Aus dem Unterricht des CAS Digital Risk Management mit Umberto Annino  berichten Michael Sturzenegger und Fabio Sulzberger. Cyber-

Fokus der Lektion war es, die Hintergründe von Cyber Attacken zu verstehen und die Gegenmassnahmen im Sinne der Prävention kennen zulernen. Umberto gilt als profilierte Fachperson in diesem Bereich. Er führte durch die Lektion und brachte uns das Thema auf anschauliche Weise näher.

Was ist Cyber?

Der Begriff Cyber wird oft verwendet aber unterschiedlich verstanden. Wenn man sich mit einer Cyber Attacke auseinandersetzt stellt man fest, dass innerhalb einer einberufenen Taskforce, einer Arbeitsgruppe etc. unterschiedliche Auffassungen über den Begriff «Cyber» bestehen. Es ist daher unerlässlich ein gemeinsames Verständnis zu schaffen. «Cyber» stammt aus dem Griechischen und bedeutet Steuerung. Im Kontext des heute behandelten Themas ist «Cyber» als Gesamtheit aller Elemente innerhalb der technologischen Umwelt zu verstehen.

Historisch bedingte Probleme

Von 1960 bis 2005 stellte der Bereich IT noch eine Blackbox dar. Das Bedürfnis nach Wissen war gering, zumal IT Infrastrukturen damals noch einfache Geschäftsprozesse erledigten.
Ab 2005 stieg die Notwendigkeit das Verständnis über die Materie zu erweitern. Effektiv wurde von allen Organisationseinheiten eines Unternehmens auch ein bestimmtes Know how vorausgesetzt. Der Aufwand das Verständnis zu fördern war und ist nach wie vor beträchtlich, denn die Komplexität nimmt stetig zu. Aufgrund dessen besteht im Allgemeinen eine abwehrende Haltung, wenn es darum geht, das Verständnis zu vertiefen. So auch im Bezug auf die Sicherheit.

Herausforderungen

In der Umsetzung der Sicherheit werden die dafür zuständigen Personen und auch Prozesse negativ wahrgenommen. Speziell für nicht fachkundige Personen sind die Umsetzungsprozesse mühsam und umständlich. Wichtig ist es also die Empfänger über die Notwendigkeit und den Vorteil von Sicherheitsmassnahmen zu überzeugen. Sicherheit muss mit dem Geschäftsprozess auf sinnvolle Weise abgestimmt sein. Es macht keinen Sinn am Gebäudeeingang drei Zutrittsschleusen einzurichten, die die Arbeitszeit der Mitarbeitenden beeinträchtigt, nur um punkto Sicherheit einen geringfügigen Mehrwert zu schaffen. Die Sicherheitsbeauftragten müssen sich daher zwingend mit dem Geschäftsprozess auseinandersetzen. Der Funktionalität ist Rechnung zu tragen. Bei den obersten Führungsorganen einer Unternehmung ist die Aufmerksamkeit gewissermassen vorhanden. Allerdings fehlt es am Verständnis und an der Konsequenz, Massnahmen zu ergreifen und umzusetzen. 

Der Cyberkrieg

Wenn wir das Beispiel des Cyberkriegs beleuchten, stellen wir fest, dass ein solcher asymmetrisch ausgerichtet ist. Was bedeutet das? In der militärischen Kriegsführung gehen grosse Militäreinheiten gegenüber kleineren Verbänden normalerweise als Sieger hervor. In einem Cyberkrieg kommt es hingegen nicht auf die Masse (Anzahl Einheiten) an, sondern auf die richtige Anwendung. Auch mit geringfügigen Mitteln kann der maximale Schaden angerichtet werden. Dass alle Glieder auf der Verteidigungsseite optimal ausgerüstet sind, ist von zentraler Bedeutung.

Schwachstellen und Angreifer

Typischerweise wird das schwächste Glied der Organisationseinheit zum Ziel. Dieses ermöglicht, dass sich der Schaden virulent auf alle anderen Einheiten ausweitet. Beispiel: Ein Mitarbeiter gibt dem Cyber-Angriff nach, indem er einer schädlichen Datei den Eintritt in die Systemumgebung zulässt. Dadurch nistet sich der Virus ein und befällt andere Bereiche innerhalb des Systems. Derselbe Grundsatz gilt im Bezug auf das Lieferkettenproblem. Eine Lücke bei einem Kunden, Lieferanten oder Partner kann alle restlichen Teilnehmer angreifen und entsprechenden Schaden anrichten. Sicherheitsvorkehrungen bei Partnern müssen deshalb bekannt sein, um das gesamtheitliche Vertrauen zu garantieren. Dies würde mit einem gesamtheitlichen Prüfungssystem – analog EMPA-Prüfungen, ISO-Zertifizierungen – ermöglicht. Ein Konzept auf globaler Ebene dazu existiert allerdings noch nicht. Dies umzusetzen stellt denn auch ein hochkomplexer Prozess dar. 

Die Angreifer lassen sich in folgende Gruppen einordnen:

Angriffsmuster – “Wie komme ich rein?”

Aktuell wird zwischen den folgenden Angriffsmustern unterschieden (Aufzählung nicht abschliessend):

Phishing: Personen werden dazu aufgefordert bestimmte Informationen zu liefern, um dem Angreifer Zugang zu Daten zu verschaffen. 

MassPhishing: Betrügerische Nachrichten werden massenweise gestreut. Die Problematik liegt darin, dass der Angriff (Streuung) als solcher sehr kostengünstig ist. Auch wenn nur sehr wenige Zielpersonen darauf reagieren, hat sich der Angriff bereits gelohnt.

SpearPhishung: Der Angriff hat bestimmte Personen einer Organisation zum Ziel. In der Regel sind es Personen, die über entsprechende Kompetenzen verfügen. Ein solcher Angriff ist strukturiert und gut organisiert.

Whaling / CEO Fraud: Im Gegensatz zu SpearPhishing zielt der Angriff auf die obersten Führungsorgane einer Unternehmung, mit der Absicht, die Kompetenzen der Zielpersonen auszunutzen und somit an sensitive Daten zu gelangen oder gar Betragsüberweisungen auszulösen.

Vishing: Dabei handelt es sich um einen Angriff über Telefon, bei welchem Zielpersonen ebenfalls aufgefordert werden entsprechende Handlungen vorzunehmen. 

SMSishing: Zielpersonen erhalten eine betrügerische SMS-Nachricht, mit der Aufforderung sensitive Daten bekannt zu geben. Dazu gehören etwa Passwörter, Kreditkarteninformationen etc. Der Angriff verfolgt das gleiche Ziel wie im Falle von SpearPhishing.

Ferner gehört Typo-Squatting Definition dazu. Eine leicht angepasste URL, führt die Zielperson auf die gefakte, oftmals vom Original kopierten Seite, von wo aus sensitive Daten abgezweigt werden. Es existieren Dienste, die dem rechtmässigen Inhaber des Firmennamens solche Vorfälle aktiv melden und durch welche man die Entfernung der Seite veranlassen kann, so genannte Takedowns. 

Bedrohungen und Gefahren

Gestärkt geht es am Nachmittag weiter. Wir stellen uns die Frage, ob die Cyber-Bedrohung bei uns in der Schweiz wirklich real ist oder ob das Thema einfach gehypt wird? Nach nur wenigen Minuten der Ausführung durch Umberto kann die Frage beantwortet werden. JA, die Bedrohung ist real!

Die Top Gefahren in der Schweiz sind dabei:

  • Verschlüsselungstrojaner (Ransomeware)
  • Schadsoftware in E-Mail
  • Phishing
  • Schadsoftware auf Webseiten
  • CEO-Fraud und
  • Schwachstellen an Internet exponierten Geräten (Iot, Smart Home, etc.)

Eine der aktuell grössten Bedrohungen für Firmen stellt im Moment Ransomware dar. Erst kürzlich hat der Fall von SwissWindows gezeigt, wie durch einen entsprechenden Vorfall eine Firma in den Konkurs getrieben werden kann. (https://www.blick.ch/news/schweiz/ostschweiz/swisswindows-ag-macht-per-sofort-dicht-170-mitarbeiter-entlassen-hacker-angriff-versetzte-den-todesstoss-id15771321.html)

Das tückische dabei ist, dass zwischen Infiltration durch einen Virus und der Ausführung von Aktionen wie das Kopieren von Daten oder Verschlüsseln von Geräten Tage, Wochen oder sogar Monate vergehen können. Wie komplex ein solcher Angriff sein kann zeigt die folgende Übersicht von InfoGuard auf.

Was kann ich dagegen unternehmen?

Der Startpunkt, die Gefahren handhaben zu können, ist die Einführung eines Security Frameworks. Ein solches Framework ist jenes von NIST. Benannt nach seinem Herausgeben dem NIST (National Institute of Standards and Technology) vom U.S. Department of Commerce.

(Ausschnitt aus Folie von InfoGuard)

Natürlich gibt es neben NIST noch weitere Frameworks wie diejenigen von ISO oder die CIS (Critical Securtiy Controls) oder weiteren.

Doch wird ein solch implementiertes Framework und entsprechende Schutzmechanismen auch einen Angriff abwehren können und diesen überstehen? Hier kommen die Red- und Blue-Teams ins spiel! Während die “Roten” versuchen ins System oder ein Firma einzudringen, versuchen die “Blauen” dies zu verhindern.

Weitere Informationen dazu können dem folgenden Youtube Video entnommen werden: https://www.youtube.com/watch?v=Mmd_56Y-1Cc

Mit diesen und weiteren Ausführungen von Umberto geht ein spannender Tag an der HWZ zu Ende. Doch was ist nun das ganz persönliche Fazit?

“Die Cyber-Bedrohungen sind real und durch einfaches Ignorieren werden sie nicht verschwinden!”