IT-Sicherheit in Unternehmen 19.10.2012, 19:55 Uhr

Betriebliche Software ist eine oft genutzte Angriffsstelle

Die Sicherheit von Geschäftsanwendungen ist heute mehr denn je gefährdet. Sie wurden für den Zugang per Internet und Mobilgerät geöffnet. Auf diesen Wegen finden immer mehr Eindringlinge unerkannt Zugang in Firmensysteme.

Ein herkömmliches Türschloss lässt sich von einem Profi in nicht mehr als 4 s knacken. Das klingt schnell. Deutlich anspruchsvoller ist es, ein komplexes SAP-System mit seinen Millionen Zeilen von Programmcode binnen 60 s zu knacken. Dies gelang Alexander Polyakov, einem SAP-Berater, im Mai 2012 auf dem Positive Hacker Day. Er zeigte die zehn häufigsten Schwachstellen in einem SAP-System auf. Sie sind in einem Video zu sehen und in dem Sonderheft „SAP & Sicherheit“ (10/2012) der SAP-Firmenzeitschrift „S@pport“ nachzulesen.

Dieser Vorfall hätte die SAP-Kunden eigentlich beunruhigen müssen. Stattdessen scheinen sie aber weiterzuwursteln. Denn vielfach setzen sie Eigenentwicklungen auf SAP-Basis ein. Da diese selbst wiederum Millionen Codezeilen groß sind, aber in kürzester Zeit „mit heißer Nadel gestrickt“ wurden, kam im Design vielfach der Sicherheitsaspekt zu kurz. Die Folge sind Schwachstellen, wie sie Polyakov aufzeigte.

„Durch Sicherheitslücken in Anwendungen“, gibt HP-Sicherheitsexperte Arved Graf von Stackelberg zu bedenken, „können sogar die hinter den Anwendungen liegenden Datenbanken ausgelesen werden.“ Das sei etwa bei Sony passiert. Sony entstand so ein massiver Imageschaden. Angreifer könnten theoretisch ein solches löchriges System zum Absturz bringen, doch das wollen sie meist gar nicht. SAP-Systeme, die 60 % des Welthandels abwickeln, bieten viel lohnendere Ziele: Unmengen von Firmendaten und Transaktionen.

„Der Handel mit gestohlenen firmenvertraulichen Daten aus dem Internet blüht wie kein anderer Wirtschaftszweig“, weiß René Reutter, Abteilungsleiter für Informations- und Telekommunikationssicherheit bei T-Systems. „Die Motivation virtueller Eindringlinge ist dabei immer stärker an finanzielle Interessen gekoppelt – Daten sind bares Geld, illegale Zugriffe ein Millionengeschäft.“ Der Trend gehe zu gezielten Angriffen auf Firmen, insbesondere Forschungs- und Entwicklungsabteilungen.

Das Problem für die Bekämpfer solcher Bedrohungen sind nicht nur die Schlupflöcher in den Anwendungen, wie sie Polyakov etwa für SAP aufzeigte. Es sind auch nicht nur die Entwickler, denen immer weniger Zeit bleibt, eine Anwendung „wasserdicht“ zu machen – falls dies überhaupt eine Anforderung ans Design ist. Es sind vor allem die Betreiber der Anwendungen selbst. „Mehr als 90 % der Angriffe wären zu verhindern gewesen, hätten Unternehmen ihre Informations- und Telekommunikationssysteme gewartet und beispielsweise Updates für Betriebssystem- und Anwendungsebene zeitnah eingespielt“, beklagt Reutter ein schon lange bekanntes, aber immer wieder anzutreffendes IT-Sicherheitsleck.

Alle befragten Softwarehersteller implementieren deshalb vorbeugend im eigenen Haus ausformulierte Prozeduren und Methoden, um Anwendungssicherheit in die Entwicklungs- und Bereitstellungsphase einzubauen. Nachträglich liefern sie regelmäßig Patches und Updates aus.

„Im Konzern Telekom wurde ein Privacy & Security Assessment (PSA) eingeführt“, berichtet Reutter. „Es ist ein integriertes Verfahren für technische Sicherheit und Datenschutz als Bestandteil der Produkt- und Systementwicklungsprozesse.“ Auch die SAP sorgt nach Angaben von Chief Product Security Officer Gerold Hübner für die Qualität des Codes: „SAP setzt ein System der gegenseitigen Kontrolle durch drei unabhängige Abteilungen ein: Eine Abteilung definiert die Sicherheitsanforderungen, die andere wendet sie in der Softwareentwicklung an und die dritte überprüft zum Schluss deren Einhaltung.“

Beide Unternehmen helfen ihren Kunden durch Teams von Sicherheitsexperten, den Fall der Fälle zu bewältigen. „Die wenigsten Firmen“, so Reutter, „verfügen über das notwendige technische Know-how, geschweige denn über die personellen Ressourcen, um ihre Netzwerke sowie Informations- und Telekommunikationsressourcen Tag und Nacht von Grund auf zu durchleuchten – gleichermaßen von innen wie von außen.“ Denn oft bemerken sie Angriffe und Datendiebstähle nicht. Und falls doch, fehlen effiziente Notfallpläne und geschulte Sicherheitsexperten.

Die Kunden sind inzwischen sensibilisiert und investieren kräftig in Sicherheitswerkzeuge. Leider denken sie dabei wie ein mittelalterlicher Burgbaumeister: Sie befestigen die Wälle, während der Feind schon im Inneren lauert. Um nämlich so lange wie möglich spionieren zu können, verhalten sich die Würmer, Viren und Trojaner möglichst still. Sie sind nur mit entsprechend ausgefeilten Lösungen aufzuspüren, die den Datenverkehr filtern und in der Lage sind, verschiedene auffällige Ereignisse miteinander zu korrelieren: „Moment mal, darf der Benutzer ABC überhaupt Dateien der Kategorie XYZ über den Port 80 verschicken?“ Diese Kategorie von Überwachungswerkzeugen bezeichnen die Experten als „System Information  & Event Management“, kurz SIEM. Solche vollautomatisch arbeitenden Lösungen sind selten preisgünstig, aber zunehmend aus der Cloud zu abonnieren.

Letzten Endes kommt es, wie so häufig, auf den Benutzer an: Wer keine Patches und Updates einspielt, muss sich nicht wundern, wenn sein Produkt oder seine Patente in anderen Weltgegenden unerlaubt benutzt werden. In einer Weltwirtschaft, die zunehmend in Netzwerken zusammenwächst, ist Vertrauen gut, Kontrolle aber meistens besser. „Was bislang bekannt wurde, ist nur die Spitze des Eisbergs“, warnt René Reutter.  

Stellenangebote im Bereich Softwareentwicklung

HGF Europe LLP-Firmenlogo
HGF Europe LLP Patentanwalt/European Patent Attorney (m/w/d) (auch zur Ausbildung) der Fachrichtung Elektrotechnik, Informatik oder Physik München
Provadis Professionals GmbH-Firmenlogo
Provadis Professionals GmbH Informatiker / Ingenieure als Trainees (m/w/d) Frankfurt am Main
RHEINMETALL AG-Firmenlogo
RHEINMETALL AG Entwicklungsingenieur (m/w/d) Software Bonn
RAYLASE GmbH-Firmenlogo
RAYLASE GmbH Entwicklungsingenieur (m/w/d) Software Weßling
sepp.med gmbh-Firmenlogo
sepp.med gmbh Testautomatisierer (m/w/d) für Medizinprodukte-Software Forchheim
Hays Professional Solutions GmbH-Firmenlogo
Hays Professional Solutions GmbH Softwareentwickler (m/w/d) Niedersachsen
ROSA Experts AG & Co. KG-Firmenlogo
ROSA Experts AG & Co. KG Embedded Softwareentwickler (m/w/d) Mainhausen
Technische Universität Dresden-Firmenlogo
Technische Universität Dresden Wissenschaftlicher Mitarbeiter (m/w/d) an der Vodafone Stiftungsprofessur für Mobile Nachrichtensysteme Dresden
Modis GmbH-Firmenlogo
Modis GmbH IT Consultant (m/w/d) Software Lifecycle Management München
sepp.med gmbh-Firmenlogo
sepp.med gmbh Softwareentwickler C# (m/w/d) Digitalisierungslösungen für die Medizintechnik Forchheim

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.