Artur Marciniec - Fotolia

Angriffspunkt Open-Source-Software

Open-Source-Software im produktiven Einsatz muss in Sachen Updates und Schwachstellen wie jede andere Anwendung auch behandelt werden.

Das unter dem Stichwort Panama Papers bekannt gewordene Daten-Leak ist ein Skandal, der wie fürs Internet geschaffen scheint. Er beinhaltet alle Elemente eines Kriminalromans: geheime Offshore-Konten sowie Verwicklungen internationaler Politiker, Krimineller, Prominenter und Sportstars. Im Zentrum stehen 11,5 Millionen Akten, die aus den Archiven einer Anwaltskanzlei den Medien zugänglich gemacht wurden. Doch die Panama Papers offenbaren auch eine andere Tatsache: Die Schwierigkeiten, die Unternehmen, Kanzleien, Banken und Behörden mit dem Schutz der Daten von Kunden und Bürgern haben.

Das Daten-Leak bei Mossack Fonseca ist nicht das erste dieser Art. Ende März meldeten die internationalen Anwaltskanzleien Weil Gotshal & Manges sowie Cravath, Swaine & Moore und weitere Firmen Daten-Leaks und lenkten damit die Aufmerksamkeit auf mögliche Konsequenzen für Unternehmen mit unzureichenden Sicherheitsmechanismen. Immer wieder gelingt es Hackern, Unternehmen weltweit anzugreifen, sich Zugriff auf Daten zu versschaffen und Zugangsberechtigungen innerhalb IT-Infrastrukturen zu erweitern. Das gibt ihnen die Möglichkeit, sich in den Systemen frei zu bewegen und Informationen abzugreifen oder Malware zu installieren.

Da bei Finanzdienstleistern und Anwaltskanzleien strategisch wichtige Daten gespeichert sind, sind diese Firmen ein beliebtes Ziel von Cyberangriffen. Ein Bericht des Cyber Intelligence Center der Citigroup aus dem Jahr 2015 warnte vor Angriffen auf Netzwerke und Websites dieser Firmen durch ausländische Regierungen und Hacker, die es auf vertrauliche Daten über Vertragsabschlüsse und Geschäftsstrategien abgesehen haben. Anwaltskanzleien seien einem „hohen Risiko durch Cyberangriffe“ ausgesetzt und würden „fortlaufend von böswilligen Akteuren mit dem Ziel angegriffen, Informationen über hochsensible Angelegenheiten zu stehlen, wie beispielsweise Daten über Fusionen und Akquisitionen oder Patentanmeldungen“.

Schwachstelle Kundenportal

Die digitale Sicherheit bleibt bei vielen dieser Unternehmen leider hinter dem Standard anderer Branchen zurück. Im Fall des Daten-Leaks der Panama Papers zeigt ein genauer Blick, welche grundlegenden Regeln hinsichtlich der Sicherheit nicht beachtet wurden – und es wird klar, dass das Daten-Leak mit wenig Aufwand hätte vermieden werden können.

Erste Informationen verweisen auf das Kundenportal der Kanzlei als Achillesferse. Das Portal beruht offenbar auf einer älteren Version von Drupal, einem beliebten quelloffenen Content Management System. Drupal ist als Open-Source-Projekt sehr erfolgreich und einer Verwendung innerhalb von Unternehmen steht durchaus nichts entgegen. Schließlich werden heute viele Anwendungen als Open-Source-Software erstellt.

Der springende Punkt: Mossack Fonseca achtete anscheinend nicht darauf, dass sich die eingesetzte Version auf dem stets aktuellen Sicherheitsstandard befand. Die von der Kanzlei verwendete Version hat Berichten zufolge 25 oder mehr bekannte Sicherheitsschwachstellen. Unter „bekannt“ ist zu verstehen, dass diese Schwachstellen bereits ab 2013 veröffentlicht worden sind. Jeder, der extrem sensible Kundendaten mit Drupal verwaltet, hätte das wissen müssen.

Selbstverständlich waren auch Hacker und böswillige Angreifer über diese Schwachstellen informiert. Sobald derartige Schwachstellen in einem populären Programm wie Drupal veröffentlicht werden, beginnt der Wettlauf mit den betroffenen Anwendern: Installiert der Anwender die Sicherheitsupdates oder ist der Angreifer schneller?

Angesichts der Sensibilität und des Wertes der Daten, die mit Drupal verarbeitet wurden, und angesichts des absehbaren Schadens und den hohen Wellen, den das Daten-Leak nun verursacht, wäre die Kanzlei bei ihren Prozessen und Prozeduren zu wesentlich mehr Sorgfalt verpflichtet gewesen.

Lösungsansätze

Wenn es stimmt, dass Mossack Fonseca die Entwicklung der Website und des Kundenportals einem externen Dienstleister überlassen hat, dann hat Mossack Fonseca einen wichtigen Schritt zur Vermeidung von Sicherheitsverstößen außer Acht gelassen.

Unternehmen sollten dafür sorgen, dass ihre Dienstleister angemessene Sicherheitsmaßnahmen implementieren. Das verlangt auch klar definierte Erwartungen der Unternehmen. Zudem sollten sie sich davon überzeugen, dass ihren Dienstleistern das hohe Maß der Sensibilität der Daten bewusst ist und dass sie unter allen Umständen für einen angemessenen Schutz sorgen. Eine regelmäßige Überprüfung dieser Maßnahmen ist dann ein Muss.

Und natürlich gilt auch hier: Kenne deine Software! Wer mit entsprechenden Verfahren dafür sorgt, dass die Sicherheitsmaßnahmen stets auf dem aktuellen Stand sind, kann Schwachstellen aktiv beseitigen und Risiken vermeiden, noch bevor sie auftreten.

„Unternehmen sollten dafür sorgen, dass ihre Dienstleister angemessene Sicherheitsmaßnahmen implementieren und überprüfen.“

Matthew Jacobs, Black Duck Software


xxx

Softwareschutz ist ein nie endender Prozess

Wer proprietäre Software einsetzt, sollte Updates sofort nach deren Veröffentlichung installieren. Für Open-Source-Software, die 35 bis 50 Prozent der durchschnittlichen Codebasis ausmacht, ist das etwas komplizierter. Hier gelten folgende Grundregeln:

  • Der Einsatz von Produkten, die die Inventarisierung Ihrer Open-Source-Software automatisieren.
  • Eine kontinuierliche Überwachung von Open-Source-Software.
  • Automatische Benachrichtigungen, sobald eine Schwachstelle bei den verwalteten Open-Source-Produkten bekannt wird.

Es ist sicher leicht, im Nachhinein den sorglosen Umgang der panamaischen Kanzlei bei der Datensicherheit zu kritisieren. Und doch ist es die unbestreitbare Pflicht aller Anwaltskanzleien, Krankenhäuser, Versicherungsunternehmen und sonstiger Institutionen, welche personenbezogene Daten speichern, ihre Sicherheitsanstrengungen zu verdoppeln. Denn Kriminelle und Hacker werden immer intelligenter und finden neue Wege zur Ausnutzung von Sicherheitslücken. Kunden, Klienten oder Patienten erwarten zu Recht, dass ihre Informationen geschützt werden. Sie erwarten zu Recht, dass die Unternehmen die Mindeststandards einhalten (oder übertreffen).

Über den Autor:
Matthew Jacobs ist Vice President und General Counsel von Black Duck Software.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close