Keine Chance gegen Malware: die schlimmsten Einfallstore

Es dürfte unmittelbar klar sein, dass man illoyale Mitarbeiter identifizieren kann, die gegen Bezahlung bereit sind, vertrauliche Daten zu stehlen. Ein unauffälliger USB-Stick mit 64 GByte Kapazität ist leicht mit nach Hause genommen. Das gleiche gilt für Mitarbeiter, bei denen es normal ist, dass sie ihren Notebook mit auf Dienstreise nehmen.

Die gängigen DLP-Lösungen (Data Loss Prevention oder Data Leakage Protection) helfen dabei überhaupt nicht. Sie legen meist nur einen Hook auf das CopyFile-API. Normalerweise reicht es aus, eine Datei sequentiell in den Hauptspeicher zu lesen, die Daten mit 0xFF zu XORen und das Ergebnis auf einen Datenträger zu schreiben. Wendet man dieselbe XOR-„Verschlüsselung“ ein zweites Mal an, erhält man wieder die ursprüngliche Datei. Ein solches DLP-sicheres Kopierprogramm benötigt etwa zehn Zeilen Code.

Damit eine Sicherheitslücke produktiv ausgenutzt werden kann, muss ein Angreifer möglichst viel über das Unternehmen wissen, das er ausspionieren möchte. Hier besteht die Gefahr, dass Mitarbeiter unbewusst Informationen preisgeben, die man besser für sich behält. Wenn man etwa auf dem örtlichen Administratorstammtisch gefragt wird, welche Antiviren-Lösung und welche Security-Appliance installiert ist, sollte man acht geben, wem man antwortet.

Diese Informationen sind wertvolle Hinweise für professionelle Datendiebe, welche Sicherheitslösungen sie austricksen müssen. Um etwa einen Pufferüberlauf ausnutzen zu können, hat ein Angreifer nur dann Erfolg, wenn er die genaue Version des Betriebssystems inklusive Sprachversion und Patchstatus kennt.

Dasselbe gilt für das angegriffene Programm, etwa Internet Explorer oder Adobe Acrobat Reader. Ein illoyaler Mitarbeiter, der einem Hacker Programmdateien und Windows-DLLs von Arbeitsplatzrechnern übermittelt, liefert wichtige Hinweise, wie ein Unternehmen von außen unbemerkt angegriffen werden kann.