Aus dem Unterricht des CAS Disruptive Technologies mit Serge Drotz berichtet Student Christian Ginsig.

Serge Drotz, Referent an der HWZ im CAS Disruptive Technologies plädiert für einen kommunikativ viel offeneren Umgang mit Sicherheitsrisiken. Der Sicherheitsspezialist für IT Security ist überzeugt, dass man als Organisation oder Firma nur dann Vertrauen gegenüber Kunden und Partnern schafft, wenn man Fehler transparent macht. «Wenn die Kommunikationskultur nicht vorhanden ist, geht der Schuss nach hinten los», so die Einschätzung des Dozenten zum Umgang von Firmen und Organisationen mit IT-Sicherheitsrisiken.

Serge Droz, Vice President “Computer Emergency Response Team CERT“ von Open Systems, beschäftigt sich in seiner Funktion mit Themen, über welche Firmen lieber nicht sprechen, denn die IT Sicherheit wird durch die Vernetzung von immer mehr technischen Geräten zur zunehmenden Herausforderung. So kann heute eine mit dem Internet kommunizierende Glühbirne genauso zur Sicherheitslücke werden, wie eine mit einem Standardpasswort versehende Überwachungskamera welche als Hintertür für den Zugang auf Netzwerke genutzt werden kann.

Bild der Akteure verändert sich

Der Dozent für IT Security mag den Begriff des Cyberwar nicht sonderlich. Ein typisiert die heutigen Akteure in drei Gruppen:

  1. «Vandalen», früher meist aus den USA operierend, heute auch unter islamistischen Einflüssen aus anderen Regionen tätig.
  2. «Internet-Kriminelle», welche in der Branche am meisten Arbeit auslösen, welche gezielt mit betrügerischen Absichten in Systeme einbrechen.
  3. Staatliche Akteure, welche sich im Hintergrund bewegen, deren Einfluss aber nicht zu unterschätzen ist

Wie aber hackt man überhaupt im Zeitalter, wo Windows als eines der sichersten Betriebssysteme gilt? Drotz erklärt dies anhand der zunehmenden Vernetzung einzelner Komponenten am Beispiel einer massenweise vertriebenen und kostengünstigen Überwachungskamera, welche von sehr vielen Nutzern bei der Inbetriebnahme mit dem Standardpasswort betrieben wird. Eine solche Kamera kann als Hintertüre genutzt und so wegen der Vernetzung mit dem Netzwerk als Angriffspunkt verwendet werden. Einmal über eine Schwachstelle im System, lassen sich Netzwerke infiltrieren und weil sich die Art der Akteure verändert hat, geht es auch nicht mehr primär darum, blinkende Totenköpfe auf dem Bildschirm anzuzeigen, sondern den Rechner ganz still und heimlich für den nächsten Angriff schlummern zu lassen.

Exploid-Kits nutzen Schwachstellen von älteren Browsern

Zwar werden die Möglichkeiten für den Rollout von sogenannten Exploit-Kits für das Einschleusen von Malware zusehends kleiner, nichts desto trotz kann auch die Webseite der Dorfbeiz zum Überträger von Schadsoftware werden. Dies am Beispiel des mittlerweile geschlossenen Rockafe in Aegerten. Weil für das Webhosting nur Standardpasswörter verwendet wurden, konnte diese Seite gehackt und Schadsoftware hinterlegt werden.

Malware über Webseite einer Dorfbeiz

Malware über Webseite einer Dorfbeiz

Die auf der Webseite hinterlegten Exploit-Kits wurden beim Besuch mit älteren Webbrowsern auf die Zielrechner übertragen, denn die Exploit-Kids machen sich in der Regel browserbasierte Schwachstellen zunutze, die meist auf Windows-Systeme abzielen. Die entsprechend „verseuchten“ Zielsysteme werden dann für weitere Aktionen verkauft.

Viele Schweizer Domains betroffen

Die Infizierung ist auch dem damaligen Webhoster Switch nicht unbeobachtet geblieben und so wurden zu Spitzenzeiten 200 infizierte Domains identifiziert. Deren Zahl ist rückläufig, da entsprechende Massnahmen mit dem Bundesamt für Kommunikation Bakom vereinbart wurden.

Infizierte CH Domains bis 2016

Infizierte CH Domains bis 2016

Zwischenzeitlich wird hingegen eine Zunahme sogenannter Phishing-Mails festgestellt. Dies in der oben stehenden Grafik (blau) illustriert. Beliebt ist dabei die Imitation von Apple Produkten, da mit der Eingabe der Apple ID weitreichende Zugriffe auf Drittsysteme möglich werden.

Hosting-Services für kriminelle Angebote

Wo aber selber ein kriminelles Angebot hosten, ohne selber zur Zielscheibe zu werden? Auch hier hat sich mittlerweile ein eigener Markt für das Hosting krimineller Angebote eröffnet. Entsprechende Server stehen meist in Ländern, wo auf eine gute Infrastruktur zurückgegriffen werden kann. Entsprechende Angebote wie „CyberBunker“ wurden aber zwischenzeitlich abgestellt.

Serge Drotz erläutert in seinen Ausführungen die Vorgehensweise bei entsprechenden Attacken wie „Avalanche“, wo in 30 Ländern insgesamt 50’000 gehackte HeimPC’s betroffen waren. Durch eine gezielte behördliche Aktion wurden bei 60 Top Level Domains insgesamt 800’000 (!) Domains heruntergefahren.

Kreditkartenklau bleibt wichtiges Geschäftsmodell

Rund 7 Dollar kostet es im Schnitt, wer 100 Kreditkartensätze kaufen will. Der Kreditkartenlau bleibt wichtiges Geschäftsfeld. Aber auch gezielte DDoS-Attacken werden im Netz mittlerweile als Geschäftsmodell angeboten. Mittels gezielten Abfragen einer Webseite kann diese überlastet und gezielt zum Absturz gebracht werden. Die Wut auf die Online Konkurrenz kann also ausreichen, die Webseite eines ungeliebten Konkurrenten für einige Stunden lahmzulegen.

Staatliche Eingriffe nehmen zu

Spätestens seit der Affäre um Edward Snowden wird klar, welche Rolle staatliche Akteure ausüben. Waren Angriffe früher primär militärischer Natur, steht heute vielmehr die Bevorzugung der heimischen Wirtschaft im Vordergrund, also kann von klassischer Industriespionage gesprochen werden. Aber auch die klassische Spionage von Nachbarstaaten, am Beispiel der Aktion Hangover mit dem Ursprung in Indien, zur Bespitzelung des Nachbarn Pakistan, zeigt das kriminelle Engagement von staatlichen Organisationen auf.

Glühbirnen geben Netzwerk Passwörter bekannt

Durch die zunehmende Vernetzung „Smarter“ Systeme gelingt es heute relativ leicht, an WiFi Passwörter von geschützten Netzwerken zu gelangen und in diese einzudringen.

IOT Systeme als Schwachstelle in der IT Security

IOT Systeme als Schwachstelle in der IT Security

Anbieter solcher Systeme müssen für vernetzte Geräte deshalb zwingend Sicherheitsupdates ausspielen, so die Expertenmeinung. Auch ist die aktive Kommunikation gegenüber nutzenden Kunden solcher Systeme wichtig, um im Ereignisfall die Glaubwürdigkeit zu behalten, denn sonst kann sich eine Sicherheitslücke zur wirtschaftlichen Existenzbedrohung für eine Firma entwickeln. Gezielte Attacken können sonst zu existenziellen Problemen in der Internetnutzung führen, wie der Hack von Überwachungskameras des Chinesischen Anbieters Hangzou Xiongmai zeigt.

Rechtliche Fragen für IT Ausfälle ungeklärt

Bis jetzt besteht vielerorts noch keine Produktehaftpflicht für fehlerhafte Software bei IT Produkten. Entsprechend ist die Haftungsfrage im Schadenfall meist ungeklärt. Finanziell treffen kann es jedoch hierbei insbesondere auch amerikanische Firmen. Diese kennen entsprechende Gesetzte und in Fällen eines Verstosses von GDPR-Regeln führen dazu, dass Firmen landesweit kommunizieren müssen, was mit einem enormen wirtschaftlichen Aufwand verbunden ist. Der IT Security Spezialist Drotz rät dazu, entsprechende Investitionen in die Pflege und das Update von Betriebssystemen zu investieren, um solche Angriffe schon vorab zu entgehen. Die entsprechenden Massnahmen des Profis:

  1. Prüfen ,welche Technologie verbaut wurde und Komponenten bezeichnen, welche angegriffen werden könnten.
  2. Simpelste Regeln der Sicherheit einhalten und zB auf Standardpasswörter verzichten.
  3. Codes regelmässig von Spezialsten reviewen lassen.
  4. Transparent kommunizieren, wenn Schwachstellen entdeckt und User darüber in Kenntnis gesetzt werden müssen.
  5. Prozesse festlegen, um im Ereignisfall adäquat reagieren zu können.
  6. Rückmeldungen von Nutzern zu Sicherheitslücken ernst nehmen, sich bedanken und über Entwicklungen informieren. Prozesse definieren, dass Feedbacks von Kundenhotlines auch bei den Sicherheitsverantwortlichen ankommen.
  7. Eine offene Fehlerkultur leben, über Fehler in Systemen aktiv sprechen und die Lücken schliessen.
  8. Einen systematischen Kreislauf entwickeln, welcher aus Vorbereitung, Handlung und einem Review besteht und kontinuierlich angewendet wird.
  9. Das Anforderungsprofil von Cyber Security Mitarbeitenden regelmässig überprüfen und sicherstellen, dass die Mitarbeitenden über die notwendigen Skills verfügen.
  10. Die Störungsbehebung aktiv innerhalb der Firma transparent kommunizieren.