikate der Programme ausstellt.

Gegen Schwachstellen in Netzen, Servern und Betriebssystemen ist man nicht gefeit, vorausgesetzt, es handelt sich nicht um Konfigurationsfehler. Schutz bieten hier starke Authentisierung für Zugriffe, gut administrierte Firewalls sowie die bislang noch wenig verbreiteten Trusted Operating Systems (TOS). Durch eine gute Implementation eines TOS lässt sich die Vertrauenswürdigkeit in einen Server, der dem Internet zur Verfügung gestellt wird, dramatisch steigern.

Spionage verstärkt über Netze

Industriespione laufen bei aktiven Attacken natürlich schneller Gefahr, entdeckt zu werden. Doch erstens gibt es genügend Mittel und Wege, seine Identität zu verschleiern. Zweitens fehlen den meisten Unternehmen die personellen Ressourcen, um eine ausreichende Kontrolle der Netzwerkzugänge sicherzustellen. Eine kleine Hilfe leisten Intrusion-Detection-Systeme, indem sie den Datenverkehr überwachen und bei verdächtigen Aktivitäten Alarm schlagen. Gerade Unternehmen, die in Märkten tätig sind, die starken Wettbewerb und hohe Auftragssummen vereinigen, sollten ihre Administrationsmannschaft von den derzeit üblichen ein bis zwei Personen aufstocken oder Überwachungsaufgaben an externe Spezialisten übergeben. Denn kein System ist hundertprozentig sicher, und man kann davon ausgehen, dass Industriespionage verstärkt über die Netzwerke stattfindet - anonym, schwer nachvollziehbar und kaum zu beweisen. Am wichtigsten ist allerdings die Basissicherung. Und hier ist es mit einer Firewall allein nicht getan. Leider hat gerade die Prophylaxe ersten Grades, die generelle Verschlüsselung von externen Geschäfts-E-Mails mit starken Schlüsseln, derzeit noch Seltenheitswert.

*Ralf Nemeyer ist IT Security Consultant bei Integralis Deutschland in Ismaning.

Angriffszenarien

Passive Attacken

- Überwachung

- Snooping

Indirekte Attacken

- Einbruch mit Hilfe von bösartigem Code (zum Beispiel enthalten in ActiveX, Java, elektronischen Postkarten)

Direkte Attacken

- Ausnutzen von Schwachstellen in Betriebssystemen, Anwendungen und Kommunikationsprozessen

Schwachstellen in IT-Systemen

- Netzwerkarchitektur

- Unsichere WAN-Zugänge (zum Beispiel Internet)

- Sicherheitslücken/Bugs in Servern

- Offene Türen in Betriebssystemen

- "Features" und Bugs in Anwendungsprogrammen