Sicher ist Sicher? Daten aller niederländischen Polizisten gehackt

In den allermeisten Kundengesprächen kommt irgendwann das Gespräch auf Themen wie Conditional Access und MFA. Die Reaktionen sind sehr unterschiedlich: erstaunlicherweise finden wir auch bei seit Jahren durch große Dienstleister betreuten Kunden eklatante Mängel oder gar keine Implementierungen. Tim und ich scherzen immer wieder, dass wir irgendwann einmal ein Buch über die heftigsten Pannen schreiben wollen - manchmal ist das Ganze aber so schockierend, dass das Lachen im Hals steckenbleibt.

Die lange üblichen "Meine Daten sind doch für niemanden interessant"-Aussagen kommen immer seltener. Dafür erscheinen richtig heftige Knaller immer häufiger: Jüngst eine AVD-Implementation, bei der der Dienstleister offensichtlich überzeugt war, dass via Conditional Access mit einem IP-Range von mehr als einer halben Million Adressen den Tenant-Zugriff ohne MFA freizugeben eine gute Idee sei, weil er - obwohl er selbst ernannter "Cloud Security Spezialist" ist - scheinbar noch nie etwas von einem Outbound NAT gehört hat. (Korrekturdauer: von “Katastrophe” zu “sauber” ca. 30 Sekunden; Kosten praktisch null). Der IT-Admin einer Umgebung mit mehreren hundert Usern meint, eine High-End-Firewall würde alle Probleme in seinem Netzwerk lösen. Praktische nichtexistente Client-Security sieht er nicht als Problem. Sorglos von Führungskräften genutzte Google-Drive oder Dropbox-Syncs, ungeschützte Mobiltelefone/Tablets mit Vollzugriff auf den Tenant usw. Pleiten, Pech und Pannen, wohin man auch schaut.

Eine der jüngeren Katastrophen ist der Hack bei der niederländischen Polizei. Alle Daten von 65.000 Polizisten - auch verdeckter Ermittler, sind in die Hände von einem (vermutlich) Drittland geraten. Der Angriffsvektor? Wie immer: Niemand hat sich wie im Kino in den Zentralkern des hochgesicherten Rechenzentrums abgeseilt und dort Gewichtssensoren, Lichtschranken und Retinascans umgangen. Es wurde einfach ein lumpiger Rechner in einer Polizeistation gehackt.

Genau hier liegt das Problem: Clients sind oft relativ schlecht gesichert, weil man glaubt, die Domäne, Entra-ID oder was auch immer, würde die ja sauber am Wickel haben. Das ist aber eben nicht so. Andererseits haben solche Member-Computer selbst in sehr konservativ gemanagten Umgebungen gravierend mehr Rechte als irgendein externer Rechner.

Zero Trust ist hier das Stichwort. Warum Clients überhaupt in die lokale Domäne aufnehmen, wenn man sie mit Endpoint-Manager und Co komplett absichern kann? Zugegeben - das geht nicht immer, aber in deutlich mehr Fällen als angenommen. Ist ein Computer nicht einmal Mitglied der Domäne, fällt es zumindest ein ganzes Stück schwerer, Rechte auszuweiten. Updates für alle genutzten Applikationen sind hier natürlich auch keine schlechte Idee um Angriffsfläche zu verringern.

Das zweite große Problem liegt - wo auch sonst - zwischen den Ohrstöpseln. Wir kennen das alle: Zugriffsberechtigungen sind eine Plage. Was mit SharePoint und M365 zumindest überhaupt ohne Vollzeit-IT handhabbar wird, ist trotzdem Zusatzaufwand. Wie einfach wäre es, jedem Zugriff auf alle Daten zu geben und nur die kritischen Dinge zu schützen? Sind ja schließlich alle Mitarbeiter. Und der eine oder andere muss Kollegen ja ohnehin vertreten können.

Während das zwar schön bequem wäre, ist es aus Security-Sicht verheerend. Das Thema DSGVO lassen wir hier mal völlig betrachtet, zu unterschätzen ist es aber keineswegs. Last but not least kommt noch Compliance, die zum Beispiel auch immer mehr Kunden von ihren Lieferanten fordern. Wer aus dem Stegreif zurückmelden kann, welche Mitarbeiter auf die Kundendaten Zugriff haben und nicht mit "Alle" antwortet, hat schon sehr viel richtig gemacht.

Bei dem Hack in den Niederlanden stellt sich die klassische Least-Privilege-Frage: Warum gibt es auf einer Polizeistation einen Computer, der vollumfänglichen Downloadzugriff auf alle(!) 65.000 Mitarbeiterdatensätze hat? Auch bei längerem Nachdenken kommt mir hier keine valide Antwort in den Sinn.

Die Regeln sind doch eigentlich ganz einfach: Zugriff bekommt nur derjenige, der ihn tatsächlich braucht. Hier gilt es natürlich auch, den Zeitfaktor zu berücksichtigen. Ein Mitarbeiter, der zweimal im Jahr Urlaubsvertretung für einen Kollegen macht, braucht nicht 365 Tage lang Vollzugriff auf den gesamten Datenbestand des anderen.

Zweite Grundregel: je detailreicher ein Datenbestand ist, desto weniger Berechtigungen sollte es darauf geben. Können vielleicht Teilelemente des Bestandes ausgeklammert werden? (Reichen die Namen der Polizisten oder muss es die komplette Wohnanschrift sein? Ist nicht der Status “verdeckter Ermittler” besonders schützenswert?)

Und - die wichtigste Regel überhaupt: nur weil der Schutz ggf. unbequem oder schwierig ist, ist das kein Freibrief, nicht zu schützen. Security ist nicht einfach und Security kann immer nur kurzfristig Bestand haben - dann muss sie erneut auf den Prüfstand. Was heute noch “sicher“ ist, kann morgen schon ein Risiko darstellen.

Getreu dem Untertitel „Meinung|ungefiltert“ verzichte ich auf Befindlichkeiten aufgrund Herstellerbindungen, dem üblichen Geschäftsgebaren und sonstiger Konventionen.
Damit einher geht, dass dieser Blog meine persönliche Meinung widerspiegelt und nur diese - Euer Marc Winter.