DS Leitfaden ThVU - Analyse der Ursachen

für Daten-GAUs

An dieser Stelle wollen wir die Ergebnisse der Auswertung unterschiedlicher Zwischenfälle im Hinblick auf die gesicherten oder (sofern eine Klärung nicht mit Sicherheit erfolgen konnte) wahrscheinlichsten Ursachen für Datenverlust, Kompromittierung, Ausfall der EDV in Verwaltungen und KMUs zusammenfassen. Die Ursachenforschung steht nun mal am Anfang jeder Gegenmaßnahme.

A. Angriff unter Ausnutzung technischer Lücken in der EDV
Eine der häufigsten Ursachen für größere und bekannt gewordene Zwischenfälle rund um Datensicherheit sind

• Aktivitäten von Cyberkriminellen

• unter Ausnutzung von Fehlern in der eingesetzten Technik, insbesondere in der Software (Softwarelücken).

Die Zwischenfälle (mit Ransomware, ausgeführt als DoS-Attacken oder Datendiebstahl) erfolgen auf folgende Weise:

• Cyberkriminelle konzipieren ein Angriffsverfahren, bei dem eine bekannt gewordene Sicherheitslücke in Software zum Zweck eines unbefugten Zugriffs auf EDV-Systeme genutzt wird; die betroffene Software kann ein Element des Betriebssystems sein (Beispiel: Microsoft RD-Protokoll) oder eine Software, die für die Kommunikation im Internet genutzt wird (Beispiel: Cisco IPSec-Implementation für VPNs);

• vorzugsweise werden dafür Sicherheitslücken verwendet, die einen Remote-Zugriff über Internet ermöglichen - auf diese Weise können Angriffe weltweit, standortunabhängig per Internet durchgeführt werden;

• darauf aufbauend werden ganze Botnetze oder andere - den Cyberkriminellen nicht direkt zuzuordnenden - Computer dafür verwendet, Angriffe automatisiert und massenhaft auf Geräten, die über das öffentliche Internet erreichbar sind, durchzuführen; die automatisierten Routinen werden jedenfalls dafür verwendet, jedenfalls die vulnerablen Geräte zu finden und meist auch in diese einzudringen;

• es ist zu bemerken, dass der Zugriff auf nicht abgesicherte Geräte bei der hier beschriebenen Methode so gut wie nie gezielt erfolgt; Cyberkriminelle haben in der Regel kein Interesse an konkreten Zielen, sondern an einem erfolgreichen Zugriff auf möglichst viele Ziele, die dann zu finanziellen Zwecken erpresst werden können (Verschlüsselung, Datendiebstahl, Betriebsstörung, damit der Betroffene erpresst werden kann);

• je nach Angriffsvariante erfolgt die Kompromittierung der angegriffenen Geräte oder der internen Netzwerke, in denen sie sich befinden, automatisiert oder die Angreifer unternehmen bei Information über Zugriffsmöglichkeit manuell den Versuch, in die Geräte / Netzwerke tiefer einzudringen;

Unsere Beobachtungen zeigen dabei, dass es sich nicht etwa um unvermeidbare Situationen handelt, in denen niemand von der Sicherheitslücke wusste oder diese gerade erst entdeckt wurde und eine Reaktion auf sie noch nicht möglich war etc. Fast ausnahmsweise erfolgen Angriffe auf dem hier dargestellten Wege über bereits bekannte Sicherheitslücken, die praktisch immer dokumentiert und kommuniziert wurden, in der Regel besteht auch schon die Möglichkeit, die jeweilige Sicherheitslücke im Wege gewöhnlicher Softwareupdates zu schließen.


B. Technischer Ausfall
Häufig entstehen Daten-GAU-s oder schlicht EDV-Ausfälle dadurch, weil schlicht die EDV-Industrie unzureichendes Qualitätsmanagement betreibt.

C. Sonstige