Aus dem Unterricht des CAS Disruptive Technologies mit Serge Droz berichtet Stefan Lutziger:

Heute sind drei verschiedene Gruppen von Akteuren auf dem Spielfeld auszumachen. Das Resultat derer Angriffe ist zwar immer dasselbe, nämlich ein gehacktes System, aber die Motive und die Mittel unterscheiden sich grundlegend.

Wer greift an?

Die Gruppe der Internetvandalen entspricht dem landläufigen Klischee von Hackern am besten. Sie ist zwar lästig, aber vergleichsweise harmlos: Der picklige Nerd hat die Website des Ländlerchors gehackt und einschlägige Bilder hochgeladen. Unangenehm, aber das war es dann meist schon.

Die zweite Gruppe betreibt organisierte Internetkriminalität unter ökonomischen Gesichtspunkten: Das Geschäftsmodell weist hohe Gewinnmargen auf, bei vergleichsweise geringem Risiko, erwischt zu werden. Auf der einen Seite ist ein multinationaler Dschungel aus Gesetzen (resp. Lücken) und Zuständigkeiten. Auf der anderen Seite steht eine professionell aufgestellte Underground Economy, welche offensiv agiert: Mit innovativen Geschäftsmodellen wird auf dem Markt angeboten, was das kriminelle Herz begehrt. Vom günstigen Hack bis zum heiligen Gral – dem Hack auf Basis einer Zero Day Vulnerability – ist fast alles erhältlich, und das nicht nur für Nerds. Die Lösungen werden immer aufgeräumter und einfacher in der Anwendung: Da hat jemand seine Lektion in User Experience verstanden.

Malware: Konfiguration, Verbreitung und Ziele

Wir sprechen bei der Malware in der Regel von Frameworks, welche unterschiedlich nutzbar sind. Falls es noch etwas raffinierter sein soll, kommen zusätzlich Cryptoservices zum Einsatz. Diese verändern Malware stetig, ohne dass sich deren Funktionalität verändert. Das Ziel ist Tarnung, um möglichst nicht von Malwarescannern erkannt zu werden. Ist die Malware erst konfiguriert, geht es an die Verteilung. Damit die gewünschten potenziellen “Kunden” das Produkt auch zuverlässig geliefert bekommen, können auch hier zugeschnittene Services gegen Entgelt bezogen werden: Die gängigen Verteilmethoden sind Phishing Mails oder Drive-By-Infektionen.
drive by

Entwicklung der Angriffe in der Schweiz (Quelle: Präsentation S. Drotz, SWITCH.ch)

hackerDer Experte zeigt auf, dass heute Adobe Flash oder Java die grössten Einfallstore für Malwareinfektionen darstellen. Einigermassen erstaunt hat, dass – entgegen der verbreiteten Meinung – das aktuelle Windows zehnmal schwieriger anzugreifen sei als vergleichbare Apple-Geräte. Trotzdem sei die Bedrohung aber nicht per se geringer, da das Betriebssystem von Microsoft aufgrund der grösseren Verbreitung für Kriminelle trotzdem attraktiv bleibt. Für die mit der Malware erzielten Resultate nutzen Kriminelle vorzugsweise professionelle Datacenter “bullet poof, secure, reliable, untouchable, online”. Die so gesammelten Daten werden dann für eigene Zwecke genutzt, oder – und auch dafür gibt’s einen Markt – weiterverkauft. Klassiker sind gestohlene Kreditkartendaten (je nach Güte für CHF 7.50 bis ca. CHF 20.-), Zugangsdaten für E-Mail-Accounts, Twitter-Follower, etc.

Vorsicht vor Ransomware und DDoS

Auch beliebt ist Erpressung mittels Ransomware. Ist diese erst auf dem Rechner, so werden die Daten nach und nach verschlüsselt und gesperrt. Der Zugang wird in der Regel postwendend gegen Zahlung eines Lösegeldes wieder gewährt. Selbstverständlich weiss die Branche bei der Zahlungsabwicklung die Vorteile von Crypto-Währungen zu schätzen: absolute Anonymität, Geschwindigkeit im internationalen Verkehr und Verfügbarkeit rund um die Uhr. Gar nicht ratsam ist es hingegen, sein Bankkonto hierzulande Dritten für Zahlungen zur Verfügung zu stellen und gegen eine vordergründig spannende Prämie eingehende Beträge anschliessend – oft mit Western Union – weiterzuleiten. Dies, weil sich diese Mittelleute, sogenannte Moneymules, in der Schweiz der Geldwäscherei strafbar machen.

UDrawing1m Unternehmen in Bedrängnis zu bringen, werden auch DDoS-Attacken (Distributed Denial of Service) gefahren. Diese können über Botnetze erfolgen, aber auch über DNS-Server, welche alle und nicht nur jene Anfragen beantworten, welche sie betreffen. Diese veraltete Technik kann ausgenutzt werden, um Angriffe auf ein Ziel zu multiplizieren. So können auch Dienste auf leistungsstarken Servern durch eine gezielte Überlastung beeinträchtigt oder gar in die Knie gezwungen werden. Die Motive sind auch hier meist ökonomischer Natur. In der Schweiz ist dies eine strafbare Handlung.

Als dritte Gruppe sind staatliche Player auszumachen: Datenschutz und Privatsphäre waren gestern, gesammelt wird hier im grossen Stil, Edward Snowden hat es ja längst ans Licht gebracht. Die Ziele dieser Player sind mannigfaltig: von Behörden über Aktivisten, Energieversorger und Telcos bis zu NGOs. Es ist zu beobachten, dass sich die militärische Spionage dabei immer mehr vom klassischen Hacken in Richtung Spionage (Industriespionage, Klau von Daten, etc.) im Sinne der eigenen Interessen entwickelt.

So schützt man sich am besten

Cybercrime-Trends gemäss Security-Software-Hersteller Eset sind aktuell die rasante Zunahme von Advanced Persistent Threats, Point-of-Sale-Malware, Datenlecks, Schwachstellen und Internet der Dinge. IT-Sicherheit ist eine mehrgliedrige Kette und immer nur so stark, wie das schwächste Glied. Dies so zu managen, dass Geschäftsgeheimnisse nicht verloren gehen und gehütetes Wissen das Unternehmen nicht verlässt, wird nach Einschätzung des Referenten mit Industrie 4.0 für viele KMU zu einer echten Herausforderung. Durch die fortschreitende Digitalisierung gewinnt das Thema zwangsläufig an Bedeutung und eine IT-Security könnte gar das Potenzial haben, in Zukunft zu einem Wettbewerbsvorteil zu werden. Empfohlene Massnahmen, nebst den üblichen best-practice-Ansätzen, sind:

  • Das eigene Netz kennen und Defense in Depth
  • Audits machen (regelmässig)
  • Open-Source-Initiativen bei Industrie 4.0, weniger fehleranfällig dank Transparenz
  • Ownership (Kontrolle über Infrastruktur haben/behalten, um reagieren zu können)
  • Incident Response organisieren, oft sind Kundinnen und Kunden das beste Early Warning
  • Security bereits beim Entwickeln neuer Produkte einbeziehen

IT-Sicherheit ist wichtig, denn die möglichen Konsequenzen (finanziell oder bezüglich Reputation) haben das Potenzial, für Unternehmen existenzbedrohende Dimensionen anzunehmen. Die jährlichen Schäden durch Cyberkriminalität belaufen sich gemäss Center for Strategic and International Studies (CSIS) auf 375 bis 575 Mrd. USD. Und was, wenn das System trotzdem gehackt wird? Gut gemanagte Unternehmen sind vorbereitet und haben Prozesse und Strukturen vorgesehen, welche in der Krise helfen, zielgerichtet zu reagieren und angemessen und klar zu kommunizieren.

cyberrechteFazit: Cybercrime ist eine reale Bedrohung und die Komplexität steigt mit zunehmender Digitalisierung. Der Internet-Untergrund ist eine dienstleistungsorientierte Marktwirtschaft mit diversen Akteuren. Es blüht eine gut organisierte Industrie. Der beste Schutz ist daher jener, welcher eine Attacke aufwändig und damit teuer gestaltet. Die Staaten mischen in eigener Sache munter mit und auf eine weltweit effizient funktionierende, grenzüberschreitende Zusammenarbeit der Exekutiv- und Judikativgewalten zu vertrauen, scheint in dieser Situation etwas gar naiv zu sein. Ist es in diesem Kontext nicht verrückt, wie zurückhaltend in IT-Sicherheit investiert wird?

Verunsichert? Hier noch ein paar Tipps für den persönlichen Schutz: www.swiss-isa.ch und www.ebas.ch.