Als Geheimdienst hält sich die NSA über ihre Arbeitsweisen üblicherweise sehr bedeckt. Nichts desto trotz nimmt man gelegentlich Stellung zu Sicherheitsbelangen. Auf der Konferenz Usenix Enigma hat sich nun der Chef ihrer Hacker-Abteilung aufs Podium gegeben und erklärt, wie man ihm die Arbeit schwerer machen kann.

"Tailored Access Operations" heißt jene Einheit der NSA, die dafür zuständig ist, in Computersysteme von nicht-amerikanischen Zielen einzudringen. "Wenn Sie Ihr Netzwerk wirklich schützen wollen, müssen sie es kennen – inklusive aller Technologien und Geräte", sagt ihr Leiter Rob Joyce, der bereits seit über 25 Jahren für die NSA arbeitet. "In vielen Fällen kennen wir die Netzwerke besser, als die Leute, die sie betreiben", zitiert ihn The Register.

Sechsstufiger Angriff

Wollen die Agenten in ein Netzwerk eindringen, so starten sie laut Joyce einen sechsstufigen Angriff. In der ersten Phase verschaffen sie sich auf elektronischem und gelegentlich auch physischem Weg eine Übersicht über die IT-Infrastruktur. Sie finden heraus, welche Personen und E-Mail-Adressen relevant sind und welche Schwächen es gibt.

Dabei stochert man geduldig, bis man ein Einfallstor gefunden hat. Die Lücken, über die der Zugriff letztlich gelingt, sind mannigfaltig. Sie reichen von veralteter Software oder neuen Lücken bis hin zu unvorsichtigen Mitarbeitern, die ohne Rücksprache ein eigenes Gerät anschließen. Besonders im Umgang mit Cloud-Diensten rät er Firmen zur Sorgsamkeit, da ihre Informationen bei den Betreibern eben nur so sicher seien, wie deren Infrastruktur.

Überschätzte Zero Days

Ist eine Lücke ausgemacht, bedient sich die NSA Mittel wie kompromittierten E-Mail-Anhängen oder manipulierten Websites. Um in Systeme einzudringen, die nicht aus dem Internet zugänglich sind, setzt man bevorzugt auf infizierte Wechseldatenträger wie USB-Sticks.

"Zero Days", also frisch entdeckte Sicherheitslücken in Software, werden nach Ansicht von Joyce überschätzt. Viel öfter stößt man auf Schwächen, die schon längst bekannt sind, aber nie behoben wurden. Unternehmen sollten, wo möglich, Softwareupdates automatisch einspielen lassen, um sich besser abzusichern.

Joyce empfiehlt strikte Kontrollen

Dazu empfiehlt er Administratoren auch, den Zugriff so weit wie machbar einzudämmen. Programme, die Mitarbeiter ausführen können, sollten über eine Whitelist festgelegt und stets aktuell gehalten werden. Dazu sollte man auch auf Reputationsmanagement setzen und ein System installieren, das Alarm schlägt, wenn jemand stark von seinem üblichen Nutzungsverhalten abweicht.

Greift ein Nutzer plötzlich auf Netzwerkdaten zu, kann dies ein Hinweis darauf sein, dass sein Konto kompromittiert wurde. In Kombination mit herkömmlicher Antivirensoftware, die wenig gegen individuell zugeschnittenen Schadcode ausrichten kann, sei dies ein sehr guter Schutz.

Separate Absicherung empfehlenswert

Ist die NSA einmal in ein Netzwerk eingedrungen, besteht der nächste Schritt daran, permanenten Zugriff zu etablieren – etwa in dem man Malware einschleust, die regelmäßig den Kommunikationskanal herstellt. Auich dagegen sei Whitelisting das Gebot der Stunde.

Hat man sich erfolgreich eingenistet, beginnt man damit tiefer ins Netzwerk einzudringen und Daten zu sammeln, die zum eigentlichen Ziel führen sollen. Administratoren sollten regelmäßig die Netzwerk-Logs auswerten, um hier verdächtiges Verhalten zu entdecken. Dazu ist es auch ratsam, jene Teile des Netzwerks, in denen heikle Daten schlummern, gesondert abzusichern und Zugriff nur wenigen, absolut vertrauenswürdigen Nutzern zu geben.

Joyce gegen Hintertüren bei Verschlüsselung

Bleibt die Frage, warum man ausgerechnet einem hochrangigen Geheimdienstmitarbeiter in derlei Fragen vertrauen sollte. Auf der Usenix Enigma wagte sich Joyce laut The Register auf "feindliches" Territorium vor. Das Publikum der Veranstaltung ist der NSA nicht unbedingt wohlgesonnen, entsprechend wurden auch manche Fragen an Joyce formuliert.

Man sollte allerdings im Hinterkopf behalten, dass er hauptsächlich Empfehlungen genereller Natur gegeben hat und keine Details erörtert wurden. Gut möglich auch, dass der Empfehlungskatalog längst nicht vollständig ist.

Er präsentierte sich als Verfechter von Verschlüsselung. So wurde er etwa gefragt, was er von Vorschlägen halte, Behörden über verpflichtende Hintertüren Zugriff auf verschlüsselte Daten von Kunden bei Google und Co zu verschaffen. Während einige Politiker und auch das FBI selbiges fordern, spricht sich der NSA-TAO-Chef entschieden dagegen aus. (gpi, 29.01.2016)