IT-Recht und IT-Sicherheit

Ohne IT geht in den meisten Unternehmen heutzutage nichts mehr. Ein Netzwerkausfall oder gar die Verschlüsselung aller Daten durch Ransomware-Angriffe kann katastrophale Folgen bis hin zur Existenzgefährdung haben.

Es besteht aber auch ein erhebliches Haftungsrisiko: Entsteht bspw. ein Schaden für Dritte, dann haftet das Unternehmen, wenn es nicht die zumutbaren Anforderungen an die IT-Sicherheit nach dem Stand der Technik eingesetzt hat. Die Haftung kann dabei auch persönlich gegen die handelnden Personen der Geschäftsleitung gerichtet sein.

Viele Firmen glauben, es genüge eine Firewall, eine Antiviren-Software und ein redundantes Backup-System oder eine gespiegelte Festplatte, um den Anforderungen an IT-Sicherheit zu genügen. Doch das ist weit gefehlt.

Folgende Tipps sollen Ihnen helfen, eine ausreichende Notfallplanung im Unternehmen zu etablieren:

1. Erfassen Sie alle kritischen IT-Elemente in einer Übersicht und bewerten Sie ihre jeweilige Bedeutung für die IT-Infrastruktur Ihres Unternehmens.
2. Erarbeiten Sie typische Szenarien eines Ausfalls dieser Elemente und schätzen Sie die möglichen Folgen und Schäden eines solchen Ausfalls.
3. Berücksichtigen Sie bei dieser Risikobewertung auch die einschlägigen rechtlichen Bestimmungen einschließlich der drohenden Sanktionen bei Bekanntwerden unzureichender Umsetzung derselben (bspw. drohende Bußgelder bei Nichteinhaltung datenschutzrechtlicher Vorgaben bzw. bei meldepflichtigen Datenpannen).
4. Verteilen Sie klare Verantwortlichkeiten und Rollen für die Einrichtung und Überwachung einer sicheren IT-Infrastruktur und für die Dokumentation und Einleitung von Maßnahmen bei kritischen Vorfällen und dokumentieren Sie diese Anweisungen. Wiederholen Sie die Anweisungen regelmäßig und prüfen Sie stichpunktartig deren Einhaltung.
5. Machen Sie eine Übersicht über die verantwortlichen Personen und Stellvertreter für die Einrichtung und Überwachung der IT-Infrastruktur, wie auch über diejenigen, die für Dokumentation und Einleitung von Maßnahmen bei kritischen Vorfällen verantwortlich sind und halten Sie deren Kontaktdaten für eine schnelle Informationskette stets aktuell
6. Wichtige digitale Dokumente zur Bearbeitung und zum Vorgehen bei kritischen Szenarien sollten zentral gespeichert und gleichzeitig in ihrer aktuellen Fassung analog, also ausgedruckt vorliegen.
7. Dokumentieren Sie die gesamte IT-Infrastruktur einschließlich der Abhängigkeiten zwischen verschiedenen Komponenten.
8. Verbinden Sie schließlich die so gewonnenen Erkenntnisse und Unterlagen mit den sonstigen Unterlagen und Dokumentationen für unternehmenskritische Prozesse, um sicherzustellen, dass bei einem kritischen Vorfall auch die Maßnahmen und Prozesse berücksichtigt werden, die bei einem Ausfall betroffen wären.

Natürlich gibt es auch andere denkbare oder auch notwendige Maßnahmen, um Ihr Unternehmen fit zu machen für kritische IT-Vorfälle.

Alle Maßnahmen, die dokumentiert und damit nachweisbar darstellen, dass und wie Sie Ihr Unternehmen organisiert und aufgestellt haben, um die Entstehung von Schäden zu minimieren hilft bei der Frage der persönlichen Haftung zu Ihren Gunsten. Zu empfehlen ist in diesem Zusammenhang die VdS-Richtlinie 3473, die die Anforderungen an die IT-Sicherheit für kleine und mittlere Unternehmen (KMU) aufzeigt.

Cyberangriff auf die Veranstaltung – eine reale Gefahr? Statistiken des Bundeskriminalamtes zufolge sind Straftaten im Internet um 20% angestiegen , darunter insbesondere Straftaten aus dem Bereich der Cyberkriminalität. Auch TV-Shows bleiben vor “Angriffen” nicht verschont, wenn Demonstranten versuchen, in der Live-Sendung Plakate oder Banner vor die Kamera zu halten. Sind Cyber-Angriffe auf Veranstaltungen denkbar und möglich? kann ein Angreifer bspw. die Beschallungsanlage oder die Videowand “kapern”? Zu dieser Frage haben wir uns mit einem aktiven Hacker unterhalten, der uns erklärt, wie einfach ein Angriff sein kann – aber auch, wie einfach man sich dagegen schützen kann.

Auf vielen Veranstaltungen sind Ton- und Musikanlagen im Einsatz, Videowände, Screens und allerlei technisches Equipment. Über Lautsprecheranlagen sollen Besucher im Notfall informiert werden, immer öfter werden Besucher bereits während der Veranstaltung über Anzeigen auf Videowänden u.Ä. über Fluchtwege usw. informiert.

Sicherheitsrelevant können dabei u.a. sein:

• Angriffe auf Daten im Ticketsystem mit Datenklau,
• Angriffe auf Webseiten mit dem Ziel, die Webseite „lahm“ zu legen,
• Angriffe auf die laufende Veranstaltung, bspw. um die Tonanlagen oder Videoanlagen zu stören.

Nachdem immer mal wieder Gruppierungen in Live-Shows im Fernsehen plötzlich auf die Bühne stürmen, um dort ihre Meinungen kundzutun, wird künftig nicht auszuschließen sind, dass mediale Auseinandersetzungen auch auf einer Veranstaltung passieren können; denn dort erreichen die Demonstranten schnell und unmittelbar eine große Anzahl von Menschen. Hier sind verschiedene Szenarien denkbar, vom harmlosen Stummschalten der Tonanlage bis hin zum Missbrauch von Alarmierungsanlagen. Wie einfach es sein kann, die Kontrolle über EDV-gestützte Anlagen zu übernehmen und wie sich der Veranstalter sichern kann, offenbart ein Gespräch mit einem aktiven Hacker.

Wir nennen ihn Daniel.

Das Interview haben wir 2014 geführt.

EVENTFAQ: Wie sind solche Angriffe möglich?

Daniel: “Immer dann, wenn die Anlage in einem Netzwerk hängt, das von außen zugänglich ist, wie z.B. WLAN , UMTS, inet etc. und der Router, Software oder das Betriebssystem Sicherheitslücken aufweisen, kann man von außen (teilweise auch ohne sonderliche Probleme) angreifen.

Eine Lautsprecheranlage oder Videowall kann man aber auch über Hochfrequenz-Signale wie z.B. elektromagnetische Wellen stören, mit Rückkopplungen oder Bildstörungen bis hin zum Totalausfall.

Wenn man Zugang zum Eingang des Videosignals Zugang hat, kann man auch ein anderes Videosignal einspeisen.”

EVENTFAQ: Wie kann man einen solchen Zugang bekommen?

Daniel: “Der erste Schritt wäre zu prüfen, welche Serverdienste und Ports von außen zugänglich bzw. offen sind. Hierfür nutzt man einen sog. Portscanner. Findet der Portsanner offene Ports, weiß man welche Serverdienste gestartet sind. Nun muss man nur noch herausfinden, welche Version z.B. der ftp-Serverdienst hat. Hat man die Versionsnummer herausbekommen, kann man im Internet auf sog. Exploit-Webseiten nachschauen, ob es einen remote-exploit gibt. Sollte man das „Glück“ haben und man hat eine Version mit einer Sicherheitslücke vor sich, muss man den remote-exploit nur noch herunterladen, kompilieren und ausführen. Der remote-exploit nutzt dann die Sicherheitslücke aus, und schon hat man Zugang zu dem gewünschten System.

Wem diese klassische Vorgehensweise zu stressig ist, kann auch sog. Vulnerability-Scanner einsetzen. Mit einem Vulnerability-Scanner kann man automatisch Sicherheitslücken finden. Der Vulnerability-Scanner nutzt hierzu verschiedene Plugins, mit deren Hilfe Sicherheitslücken in Betriebssystemen und Serverdiensten gefunden werden können.

Diese Methoden funktionieren natürlich nur bei schon bekannten Sicherheitslücken, da es für bekannte Sicherheitslücken immer schon ein Exploit gibt. Deshalb ist es für den Betreiber der Anlage so wichtig, alle Sicherheitsupdates, Patches usw. einzuspielen.

Eine große Gefahr stellen sog. “zero-day-exploits” dar, also Sicherheitslücken, die dem Hersteller der Software noch nicht bekannt sind. Ansatzpunkt einen zero-day-exploit zu finden, sind Programmabstürze, Fehlfunktionen etc.”

EVENTFAQ: Und das funktioniert bei allen PA´s, Videowalls und andere Anlagen?

Daniel: “Sobald Software im Spiel ist, egal ob das ein Betriebssystem (Windows, Linux, Unix, mac os x, Android, iOS etc.) ist oder ein Malprogramm, App für das Handy, Software, die auf einem Router installiert ist…

Ist das Gerät nur mit einem Computer lauffähig, kann man den Computer und dessen Software angreifen. Bspw. eine Beschallungsanlage mit eingebauten Computer oder Microcontroller mit Netzwerkanschluss hat auch eine Software, somit kann man dort auch Exploits ausführen. Ist der Rechner ans Internet angeschlossen, erhöht sich die Gefahr eines Einbruchs natürlich, vor allem wird es dann viel einfacher, von außen einzugreifen.”

EVENTFAQ: Zum Verständnis: Was sind Exploits?

Daniel: “Ein Exploit ist Software, die eine Sicherheitslücke ausnutzt. Mit dem Exploit versucht man dann in den Speicherbereich einzudringen, und in diesem Speicherbereich die Rücksprungadresse zu manipulieren und auf einen speziell erstellten Speicherbereich zu springen der echten Code enthält, und lässt diesen dann ausführen.”

EVENTFAQ: Der Angreifer müsste aber in diesem Fall tatsächlich davor sitzen, von ein paar Metern Entfernung könnte er nichts ausrichten?

Daniel: “Wenn bspw. die Videoleinwand über einen Rechner gesteuert wird der  an das Internet angeschlossen ist, kann man die Videoleinwand von jedem Standort der Welt aus angreifen, wenn man will, auch ohne dabei rückverfolgbare Spuren zu hinterlassen.

Wäre bspw. die Videoleinwand über einen Rechner gesteuert, der nicht an  das Internet, aber zum Beispiel in einem lokalen Netzwerk angeschlossen ist, kann man über einen Rechner der im lokalen Netztwerk hängt die Videoleinwand angreifen, dann muss man aber an einem Rechner des lokalen Netzwerk sitzen, oder das eigene Laptop ins Netzwerk anklemmen (z.B. über ein LAN-Netzwerkkabel, das irgendwo ungesichert rumbaumelt).

Wenn die Videoleinwand weder am Internet noch in einem lokalen Netzwerk hängt, muss man dem Typen, der die Videoleinwand steuert, eine auf´s Maul hauen, und dann dessen Position einnehmen [Originalton…].”

EVENTFAQ: Wie kompliziert oder aufwendig wäre es für einen durchschnittlich geübten Hacker, sich in eine durchschnittliche PA oder Videowall zu hacken?

Daniel: “Das kommt natürlich immer darauf an, wie gut die Anlage abgesichert ist, ob der Veranstalter regelmäßig Updates und Patches seiner Software einspielt, ob er eine Firewall und „intrusion detection systeme“ einsetzt etc.

Während einer Veranstaltung mit bspw. nur 2-3 Stunden Dauer wäre ein Einbruch grundsätzlich nur erfolgreich, wenn eine bekannte Sicherheitslücke vorhanden ist, für die es schon einen Exploit gibt. Dann kann es aber auch sehr schnell gehen.

Der Angreifer könnte aber auch schon im Vorfeld bspw. einem Mitarbeiter des Veranstalters E-Mails mit Viren, Schadcode, Rootkits usw. schicken, und dann diesen “Trojaner” nutzen, um in das System zu gelangen

Grundsätzlich kann man sagen: Systeme mit bekannten Sicherheitslücken kann jedes „scriptkiddie“ ausnutzen, dazu ist keine besondere Fähigkeit erforderlich. Nicht bekannte Sicherheitslücken zu finden und für diese dann selbst einen Exploit zu schreiben, können nur absolute Spezialisten.

Man sollte auch beachten: Natürlich muss man nicht immer gleich das System “hacken”, um Schaden zu verursachen. Es reicht bspw. auch, einen DoS (denial of service)-Angriff zu fahren. Bei dieser Art von Angriff werden Serverdienste oder das Betriebssystem mit unzähligen Anfragen bombardiert, bis das System die vielen Anfragen nicht mehr verarbeiten kann und somit langsamer wird oder gar ganz ausfällt.

By the way: Ein Hacker zerstört keine Systeme, er schaut sich nur um (solange er sich jedenfalls an die ungeschriebene Hacker-Ethik hält). Die Leute, die Systeme zerstören und Schaden anrichten nennt man Cracker oder auch Black Hats.”