Bergleute und Schergen: Datenlecks sind nicht das Einzige, was Sie teuer zu stehen kommt

Sicher, ein Datenleck kann mehr kosten (zumindest im Moment) und rückt Ihr Versagen sicherlich ins Rampenlicht (Sie müssen es melden), aber bei der Sicherheit darf es nicht nur um die Preisgabe von Daten gehen.

Heutzutage hört man nur dann von einem Verstoß, wenn es zu einer Offenlegung von Daten gekommen ist. Manche Leute meinen (und schreiben), dass Verstöße nur dann von Bedeutung sind, wenn Daten offengelegt werden. In einem aktuellen Bericht von Netwrix zu Sicherheit und IT-Risiken heißt es tatsächlich: „Unternehmen planen, ihre Investitionen auf die Sicherung sensibler Daten zu konzentrieren, da sie nicht jede mögliche Bedrohung vorhersehen können.“ ( IT Risks Report 2017 )

Angesichts der Tatsache, dass die durchschnittlichen Kosten eines Datenschutzverstoßes einer von IBM gesponserten Studie von Ponemon zufolge bei über 3 Millionen US-Dollar liegen, scheint dies eine vernünftige Strategie zu sein. Schützen Sie die Daten. Denn es kostet nicht nur Geld, sondern schadet auch der Marke und dem Ruf des Unternehmens und kostet oft auch Menschen ihren Arbeitsplatz.

Das Problem einer derart kurzsichtigen Sicherheitsstrategie besteht darin, dass sie die Tatsache, dass mit anderen Sicherheitsverletzungen ebenso hohe Kosten verbunden sind, völlig außer Acht lässt. Denn niemand greift Ihre Abwehr an und hat dann die Absicht, wegzugehen. Angreifer haben nicht das Ziel, sich Zugriff auf Ihr Netzwerk oder Ihre Systeme zu verschaffen und so ihre eigene Zufriedenheit zu erreichen. Die Phase der bloßen „Verunstaltung als Übergangsritus“ haben wir in der Hacker-Community längst hinter uns gelassen. Den heutigen Angreifern geht es meist nur ums Geld.

Und obwohl wir wissen, dass Anmeldeinformationen und persönliche Daten im Darknet einiges wert sind, sind Daten heutzutage nicht die einzige Möglichkeit, Geld zu verdienen. Der äußerst lukrative Kryptomining-Markt hat dies in letzter Zeit bewiesen. In einem sehr ausführlichen und langen (und lesenswerten) Blog von Talos wird vorgerechnet, dass eine einzige Kryptojacking-Kampagne zwischen 182.500 und sage und schreibe 100 Millionen US-Dollar pro Jahr einbringen könnte:

„Um die finanziellen Gewinne ins rechte Licht zu rücken: Ein durchschnittliches System würde wahrscheinlich etwa 0,25 $ in Monero pro Tag generieren, was bedeutet, dass ein Angreifer, der 2.000 Opfer angeworben hat (keine große Leistung), 500 $ pro Tag oder 182.500 $ pro Jahr generieren könnte. Talos hat Botnetze beobachtet, die aus Millionen infizierter Systeme bestehen. Nach unserer bisherigen Logik bedeutet dies, dass mit diesen Systemen theoretisch über 100 Millionen US-Dollar pro Jahr erwirtschaftet werden könnten. „ 

Theoretisch natürlich.

Diese Zahlen sind erschreckend, aber es sind nicht unbedingt die für die Bergleute erwirtschafteten Gewinne, die für den heutigen Beitrag relevant sind. Dies ist der eigentliche Grund für die Angriffe. Ein paar hunderttausend Dollar sind schließlich ein guter Grund, nach kostenlosen Ressourcen zu suchen. Und weil es so lukrativ ist, sollten Sie sich der Kosten bewusst sein, die mit Sicherheitsverletzungen verbunden sind, bei denen Miner und Minions in Ihrer Infrastruktur zurückbleiben.

Die Kosten des illegalen Ressourcenverbrauchs

Die Kosten einer Datenschutzverletzung sind gut dokumentiert und reichen von den Bereinigungskosten bis hin zu Benachrichtigungs- und Entschädigungskosten.  Die Kosten anderer Verstöße sind nicht so gut dokumentiert, entstehen aber dennoch in Form unnötiger Betriebsausgaben und entgangener Opportunitätskosten. Egal, ob es sich um Miner oder Minions, traditionelle Linux-basierte Prozesse oder containerisierten Code handelt: Die Realität ist, dass diese fremden und unerwünschten Bots nach der Einzahlung illegal Ressourcen verbrauchen, die am Ende des Monats (oder Quartals, je nachdem, wie oft Sie Ihre Cloud-Rechnung bezahlen) echtes Geld kosten.

Einige denken vielleicht, dass diese Bots Ressourcen verbrauchen, für die Sie sowieso bezahlt hätten. Ich meine, es scheint, als ob das wahr sein könnte – Sie nutzen im Durchschnitt nur 20 % dieser Instanz/dieses Servers, aber Sie zahlen auf jeden Fall für 100 %. Kostet Sie das Bots also tatsächlich echten Umsatz?

Und das sind sie, da haben Sie verdammt recht.

Erinnern wir uns kurz an die Prämisse der automatischen Skalierung – einer der Gründe, warum viele Unternehmen die öffentliche Cloud nutzen. Wenn die Auslastung oder Leistung einen Schwellenwert überschreitet, möchten wir, dass eine neue Instanz gestartet wird, um die Nachfrage zu decken. Wenn wir eine Instanz haben, die nur 20 % für die Bedienung legitimer Clients nutzt, und ein Bot plötzlich die anderen 80 % verbraucht. Wir werden für eine zweite Instanz zahlen, und dann für eine dritte, und eine vierte, und schließlich eine fünfte, um den Bedarf zu decken, der durch eine einzige Instanz hätte gedeckt werden können, wenn diese nicht illegal genutzt würde.

Das sind also die Kosten. 

Wer sich leidenschaftlich um die Umwelt sorgt, muss auch mit den erhöhten CO2-Emissionen durch den erhöhten Stromverbrauch rechnen. Faszinierende Tatsache: Im Leerlauf verbraucht der Rechner weniger Watt als bei voller Auslastung (insbesondere bei der Durchführung hochkomplexer kryptografischer Berechnungen). Wenn also ein Miner oder Minion vor sich hin werkelt, kostet Sie das Kilowattstunden (wenn er vor Ort ist) und Instanzstunden (wenn er sich in der öffentlichen Cloud befindet), was alles Ihren CO2-Fußabdruck erhöht.

Eine höhere Leistungsaufnahme führt zu mehr Wärme, die durch zusätzliche Kühlung ausgeglichen werden muss. Es wird also noch mehr Strom verbraucht. Und es gibt Systeme, die die Temperatur überwachen und darüber Bericht erstatten … nun, Sie verstehen, was ich meine. Für den Betrieb eines Rechenzentrums – ob in der Cloud oder vor Ort – wird eine Menge zusätzliche Rechenleistung benötigt, die Ihnen aufgrund der unerlaubten Ressourcennutzung immer höhere Betriebskosten verursacht.

Wie im oben erwähnten Blog von Talos erwähnt, sind einige dieser Kryptomining-Skripte intelligent. Sie sind ausweichend und können verhindern, dass Ihre Maschinen in den Standby-Modus wechseln, neu starten, sich abmelden oder andere Aktivitäten ausführen, die ihren Betrieb unterbrechen könnten. Sie sorgen dafür, dass Ihre Maschinen rund um die Uhr laufen und sichern sich jedes noch so kleine digitale Bit, bevor Sie den Kammerjäger rufen.

Dabei handelt es sich um konkrete Kosten, die sich in den explodierenden Strom- und Cloud-Rechnungen niederschlagen. Was ist mit den immateriellen Kosten? Wie der Verlust eines Kunden (oder potenziellen Kunden) aufgrund schlechter Leistung?

Denken wir an Betriebsaxiom Nr. 2: Mit zunehmender Belastung nimmt die Leistung ab.

Wenn ein Miner oder Minion Ressourcen verbraucht, erhöht dies die Gesamtlast eines Servers, was die App-Leistung verringert . Es ist ein Gesetz, genau wie die Schwerkraft. Die Auswirkungen schlechter Leistung sind gut dokumentiert. Aus den Untersuchungen von AppDynamics wissen wir beispielsweise, dass 8 von 10 Benutzern eine App gelöscht haben, weil sie schlecht funktionierte. Wir wissen, dass Amazon, Google und Walmart allesamt die Auswirkungen dokumentiert haben, die selbst Mikrosekunden auf Umsatz, Konversionen und Käufe haben . Je nach Branche können verlorene Apps oder leichte Leistungseinbußen schnell zu messbaren Verlusten führen.

Auch wenn Sie die Berechnung nicht selbst durchführen möchten (und ich möchte das ganz sicher nicht), spricht die Grundidee für sich: Miner und Minions kosten Organisationen auf vielfältige Weise echtes Geld. Zwar ist die Offenlegung personenbezogener Daten ein ernstzunehmendes Sicherheits- und Geschäftsrisiko, gegen das man sich unbedingt schützen muss, doch wir dürfen nicht außer Acht lassen, dass jeder Verstoß schwerwiegende Folgen haben kann. 

Laut RedLock Cloud Security Trends vom Mai 2018 sind derzeit erschreckende 25 % der Organisationen in ihren Umgebungen von Cryptojacking-Aktivitäten betroffen. Tripwire stellte ebenfalls fest, dass 15 Millionen Menschen von einem einzigen Monero-Mining-Vorgang betroffen waren . eWeek berichtete über ein Versorgungsunternehmen , dessen Rechenressourcen durch illegale Kryptomining-Vorgänge dramatisch erschöpft wurden.

Solche Berichte häufen sich, wahrscheinlich in der Hoffnung, die Schwere dieser Aktivitäten ans Licht zu bringen. Was Sie über Miner – und die Lakaien in den Botnetz-Armeen – wissen müssen: Sie sind ein Beweis für eine Lücke in Ihrer Abwehr, die nicht unbedingt mit sensiblen Daten in Zusammenhang steht.

Wenn Sie sich zu sehr auf den Datenschutz konzentrieren, besteht die Gefahr, dass Ihr Name sich in die lange Liste der Unternehmen einfügt, die dafür gesorgt haben, dass Cryptojacking ein so lukratives Geschäft ist. Die Ungewissheit darüber, welche Angriffe die Angreifer als Nächstes ausnutzen werden, ist kein guter Grund, unseren Fokus von einer umfassenden Sicherheitsstrategie abzuwenden und all unsere Bemühungen auf den Schutz der Daten zu konzentrieren. Schützen wir das Geschäft – und dazu gehören auch die operativen Posten, die das Unternehmensergebnis schmälern können.