16. Mai 2011 - Datenschutz-Schulung

Anatomie eines Datenangriffs: Aus Fehlern lernen

Der Angriff auf den Sicherheitsanbieter RSA zeigt eindringlich, wie wichtig Schulungen im Bereich Datenschutz und Datensicherheit sind. Nutzen Sie diesen Datenangriff auf Sicherheitsanbieter als Musterfall, und machen Sie leicht verständlich die Tricks der Datendiebe deutlich.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Internetkriminelle werden zunehmend wählerisch. Sie attackieren nicht einfach möglichst viele Internetnutzer, sondern sie suchen sich besonders geeignete und lohnende Zielpersonen.

Im Fadenkreuz der Datendiebe

Waren gezielte Angriffe wie Spear Phishing im Jahr 2005 mit ein bis zwei Attacken pro Woche eher selten, werden heute mehr als 70 gezielte Angriffe pro Tag registriert, wie der Sicherheitsanbieter Symantec berichtet.

Beispiel: Der Angriff auf den Sicherheitsanbieter RSA

Wie folgenschwer der Fehler einer einzelnen Person sein kann, zeigt der aktuelle Datenangriff auf den Sicherheitsanbieter RSA.

Auch wenn bislang noch nicht alles über die genaue Beute bei diesem Datendiebstahl öffentlich bekannt wurde, ist der Angriffsweg gut nachvollziehbar. Sie können und sollten deshalb ein Beispiel wie RSA als Lehrbeispiel dafür nehmen, welche Fehler möglich sind und wie sie sich unter Umständen auswirken.

Am Anfang steht die Neugierde

Ein Angriff wie die Attacke auf RSA basiert nicht einfach auf einer unvollständigen technischen Absicherung, sondern auf einem Mangel an Risiko- und Datenschutzbewusstsein. Die Datendiebe setzten bei diesem Angriff auf fehlende Datensparsamkeit und die Neugierde des Menschen:

  • Die Datendiebe sammelten zuerst Informationen über ihre Zielpersonen bei dem Unternehmen, das sie angreifen wollten. Dazu nutzten sie wahrscheinlich persönliche Informationen der Opfer aus sozialen Netzwerken.
  • Diese Informationen setzten sie ein, um einen gezielten Phishing-Angriff zu starten. Die Datendiebe schickten an zwei Tagen an zwei kleine Mitarbeitergruppen eine E-Mail mit einer Excel-Datei namens „2011 Recruitment plan.xls“.
  • Die Empfänger sollten glauben, interessante Informationen im Bereich Personalbeschaffung erlangen zu können.
  • Die heimtückischen E-Mails wurden von Spam-Filtern als Spam eingestuft. Doch einer der Empfänger holte die E-Mail aus dem Spam-Ordner, öffnete die Mail sowie die Excel-Datei.

Hacker bevorzugen Zero-Day-Attacken

Die Excel-Datei enthielt ein Schadprogramm, das eine noch nicht behobene Schwachstelle bei Adobe Flash ausnutzte. Durch diese Zero-Day-Attacke konnten die Angreifer sicher sein, eine Schwachstelle zu finden, die sie auch ausnutzen konnten.

Für Ihre Datenschutz-Schulung ist wichtig, dass Sie darauf hinweisen, dass selbst aktuell gehaltene Programme bei einem solchen Angriff missbraucht werden können, denn es gab zum Zeitpunkt des Angriffs noch keine Fehlerbehebung!

Deshalb ist es so wichtig, dass die Mitarbeiterinnen und Mitarbeiter den Zero-Day-Attacken keine Chance geben und nicht auf die Spear-Phishing-Mails hereinfallen.

Dann kommt das Hintertürchen

Im Fall des Angriffs auf den Sicherheitsanbieter RSA installierten die Datendiebe über die Zero-Day-Schwachstelle eine Möglichkeit, den infizierten Computer fernzusteuern. Der befallene Computer wurde dabei zur Hintertür, zur Basis für weitere Attacken.

Bei diesen Attacken werden die Identität und die Privilegien des gekaperten Zugangs missbraucht, um weitere Identitäten und Benutzerrechte zu erhalten, die zu den gewünschten Daten führen. Im Fall von RSA ging es den Datendieben um Informationen über die Sicherheitsprodukte dieses Herstellers (ein Token im Bereich Zwei-Faktor-Authentifizierung).

Man kann davon ausgehen, dass die Datendiebe mit diesen Informationen an Daten der Kunden dieses Sicherheitsherstellers gelangen wollten.

Rein mit Phishing, raus mit FTP

Den Datendieben gelang es, über ihre interne Basis, also den gekaperten Rechner, Zugang zu Nutzern mit Administratorrechten zu bekommen. Sie sammelten mit diesen privilegierten Zugängen so viele Daten, wie sie in der Kürze der Zeit bis zur Entdeckung des Angriffs konnten.

Diese Daten verschlüsselten sie zur Tarnung und übertrugen sie mit FTP (File Transfer Protocol) an einen externen Rechner. Dort begannen sie, ihre digitalen Spuren zu verwischen.

Datenschutz-Schulung gegen den Domino-Effekt

Betrachtet man den kompletten Datenangriff, führt der Fehler eines einzigen Anwenders zu einer ganzen Kette von möglichen Unsicherheiten, bei anderen Mitarbeitern und womöglich bei den Kunden.

Es ist also ganz entscheidend, nicht nur die technische Datensicherheit lückenlos und wasserdicht zu machen, sondern auch unter den Mitarbeitern mögliches Fehlverhalten zu verhindern.

Dies unterstreicht die Bedeutung Ihrer regelmäßigen Datenschutzunterweisungen, denn die meisten Angriffe hätten sich leicht mit einem gesunden Datenschutzbewusstsein abwehren lassen, zweifellos auch die beschriebene Attacke auf RSA.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln