Sicherheit: So einfach lassen sich Hacker stoppen

Höflichkeit und Hilfsbereitschaft – eigentlich unverzichtbar für guten Service – wurden kürzlich den Mitarbeiter von Behörden und Krankenhäusern in Schweden zum Verhängnis. Um zu zeigen, wie einfach Hacker den IT-Schutz gegen Angriffe dort aushebeln können, schickte der schwedische Fernsehsender TV4 einen Reporter mit versteckter Kamera los.

An verschiedenen Rezeptionen bat der Reporter das Personal, ein auf einem USB-Stick gespeichertes Dokument auszudrucken. Ein typischer Trick, mit dem Hacker versuchen, Schadcode in ein System einzuschleusen.

Das Ergebnis: Bei drei der neun getesteten Behörden war das Personal hilfsbereit und steckte den USB-Stick in den Computer. Auch beim Personal der Großkliniken war der Trick erfolgreich.
Der Sicherheitsexperte der Nexus Group, Fredrik Åhgren, ist alarmiert.

„Die Kliniken und Behörden nehmen den Vorfall sehr ernst. Denn wenn auf dem USB-Stick Schadcode gespeichert gewesen wäre, hätte dieser auch andere Systeme infizieren können. Das wissen die Verantwortlichen natürlich.“

Die Folgen eines Angriffs können für Patienten verheerend sein. Nicht nur sensible Patientendaten können gestohlen werden. Es kommt auch zu lebensbedrohlichen Situationen, wenn eine Herz-Lungen-Maschine oder ein Gamma Knife mit Schadcode infiziert werden.

„Vor einigen Jahren wurde sogenannte Ransomware in eine große Klinik in den USA eingeschleust. Sämtliche Patientenakten wurden gesperrt. Die Hacker forderten einen mehrstelligen Millionenbetrag für die Entsperrung der Daten“, erinnert sich Fredrik Åhgren. „Schädlicher Code, der über USB-Sticks übertragen werden soll, lässt sich eigentlich ganz einfach unschädlich machen.“

Es gibt verschiedene Möglichkeiten, sich gegen Hackerangriffe zu schützen. Laut Fredrik Åhgren bestand der gängigste Ansatz bis vor kurzem darin, eine virtuelle Mauer um das System des Unternehmens zu errichten.

„Eine solche Mauer ist beispielsweise eine Firewall. Entsprechende Richtlinien, die das Einstecken von UBS-Sticks in Computer verbieten, sollen sie zusätzlich verstärken. Aber im Grunde ist allen Beteiligten klar, dass es so nicht möglich ist, sich völlig gegen Angriffe zu schützen. Hacker finden immer einen Weg, damit ist zu rechnen.“

Laut Fredrik Åhgren gibt es allerdings eine Methode, die so gut wie wasserdicht ist.

„Eine weiße Liste mit den Programmen, die im System ausgeführt werden dürfen, schließt die Ausführung schädlicher Codes aus. Ganz egal, wie viele USB-Sticks mit schädlichem Code eingesteckt werden: der schädliche Code wird nicht ausgeführt. Warum? Ganz einfach. Er steht nicht auf der Liste der zulässigen Programme.“

Dieses Prinzip der weißen Listen wird Whitelisting genannt. Im Unterschied zum sogenannten Blacklisting (das Prinzip, nach dem üblicherweise Virenschutzprogrammen arbeiten) sucht das Whitelisting nicht nach Schadcode, der nur als solcher identifiziert werden kann, weil er auf einer Liste steht. Damit das Blacklisting funktioniert, müssen Virenscanner und Virendefinitionen ständig aktualisiert werden.

„Virenschutzprogramme legen eine lange schwarze Liste über Software an, die nicht ausgeführt werden darf. Diese Liste wird länger und länger. Aber natürlich kann diese Liste niemals vollständig sein. Entwickelt ein Hacker einen völlig neuen Schadcode, kann kein Virenschutzprogramm der Welt davor schützen. Eigentlich komisch, dass die Leute immer noch Virenschutzprogramme kaufen.“

Wie viele Unternehmen inzwischen weiße Listen anlegen, lässt sich nur schätzen. Aber Fredrik Åhgren ist sich sicher, dass es hier noch viel Luft nach oben gibt.

„Grundsätzlich können für alle digitalen Systeme weiße Listen angelegt und diese auch übergreifend von Unternehmen genutzt werden. Künftig wird das vielleicht auch der Fall sein. Aber bevor das praktikabel wird, muss eine Infrastruktur aufgebaut werden, über die vertrauenswürdige weiße Listen einfach von Unternehmen geteilt werden können. Bereits jetzt sollten eigentlich 15 bis 20 Prozent aller Systeme direkt auf einer weißen Liste erfasst werden.“

Laut Fredrik Åhgren sollten besonders kritische Systeme mit spezifischen Funktionen auf weißen Listen erfasst werden. Dazu gehören auch die Computer an der Krankenhausrezeption, der Server mit den Patientenakten aber auch das Dialysegerät.

„Ich verstehe nicht, weshalb weiße Listen so wenig eingesetzt werden. Möglicherweise liegt das Missverständnis vor, dass das Verfahren kompliziert oder teuer ist.“

Fredrik Åhgren ist jedoch davon überzeugt, dass mit der wachsenden Verbreitung des Internets der Dinge mittelfristig auch vermehrt weiße Listen eingesetzt werden.

„Für Fahrzeughersteller ist es schlechte Werbung, wenn ihre Autos gehackt werden und in den Graben oder in eine Menschenmenge fahren. Verbraucher und Unternehmen werden immer lauter nach besserem Schutz vor Angriffen für ihre smarten Geräte, Überwachungskameras, Rasenmäher und Industrieroboter rufen“, ist sich Fredrik Åhgren sicher.