Best Practice Cybersicherheit: Die Sparkassen zeigen, wie es geht
So schnell wird Frau Sommerland (Namen geändert – Anm. der Redaktion), Geschäftsführerin einer Immobilienfirma, den Februar nicht vergessen. Im gesamten Monat hatte die Firma bei nicht einer Immobilie eine Zusage bekommen. Jedes Mal waren alle Details schon verhandelt und kurz nachdem die Firma den Kaufvertrag für ein Objekt an den Verkäufer (meist eine Privatpersonen) geschickt hatte, sagte der Verkäufer ab. Jemand anderes hätte mehr geboten. Und das jedes Mal. Irgendwas stimmte nicht. Und tatsächlich, es stellte sich heraus, dass ein Hacker sich zwischen die Firma und den Verkäufer geschaltet hatte und damit alle E-Mails abgefangen wurden. Obwohl das Unternehmen die neuste Verschlüsselungstechnologie (bezogen auf die Transportverschlüsselung) aktiviert hatte, konnte der Hacker die E-Mails ohne große Probleme entschlüsseln. Die Vertragsdetails verkaufte er an ein Konkurrenzunternehmen.
Der Hacker musste nicht mal die neueste Verschlüsselung knacken, sondern konnte durch einen Trick die Mailserver dazu bringen, die neuste Verschlüsselungstechnolgie einfach nicht zu verwenden, sondern die älteste, die die Mailserver ebenfalls noch aktiviert hatten. Die alte Version stammte noch aus den 90ern und konnte so innerhalb kürzester Zeit geknackt werden.
Exkurs Mailverschlüsselung:
Wenn zwei Mailserver miteinander kommunizieren, dann werden alle Daten (Mails) auf dem Transport verschlüsselt. Dazu wird die sogenannte TLS (Tansport Layer Security) – Technologie verwendet. Der Vorgänger von TLS heißt SSL und stammt noch aus den 90er. Eine Übersicht aller Versionen sieht man in der Abbildung 1. Die Farben der Versionen zeigen, wie sicher die Verschlüsselungstechnologie ist (Rot = unsicher, Grün = sicher).
Wie hätte der Angriff verhindert werden können?
Eine solche „Downgrade Attacke“ kann von einem Angreifer auch dann ausgeführt werden, wenn die neueste TLS (Verschlüsselungs)-Technologie unterstützt wird. Entscheidend für den Erfolg der Attacke ist nur, ob zusätzlich veraltete TLS-Versionen unterstützt werden. Da wundert es nicht, dass das BSI dringend davon abrät, alte TLS-Versionen zu unterstützen. Konkret empfiehlt das BSI nur noch TLS 1.2 oder 1.3 zu verwenden. Alle anderen Versionen müssen laut dem Mindeststandard des BSI zur Verwendung von TLS deaktiviert werden.
Wie viel Prozent der Unternehmen kommen diesen Forderungen nach?
Bei einer Stichprobe von 3000 Unternehmen haben lediglich nur drei Prozent den Mindeststandard des BSI umgesetzt. 97 Prozent der Unternehmen haben hingegen immer noch veraltete Verschlüsselungstechnologien aktiviert.
Wie kommt es zu solch einem schlechten Ergebnis?
Wenn eine E-Mail versendet wird, dann gibt es mindestens zwei Beteiligte, den Sender und den Empfänger. Damit der Sender die E-Mail erfolgreich an den Empfänger verschicken kann, müssen sich beide auf einen gemeinsamen Verschlüsselungsstandard „einigen“. Angenommen, der Sender unterstützt nur TLS 1.2 und der Empfänger nur eine ältere Verschlüsselungstechnologie (z. B. SSL2), dann könnten die beiden nicht kommunizieren.
Mit anderen Worten: Wenn ein Unternehmen eine E-Mail an einen Kunden verschickt, der lediglich eine veraltete Verschlüsselungstechnologie benutzt, dann kommt die E-Mail niemals bei dem Kunden an. Aus diesem Grund scheuen sich aktuell noch viele Unternehmen davor, alte Verschlüsselungsstandards nicht mehr zu unterstützen.
Doch ist diese Sorge überhaupt begründet?
Tatsächlich nicht, da nahezu jeder Maildienstleister eine ausreichend aktuelle Verschlüsselungstechnologie anbietet. In der Stichprobe von 3.000 Unternehmen wurde festgestellt, dass lediglich drei Unternehmen nicht den Standard TLS 1.2 unterstützt haben. Das sind gerade einmal 0,1 Prozent.
Die Unterstützung veralteter Verschlüsselungstechnologien, um die Kommunikation mit den betroffenen 0,1 Prozent zu gewährleisten, gefährdet hierdurch 100 Prozent der Mailkommunikation, auch die Interne. Um dennoch das operative Geschäft nicht einzuschränken, empfehlen wir zu prüfen, welche und wie viele der E-Mail-Kontakte TLS 1.2 nicht aktiviert haben. Danach kann man abwägen, ob es lohnt wegen dieser Kontakte den gesamten Mailverkehr einem erhöhten Risiko auszusetzen. Wir, die PPI AG, haben selbiges getan und festgestellt, dass lediglich ein Copyshop TLS 1.2 noch nicht aktiviert hat. Dementsprechend haben wir den Copyshop informiert und alle veralteten TLS-Versionen deaktiviert.
Was können die meisten Unternehmen von der Kreissparkasse Köln lernen?
Die Kreissparkasse Köln gehört zu den drei Prozent, die die Empfehlungen des BSI umgesetzt haben. Die Sparkasse (Finanzinformatik) hat für den Mailverkehr nur die TLS-Version 1.2 aktiviert und ist damit eines der Vorzeigebeispiele hinsichtlich Mailverschlüsselung. Damit dient sie als Best-Practice-Beispiel, da trotz eines überdurchschnittlich hohen Kundenkontakts, die Sicherheit an erster Stelle steht. Nicht nur für die Bank, sondern auch für die Kunden. Die Sparkasse wählt den sicheren Weg, auch um die Kunden zu schützen.
Woher kommt das Ergebnis?
Die Kreissparkasse Köln hat sich das gute Ergebnis durch einen externen Service bestätigen lassen. Der Kommunalversicherer GVV bietet im Zuge der Cyberversicherung für Mitglieder und Kunden eine innovative Serviceleistung: Das Risikobewertungstool cysmo der PPI AG. cysmo ist eine sogenannte Outside-In Lösung, die vollautomatisiert IT-Infrastrukturen hinsichtlich Cyberrisiken bewertet. Der rein passive Service wird von den Kunden und Mitgliedern der GVV, wie die Kreissparkasse Köln, gern in Anspruch genommen. Durch solche attraktiven Möglichkeiten rund um das Thema Cyber hebt sich die GVV vom Markt ab und ist dabei noch mehr als eine reine Versicherung, sondern vielmehr ein Risikopartner.
Selbstverständlich spiegelt die Mailverschlüsselung nur einen kleinen Teil der Cybersicherheit eines Unternehmens wider und kann das Risiko einer erfolgreichen Cyberattacke nicht komplett abwenden. Jedoch kann mit solchen Serviceleistungen die allgemeine Risikowahrnehmung geschärft werden. Fazit: In den Zeiten negativer Schlagzeilen rundum Cyberattacken, ist es beruhigend zu wissen, dass die Sparkassen einiges unternehmen, um nicht in einer solchen Schlagzeile aufzutauchen.
Autor: Linus Töbke