Die Schadenfreude bei den aktuellen und den Leaks der jüngeren Vergangenheit sollte sich Grenzen halten. Vielmehr sollte man sich die Frage stellen, was kann getan werden, damit sich so etwas nicht ständig wiederholt und vor allem auch, welche anderen Schlüsse man aus diesen Leaks ziehen muss?
Die aktuell bekannt gewordenen Leaks sind aller Wahrscheinlichkeit nach nur die Spitze des Eisbergs und in den mit dem Internet verbundenen Systemen stecken noch viel mehr solcher Datensammlungen die nur darauf warten gefunden zu werden, wenn sie es nicht schon längst sind. Was also tun, um einem solchen Super GAU bei den eigenen Daten vorzubeugen?
Bei neuen Projekten sollte die Phase für Planung und Konzeption einen entsprechend hohen Stellenwert haben, damit sich alle im Projekt beteiligten ausreichend Gedanken machen können und gerade das Thema Cyber Security ein Schwerpunktthema dabei sein. Wie wichtig dies ist, zeigen die Dataleaks nur zu gut. Das hilft aber bestenfalls nur bei neuen Projekten. Stand jetzt bestehen aber schon viele Freigaben und Zugriffe aus Projekten der Vergangenheit. Um nun aber sicher zu gehen, müssen alle Projekte bzw. Datenablagen der Vergangen noch einmal auf den Prüfstand, um genau einen solchen Fall auszuschließen. Grundsätzlich helfen auch regelmäßige Audits und Reviews der Regelwerke bzw. der Services an sich. Es ist wichtig immer wieder erneut zu prüfen, ob die vorhandenen Zugriffe noch dem aktuellen Stand entsprechen oder es Zugriffe gibt, die es nicht mehr braucht.
Unabhängig davon sind öffentlich zugängliche CIFS/SMB Service generell eine schlechte Idee, selbst dann, wenn der Zugriff auf bestimmte Quellen eingeschränkt ist. Eine solche Dateifreigabe hat direkt im Internet nichts zu suchen. Es ist zwar völlig legitim Backupdaten in der Cloud abzulegen, dafür sprechen viele Gründe, wie zum Beispiel eine weitere Kopie des Backups an einem externen Standort (in diesem Fall in der Cloud) vorzuhalten – eben für den Fall der Fälle. Jedoch sollten diese Daten immer verschlüsselt dort abgelegt werden, wie man es mit anderen Daten auch macht, die außer Haus abgelegt sind. Ein solches Backup Konzept muss daher auch immer so gestaltet sein, dass die Daten im Haus verschlüsselt und somit nur verschlüsselte Daten das Haus verlassen und dann erst in der Cloud abgelegt werden. Das ist alles keine “Rocket Scientist”, sondern eher ganz triviale Grundsätze der IT Sicherheit, die man einfach nur beachten müsste.
Aber es gibt noch einen ganz anderen Punkt, der mit zu den Konsequenzen dieser Leaks gehört. In fast allen dieser Leaks waren auch Logindaten betroffen, teils sogar im Klartext gespeicherte Passwörter. Diese veröffentlichung bietet ein kaum größeres Gefahrenpotential mit sehr weitreichenden Folgen in der Zukunft. Hier darf man sich nichts vormachen, viele Passwörter werden mehrfach für unterschiedliche Accounts benutzt und mit dem bekanntwerden der Passwörter steigt auch das Risiko, dass andere Accounts der vom Leak betroffen Personen kompromittiert werden können.
Als Konsequenz daraus muss eigentlich zwingend der Einsatz von Multifaktor Authentifizierung (MFA) folgen um Accounts trotz solcher Passwort Leaks noch zu schützen. Es ist zwar schon schlimm genug, dass der Angreifer im Besitz eines gültigen Passworts ist, ihm fehlt aber dann der zweite Faktor um den Account zu kompromittieren. Dass das Passwort trotzdem gewechselt werden muss ist selbstverständlich, jedoch bleibt durch den weiteren Faktor ausreichend Zeit dies zu tun. Das Thema MFA geht aber noch weiter und ist im Rahmen eines Identity Management zu sehen, welches ebenfalls als Konsequenz daraus folgen muss.
Die Aufgabe ist groß und hat auch eine entsprechende Komplexität auf Seiten der IT, daran besteht kein Zweifel. Auf Seiten des Anwenders kommt ein sehr kleiner Mehraufwand in Form des zweiten Faktor hinzu. Aber in Anbetracht der Ereignisse und des Missbrauchspotential welcher daraus folgt, gibt es kein Argument dagegen, welches bei objektiver Betrachtung hinsichtlich der IT Sicherheit standhalten würde. Die Absicherung der von Zugängen an die aktuelle und immer weiter steigende Bedrohungslage ist eine der Aufgaben die jetzt angegangen werden müssen um sich im Besonderen vor Fehlern anderer zu schützen. Ein kompromittierter Account reicht Angreifern völlig aus, um ein ganzen Netzwerk zu infiltriere und an sensible Informationen zu gelangen. Dessen muss man sich bewusst sein, denn ein solcher Angriff mit gültigen Zugangsdaten fällt so gut wie nicht auf. Gerade bei kleineren und mittelständischen Unternehmen gibt es kein SIEM oder andere Lösungen die ein ungewöhnliches Verhalten aufdecken können. Die Indikatoren dafür gibt es, sie fallen nur niemanden auf, dass zum Beispiel ein Home Office Anwender aus Deutschland sich auch gelegentlich aus dem Ausland mit dem Unternehmen verbindet. Dazu kommt noch die Tatsache, dass es in den Unternehmen viele verwaiste Accounts gibt, die einfach nicht gesperrt oder entfernt wurden, nachdem die Person das Unternehmen verlassen hat. Analog gilt dies auch für Support Zugänge, die immer noch für Dienstleister existent sind, obwohl schon länger keine Geschäftsbeziehung mehr besteht oder sogar die internen Systeme nicht mehr existieren, wofür der Zugang gedacht war. Wird die freie IP eines solchen System recycled und von einem anderen System benutzt, macht es die Situation noch schlimmer. Natürlich sind dies zum Teil organisatorische Probleme im jeweiligen Unternehmen, was aber nichts daran ändert, dass darüber dann ein Einbruch stattfinden kann. Aus diesem Grund gehören daher Identity Management, MFA und ein entsprechendes Monitoring zusammen, wie auch das Überarbeiten von organisatorischen Prozessen. Ein Vorteil des Ganzen ist, dass es technische Maßnahmen gibt, die bei solchen Leaks deutlich mehr Sicherheit bieten, diese müssen nur ergriffen werden. Das betrifft sowohl mehr sorgfalt beim Einrichten von von solchen freigaben, wie auch mehr weitsicht, dass andere Fehler machen, von denen man dann selbst betroffen ist.