Aus dem CAS Digital Risk Management mit Serge Droz berichtet Serena Bolt:

Cyberkriminalität hat sich zu einem lukrativen Business entwickelt. Wer bei Hackerangriffen spontan an picklige Teenies mit Hoodies und dicken Brillengläser denkt, die sich nur aus Zeitvertreib in andere Devices einnisten, ist nicht mehr up to date. Dabei handeln Internetkriminelle immer perfider. Doch was steckt hinter Cyberkriminalität? Serge Droz klärt uns über die aktuelle Bedrohungslage in der Schweiz auf. 

Sie sind kreativ, perfid und werden immer dreister: Cyberkriminelle. Genauer gesagt entstehen durch ihre Handlungen im Netz jährlich Schäden von über 500 Milliarden US Dollar. Hierzu zeigt uns Serge fünf wichtige Punkte der Welt der Internetkriminalität auf.

Cyberkriminalität Punkt Eins: Das ist der aktuelle Stand in der Schweiz.

Die ENISA veröffentlicht in ihrer jährlichen Studie die aktuelle Bedrohungslage hinsichtlich Cyberkriminalität. Genauso wie in den letzten Jahren ist Malware Spitzenreiter und damit die häufigste Waffe der Internetkriminellen. Die ENISA Threadmap 2017 zeigt, dass auch Malware nach wie vor ein grosses Thema ist.

In der Schweiz beispielsweise hat die Registrierungsstelle für .ch-Domains SWITCH zusammen mit dem Bundesamt für Kommunikation eine gesetzliche Basis geschaffen, jede gehackte Internetseite innerhalb 24 Stunden vom Netz nehmen kann, sofern der Verdacht eines Angriffes besteht. Dessen ungeachtet nehmen Phishing Mails seit 2015 kontinuierlich zu. Zum Beispiel sind es vor allem Mails von Apple, die in der Schweiz als beliebtes Phishing-Objekt verwendet werden.

Malware:
Malware ist ein schädliches Softwareprogramm. Cyberkriminelle nutzen diese Software, um sich in Computer Dritter einzunisten. Sobald ihnen dies gelingt, können die Angreifer über den PC frei verfügen und von dort aus ihre Malware an weitere User streuen. Im Folgenden wird dieser PC zu einem Hub, also zu einem sogenannten «Botnet».

Phishing (dt. «fischen»):
Das «Fischen» von schützenswerten Daten, wie Passwörter, Zugangsdaten zu Online-Banking oder Kreditkarteninformationen. Im Grunde genommen kommen Phishings in Form einer professionell designten Mail eines seriös wirkenden Unternehmens daher (beispielsweise «Apple»). Schliesslich lauern die Gefahren in den eingebauten Links, die den User dazu auffordern, seine Zugangsdaten einzugeben.

Denial of Service Attacken (DoS):
Bei einem «Denial of Service» handelt es sich um einen gezielten Angriff auf Internetdienste, mit dem Ziel, diese lahmzulegen. Im Gegensatz dazu werden «DDoS» Attacken nicht von einem, sondern mehreren verteilten Rechnern lanciert.

Ransomware:
«
Ransomware» (zu deutsch Erpressung) wird zum Beispiel durch Dateien als Anhang einer Mail verteilt. Sobald diese dann von den potenziellen Opfern geöffnet werden, erpressen die Angreifer ihre Opfer in Form eines erforderlichen Lösegelds.

Cyberkriminalität Punkt Zwei: Das sind die Täter.

Reiche Multis, die in ihren katzenähnlichen Overalls vor ihren russischen Villen posieren? So ähnlich! Weil die Motivation der Cyberkriminellen jedoch von ganz unterschiedlichen Faktoren getrieben wird, unterscheidet Serge vier Typen. Dabei nutzen sie diverse Sicherheitslücken in der Software (sogenannte «Exploits») zu ihren Gunsten aus.

  1. Vandalen: Sie gelten als einfache Websitehacker. Im Folgenden hacken sie aus reinem Zeitvertreib, ihre Motivation ist eher persönlicher Natur, weil sie es «cool» finden.
  2. Organisiertes Verbrechen: Diese Tätergruppe ist auf persönliche Bereicherung aus, ihre Motivation zielt auf einen finanziellen Gewinn ab.
  3. Staatliche Akteure: Vor allem Militär- und Wirtschaftsspionage liegt im Fokus von staatlichen Akteuren. Hierzu stellen Datenklau und Verletzung der Privatsphäre erhebliche Schäden an.
  4. Terroristen: Terroristen wollen in erster Linie Schaden anrichten und Regierungen beeinflussen. Deren Angriffe sind physischer Natur, Angst und Schrecken verbreiten sie hauptsächlich über die digitalen Kanäle (Cyber Security Report Swisscom, 2015).

Cyberkriminalität Punkt Drei: So gehen die Täter vor.

Wie ausgeklügelt Cyberkriminelle vorgehen, zeigt der Banküberfall auf die ukrainische Carbanak Bank, begangen von einer internationalen unbekannten Hackergruppe. Zuerst zapfte die Bande mittels Malware als Mailanhang einige Log-in Daten der Belegschaft an. In einem zweiten Schritt konnte sich die Täterschaft dadurch in weitere Systeme der Bank einnisten, einschliesslich derjenigen der Administratoren. Dabei fingen sie durch sogenannte «Remote Access Tools» (dt. Fernwartungssoftware) wichtige Passwörter und Zugangsdaten ein, die ihnen Zugang zu den wichtigsten Endgeräten verschaffen sollten. Schliesslich beobachtete die Hackergruppe das tägliche Geschehen via Überwachungskamera, und dies über zwei Jahre lang. Diese pedantisch geplante Aktion gipfelte in der Entwendung von rund einer Milliarde US Dollar. Serge geht davon aus, dass nur fünf Angreifer am Banküberfall beteiligt waren.

Somit lässt sich abschliessend feststellen, dass sich die Hacker an die wohl grösste Schwachstelle des Sicherheitssystems heranmachten: den Menschen. In diesem Zusammenhang spricht man von sogenanntem «Social Engineering». Die Täter versuchen, ihren Opfern sensible Daten durch beispielsweise vertrauenswürdigen Mails zu entlocken.

Die Carbanak Cybergang ist verantwortlich für Schäden in Höhe von einer Milliarde US Dollar.

Generell gibt es zwei typische Vorgehensweisen. Bei weniger komplexen Angriffen versuchen die Täter, sich schnell und unauffällig ins System zu hacken. Geht es um weitaus komplexere Überfälle, sorgen sogenannte  ATP-Angriffe («Advanced Persistent Threat») einen längerfristigen Zugang auf ein bestimmtes System.

Cyberkriminalität Punkt Vier: So schützt man sich vor Cyberattacken.

Reputationsverlust, fehlendes Kundenvertrauen, Industriespionage, finanzielle Schäden in Milliardenhöhe: Wenngleich Internetkriminelle immer intelligenter handeln, können sich Unternehmen wie auch Privatpersonen gegen Cyberangriffe schützen. Im Folgenden kommen für Serge diese wichtigen Massnahmen zum Zuge:

  • Make it expensive to get in: Eine gute IT-Infrastruktur darf ruhig etwas kosten.
  • Get security from Pro’s: Ist man sich unsicher, ob man Opfer einer Cyberattacke wurde, lieber Rat bei Experten einholen. Ergänzend kann ein Sicherheitsleck auch veröffentlicht werden, damit sich Drittparteien an der Optimierung beteiligen können.
  • Keine Panik schieben: Sichere Passwörter, regelmässige Softwareupdates und das Hinterfragen von Links schaffen eine gute Ausgangslage. Ein gewisses Restrisiko bleibt jedoch immer bestehen.
  • CERTS: Sogenannte «Computer Emergency Response Teams» im Unternehmen decken proaktiv Sicherheitslücken in diversen Systemen auf. Im Grunde genommen stellen sie mit ihren Kompetenzen bestehende IT-Systeme auf den Prüfstand und simulieren Cyberattacken. Ihr Hauptziel ist das Kreieren neuer Lösungsansätze im IT-Sicherheitsbereich. Sie agieren teamübergreifend und eine enge Zusammenarbeit ist entscheidend zur Bekämpfung von Cyberattacken.
  • Service Security aus einem Guss: Eine gute Infrastruktur sollte von einem Anbieter zur Verfügung gestellt werden. Einzellösungen von verschiedenen Providern sind weniger sicher.
  • CVE-2013-2236: Sicherheitslücken im Internet weisen eine solche ähnliche ID-Nummer auf.
  • Kommunikation: Im Falle einer Cyberattacke ist eine proaktive, transparente und zeitnahe Kommunikation gegenüber Partnern und Kunden unumgänglich. Kaspersky macht’s richtig.
  • Defense in Depth: Erst das Kombinieren verschiedener Sicherheitsmassnahmen ist erfolgreich. Darunter fällt zum Beispiel Kenntnisse der eigenen IT-Infrastruktur, das regelmässige Überprüfen des Quellcodes oder das Aufgleisen von klaren internen Prozessen und Zuständigkeiten im Falle einer Cyberattacke.

Ferner ist bei SRF Espresso ein spannender Podcast zum Thema wachsende Internetkriminalität und Risiko bei Hackerangriffen vorzufinden

Cyberkriminalität Punkt Fünf: Das sind Serge’s Tipps und Tricks. 

  • Verwendet Zweifaktor-Identifikation bei Log-ins
  • Auf unterschiedliche Passwörter für diverse Accounts achten, vor allem bei cloudbasierten Systemen
  • Seid ihr als Unternehmen von einem Angriff betroffen? Eine proaktive, transparente und zeitnahe Kommunikation wie im Falle Kaspersky bietet eine vertrauenswürdige Grundlage
  • Buchtipp: Blackout
  • Filmtipp: Citizenfour
  • Netflixserie: Darknet
  • Blogbeiträge von Studienkollegen Teodoro Pizzino und Robert Beer

Die grösste Gefahr ist und bleibt jedoch der Faktor Mensch. Sein Verhalten im digitalen Raum hat einen massgeblichen Einfluss auf den (Miss-)Erfolg hinsichtlich Sicherheit im Netz. Und abschliessend: Cyberkriminalität ist zu einem regelrechten Business mutiert, dass Unternehmen wie auch Privatpersonen nicht unterschätzen sollten.