Und das nächste Datenleck: Business as usual?

Daher möchte ich in diesem Standpunkt auch nicht auf die Problematik der Datenlecks an sich eingehen, sondern ein wenig weiter ausholen. Es lassen sich nämlich drei zentrale Gemeinsamkeiten erkennen – einerseits zwischen verschiedenen Datenlecks, andererseits zwischen den Datenlecks und anderen erfolgreichen Angriffen:

• Die eigenen Daten sind zunehmend verstreut. Wo man früher mit wenigen Benutzeraccounts ausgekommen ist, benötigt mittlerweile jeder noch so kleine Dienst einen eigenen Account.
• Der oben genannte Gewöhnungseffekt und die Abstumpfung gegenüber Meldungen, die früher für Aufregung sorgten. Heute entlocken diese Meldungen den meisten interessierten Lesern nur noch ein resigniertes „Schon wieder?“
• Die Tatsache, dass die Schwachstellen, über die Daten abgegriffen werden, nicht lange bekannt oder auch nur vorhanden sein müssen. Manchmal reicht eine temporäre Schwachstelle, die nur wenige Tage ausnutzbar war.

Was hat es also mit diesen drei Aspekten auf sich?

Die vielen Benutzeraccounts

Ein Punkt, der einerseits zu Resignation führt, andererseits aber dafür sorgt, dass mittlerweile sehr viele Menschen von irgendeinem Datenleck betroffen sind, liegt in der Anzahl der Dienste, die man nutzt und für die man individuelle Accounts braucht.

Sei es das Social Network der Wahl, der Staubsaugroboter, das Smartphone, das Lieblings-Onlinespiel, ein Internet-Forum oder die Cloud des Spülmaschinenherstellers: Jede noch so geringe Interaktion mit einem smarten Device, einer Webseite oder irgendeinem sonstigen Dienst nötigt oder zwingt zum Erstellen eines Accounts, um den Komfort zu erhöhen. Was zunächst in vielen Fällen plausibel erscheint, kann auf den zweiten Blick durchaus stutzig machen. Ich persönlich kenne Online-Angebote, die noch vor kurzer Zeit viel Komfort auch ohne einen Account geboten haben, und die dann aktiv den Komfort für nicht angemeldete Nutzer reduziert haben, um mehr Nutzer dazu zu bringen, sich einen Account anzulegen. Hier sieht man dann relativ deutlich, dass der Dienst finanziell am meisten von den Daten der Nutzer profitiert.

Natürlich gibt es Dienste, bei denen eine Identifizierung des Nutzers elementar wichtig ist. Die oben genannten Social Networks und Online-Spiele sind hier ein gutes Beispiel. Wie sonst soll man wissen, mit wem man redet und was man in einem Spiel schon alles erreicht hat?

Mit der Idee der „Datensparsamkeit“ ist das jedoch in vielen Fällen nicht vereinbar. Warum muss ich einen Staubsaugroboter über die Cloud aus dem Urlaub fernsteuern können?!

Doch was kann man tun? Es gibt einige spannende Ansätze. Im Unternehmensumfeld ist es Single Sign-On, was von mehr und mehr Lösungen unterstützt wird. Hier existiert eine ausreichende Produktauswahl, um die eigenen Anforderungen optimal oder zumindest hinreichend erfüllen zu können. Im Privatumfeld kommt Single Sign-On vermehrt zum Einsatz. Dies erfolgt allerdings meistens über große Plattformbetreiber wie Google, Meta oder Apple. Und ob man wirklich bei jedem Dienst, den man nutzen will, einen der Plattformbetreiber davon in Kenntnis setzen will?

Fällt mir dafür eine Lösung ein? Leider nicht, doch kann man eventuell die eine oder andere Kaufentscheidung davon abhängig machen, welche Informationen der jeweilige Anbieter alles „benötigt“.

Der Gewöhnungseffekt

Leider kommen Meldungen von Datenlecks, Ransomwarebefall und Ähnlichem heute so häufig vor, dass sie in der Masse untergehen können. Dieses Phänomen ist in unserer vernetzten Welt bedauerlicherweise nicht zu vermeiden und hat auch einige psychologische Ursachen. Menschen sind Gewohnheitstiere und können sich an sehr vieles gewöhnen, egal ob positiv oder negativ.

Natürlich kann man bei einer solchen Meldung jedes Mal sagen: „Die hatten keine Ahnung, und hätten die ihren Laden besser im Griff, wäre nichts passiert!“

Doch das greift zu kurz, denn auch hier gilt: Wir sind alle nur Menschen! Wer von uns hat nicht schon einmal einen schlechten Tag gehabt oder zu viel zu tun und deswegen etwas vergessen? Und wenn das im Bereich der IT-Sicherheit passiert, können schnell große Sicherheitslücken auftreten, weil ein kleiner Fehler passiert ist.

Das bedeutet, auch wenn wir uns an solche Meldungen gewöhnen, sollte man nicht davon ausgehen, dass man selbst nicht betroffen sein kann, nur weil man „besser“ oder „klüger“ ist. Wenn Details zu den Ursachen eines solchen Datenlecks oder sonstigen Angriffs bekannt werden, sollte man sich fragen: Hätte das bei mir auch passieren können?

Die schnelle Reaktion von Angreifern

Man hört immer wieder, wie Angreifer über längst bekannte Schwachstellen in Systeme eindringen, und denkt sich: „Hätte man mal schneller gepatcht!“. Und ja, hier sollten die Prozesse in einigen Fällen besser funktionieren.

Jedoch gibt es auch immer wieder Beispiele, in denen Lücken nur wenige Tage offen sind und diese Zeit reicht. Ein bekanntes Beispiel der letzten Jahre war eine Schwachstelle im Citrix ADC (ehemals Netscaler), die als „Shitrix“ bekannt wurde. Hier (und in anderen Fällen) haben zwei bis drei Tage gereicht, um die Systeme zu übernehmen.

Und drei Tage sind ungefähr ein Wochenende. Gerade in Unternehmen, die nicht 24 Stunden am Tag aktiv sind, und bei denen es keinen 24-Stunden-Support gibt, sind zwei bis drei Tage die Zeit vom Feierabend am Freitag bis zum Arbeitsbeginn am Montag. Und bis die Administratoren dann überhaupt von der Lücke erfahren, ist es vielleicht schon zu spät.

Genau an dieser Stelle setzen mittlerweile viele Anbieter von Sicherheitslösungen an, die solche offenen Lücken und die zugehörigen Angriffe schnell erkennen und (temporäre) Gegenmaßnahmen ergreifen können, bis Patches eingespielt sind.

Doch sind solche Lösungen hochkomplex und müssen betrieben werden. Dann schützen diese Lösungen eventuell ein System, werden aber selbst zu selten gepatcht, weil der Aktualisierungsprozess so komplex ist.

Fazit

Die zunehmende Zahl von erfolgreichen Angriffen und Datenlecks sind etwas, an das wir uns gewöhnt haben. Niemand ist davor zu 100 % sicher. Es gibt keine pauschale Antwort darauf, wie man die Situation verbessern kann. Die grundlegenden Herausforderungen begegnen uns aber in vielen Bereichen. Vielleicht hilft es schon, sich die folgenden Fragen zu stellen:

• Muss ich diesen Dienst nutzen, bei dem ich (schon wieder) einen zusätzlichen Account anlegen muss, oder gibt es Alternativen?
• Sind die Angriffsvektoren von diesem aktuellen Angriff für mich auch relevant?
• Wie kann ich dafür sorgen, dass Schwachstellen bei uns schnell geschlossen werden?