Zürcher Tagung von ISSS

Der infizierte USB-Stick und die Post (nicht die Schweizerische)

Uhr | Aktualisiert

Wie sicher ist mein Unternehmen? Und wie kontrolliere ich den Outsourcing-Partner des Outsourcing-Partners? Der Bericht zur Zürcher Tagung des Informationssicherheitsverbands ISSS.

"Ethical Hacker" Ivan Bütler referierte an der Zürcher Tagung von ISSS. (Quelle: ISSS)
"Ethical Hacker" Ivan Bütler referierte an der Zürcher Tagung von ISSS. (Quelle: ISSS)

Wie sicher sind wir? Diese Frage ist dem Penetration Tester und Ethical Hacker Ivan Bütler (Compass Security) schon unzählige Male gestellt worden, wie er in seinem Referat an der Zürcher Tagung des Informationssicherheitsverbands ISSS ausführte. So auch von einem international tätigen Konzern.

Postdienstleister öffnete USB-Stick

Bütler schleuste in der Folge einen infizierten USB-Stick in dieses Unternehmen ein, um mithilfe desselben ins Unternehmensnetzwerk einzudringen. Anstatt den Stick an einen Computer anzuschliessen, schickte das Unternehmen den Stick jedoch zurück an den Absender.

Da die Absenderadresse jedoch frei erfunden war, landete der Brief bei einem internationalen Postdienstleister (Anmerkung: nicht bei der Schweizer Post, wie Bütler festhält) bei den "Unzustellbaren". Dort schloss ein Mitarbeiter, im Bestreben den Empfänger ausfindig zu machen, den USB-Stick an einen Computer an und infizierte damit das Unternehmensnetzwerk der Post.

Unterdessen dürfe dort auch nicht mehr jeder Stick an jeden Computer angeschlossen werden, schob Bütler nach.

Kundendaten gingen "verloren"

Wie kontrolliert man den Outsourcing-Partner des Outsourcing-Partners? Diese Diskussion stiess Robert-Stephan Zergenyi, Audit Director für IT und Group Operation bei Zurich Financial Services, in seinem Referat an. Er verwies auf einen öffentlich bekannten Fall aus dem Jahr 2009, bei dem der Finanzkonzern mit einer Busse von 2,4 Millionen britische Pfund bestraft wurde.

Der Grund: Dem südafrikanischen Ableger der Zurich ging damals ein Tape mit über 50'000 Kundendaten beim Transport in ein anderes Rechenzentrum "verloren". Durchgeführt hatte den Transport ein Transportunternehmen, das vom Outsourcing-Partner der Zurich beauftragt wurde.

End-to-End-Audits notwendig

Je mehr Player im Spiel sind, desto komplizierter werden die Audits, soviel ist für Zergenyi klar. Audits müssten deshalb unbedingt End-to-End gemacht werden. Es brauche einen guten Mix an lokalen wie auch internationalen Audits, damit auch Mängel bei externen Dienstleistern entdeckt würden.

Er stellt der Qualitätskontrolle in der IT-Branche aktuell kein rühmliches Zeugnis aus: Sie stehe heute da, wo die Automobilindustrie vor über zehn Jahren war. Auch diese Branche ist wie die IT nicht minder international, jedoch funktioniere es dort heute besser.

Ein anderer Vertreter aus der Finanzbranche, Christoph Stocker, Rechtsanwalt bei der UBS, sprach sich derweil aus Sicherheitsgründen dezidiert gegen Outsourcing aus. Die Arbeit der Revisoren dürfe wegen Outsourcing nicht beeinträchtigt werden.