Aus dem Unterricht des CAS Digital Risk Management zum Thema „Cybercrime“ mit Dr. Serge Droz berichtet Robert Beer.

Inhaltsübersicht:

  • Akteure und Bedrohungen
  • Malware
  • CERTs

Bedrohungslage

Dr. Droz beginnt mit einer Übersicht über die Bedrohungslage 2014 vs. 2013 von der ENISA. Hier die brandneue Version 2016 vs. 2015:

Malware ist also schon seit vier Jahren Spitzernreiter (2013 noch bezeichnet als „Malicious code: Worms/Trojans „) und gewinnt stetig weiter an Bedeutung.

Bezüglich Bedrohungslage erfahren wir mehr über die Akteure. Obwohl die Grenzen zwischen ihnen fliessend sind, kann man die Akteure grob in vier Gruppen einteilen.

  • Hacktivisten – Cyber Vandalen mit Hauptmotivation Publizität (Verunstaltung von Websites)
  • Unternehmer / Organisiertes Verbrechen – Schwerpunkt im Cybercrime. Hier geht es um sehr viel Geld. Die Locky-Gang, die mit ihrem Verschlüsselungstrojaner ihr Unwesen treibt, hat z.B. 2015 rund 300 Mio. USD eingenommen.
  • Staatliche Akteure – Spionage von Staaten wie Russland, USA, China, Grossbritannien u.a.
    • 2003: Titan Rain (China -> US / Defense Contractors)
    • 2009 Aurora / Ghostnet (China -> Tibetanische Aktivisten)
    • 2013 Hangover ( Indien -> Pakistan: Energie, Telcos NGO)
  • Terroristen

Vorgehensweisen der Täter:

  • Ausnutzung von Schwachstellen/Sicherheitslücken (sog. exploits) in Software – hierfür gibt es einen eigenen Markt. Sicherheitslücken können von Hackern entweder dem Hersteller oder – weitaus lukrativer – einem potenziellen Täter verkauft werden.
  • Drive-By-Downloads – unerwünschtes Herunterladen von Schadsoftware, allein durch das Aufrufen einer gehackten Webseite
  • Phishing – Versuche über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Es wird in der Schweiz eine Zunahme solcher Attacken  verzeichnet.
  • Social Engineering – Ausspionieren des persönlichen/geschäftlichen Umfelds des Opfers, Vortäuschung der Identitäten um sich Zugangsdaten zu verschaffen
  • CEO Fraud – Betrüger, die sich als Chef ausgeben unter Ausnutzung von Verhaltensweisen wie z.B. Autoritätshörigkeit; z.Z. in der Westschweiz sehr verbreitet
  • Download von Malware (z.B. auf Torrent-Seiten).
  • ATP (Advanced Persistent Threat) / Staatstrojaner – wird v.a. für Industriespionage eingesetzt. Sehr zeit- und kostenintensiv.

Exkurs: Betreiber von gehackten Webseiten erhalten von SWITCH eine entsprechende Mitteilung und 24h Zeit sich um die Angelegenheit zu kümmern, sonst wird die Website abgeschaltet. Dies hat mitunter auch dazu geführt, dass Drive-by-Attacken durch gehackte Websites in Schweiz abgenommen haben. Gesetzliche Grundlage für diese Massnahme ist Art. 15 der Verordnung über die Internet-Domains (SR 784.104.2).

Um Attacken im Web (z.B. DDoS) hat sich ein regelrechter Markt entwickelt, inklusive Werbevideos, AGBs und Produktsupport.

Wichtigste Business Cases im Internet / Hacking:

  • Cards (immer noch!)
  • Accounts
  • Mules (Zwischenleute, z.B. für physische Güter)
  • DDoS
  • Spam

Take home message: Der Internet-Untergrund ist heute eine dienstleistungsorientierte Marktwirtschaft mit diversen Akteuren.

Bei Angriffen arbeiten Staaten auch mit Cyber-Kriminellen zusammen, die die „Drecksarbeit“ machen. Beispiel Diebstahl von Kundendaten CD’s bei Banken, die von Staaten wie Deutschland gekauft werden.

Take home message: Die Unterscheidung zwischen verschiedenen Akteuren (Hacktivisten, Organisiertem Verbrechen, staatlicher Spionage) wird zunehmend aufgeweicht. Es ist kaum herauszufinden, wer am Ende dahintersteckt.

Bot-Netze:

Es entstehen neue Gefahrenquellen durch neue Technologien – So lässt sich z.B. mit vernetzen Geräten, Stichwort Internet of Things (IoT), eine neue Generation von Botnets schaffen, die für DDoS Attacken missbraucht werden können. Denn während für Betriebssysteme von PCs oder Macs regelmässig Updates erscheinen, kümmert sich kaum jemand um andere Geräte wie Drucker, Kühlschränke oder Glühbirnen, die ebenfalls ans Netz angebunden sind.

Botnetze variieren in der Grösse -> von 100 bis 20’000’000 angeschlossene Units – und sind die Grundlage fast aller Cyber-Crime Aktivitäten! Bot-Netzer können einfach und bedarfsorientiert gemietet werden.

Risiken:

Bei den Risiken sind die Grenzen der einzelnen Faktoren fliessend. Datenverluste oder physische Gefahren können z.B. direkte Schadenersatzforderungen zur Folgen haben oder zu einem Reputationsschaden führen. Dr. Serge Droz hat folgende Risiken exemplarisch aufgeführt:

  • rechtliche Risiken, wenn bspw. die Rechtslage noch unklar ist oder keine Bestimmungen vorhanden sind (wer haftet für eine Entscheidung des autonomen Fahrzeugs? Der Fahrer? Der Hersteller?)
  • ungenügende Sicherheitstest (bspw. explodierende Akkus bei Samsung)
  • Datenverlust (bspw. Spital, das $3Mio. Schadenersatz zahlen musste, nachdem ein Laptop mit Krankenakten gestohlen wurde.
  • Industriespionage (die bereits weiter oben ausgeführt wurde)
  • Reputationsschäden (bspw. Daten-Gau bei der Swisscom)

Gefühlte Hauptbedrohung für Einzelpersonen:

  • Finanzen
  • Persönliche Informationen (z.B. Fotos) -> mache erpressbar, keine will seine Fotos verlieren
  • Persönliche Identität
  • Glaubwürdigkeit

Tipp: „Crashplan“ für Backup verwenden. CHF 5 pro Monat. Mehr Tipps: http://chip.de/download/39018_Backup-Software/

Cloud-Lösungen aus Sicherheitssicht:

Sind mit Abstand am sichersten und günstigsten! Die Angst vor den Cloud-Anbietern ist primär politisch bedingt. Bei einer grossen Cloud-Lösung kümmern sich 500 Engineers um Sicherheit. Daher lohnt es sich für eine KMU das ganze Office und die Datenhaltung in Cloud abzuwickeln -> weniger Probleme, funktioniert, günstig, sicher!!!

Tipp: „Crashplan“ für Backup verwenden. CHF 5 pro Monat. Mehr Tipps: http://www.chip.de/download/39018_Backup-Software/
Cloud-Lösungen sind mit Abstand am sichersten und günstigsten. Wenn 500 Engineers sich nur um Sicherheit kümmern…. -> KMUs das ganze Office in Cloud: weniger Probleme, funktioniert, günstig, sicher!!!

Spam: 80-90% des Spams ist heutzutage von gehackten E-Mail Konten verschickt. Wer sich nicht genügend um die Sicherheit seiner IT-Struktur kümmert trägt also unbewusst zur Bedrohungslage bei.

Trends:

  • Crypto-Ransomware: Recht einfach – Verschlüsseln auch bei Datenhaltung auf Cloud (Provider versuchen zu reagieren).
  • Politische Beeinflussung (z.B. Fron National mit russischen Krediten ?!)
  • Neue Akteure (neben privat/wirtschaftlich/staatlich): ISIOA Hacker etc. Diese sind gefährlich, skrupellos und unberechenbar. Die Bedrohungslage ist daher höchst unklar.

Massnahmen:

Grundsätzlich gilt: Make it expensive to get in! and Get security from pros!

Im Schadenfalls sollte man (wie vermutet) einen kühlen Kopf bewahren und überlegt handeln. Mit „Defense in Depth“ versteht man einen koordinierten Einsatz mehrerer Sicherheitsmassnahmen, um Datenbestände in einem Unternehmen zu schützen. Die Strategie basiert auf dem militärischen Prinzip, dass es für einen Feind schwieriger ist, ein komplexes und vielschichtiges Abwehrsystem zu überwinden als eine einzige Barriere. Das heisst also:

  • das eigene Netz kennen; nicht nur wissen welche Geräte man hat, sondern welche effektiv in Betrieb sind.
  • bereits beim Design bzw. der Herstellung eines Geräts die Sicherheit mitberücksichtigen und innerhalb des Unternehmens eine Fehlerkultur verbessern.
  • Audit-Verfahren – also prüfen und sicherstellen, dass Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Ein solches Audit-Untersuchungsverfahren erfolgt im Rahmen des Qualitätsmanagements.
  • Transparenz – exemplarisch hierzu VWs Dieselskandal und die misslungene Kommunikation (vgl. https://www.schneier.com/blog/archives/2015/09/volkswagen_and_.html)
  • Prozesse etablieren – wer macht was im Worst Case; Zusammenarbeit von internen und externen stellen.
  • CERT Team gründen – also ein Computer Emergency Response Team, zusammengestellt aus einer Gruppe von EDV-Sicherheitsfachleuten, die als Koordinator wirken.
  • Responsible Disclosure – es gilt der Grundsatz, dass man Hinweise ernst nimmt und  Leuten (z.B. Hacker), die etwas melden auch antwortet.
  • Kontrolle bewahren – z.B. durch eine souveräne Krisenkommunikation

CERTs – Computer Emergency Response Team

CERTs sind Teil der Governance. Definition (Patrick Kenis, Universität Tilburg): Governance is the use of institutions , structures of authority and collaboration to allocate resources and coordinate or control activity in society or the economy

Formen der Governance: Aufgrund der Kompexität und der internaionalen Bedrohungslage haben sich Netzwerke als effektivstes Instrument erwiesen.

NetNetzwerke sind bei komplexen Problemen effizient, aber auch aufwändig und müssen gemanagt werden. Erfolgreiche Netzwerke haben ein klares Ziel und geniessen hohes Vertrauen.

CERTs sollen auch als Netzwerke gelebt werden, um der Kompexität der Thematik gerecht zu werden. Angesichts der vielen Akteure und der technischen und sozialen Aspekte (Social Engineering) muss ein Security-Team auf vielfältige Bedrohungen reagieren können und auf dem neuesten Stand sein. Keine Chance im Alleingang!

Aufbau eines eigenen CERTs

Keine zwei CERTs sind gleich. Je nach Kunde sind die Risiken unterschiedlich:

Verschiedene Kunden – Verschiedene Risiken

  • Firmen intern -> internes CERT
  • Kunden der Firma:
    • E-Banking Kunden -> e – Banking CERT
    • Netzwerk Kunden -> Abuse desk
    • Organisationen -> NREN CERT
  • Kunden die Ihre Produkte brauchen -> Product – CERT
  • Regierungs-Stellen -> GovernmentCERT , MilCERT
  • Betreiber kritischer Infrastruktur …

Dabei ist es wichtig, von Anfang an klar festzuhalten, welche Dienste erbracht werden, welche nicht, und ob man sinnvollerweise CERT-Dienstleistungen einkauft.

Immer an Bord bei einem CERT: Management! Dazu fallweise interne Abteilungen, Dritte/Partner und sogar Kunden. Auch hier gilt: Ein Business-Plan und eine Roadmap helfen sowohl beim internen Vermarkten eines CERT als auch bei der Umsetzung.

Ressourcen:

FIRST: http://www.first.org/
Trusted-Introducer:  http://ti.trusted-introducer.org/
TRANSITS: http://www.terena.org/activities/csirt-training/

ENISA: http://www.enisa.europa.eu/act/cert/support