Aus dem Unterricht des CAS Disruptive Technologies zum Thema „Cybercrime“ mit Dr. Serge Droz berichtet Ioannis Martinis.

Die Vorlesung von Dr. Droz ist in 4 Teile gegliedert:

  • Bedrohungslage
  • Neue Technologien
  • Risiken
  • Massnahmen

Bedrohungslage

Bezüglich Bedrohungslage erfahren wir mehr über die Akteure. Obwohl die Grenzen zwischen ihnen fliessend sind, kann man die Akteure grob in 3 Gruppen einteilen.

  • Hacktivisten – hierbei handelt es sich um Cyber Vandalen, deren primärer Treiber die Publizität ist (Verunstaltung von Websites bspw. IS Propaganda).
  • Unternehmer / Organisiertes Verbrechen – hier findet man heute die grosse Masse im Cybercrime. Der primäre Treiber ist Geld. Viel Geld. Die Locky-Gang, die mit ihrem Verschlüsselungstrojaner ihr Unwesen treibt, hat 2015 rund $ 300 Mio. eingenommen.
  • Staaten – Spionage von Staaten wie Russland, USA, China, Grossbritannien u.a.

Modus Operandi – einige Methoden und Mechanismen der Täter:

  • Ausnutzung von Schwachstellen/Sicherheitslücken (sog. Exploits) in Software – hierfür gibt es einen eigenen Markt. Sicherheitslücken können von Hackern entweder dem Hersteller oder – weitaus lukrativer – einem potenziellen Täter verkauft werden.
  • Drive-By-Downloads – unerwünschtes Herunterladen von Schadsoftware, allein durch das Aufrufen einer gehackten Webseite
  • Phishing – Versuche über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Es wird in der Schweiz eine Zunahme solcher Attacken  verzeichnet.
  • Social Engineering – Ausspionieren des persönlichen/geschäftlichen Umfelds des Opfers, Vortäuschung der Identitäten um sich Zugangsdaten zu verschaffen
  • CEO Fraud – Betrüger, die sich als Chef ausgeben unter Ausnutzung von Verhaltensweisen wie z.B. Autoritätshörigkeit; z.Z. in der Westschweiz sehr verbreitet
  • Download von Malware (z.B. auf Torrent-Seiten).
  • ATP (Advanced Persistent Threat) / Staatstrojaner – wird v.a. für Industriespionage eingesetzt. Sehr zeit- und kostenintensiv.

Exkurs: Betreiber von gehackten Webseiten erhalten von SWITCH eine entsprechende Mitteilung und 24h Zeit sich um die Angelegenheit zu kümmern, sonst wird die Website abgeschaltet. Dies hat mitunter auch dazu geführt, dass Drive-by-Attacken durch gehackte Websites in Schweiz abgenommen haben. Gesetzliche Grundlage für diese Massnahme ist Art. 15 der Verordnung über die Internet-Domains (SR 784.104.2).

Im Fokus der Attacken stehen immer wieder Finanzdienstleister/Banken. Eine der grössten Attacken, wurde von der Carbanak Gang verursacht, wobei ca. 1 Milliarde Dollar gestohlen wurde (ganz exakt weiss man es heute noch nicht). Mehr dazu im folgenden Video:

Attacken im Web (z.B. DDoS) können heute für wenige Geld „eingekauft“ werden. Anbieter machen Werbevideos, verfügen über AGBs und bieten sogar Support für ihre kriminellen Dienstleistungen an.

Take home message: Der Internet-Untergrund ist heute eine dienstleistungsorientierte Marktwirtschaft mit diversen Akteuren.

Wir gehen in der Lektion noch näher auf staatliche Akteure ein. Scheinbar waren die Chinesen, die ersten, die Hackerangriffe für die Beschaffung von vertraulichen Informationen genutzt haben. Als Titan Rain wurde eine solche Folge von Angriffen, die 2003 begonnen haben, benannt. Bis im Jahr 2004 wurden 79’000 Angriffe gezählt, wovon 1’300 erfolgreich waren. Ein weiterer chinesischer Angriff, der sich gegen tibetanische Aktivisten richtete war Aurora/Ghostnet 2009.

Im Jahre 2013 griff Indien den Energie Sektor sowie Telcos und NGOs von Pakistan an – die Operation hiess Hangover.

In diesem Zusammenhang spricht man von Advanced Persistent Threat (APT). Das sind komplexe, zielgerichtete und effektive Angriffe auf kritische IT-Infrastrukturen von Behörden und Unternehmen, welche z.B. aufgrund ihres Technologievorsprungs potenzielle Opfer darstellen.

Bei Angriffen arbeiten Staaten auch mit (Cyber)Kriminellen zusammen, die die „Drecksarbeit“ machen. Beispiel Diebstahl von Kundendaten CD’s bei Banken, die von Staaten wie Deutschland gekauft werden.

Take home message: Die Unterscheidung zwischen verschiedene Akteuren (Hacktivisten, Organisiertem Verbrechen, staatlicher Spionage) wird zunehmend aufgeweicht. Attribution is hard! Es ist kaum herauszufinden, wer am Ende dahintersteckt.

Neue Technologien:

Es entstehen neue Gefahrenquellen durch neue Technologien – So lässt sich z.B. mit vernetzen Geräten, Stichwort Internet of Things (IoT), eine neue Generation von Botnets schaffen, die für DDoS Attacken missbraucht werden können. Denn während für Betriebssysteme von PCs oder Macs regelmässig Updates erscheinen, kümmert sich kaum jemand um andere Geräte wie Drucker, Kühlschränke oder Glühbirnen, die ebenfalls ans Netz angebunden sind.

Darüber hinaus könnnen Daten von KI, 3D Printer und selbstfahrenden Autos ebenso manipuliert werden, wie diejenigen von implantierter Herzschrittmacher. Und dass Botnets mit DDoS Attacken nicht nur einzelne Website lahmlegen können, sondern ganze Länder zeigte das Mirai-Botnet, welches quasi mit seinem Angriff das Land Liberia „aus dem Netz geworfen“ hat.

In Sachen IT-Sicherheit besteht also die Gefahr, dass die Daten nicht sicher sind, Geschäftsgeheimnisse verloren gehen oder sorgfältig gehütetes Wissen der Unternehmen der Konkurrenz offenbart wird. Konkurrenz bleibt derweil auch ohne Industriespionage und Hackerangriffe ein grosses Thema bzw. grosses (Geschäfts)Risiko. So wird die Autobranche von der Techbranche bedrängt. Und während wir immer noch mit Twint und Paymit „herumpröbeln“ hat China mit einer staatlichen App Mobile Payment schon in grossen Teilen des Landes etabliert.

Risiken:

Bei den Risiken sind die Grenzen der einzelnen Faktoren fliessend. Datenverluste oder physische Gefahren können z.B. direkte Schadenersatzforderungen zur Folgen haben oder zu einem Reputationsschaden führen. Dr. Serge Droz hat folgende Risiken exemplarisch aufgeführt:

  • rechtliche Risiken, wenn bspw. die Rechtslage noch unklar ist oder keine Bestimmungen vorhanden sind (wer haftet für eine Entscheidung des autonomen Fahrzeugs? Der Fahrer? Der Hersteller?)
  • ungenügende Sicherheitstest (bspw. explodierende Akkus bei Samsung)
  • Datenverlust (bspw. Spital, das $3Mio. Schadenersatz zahlen musste, nachdem ein Laptop mit Krankenakten gestohlen wurde.
  • Industriespionage (die bereits weiter oben ausgeführt wurde)
  • Reputationsschäden (bspw. Daten-Gau bei der Swisscom)

Massnahmen:

Im Schadenfalls sollte man (wie vermutet) einen kühlen Kopf bewahren und überlegt handeln. Droz erwähnt hier „Defense in Depth“; darunter versteht man einen koordinierten Einsatz mehrerer Sicherheitsmassnahmen, um Datenbestände in einem Unternehmen zu schützen. Die Strategie basiert auf dem militärischen Prinzip, dass es für einen Feind schwieriger ist, ein komplexes und vielschichtiges Abwehrsystem zu überwinden als eine einzige Barriere. Das heisst also:

  • das eigene Netz kennen; nicht nur wissen welche Geräte man hat, sondern welche effektiv in Betrieb sind.
  • bereits beim Design bzw. der Herstellung eines Geräts die Sicherheit mitberücksichtigen und innerhalb des Unternehmens eine Fehlerkultur verbessern.
  • Audit-Verfahren – also prüfen und sicherstellen, dass Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen. Ein solches Audit-Untersuchungsverfahren erfolgt im Rahmen des Qualitätsmanagements.
  • Transparenz – exemplarisch hierzu VWs Dieselskandal und die misslungene Kommunikation (vgl. https://www.schneier.com/blog/archives/2015/09/volkswagen_and_.html)
  • Prozesse etablieren – wer macht was im Worst Case; Zusammenarbeit von internen und externen stellen.
  • CERT Team gründen – also ein Computer Emergency Response Team, zusammengestellt aus einer Gruppe von EDV-Sicherheitsfachleuten, die als Koordinator wirken.
  • Responsible Disclosure – es gilt der Grundsatz, dass man Hinweise ernst nimmt und  Leuten (z.B. Hacker), die etwas melden auch antwortet.
  • Kontrolle bewahren – z.B. durch eine souveräne Krisenkommunikation

Folgende Grafik dient als Gedankenstütze für das „Incident Handling“

handling

Wer sich vertieft damit auseinandersetzten möchte, findet unter folgendem Link einen entsprechenden Guide: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

credit featured image / vector graphic:  www.bluecoat.com