Digital Life
08.02.2012

Verisign: Gefährliches Schweigen nach Angriff

Fast ein Jahr dauerte es, bis der zentrale Internet-Sicherheitsdienstleister Verisign über potenziell gefährliche Angriffe auf sein Unternehmensnetzwerk berichtete. Auch jetzt ist das Ausmaß der Schäden noch unklar.

Der zentrale Internet-Sicherheitsdienstleister Verisign verzeichnete 2010 eine Reihe von „erfolgreichen Angriffen“ gegen sein Firmennetzwerk. Dabei soll es den Angreifern gelungen sein, Informationen auf mehreren Computern und Servern abzugreifen. In einer jetzt veröffentlichten Stellungnahme teilte das Unternehmen mit, dass man „nicht glaube“, dass die Sicherheit des Domain-Name-Systems kompromittiert wurde.

Das von Verisign verwaltete Domain-Name-System ist zuständig für die Integrität von Webadressen mit den Endungen .com, .net und .gov. Veröffentlicht hatte Verisign den Vorgang in einer Pflichtmeldung an die US-Börsenaufsicht SEC im Oktober 2011, die Angriffe hatten im Laufe des Jahres 2010 stattgefunden. Zur Nachricht wurde der Vorgang erst, als die Nachrichtenagentur Reuters mehr als 2000 SEC-Meldungen systematisch durchforstete und vor kurzem über den Vorfall berichtete.

Schäden unbekannt
In der SEC-Meldung heißt es, dass das Sicherheitsteam des Unternehmens die Attacken schon bald danach entdeckte und Maßnahmen ergriff, um künftige ähnliche Angriffe zu entdecken. Das Top-Management sei jedoch erst im September 2011 darüber informiert worden. Man habe inzwischen jedoch die Berichtswege überarbeitet, um künftig schneller reagieren und die Öffentlichkeit informieren zu können. In dem Bericht an die Aufsichtsbehörde heißt es aber auch vorsichtig, dass das Unternehmen nicht versichern könne, dass die Gegenmaßnahmen ausreichen werden, um künftige Attacken zu verhindern. Verisign wisse auch nicht, ob die möglicherweise entwendeten Informationen verwendet wurden.

Verisign schweigt sich in der SEC-Meldung darüber aus, welche Art von Informationen betroffen war, wann genau die Angriffe stattfanden und welche Angriffsmethoden dabei angewandet wurden. In der SEC-Meldung sagt Verisign, dass das Unternehmen „oft“ angegriffen werde. Dabei handle es sich auch um sogenannte „Advanced Persistent Threats“-Attacken und Zero-Hour-Bedrohungen. In diesen Fällen kann die Bedrohung erst wahrgenommen werden, wenn der Angriff bereits erfolgt. Eine präventive Verteidigung sei bei diesen Angriffen nicht möglich.

Komplexe Angriffe auf Basistechnologien
Erst kürzlich hatte das IT-Sicherheitsunternehmen RSA ein Strategiepapier mit dem Titel „Getting Ahead of Advanced Threats“ (PDF) veröffentlicht, das von Sicherheitsexperten aus 17 Top-Unternehmen erarbeitet worden war. Bei diesen komplexen Bedrohungen kann es sein, dass ein Angriff auf ein Unternehmen lediglich dazu dient, sich Informationen zu beschaffen, die bei einem weiteren Angriff auf ein weiteres Unternehmen verwendet werden. Ein angegriffenes Unternehmen ist daher nicht unbedingt in der Lage, das wirkliche Ausmaß der Schäden zu erfassen.

Da Verisign nicht sagt, welche Daten betroffen waren, wird darüber spekuliert, dass eventuell auch die SSL-Dienste von Verisign betroffen waren. Möglicherweise waren die Angriffe auf Verisign der Ausgangspunkt für zahlreiche weitere Angriffe auf Zertifikatsdiensteanbieter wie Comodo, Diginora, GlobalSign, PKN und Digicert Malaysia im vergangenen Jahr. Diese hatten eventuell Hackerangriffe auf andere zentrale Sicherheitsunternehmen wie etwa RSA oder die Mail-Dienste von Google und Yahoo ermöglicht.

James Clapper, Direktor der Nationalen Nachrichtendienste der USA vor erst wenigen Tagen dem US-Senat, dass „die Kompromittierung amerikanischer und niederländischer Zertifikatsdienste-Provider im Jahr 2011 eine der fundamentalsten Techniken bedrohe, die die Online-Kommunikation und sensible Transaktionen wie etwa das Online-Banking absichere.“

Im Unternehmensblog von Symantec ist jetzt zu lesen, dass die Dienste, die Symantec von Verisign Mitte 2010 übernommen hatte, nicht betroffen seien. Dazu gehören die SSL-Dienste und die Nutzer-Authentifizierungsdienste VIDP, PKI und FDS. Symantec beteuert, dass SSL heute immer noch „die sicherste Methode ist, um Online-Datenverkehr zu schützen.“

Gefährliches Schweigen
Das monatelange Schweigen von Verisign zeigt jedenfalls, wie notwendig gesetzliche Verpflichtungen zu mehr Transparenz und Offenlegung sind. Die SEC hatte erst kürzlich ihre Anforderungen an die Berichtspflichten börsennotierter Unternehmen entsprechend erweitert. EU-Kommissarin Viviane Reding verlangt in ihrem Vorschlag für eine europaweite Datenschutz-Verordnung, dass Unternehmen erfolgreiche Angriffe auf Unternehmensnetzwerke, bei denen Daten entwendet wurden, binnen 24 Stunden an die Aufsichtsbehörden melden müssen. Falls Kundendaten betroffen sind, sollen auch die Kunden binnen 24 Stunden informiert werden.

Angesichts der immer häufiger vorkommenden komplexen Angriffe ist dies notwendig, da ein Unternehmen die Bedeutung eines solchen Angriffs nicht mehr allein bewerten kann. Das RSA- Strategiepapier sieht in einem verstärkten, systematischeren Informationsaustausch der Unternehmen und Behörden untereinander jedenfalls einen wichtigen Schritt, um der Bedrohung gerecht zu werden. Virenscanner und Firewalls genügen längt nicht mehr.

Mehr zum Thema

  • Besserer Datenschutz gegen alle Widerstände