Security Passwortattacken auf das neue Datengeschäft

Passwortattacken feiern ein Revival. Das Sicherheitsniveau sei bei vielen Unternehmen katastrophal, berichten Brancheninsider.

Die Wirtschaft investiert in Rechenzentren. Die Industrie verspricht mehr Effizienz durch Fernwartung und Contracting-Geschäfte. Viele Unternehmen rüsten mit technischen Maßnahmen, wie beispielsweise Firewalls, gegen Angreifer auf. Passwortattacken feiern deshalb ein Revival in der Hackerszene.

Das Geschäftsmodell klingt verlockend: Der Maschinenbauer verkauft an seine Kunden heiße Luft – Wärme. Das Unternehmen entwickelte sich in den zurückliegenden Jahren vom klassischen Produktlieferanten zum Lösungsanbieter für die Industrie. Der Kunde in der Automobilindustrie bestellt beim Heizspezialisten mittlerweile nur noch seine benötigte Wärme. Die Anlagen in dessen Fabrik betreibt der Maschinenbauer selber. Wärme-Contracting nennen das die Fachleute. Voraussetzung für das neue Geschäftsmodell: ein Rechenzentrum, in dem die Betriebsdaten zusammenlaufen und schnell und sicher analysiert werden können. Der Maschinenbauer war mutig, investierte und viele Industrieunternehmen folgen dem Beispiel. 

Im Jahr 2015 stiegen die Investitionen für den Neubau und die Modernisierung der Rechenzentrums-Infrastruktur um 10 % auf fast 900 Mio. Euro, heißt es in einer Untersuchung des Borderstep Instituts aus Berlin. Tendenz weiter steigend. 

Die Digitalisierung der Fabrik treibt die Unternehmen an. Ein ostwestfälischer Automatisierer sammelt beispielsweise Betriebsdaten in einem Rechenzentrum, um die Fernwartung von Maschinen zu verbessern und auf der diesjährigen Cebit präsentierten Unternehmen schlüsselfertige Cloud-Rechenzentrum. Die Industrie freut sich auf neue Kunden und die Messebesucher staunen.

Wer Cloud-Computing, Fernwartung und Big Data verspricht, muss die Informationen allerdings in Deutschland sichern, denn der mittelständische Kunde sorgt sich, ist empfindlich, wenn es um seine Betriebsdaten geht. Die Anbieter wissen das, haben zum Teil vorgesorgt, sind sie doch selber Mittelständler und kennen die Bedenken. Die großen Cloudanbieter ziehen nach und investieren weiter in Deutschland. »Sichere Kunden- und Produktionsdaten ein Asset für die Firmen und in Zukunft unverzichtbar«, prophezeit Geschäftsführer Karl-Ulrich Martin von der Detack GmbH.

Sicherheitsniveau katastrophal

Das ist keine neue Entwicklung. Für uns sind Daten das Gold des 21. Jahrhunderts, frohlocken seit Jahren zahlreiche Industrielenker auf Podiumsdiskussionen. Gut und schön, doch viele Unternehmen sind darauf nicht vorbereitet, heißt es in der Data-Security-Branche. Bei rund 95 % der Firmen sei das Sicherheitsniveau katastrophal, berichtet ein Insider. Ein aktueller Bericht in der Markt&Technik bestätigt das fehlende Bewusstsein für Passwortsicherheit (mehr hier). Der Grund dafür ist einfach: »Datensicherheit und Rechenzentren sind nicht das Kerngeschäft der produzierenden Industrie und vielen fällt es schwer, gut ausgebildetes und geeignetes IT-Personal zu finden«, erklärt Costin Enache, IT Security Experte ebenfalls von Detack. Dazu kommt: Viele Firmen schützen sich gegen Internetattacken, doch die Gefahren lauern meist an einer anderen Stelle. »Die technischen Sicherheitsmaßnahmen sind in den letzten Jahren immer besser geworden und die Angreifer haben darauf schnell reagiert. Die Kriminellen fahren verstärkt wieder Passwortattacken. Die Rechenleistung, die sie dafür brauchen ist mittlerweile kein Problem mehr«, berichtet Enache. Hintergrund: Der technische Account rückt zunehmend wieder ins Visier der Angreifer und auch dort gehören Passwörter zum Alltag. Ein Verizon-Bericht bestätigt den Trend: Bei 63 % der Datendiebstähle waren schwache oder gestohlene Passwörter schuld.

Der Reflex vieler Geschäftsführer: »Wir führen Fingerprint-Scans ein und verteilen Smartcards an die Mitarbeiter.« Enache relativiert: »Firmen brauchen weiterhin sichere Passwörter, denn die Alternativen sind aus unserer Sicht nicht sicher genug. Professionelle Angreifer können diese Hürden umgehen und biometrische Daten sind nicht veränderbar wie ein Passwort.« Sprich: Wenn die Daten eines Fingerabdrucks von Angreifern identifiziert wurden, stellen sie ein erhebliches Sicherheitsrisiko dar.

Hochautomatisierte IT-Security-Systeme

Das Szenario einer erfolgreichen Attacke wollen der Passwortexperte Enache und sein Team verhindern. Sie beraten Firmen, wenn es um Sicherheit im Rechenzentrum geht. Die Ludwigsburger haben sich unter anderem auf Audits zur Passwortsicherheit spezialisiert und wissen wie schwer es ist, qualifizierte Mitarbeiter im IT-Bereich zu finden. »Unser Ziel ist es, unsere Kunden selbst zu befähigen, Sicherheit im Rechenzentrum zu schaffen und sich stetig zu verbessern«, definiert Enache die Aufgaben seiner Mannschaft. Doch oft hapert es beim Kunden schon bei der Definition des Security-Problems. Schon hier unterstützt Detack.

In der Vergangenheit forderten vor allem Banken und Versicherungen die Hilfe von Detack an. »Die Industrie wacht jetzt erst auf. Hauptgrund: Finanzdienstleister sind schon seit Jahren strengen gesetzlichen Anforderungen unterworfen. Diese fehlen noch in der produzierenden Industrie«, so Enache. Doch der Bedarf steigt und der Gesetzgeber wird handeln müssen. »Hochautomatisierte IT-Security-Systeme mit wenig Personal sowie Security-by-Design and Process, sind in den nächsten Jahren gefragt«, berichtet Martin. 

Die Software EPAS (Enterprise Password Assessment Solution) erfüllt diese Anforderungen. Vor einigen Wochen wurde der Lösung auch ein US-Patent zuerkannt. Die Anwendung stellt Passwortaudits für die Unternehmensinfrastruktur bereit und prüft regelmäßig und automatisiert die Passwortstärke unterschiedlicher Zielsysteme in individuell taktbaren Intervallen. Die Prüfung erfolgt nicht als Cloudanwendung, sondern vor Ort im Rechenzentrum des Kunden und berücksichtigt alle rechtlichen Vorschriften zum Schutz der persönlichen Mitarbeiterdaten, darunter insbesondere die Interessen eines Betriebsrats sowie die Vorgaben des Betriebsverfassungsgesetzes und des Bundesdatenschutzgesetzes - ein wichtiges Argument, denn die Gewerkschaften und Betriebsräte feiern im Zuge der Industrie 4.0 ein Comeback der Mitbestimmung in den Betrieben. 

Audits gehören zum Cloud-Vertrag

Zurück zur Technik: Alle Passwort-relevanten Daten werden zunächst aus dem Zielsystem extrahiert, anschließend auf Basis struktureller Entropie und weiterer Kriterien untersucht und in einem umfassenden, datenschutzkonformen Bericht bewertet. Die Security-Experten installieren die Software beim Kunden. Die Audits erfolgen periodisch und automatisiert. Bei manchen Kunden läuft EPAS aufgrund der Anzahl der Zielsysteme 24 Stunden, sieben Tage die Woche. Wenig Aufwand mit großer Wirkung für den Mittelstand: »das Audit einer Microsoft A/D geht sehr schnell«, erklärt Enache. Und die Erkenntnis, wie groß die Sicherheitslücke ist, ist enorm aufschlussreich. Den Abschluss bildet der Endreport. Er zeigt lediglich die Passwortschwächen auf, nicht jedoch das Passwort selbst. »Mit EPAS sind wir in der Lage, nach nur Sekunden eines Audits 60 Prozent der Passwörter wiederherzustellen«, gibt Enache zu Bedenken - ein Alarmsignal für die Industrie. »Mittels Feinjustierungen wie dem Einbeziehen zusätzlicher Wörterbücher etwa mit weiteren Sprachen oder unternehmensspezifischen Wortlisten und einer simulierten Brute-Force-Attacke können wir diese Quote sogar noch deutlich steigern«, versichert Enache. Die Auditoren visualisieren die objektive Stärke des Passworts in Relation zu der Zeit und den Ressourcen, die ein Angreifer zum Knacken benötigen würde. Darüber hinaus informieren die Experten den Auftraggeber, ob gleiche Passwörter in mehreren Systemen verwendet werden und ob mehrere Personen dasselbe Passwort nutzen.

Und Enache und seine Kollegen gehen noch einen Schritt weiter. Realtime ist das Stichwort. PQENF (Password Quality Enforcement Modul) heißt ihre neueste Entwicklung. »Wir prüfen jetzt schon bei der Eingabe des Passworts nach den Mustern echter Angriffsmethoden dessen Stärke.« Die gute alte Policy bietet nachweislich keinen Schutz mehr. Somit ist die Entwicklung der Ludwigsburger IT-Sicherheitsexperten ist in Sachen Passwortsicherheit neuester Stand der Technik.

Die Lösungen für mehr Sicherheit sind vorhanden. Diese einfordern müssen vor allem die Kunden, die Mittelständler, die ihre Kunststoffspritzmaschinen fernwarten lassen wollen. »Wer als Maschinenbauer beispielsweise die Cloud eines Steuerungsanbieters nutzen will, sollte auf Security-Audits beim Anbieter bestehen. Sie müssen fester Vertragsbestandteil sein. Dazu gehört auch der Passwortschutz, denn die Gefahren sind vielfältiger als viele denken«, fordert Martin.