Technische Kompromittierung
Ein System, eine Datenbank oder auch nur ein einzelner Datensatz wird als kompromittiert betrachtet, wenn Daten manipuliert sein könnten und wenn der Eigentümer (oder Administrator) des Systems keine Kontrolle über die korrekte Funktionsweise oder den korrekten Inhalt mehr hat, beziehungsweise ein Angreifer ein anderes Ziel der Manipulation erreicht hat.
Begriffserklärung
Unter Angreifer wird hier ein zum Zugriff auf das System nicht berechtigter Nutzer verstanden, der sich jedoch Zugriff verschafft hat. Dabei ist nicht entscheidend, ob der unberechtigte und unkontrollierte Zugriff in missbräuchlicher Absicht oder unabsichtlich geschieht. Wesentlich ist, dass die Integrität der gespeicherten Information nicht mehr gewährleistet werden kann.
Bei öffentlich zugänglichen Daten kann eine Kompromittierung nur durch (die Möglichkeit einer) Manipulation erfolgen. Bei Daten, die in irgendeiner Weise geheim sind, bedeutet dagegen auch die Möglichkeit, dass ein Angreifer Lesezugriff erhalten hat, bereits eine Kompromittierung, da zuvor geheime Informationen hinterher Dritten zugänglich sein könnten. Die Kompromittierung muss also nicht zwangsläufig die Manipulation von Daten implizieren.
Kompromittierung (Kryptologie) Wenn es einem Angreifer z. B. gelingt, den Schlüssel eines Kryptosystems zu bekommen, ist dieses System kompromittiert, ohne dass der Angreifer Daten geändert hat. Auch ein ausschließlich beobachtender Angreifer kann ein System kompromittieren. Typischerweise tritt dies nach einem Befall durch einen Computervirus oder durch einen gezielten Einbruch durch Hacker (bzw. Cracker) auf. Ein derartig manipuliertes System ist nicht mehr als vertrauenswürdig anzusehen.
Beispiele
- Hacker haben Server mehrerer US-Wirtschaftsinformationsdienste kompromittiert und wahrscheinlich Sozialversicherungsnummern, Geburtsdaten, Führerscheindaten und Kreditauskünfte ausgespäht, um sie dann weiter zu verkaufen.
- Hacker brachen 2011 bei Linux.com und Linuxfoundation.org ein und stahlen möglicherweise Nutzerdaten wie Login-Name, Passwort, E-Mail-Adresse.
- Apache-Server wurden in großem Umfang von der Schadsoftware Darkleech infiziert und somit kompromittiert. Es sollen im Sommer 2012 bis zu 20.000 Server betroffen gewesen sein.
- Shellshock, eine Sicherheitslücke in der Bash, hatte zur Folge, dass im Oktober 2014 verschiedene Server kompromittiert werden konnten, betroffen waren z. B. Yahoo, WinZip und Lycos.
- Eine hochkritische Sicherheitslücke in Drupal (genannt Drupageddon), die SQL-Injection ermöglichte, wurde für automatisierte Angriffe auf ungepatchte Server des Content-Management-Systems ausgenutzt. Sie wurde am 15. Oktober entdeckt, und alle Drupal-7-Installationen, die nicht binnen sieben Stunden gepatcht worden seien, seien als kompromittiert zu betrachten.
Erkennung
- Um ein kompromittiertes System zu erkennen, kann man z. B. prüfen
- ob Benutzer zu ungewöhnlichen Zeiten angemeldet waren
- ob es Logins von ungewöhnlichen Systemen aus gab
- ob sich Benutzer angemeldet haben, die sich normalerweise nicht auf dem System anmelden
- ob ungewöhnlich viel Rechenzeit verbraucht wurde
- ob Programme laufen, die normalerweise nicht auf dem System laufen
- ob ungewöhnliche Neustarts (in der Anzahl oder bei der Uhrzeit) des Systems oder von Diensten zu verzeichnen waren
- ob Programme unter ungewöhnlichen Benutzern/Rechten laufen