|
Ob Wirtschaft, Finanz-, Gesundheits- oder Bildungswesen, öffentliche Verwaltung oder Militär – Störungen der so gut wie unentbehrlich gewordenen Informationstechnologie können kaum zu beziffernde Folgen nach sich ziehen, man denke nur an Ausfallszeiten oder Imageschäden. Im Rahmen der „IMF 2006“ wurden neueste Forschungsergebnisse und Technologien rund um das Management von Sicherheitsvorfällen in IT-Systemen (Incident Management) vorgestellt sowie Maßnahmen zur Aufbereitung und Analyse von Daten nach einer Sicherheitsverletzung (IT-Forensics). Als wesentliche Konferenz-Ziele nannte Oliver Göbel, Leiter der Stabsstelle DV-Sicherheit der Uni Stuttgart (RUS-CERT): die zwei Welten der IT-Forensik zusammenzuführen – die „Techniker-Welt“, in der die IT-Forensik in besonderen Fällen als Teil des Incident Managements durchgeführt wird, sowie die Welt der Ermittlungsbehörden, in der zwar die klassische Forensik auf die IT abgebildet wurde, sonst aber keine Beschäftigung mit dem Betrieb von IT-Infrastrukturen stattfindet. Ein unterschiedliches Verständnis und eine jeweils eigene Terminologie sind die Folge. Und schließlich sollen auch Industrie und Wissenschaft zusammenfinden, die auf diesem Feld derzeit noch getrennt arbeiten.
Erste-Hilfe-Teams für die DV-Sicherheit
Ort dieser zweiten IMF-Konferenz war die Uni Stuttgart, da deren RUS-CERT in der deutschen und europäischen Hochschullandschaft ein einzigartiges Kompetenzzentrum für IT-Sicherheit ist, insbesondere in den Bereichen des Vorfallsmanagements und der Frühwarnung. CERTs (Computer Emergency Response Teams) beraten rund um die DV-Sicherheit, um Schäden im System zu vermeiden, sie evaluieren einzuführende IT-Verfahren, erarbeiten Konzepte zur Warnung, Notfallvor- und –nachsorge. Ebenso untersuchen sie Sicherheitsvorfälle, ergreifen oder veranlassen die notwendigen Maßnahmen und stellen im Fall eines Schadens den schnellen Wiederbetrieb der IT-Infrastruktur sicher. Im Rahmen der IMF-Konferenz berichteten Mitarbeiter des Stuttgarter RUS-CERT über Standardisierungsbemühungen bei Security-Advisories. Die Errichtung eines nationalen IT-Sicherheitszentrums war Thema der Referenten des SINTEF aus Norwegen, Andreas Schuster von der Deutschen Telekom AG nahm sich der Windows-Forensik an und Referenten von der Carnegie-Mellon University sowie der Uni Erlangen-Nürnberg berichteten über die Vorfallsbearbeitung. Mitglieder des CarmentiS-Konsortiums gingen auf die Effektivität und Automatisierung in der Vorfallsbearbeitung ein, die Vortagenden der DFN-CERT Service GmbH auf Frühwarntechnologien. Andrea Rigoni von der Symantec Corp. referierte über die Fortschreibung ihrer Warndienste und Thema der Vortragenden von der Uni Mannheim war die IT-Forensik in der Lehre.
Achtung! E-Mail für Dich
Richtig auf Sicherheitsvorfälle reagieren und Notfallmaßnahmen zur Sicherstellung des Weiterbetriebs der angegriffenen Infrastruktur zu ergreifen, wird immer wichtiger. Dies gilt auch für Fälle der Industriespionage, die Rolf Schulz von der Global Network Security GmbH als ein wachsendes, verstecktes Insider-Geschäft vorstellte. Nur ein kleiner Teil werde bekannt und in rund 70 Prozent der Fälle seien Insider beteiligt. Neben den klassischen Maulwürfen werden zunehmend Würmer, Viren und Trojanische Pferde zur illegalen Datenbeschaffung eingesetzt. Die Finanzwirtschaft ist immer häufiger Zielscheibe so genannter „Phishing-Attacken“. Dabei wird mittels fingierter e-mails, zumeist im Umfeld von Bezahlungssystemen wie etwa dem Online-Banking, versucht, deren Empfänger zur Herausgabe ihrer Zugangsdaten und Passwörter zu bewegen. „Was einst eine kleine Bedrohung, ist zu einem großen Geschäft für das organisierte Verbrechen geworden“, mahnte Schulz. Den allein daraus für das Jahr 2006 in Deutschland entstehenden finanziellen Schaden bezifferte er in einer vorsichtigen Schätzung auf 4,5 Millionen Euro.
Cyber-Crime-Techniken immer raffinierter
Spionageprogramme sind sehr zielgerichtet programmiert und oft auf eine einzelne Person zugeschnitten, bestätigte Dr. Stefan Grosse vom Bundesinnenministerium. Die beim Cyber-Crime eingesetzten Techniken werden immer raffinierter, die Programme verbreiten sich sehr schnell, sind hoch entwickelt und fast nicht mehr zu detektieren, erläuterte Grosse den derzeitigen Stand der Bedrohung. Untereinander vernetzte Computer für eine Attacke zu leasen sei einfach und deren Bedienung so leicht wie Autofahren. Es handelt sich dabei um infizierte Systeme, die zu riesigen so genannten „Bot-Netzen“ zusammengeschaltet, zentral gesteuert und zu beliebigen Zwecken vermietet werden, wie etwa zum massenhaften Versand von Spam oder für den Angriff auf die Web-Präsenz eines Konkurrenten. Die Betreiber nutzen die Netze aber auch selbst, um Unternehmen, die von ihrer Web-Präsenz abhängig sind, um Geld zu erpressen, indem sie massive Angriffe androhen. Statt der jugendlichen Täter, die sich damit brüsten, in Netze eindringen zu können, gehe das heutige Täterprofil eindeutig hin zur organisierten Kriminalität und einer internationalen, professionalisierten Szene, in der viel Geld verdient werden könne. Sicherheitsaspekte beim Betrieb von IT-Infrastrukturen solle man daher nicht auf die leichte Schulter nehmen.
Den Tätern auf der Spur: IT-Forensik
Dr. James R. Lyle vom National Institute of Standards and Technology (NIST), USA, berichtete von seiner Arbeit an dem 1999 gestarteten Computer Forensic Tool Testing Project, das Standards für die Werkzeuge erarbeitet, die bei der IT-Forensik zum Einsatz kommen. Der Gebrauch und Missbrauch von IT-System hinterlässt Spuren. Die IT-Forensik beschäftigt sich damit, diese zu finden, gerichtsfest zu erheben und speichern und schließlich zuverlässig zu interpretieren. Obwohl sich so technische Erkenntnisse zur Verbesserung der Sicherheit gewinnen lassen und ein juristisches Vorgehen gegen die Täter möglich wird, fehlen in den meisten Organisationen, die mit IT-Systemen arbeiten, die entsprechenden Fachleute. Sicherheitsstandards für die IT-Forensik und die IT-Infrastrukturen sollten verstärkt Eingang finden in die entsprechenden Studiengänge an den Hochschulen, empfahlen daher auch die Konferenzteilnehmer.
Julia Alber
|