Aus dem Unterricht des CAS Digital Risk Management mit Thomas Bögli berichtet Christian Heimann.

Die drei Fallbeispiele zu Cyber-Spionage, Cyber-Sabotage und Sensibilisierung zeigen, dass Prioritäten je nach Angriff unterschiedlich gesetzt werden müssen, dass gute Vorbereitung Ruhe bringt und dass bei Sensibilisierungs-Kampagnen die Suche «Schuldigen» kontraproduktiv ist.

Einen Artikel zum Modul «Cyberdefence/Cyberwarfare» mit Fokus auf die inhaltliche Zusammenfassung des Moduls hat Reto Kappeler verfasst: «Kämpft der neue Gegner im Pyjama?». Soweit also die Theorie. Doch nebst der vermittelten Theorie sind Fallbeispiele ein wichtiges Element, um das angeeignete Wissen zu festigen. Zudem zeigen Fallbeispiele direkt auf, wo die Theorie klar scheint, aber im entscheidenden Fall dann doch nicht mehr ganz so klar ist. Auf die im Unterricht durchgespielten Fallbeispiele wird in diesem Beitrag eingegangen.

Unterschiedliche Cyber-Angriffe fordern unterschiedliche Reaktionen

«Schleichend» – Fallbeispiel Cyber-Spionage
Szenario: Im Unternehmen wird entdeckt, dass sich Fremde Zugang zum System verschafft haben und Daten abfliessen.
Symptome im System: Log-Dateien zeigen auf, dass seit 6 Monaten ein Datenabfluss stattfindet.
Auslöser: Angreifer hat sich Zugang zum System verschafft, Ursprung unbekannt.

«Unter Druck» – Fallbeispiel Cyber-Sabotage
Szenario: Eine Rentenanstalt, welche in wenigen Tagen die Renten an Empfänger auszahlen soll.
Symptome im System: Dateien sind nicht mehr lesbar oder werden im System nicht mehr angezeigt, Teile der Hauptdatenbank auf dem Active Directory sind nicht mehr funktionstüchtig.
Auslöser: Randsomware im System.
Sicherheiten: Routine-Aktionen bei System-Ausfall sind geplant: Routine Zahlungs-/Bestell-Befehle weiterhin ausführen.

Unterschiede

Der geübte Digital Risk Manager weiss: in jedem Fall erst einmal Ruhe bewahren. In den Gruppendiskussionen wurde aber spürbar, dass auch dies geübt werden muss; denn schon nur in Diskussionen für diese durchgespielten Szenarien war eine Nervosität zu spüren, möglichst schnell möglichst richtig handeln zu wollen.

Kunden müssen informiert werden, dass z.B. die Zahlung nicht korrekt kommen könnte. Es muss auch definiert werden, was man intern kommuniziert und was nicht. Nasty-Question-List bereithalten. Und je nach Vorgehen bei Erpressungsforderung entsprechende Kommunikation ausführen.

Szenario «Schleichend» Szenario «Unter Druck»
Faktor Zeit Der Zeitfaktor ist sekundär. Man hat schon längere Zeit einen Abfluss von Daten, also kann man sich auch Zeit nehmen, die möglichst richige Strategie zur Bekämpfung zu wählen. Sofortmassnahmen braucht es nebst der Einsetzung einer Task-Force keine. Zeitfaktor ist hier wichtig, zur Schadensbegrenzung, zur Organisation von Ressourcen und vor allem um rasch die Kommunikation richtig aufstellen.
Aufgepasst: Terminierte Ransomware. Wird bei diesem Angreifer-Typ einfach ein Backup zurückgespielt, so ist die Malware weiterhin im System und das Problem bleibt persistent.
Prioritäten setzen 1. Abklärung: Was für Daten sind betroffen
2. Kommunikations-Konzept
3. Infrastruktur Patchen
1. System untersuchen und Massnahmen einleiten
2. Kommunikation
3. ​Bei Erpressungsforderung: Abklärung weiteres Vorgehen (nicht zahlen/doch zahlen)
Vorgehen in der Kommunikation Nötigste Stellen involvieren, Kommunizieren sobald Situation geklärt ist.
Kunden müssen informiert werden, dass z.B. die Zahlung nicht korrekt kommen könnte.
Es muss auch definiert werden, was man intern kommuniziert und was nicht. Nasty-Question-List bereithalten. Und je nach Vorgehen bei Erpressungsforderung entsprechende Kommunikation ausführen.

 

Vorbereitung lohnt sich

Den Teilnehmern des Moduls wurde spätestens nach der Besprechung klar, dass in jeder Firma vor einem Zwischenfall bereits Aktions-Pläne für verschiedene Szenarien bereit liegen sollten. Auch eine Rollen- und Kompetenzverteilung sollte vorab gemacht werden, um im Kriesenfall keine unnötige Zeit zu verlieren, damit man sich dem eigentlichen Problem widmen kann – und nicht zu erst bürokratischen Hürden aus dem Weg räumen muss.

Ist diese Vorbereitung gemacht, so fällt es dann auch einfacher, einen kühlen Kopf zu bewahren. Für eine gute Einschätzung der Lage ist dies ein wichtiger Rat. Und sonst wird es halt «Management by Kopfanschlagen» [O-Ton Thomas Bögli] – und Lehren müssen gemacht werden aus den Fällen, die manchmal anscheinend einfach passieren müssen.

Einfallstore schliessen durch Sensibilisierung

Ein Fallbeispiel kam aus der Sensibilisierungs-Arbeit von Angehörigen der Armee. Darin wurde die Geschichte eines unbedarften Soldaten erzählt, der innerhalb kurzer Zeit fast alles falsch machte, was im Dienst falsch gemacht werden konnte:

  • Bilder mit GPS-EXIF-Daten in sozialen Netzwerken publizieren
  • Verbinden mit öffentlichem, unverschlüsseltem «Free Wifi» und anschliessendem Übermitteln von Benutzername/Passwort
  • Öffnen von PDF eines unbekannten Absenders
  • Anschliessen des Smartphones an schützenswertes System – mit der Idee nur den Akku aufzuladen
  • Smartphone bei vertraulichem/sicherheitsrelevantem Gespräch mit dabei

Zwar scheinen in der Besprechung diese Punkte klar und bekannt zu sein. Doch dies liegt auch an der aktuellen «Awareness», dem geschärften Bewusstsein der Teilnehmer. Angehörigen der Armee werden die nötigen Informationen zur Sensibilisierung mithilfe eines E-Learning-Moduls und einer 7-Punkte-Check-Liste gelehrt.

Phishing

Beim Thema «Phishing Mails», mit konkreten Beispielen des Dozenten, war dann aber die persönliche Resistenz gegen Attacken doch wieder in Frage gestellt. Phishing Mails kommen zum Teil sehr vertrauenswürdig oder sehr passend für die Situation daher (Spear Phishing). Idealerweise enthalten sie nebst einem täuschend echten Absender ein anreizendes, aber verknapptes Angebot. Da ist ein Klick schnell passiert.

Durch häufige Test-Versände kann aber die Sensibilität von Mitarbeiter auf dieses Cyber-Problem stark erhöht werden – auch wenn sich das Problem nicht komplett ausschalten lässt. Bei der Durchführung von Tests ist aber wichtig, dass nicht mit dem Finger auf die «Klicker» gezeigt wird. Es soll keine Kultur der Angst entstehen. Denn die Mitarbeiter sollen besser ein Bewusstsein dafür entwickeln, solche Probleme respektive Fehler zur Sicherheit zu melden, anstatt aus Scham zu schweigen. Und gerade bei B4/B5-Attacken (Cyber-Attacken von gezielt agierenden oder staatlichen Akteuren, APTs) bringt es nichts, nach Schuldigen zu suchen.

Wir sind heute laufende Wanzen

Mit dem Smartphone in der Tasche, das zwar systemmässig zu den sichereren digitalen Geräten gehört – im Gegensatz zu vielen IoT-Geräten, SCADA-Komponenten und schlecht gewarteten Servern und Computern – sind wir heute trotzdem laufende Wanzen. Liegt das Smartphone auf dem Tisch und läuft im Hintergrund die entsprechende Malware, werden Sie vielleicht von jemandem abgehört. Und wo Sie sich befinden, wissen die dann bestimmt auch schon. Das Abhören ist bei vertraulichen Gesprächen aber ein echtes Problem, erst recht im militärischen Umfeld. Daher hatte Thomas Bögli für die Teilnehmer auch noch das Take-Away des Tages: «Benutzt ein Marmeladenglas»

Eine Checkliste mit 7 wichtigen Regeln für richtiges Cyber-Verhalten gemäss VBS finden Sie hier:
https://www.vtg.admin.ch/de/aktuell/themen/cyberdefence.html