Bergleute und Schergen: Datenlecks sind nicht das Einzige, was Sie teuer zu stehen kommt

Sicher, ein Datenleck kann mehr kosten (zumindest im Moment) und rückt Ihr Versagen sicherlich ins Rampenlicht (Sie müssen es melden), aber bei der Sicherheit darf es nicht nur um die Preisgabe von Daten gehen.

Heutzutage hört man nur dann von einem Verstoß, wenn es zu einer Offenlegung von Daten gekommen ist. Manche Leute meinen (und schreiben), dass Verstöße nur dann von Bedeutung sind, wenn Daten offengelegt werden. In einem aktuellen Bericht von Netwrix zu Sicherheit und IT-Risiken heißt es tatsächlich: „Unternehmen planen, ihre Investitionen auf die Sicherung sensibler Daten zu konzentrieren, da sie nicht jede mögliche Bedrohung vorhersehen können.“ ( IT Risks Report 2017 )

Angesichts der Tatsache, dass die durchschnittlichen Kosten eines Datenschutzverstoßes einer von IBM gesponserten Studie von Ponemon zufolge bei über 3 Millionen US-Dollar liegen, scheint dies eine vernünftige Strategie zu sein. Schützen Sie die Daten. Denn es kostet nicht nur Geld, sondern schadet auch der Marke und dem Ruf des Unternehmens und kostet oft auch Menschen ihren Arbeitsplatz.

Das Problem einer derart kurzsichtigen Sicherheitsstrategie besteht darin, dass sie die Tatsache, dass mit anderen Sicherheitsverletzungen ebenso hohe Kosten verbunden sind, völlig außer Acht lässt. Denn niemand greift Ihre Abwehr an und hat dann die Absicht, wegzugehen. Angreifer haben nicht das Ziel, sich Zugriff auf Ihr Netzwerk oder Ihre Systeme zu verschaffen und so ihre eigene Zufriedenheit zu erreichen. Die Phase der bloßen „Verunstaltung als Übergangsritus“ haben wir in der Hacker-Community längst hinter uns gelassen. Den heutigen Angreifern geht es meist nur ums Geld.

Und obwohl wir wissen, dass Anmeldeinformationen und persönliche Daten im Darknet einiges wert sind, sind Daten heutzutage nicht die einzige Möglichkeit, Geld zu verdienen. Der äußerst lukrative Kryptomining-Markt hat dies in letzter Zeit bewiesen. In einem sehr ausführlichen und langen (und lesenswerten) Blog von Talos wird vorgerechnet, dass eine einzige Kryptojacking-Kampagne zwischen 182.500 und sage und schreibe 100 Millionen US-Dollar pro Jahr einbringen könnte:

„Um die finanziellen Gewinne ins rechte Licht zu rücken: Ein durchschnittliches System würde wahrscheinlich etwa 0,25 $ in Monero pro Tag generieren, was bedeutet, dass ein Angreifer, der 2.000 Opfer angeworben hat (keine große Leistung), 500 $ pro Tag oder 182.500 $ pro Jahr generieren könnte. Talos hat Botnetze beobachtet, die aus Millionen infizierter Systeme bestehen. Nach unserer bisherigen Logik bedeutet dies, dass mit diesen Systemen theoretisch über 100 Millionen US-Dollar pro Jahr erwirtschaftet werden könnten. „ 

Theoretisch natürlich.

Diese Zahlen sind alarmierend, doch die Profite, die Miner erzielen, sind für den heutigen Beitrag nicht entscheidend. Sie erklären lediglich den Grund für die Angriffe. Ein paar Hunderttausend Dollar sind schließlich ein starker Anreiz, kostenlose Ressourcen zu erschließen. Weil das so einträglich ist, sollten Sie die Kosten von Sicherheitsvorfällen kennen, die Miner und Mittelsmänner in Ihrer Infrastruktur zurücklassen.

Die Kosten unbefugter Ressourcennutzung

Die Kosten durch eine Datenpanne sind gut dokumentiert und umfassen Bereinigungskosten sowie Aufwendungen für Benachrichtigungen und Entschädigungen.  Andere Sicherheitsverletzungen verursachen zwar weniger dokumentierte Kosten, führen aber dennoch zu unnötigen Betriebsausgaben und entgangenen Chancen. Ob Miner oder Minions, traditionelle Linux-Prozesse oder containerisierte Anwendungen – begeben sich solche fremden, unerwünschten Bots einmal im System, verbrauchen sie auf illegale Weise wertvolle Ressourcen, die am Monats- oder Quartalsende (je nach Abrechnungszyklus Ihres Cloud-Anbieters) bares Geld kosten.

Manche meinen, dass diese Bots Serverressourcen beanspruchen, die Sie ohnehin bezahlt hätten. Es wirkt so – im Durchschnitt nutzen Sie nur 20 % der Instanz/dem Server, zahlen aber unabhängig davon für 100 %. Verursachen die Bots also tatsächlich messbare Umsatzeinbußen?

Und das sind sie, da haben Sie verdammt recht.

Erinnern wir uns kurz an die Prämisse der automatischen Skalierung – einer der Gründe, warum viele Unternehmen die öffentliche Cloud nutzen. Wenn die Auslastung oder Leistung einen Schwellenwert überschreitet, möchten wir, dass eine neue Instanz gestartet wird, um die Nachfrage zu decken. Wenn wir eine Instanz haben, die nur 20 % für die Bedienung legitimer Clients nutzt, und ein Bot plötzlich die anderen 80 % verbraucht. Wir werden für eine zweite Instanz zahlen, und dann für eine dritte, und eine vierte, und schließlich eine fünfte, um den Bedarf zu decken, der durch eine einzige Instanz hätte gedeckt werden können, wenn diese nicht illegal genutzt würde.

Das sind also die Kosten. 

Wer sich leidenschaftlich um die Umwelt sorgt, muss auch mit den erhöhten CO2-Emissionen durch den erhöhten Stromverbrauch rechnen. Faszinierende Tatsache: Im Leerlauf verbraucht der Rechner weniger Watt als bei voller Auslastung (insbesondere bei der Durchführung hochkomplexer kryptografischer Berechnungen). Wenn also ein Miner oder Minion vor sich hin werkelt, kostet Sie das Kilowattstunden (wenn er vor Ort ist) und Instanzstunden (wenn er sich in der öffentlichen Cloud befindet), was alles Ihren CO2-Fußabdruck erhöht.

Mehr Leistung bedeutet mehr Wärme, die Sie durch zusätzliche Kühlung ausgleichen müssen. Dadurch steigt Ihr Stromverbrauch weiter an. Hinzu kommen die Systeme, die die Temperatur überwachen und melden – Sie sehen, worauf ich hinaus will. Viel ergänzende Rechenleistung betreibt ein Rechenzentrum – egal ob in der Cloud oder vor Ort – und verursacht Ihnen durch illegale Ressourcennutzung immer höhere Betriebskosten.

Wie im oben erwähnten Blog von Talos erwähnt, sind einige dieser Kryptomining-Skripte intelligent. Sie sind ausweichend und können verhindern, dass Ihre Maschinen in den Standby-Modus wechseln, neu starten, sich abmelden oder andere Aktivitäten ausführen, die ihren Betrieb unterbrechen könnten. Sie sorgen dafür, dass Ihre Maschinen rund um die Uhr laufen und sichern sich jedes noch so kleine digitale Bit, bevor Sie den Kammerjäger rufen.

Dabei handelt es sich um konkrete Kosten, die sich in den explodierenden Strom- und Cloud-Rechnungen niederschlagen. Was ist mit den immateriellen Kosten? Wie der Verlust eines Kunden (oder potenziellen Kunden) aufgrund schlechter Leistung?

Denken wir an Betriebsaxiom Nr. 2: Mit zunehmender Belastung nimmt die Leistung ab.

Wenn ein Miner oder Minion Ressourcen verbraucht, erhöht dies die Gesamtlast eines Servers, was die App-Leistung verringert . Es ist ein Gesetz, genau wie die Schwerkraft. Die Auswirkungen schlechter Leistung sind gut dokumentiert. Aus den Untersuchungen von AppDynamics wissen wir beispielsweise, dass 8 von 10 Benutzern eine App gelöscht haben, weil sie schlecht funktionierte. Wir wissen, dass Amazon, Google und Walmart allesamt die Auswirkungen dokumentiert haben, die selbst Mikrosekunden auf Umsatz, Konversionen und Käufe haben . Je nach Branche können verlorene Apps oder leichte Leistungseinbußen schnell zu messbaren Verlusten führen.

Auch wenn Sie die Berechnung nicht selbst durchführen möchten (und ich möchte das ganz sicher nicht), spricht die Grundidee für sich: Miner und Minions kosten Organisationen auf vielfältige Weise echtes Geld. Zwar ist die Offenlegung personenbezogener Daten ein ernstzunehmendes Sicherheits- und Geschäftsrisiko, gegen das man sich unbedingt schützen muss, doch wir dürfen nicht außer Acht lassen, dass jeder Verstoß schwerwiegende Folgen haben kann. 

Laut RedLock Cloud Security Trends vom Mai 2018 sind derzeit alarmierende 25 % der Organisationen von Cryptojacking in ihren Umgebungen betroffen. Tripwire berichtete, dass 15 Millionen Menschen durch eine einzelne Monero-Mining-Aktion betroffen waren. eWeek meldete, dass ein Versorgungsunternehmen erhebliche Performance-Einbußen durch illegale Kryptomining-Aktivitäten erlitt.

Solche Berichte häufen sich, wahrscheinlich in der Hoffnung, die Schwere dieser Aktivitäten ans Licht zu bringen. Was Sie über Miner – und die Lakaien in den Botnetz-Armeen – wissen müssen: Sie sind ein Beweis für eine Lücke in Ihrer Abwehr, die nicht unbedingt mit sensiblen Daten in Zusammenhang steht.

Wenn Sie sich zu sehr auf den Datenschutz konzentrieren, besteht die Gefahr, dass Ihr Name sich in die lange Liste der Unternehmen einfügt, die dafür gesorgt haben, dass Cryptojacking ein so lukratives Geschäft ist. Die Ungewissheit darüber, welche Angriffe die Angreifer als Nächstes ausnutzen werden, ist kein guter Grund, unseren Fokus von einer umfassenden Sicherheitsstrategie abzuwenden und all unsere Bemühungen auf den Schutz der Daten zu konzentrieren. Schützen wir das Geschäft – und dazu gehören auch die operativen Posten, die das Unternehmensergebnis schmälern können.