Kitabı oku: «10 Strategien gegen Hackerangriffe», sayfa 2
Der Diebstahl von geistigem Eigentum in Form von Daten und Informationen – also Wirtschafts- oder Industriespionage – ist da schon deutlich „leiser“ und passiert oft unbemerkt. Werden etwa Juwelen aus dem Tresor gestohlen, wird man dies in der Regel sofort bemerken. Erlangt der Angreifer jedoch unbemerkt Zugriff auf wertvolle Daten eines Unternehmens und kopiert diese nur, kann dies auch unbemerkt bleiben. Die Folgen sind aber ebenso verheerend.
Cyberwarfare als neue Disziplin
Alle Entwicklungen, die bisher dargestellt wurden, setzen sich auch im politischen, diplomatischen und militärischen Bereich weiter fort. Es verwundert daher nicht, dass sich die geopolitischen Spannungen auch im Cyberraum weiter fortsetzen.
Obwohl es sicherlich zu weit gegriffen ist, von einem Cyberkrieg oder von Cyber-War zu sprechen, ist Cyberwarfare – also das Setzen von kriegerischen Handlungen im Cyberraum – mittlerweile Realität.
Bei Cyberwarfare geht es darum, realen politischen Auseinandersetzungen mit dem Einsatz bzw. dem Stören von Informations- und Kommunikationstechnologie zusätzlichen Nachdruck zu verleihen.
Das ist aus politischer und diplomatischer Sicht interessant, weil
+die Rückverfolgung der Angriffe und das Benennen des Angreifers, wie auch im Bereich des Cybercrimes, sehr schwer ist,
+der Mitteleinsatz im Gegensatz zu „Kommandoaktionen“ durch Spezialeinsatzkräfte relativ gering ist,
+der Schaden im realen Leben aber je nach Ziel genauso spürbar ist wie nach physischen Interventionen.
Die Art und Weise der Eingriffe in bzw. Angriffe auf Informationssysteme sind dabei höchst unterschiedlich und werden auf die jeweilige Zielsetzung maßgeschneidert. Es folgen dazu einige Beispiele.
Estland: Im April 2007 kam es zu mehrwöchigen, politisch motivierten Cyberangriffen, nachdem ein russisches Denkmal in Tallinn versetzt werden sollte. Es handelte sich dabei durchwegs um Denial-of-Service-Angriffe, die die Verfügbarkeit vieler Webseiten von estnischen Ministerien, Banken und Medien störte.[12] Ob der Auftraggeber tatsächlich die russische Regierung war oder ob pro-russische Aktivisten für die Angriffe verantwortlich waren, ist nicht klar; sie haben jedenfalls zu einem starken Engagement Estlands im Cyberbereich der NATO geführt. So wurde etwa das NATO Cooperative Cyber Defence Centre of Excellence in Tallinn als Cyber-Defence-Kompetenzzentrum aufgestellt.
Iran: Im November 2010 wurde bekannt, dass die iranische Urananreicherungsanlage Natanz mehrmalig mit technischen Problemen zu kämpfen hatte. Heute weiß man, dass mehr als 1000 Zentrifugen in Natanz zwischen 2009 und 2010 zerstört wurden.[13] Kern des Problems war eine neuartige Cyberwaffe – Stuxnet –, die speziell für die Steuerungs- und Regelungstechnik der Urananreicherungsanlage programmiert worden war und die Umdrehungsgeschwindigkeit der Zentrifugen manipuliert hatte. Die Schadsoftware Stuxnet war 2010 von Sicherheitsforschern entdeckt worden, weil sie auf anderen Systemen aufgefallen ist.[14] Auch hier ist nicht bekannt, ob US-amerikanische oder israelische Cyberangreifer hinter der Attacke stehen. Der Schaden für das iranische Atomprogramm war jedenfalls enorm.
USA 2016: Während des Wahlkampfs zu den US-amerikanischen Präsidentschaftswahlen wurden E-Mails und Dokumente der demokratischen Partei und speziell jene der Präsidentschaftskandidatin Hillary Clinton zum Nachteil für die Demokraten veröffentlicht. (Ein Effekt, der sich auch während der österreichischen Nationalratswahl 2018 mit Dokumenten der ÖVP wiederholt hat.[15]) Hier wurde später gegen zwölf Mitarbeiter des russischen Militärnachrichtendienstes GRU Anklage erhoben.[16]
USA 2018: Während der US-amerikanischen Midterm-Elections, bei denen die Abgeordneten zum Repräsentantenhaus, ein Drittel des Senats und mehr als die Hälfte aller Gouverneure gewählt wurden, führte die USA einen militärischen Cyberangriff gegen Russland durch, um zu verhindern, dass sogenannte Trolle die Wahl durch Verbreitung von Falschmeldungen in sozialen Netzen beeinflussen. Bei diesen Falschmeldungen handelte es sich in der Regel um Postings und Kommentare in sozialen Netzwerken, Zeitungsartikeln oder Webforen mit dem Ziel, diverse Themen zu propagieren und rassistische und andere gesellschaftliche Konflikte zu schüren.[17]
Aufgrund solcher Entwicklungen erkannte auch das Österreichische Bundesheer die Entstehung des Cyberraum als einen neuen operativen Raum, der, analog zu Land- und Luftraum, gesondert betrachtet werden muss und für den eigene Wirkmechanismen entwickelt werden müssen. Es nimmt daher schon seit Jahren an internationalen Übungen und Testungen im Cyberbereich teil, um seine Cyber-Defence-Fähigkeiten kontinuierlich weiterzuentwickeln.[18]
Trends
Insgesamt kann festgehalten werden, dass die Anzahl an bekannten internetbasierten Straftaten in den unterschiedlichen Ausprägungen stetig zunimmt. 2018 war in Österreich eine Zunahme von 16,8 % gegenüber 2017 zu verzeichnen[19], während die Aufklärungsquote mit 37,4 % relativ niedrig ist und sogar weiter sinkt[20]. Aufgrund der Komplexität der Angriffe, der nationalen Grenzen der Strafverfolgung und auch aus Gründen der datenschutzrechtlichen Vorgaben ergeben diese Zahlen leider die logische Schlussfolgerung.
Ein weiterer beobachteter Trend ist die professionelle Organisation von Cyberkriminellen. Organisierte Cyberkriminelle setzen dabei auf die Teilung der „Produktionsprozesse“. So können neben Schadsoftware auch Zugänge zu Unternehmen, Botnetze und unterschiedliche Angriffe gekauft oder gemietet werden.[21] Der kriminelle Cyberangreifer benötigt daher mittlerweile weniger technische Kompetenz, sondern vielmehr die kriminelle Energie und Kreativität zum Angriff. Die Technik, also die Schadsoftware oder das Botnetz, kauft oder mietet er sich zu.[22]
Parallel zur Professionalisierung von Cybercrime kommt hinzu, dass viele Unternehmer wie Privatpersonen unzureichendes Fachwissen rund um die unzähligen Details zu digitalen Medien aufweisen oder sich zu wenig Kompetenz zutrauen, sodass sie resignieren und Gefahren einfach akzeptieren. Dies sind zusätzliche Faktoren, die Cyberkriminellen und Cyberbetrügern in die Hände spielen. Daher sollten wir uns auch im Umgang mit digitalen Medien – im Cyberraum – entsprechende Kompetenzen aneignen, um uns sicher und selbstbewusst bewegen zu können.
Doch egal, wie kompetent wir uns persönlich gegen Cybercrime wappnen, unser Leben wird immer digitaler und auch die politischen Auseinandersetzungen der Zukunft werden nach und nach digitale Komponenten enthalten. Die „digitale Achillesferse“ unserer Gesellschaft muss daher ebenso gut geschützt werden und das ist eine Aufgabe, die der Staat allein nicht übernehmen kann. Hier sind alle gefordert.
Umso wichtiger ist es, dass auch Ihr Unternehmen mit den nachfolgenden zehn Strategien gegen Hackerangriffe sicher gestaltet wird.
5vgl. The Code Book. The Secret History of Codes and Codebreaking. Simon Singh. Fourth Estate-Verlag. London. 2000. Seite 10.
6vgl. https://www.boxcryptor.com/de/blog/post/encryption-comparison-secure-messaging-apps/ (abgerufen am 15.07.2020).
7vgl. https://bundeskriminalamt.at/306/ (abgerufen am 14.07.2020).
8Unter „Cybergrooming“ wird die Anbahnung von Kontakten/Freundschaften bei Kindern und Jugendlichen im Internet verstanden. Besteht eine vertrauliche Beziehung, wird diese in weiterer Folge sexuell ausgenutzt.
9Mitnick, Kevin; Simon, William: Die Kunst der Täuschung. mitp-Verlag. 2011. Seite 10f.
10https://futurezone.at/digital-life/cyberangriff-garmin-soll-loesegeld-in-millionenhoehe-bezahlt-haben/400990550 (abgerufen am 29.08.2020).
11Eine Krypto-Wallet ist eine Art digitale Geldbörse zur Verwaltung der Kryptowährung.
12vgl. https://www.stratcomcoe.org/download/file/fid/80772 (abgerufen am 18.07.2020).
13https://isis-online.org/uploads/isis-reports/documents/stuxnet_FEP_22Dec2010.pdf ISIS Report. David Albright. Paul Brannan. Christina Walrond. 2010. (abgerufen am 18.07.2020).
14https://www.wired.com/images_blogs/threatlevel/2010/11/w32_stuxnet_dossier.pdf Symantec. 2010. (abgerufen am 18.07.2020).
15vgl. https://www.diepresse.com/5685360/ovp-kein-hacker-in-kinderschuhen (abgerufen am 18.07.2020).
16vgl. https://www.tagesspiegel.de/politik/hackerangriff-auf-hillary-clinton-zwoelf-russische-spione-wegen-wahlkampf-cyberattacke-in-usa-angeklagt/22801132.html (abgerufen am 18.07.2020).
17vgl. https://www.washingtonpost.com/national-security/trump-confirms-cyberattack-on-russian-trolls-to-deter-them-during-2018-midterms/2020/07/11/66a845e8-c2c3-11ea-b178-bb7b05b94af1_story.html (abgerufen am 18.07.2020).
18vgl. https://www.bundesheer.at/truppendienst/ausgaben/artikel.php?id=1773. 2014. Abwehramt. (abgerufen am 18.07.2020).
19Lagebericht Cybercrime 2018. Bundesministerium für Inneres, Bundeskriminalamt. Digitaldruckerei des BMI. Wien 2019. Seite 17.
20Lagebericht Cybercrime 2018. Bundesministerium für Inneres, Bundeskriminalamt. Digitaldruckerei des BMI. Wien 2019. Seite 38.
21Digging in the deep web. Exploring the dark part of the web. Pierluigi Paganini. Amazon Fulfillment. 2018. Seite 20.
22vgl. https://documents.trendmicro.com/assets/wp/wp-russian-underground-2.0.pdf (abgerufen am 17.07.2020). Seite 9.
1 STRATEGIE 1:
Den Hacker kennen
Philipp Mattes-Draxler
1 STRATEGIE 1: DEN HACKER KENNEN
1.1 WER GREIFT UNS AN?
Die erste Strategie zur Abwehr von Hackerangriffen beschäftigt sich zunächst mit unserem Gegenüber: dem Hacker, oder besser ausgedrückt, dem Akteur, vor dem Unternehmensinformationen geschützt werden sollten.
Dabei ist es fürs Erste unerheblich, wer als Person hinter der Gefahr steckt, denn es gilt zunächst die Systematik zu verstehen, die hinter den Bedrohungen steckt. Vereinfacht wird gerne vom „Hacker“ als Täter gesprochen. Doch wie so oft birgt auch diese Vereinfachung etliche Unschärfen, denn oftmals stehen hinter einem Angriff mehrere Täter, die als Akteursgruppe zusammengefasst werden können. Hinter dem landläufigen Begriff „Hacker“ können sich auch viele unterschiedliche Akteure verbergen. In den weiteren Kapiteln wird der bekannte Begriff „Hacker“ aber als Synonym für die unterschiedlichen Akteure (z. B. Cracker, Scriptkiddie, Hacktivist, staatliche Spione) verwendet.
Das vorliegende Kapitel soll aufzeigen, dass ein Hacker nicht gleich ein Hacker ist, und dass für einen effizienten und effektiven Schutz vor Angriffen entscheidend ist, wer hinter einem potenziellen Angriff stehen kann. Nur durch dieses Wissen können zielgerichtete Schutzmaßnahmen beschlossen und realisiert werden.
Im nachfolgenden Kapitel werden die drei Faktoren im Einzelnen beschrieben, die bei einem erfolgreichen Angriff zusammenspielen müssen. Diese sind:
+Die Motivation eines Hackers.
Jedes Handeln benötigt ein Motiv, so auch das Vorgehen von Cyberkriminellen. Die Motivation der Angreifer ist kein rein technisches Thema und gibt Aufschluss darüber, ob ein Unternehmen ein lohnendes Ziel für einzelne Akteursgruppen darstellt. Die Motivation kann beispielsweise finanzieller oder politischer Natur sein.
+Die Fähigkeiten eines Hackers.
Sie sind entscheidend für die Raffinesse und den technischen Mitteleinsatz, der während eines Angriffs aufgewendet werden kann. Die Fähigkeiten bestimmen die notwendigen Schutzmaßnahmen bzw. Analysetätigkeiten auf der zu verteidigenden Seite. Die Fähigkeiten eines potenziellen Cyberangreifers, welcher ja unbekannt ist, abzuschätzen, ist dabei nicht ganz einfach.
+Die Möglichkeiten, die einem Hacker als Angriffsfläche zur Verfügung stehen. Diese werden durch eine Organisation selbst und den Betrieb ihrer Infrastrukturen geschaffen. Die Kontrolle darüber liegt daher ausschließlich in der Hand des Unternehmens. An dieser Stelle kann es eingreifen und sich (erfolgreich) gegen Angriffe wehren.
1.1.1 Kein Angriff ohne Motiv
Am einfachsten ist es, zunächst die unterschiedlichen Akteure anhand ihrer Motivation zu unterscheiden[23]:
+Cybervandalismus: zielt darauf ab, Schaden anzurichten bzw. Services zu stören. Das Motiv dazu kann ein politisches sein, wie es etwa die Angriffe auf die Webseite des österreichischen Außenministeriums 2016[24] waren, oder auch einfach das Ergebnis von jugendlichem Leichtsinn, wie beim Virus „Loveletter“ aus dem Jahr 2000 vermutet wird.[25]
+Cybercrime: zielt darauf ab, finanziellen Profit zu erzielen bzw. aus ideologischen Gründen kritische Informationen zu erlangen (Informationsdiebstahl). So wird etwa ein Krypto-Trojaner in das Unternehmensnetzwerk eingeschleust, um die Unternehmensdaten zu verschlüsseln. Um die Daten wieder zu entschlüsseln, muss ein bestimmter Betrag an Lösegeld an die Angreifer überwiesen werden. Auch Kreditkarteninformationen stellen ein beliebtes Ziel für Cyberkriminelle zur finanziellen Bereicherung dar.
+Einbruch in das Unternehmensnetzwerk zur weiteren Tatvorbereitung: dient zur Verbesserung der Kenntnisse der IT-Infrastruktur, um Ansätze für zukünftige Angriffe zu gewinnen.
+Cyberspionage, Cybersabotage: Diebstahl von spezifischen, hochwertigen Informationen oder aktives Behindern bzw. Stören einer Organisation. Ende Februar 2018 wurde das deutsche Außen- und Verteidigungsministerium Opfer eines solchen Angriffs. Die Ministerien wurden mutmaßlich von der russischen Gruppierung „APT28“ angegriffen. Die Angreifer schleusten eine Schadsoftware ein und erbeuteten so Daten. Ebenfalls im Jahr 2018 wurde GitHub, ein Online-Dienst für Softwareentwicklung, Ziel einer Cybersabotage. Das Unternehmen wurde unter Anwendung einer DDoS-Attacke (Distributed-Denial-of-Service, siehe auch Kapitel „Vom Hacker zum Cyberkrieger“) konfrontiert. Der Dienst war für einige Zeit nicht erreichbar.[26]
+Cyberconflict/Cyberwarfare: ernsthafte Schädigung einer Organisation oder eines Staates in der Nutzung von Informationen und/oder Infrastrukturen. So wurden beispielsweise 2007 etliche Regierungs- und Verwaltungsstellen Estlands durch einen DDoS-Angriff massiv gestört.[27]
Je nachdem, in welcher Branche eine Organisation tätig ist bzw. wie das Geschäftsmodell aufgebaut ist, lassen sich unterschiedliche Motivationslagen für mögliche Angriffe ableiten. Dadurch ergeben sich in weiterer Konsequenz auch die möglichen Fähigkeiten der Angreifer und die Ausprägung der notwendigen Gegenmaßnahmen.
Ein Unternehmen in der Verteidigungsindustrie wirkt auf manche Angreifer sicherlich interessanter als eine Bank, um dort wertvolle Informationen zu erlangen, während eine Bank für viele ein interessanteres Angriffsziel ist als ein Textilproduzent, um sich bei einem erfolgreichen Angriff finanziell zu bereichern. Aufgrund der variierenden Motive werden sich daher auch die Sicherheitsmaßnahmen entsprechend unterscheiden.
1.1.2 Kein Angriff ohne die notwendige Fähigkeit
Nun liegt es auf der Hand, dass es zum Verfolgen der unterschiedlichen Motivationen auch unterschiedliche technische Fähigkeiten, aber auch Ressourcen bzw. Organisation benötigt. Daher ist es zweckmäßig, Hacker auch nach ihren Fähigkeiten zu unterscheiden:
+Skript Kiddies: bezeichnet wenig technisch versierte Angreifer, die vor allem vorgefertigte Tools – also gebrauchsfertige Lösungen und vorgefertigte Automatismen bzw. schriftliche Anleitungen verwenden. Sie sind hauptsächlich im Bereich des Cybervandalismus einzuordnen, wobei erfolgreiche Versuche oftmals unzureichendem Perimeterschutz[28] oder nicht vorhandenen Basissicherheitsmaßnahmen geschuldet sind.
+Cyberkriminelle: sind vornehmlich finanziell motivierte Akteure, die durchaus technisch versiert auftreten oder soweit organisiert sind, dass sie ihre Angriffe technisch professionell gestalten. Wenn sie selbst nicht über das notwendige Know-how verfügen, ihre Angriffe zu gestalten, kaufen sie die Expertise zu. Cyberkriminelle zeichnen sich jedenfalls dadurch aus, dass sie im ersten Moment keinen offensichtlichen Schaden bzw. keine Rufschädigung beabsichtigen, sondern alle Mittel zum Zweck der finanziellen Bereicherung einsetzen. Wenn dadurch Sachschaden entsteht, wie etwa durch den Einsatz von Ransomware, oder es zu Rufschädigung durch die Veröffentlichung von Informationen kommt, weil eine Erpressung nicht erfolgreich war, nehmen sie den Schaden in Kauf.
+Insider: hierbei handelt es sich um interne Mitarbeiter, die dem Unternehmen/der Organisation angehören und externe Mitarbeiter, die eine Vertrauensstellung in der Organisation einnehmen. Insider benötigen im Normalfall keine besonders ausgeprägten technischen Fähigkeiten, weil sie über ihre bereits bestehende Vertrauensstellung viel Schaden anrichten können.
+Staatliche Angreifer oder staatlich gesponserte Angreifer: verfügen nicht nur über exzellente technische Fähigkeiten, sondern auch über die notwendigen Ressourcen, Angriffe langfristig bzw. mehrphasig zu gestalten. Dabei können physische Angriffe mit virtuellen Angriffen kombiniert werden oder/und es kann nach erfolgreicher Infiltration über mehrere Schichten hinweg operativ gearbeitet werden. Wenn Angriffstechniken entdeckt werden, ist es auch möglich, die Vorgehensweisen und eingesetzten Tools zu wechseln. Ebenfalls ist es möglich, Angriffe durch das Nachbauen von Infrastrukturen und durch gezieltes Erforschen von Schwachstellen der eingesetzten Komponenten vorzubereiten.
Diese Einteilung ist zwar nur sehr grob, lässt aber einen Rückschluss darauf zu, wie komplex ein zu erwartender Angriff sein kann. Der Umstand, dass mittlerweile ein breites Repertoire an Beispielen zu durchgeführten Angriffen vorliegt und dieses auch stetig wächst, wirft kein gutes Licht auf die Zukunft. Diese Beispiele können jedoch maßgeblich dafür genutzt werden, um daraus den optimalen Einsatz von Sicherheitsmaßnahmen abzuleiten.
Zudem empfiehlt es sich, zu recherchieren, welche Angriffe andere Unternehmen in ähnlichen Branchen zu erleiden hatten, welche Motivation und welche Fähigkeiten hinter diesen Angriffen steckten und wie diese Unternehmen damit umgegangen sind.
1.1.3 Erst die Angriffsfläche ermöglicht den Angriff
Damit Bedrohungsakteure gegenüber einem Unternehmen oder einer Organisation letztlich kriminell, politisch, radikal oder terroristisch motiviert vorgehen können, benötigen sie zuallererst eine Angriffsfläche, um den Angriff überhaupt zu ermöglichen.
Die Möglichkeiten zum Angreifen werden durch das jeweilige Unternehmen bzw. die Organisation und ihre betriebene Infrastruktur selbst geschaffen. Dabei besteht ein natürliches Spannungsfeld zwischen dem Betreiben von digitalen Services und dem Exponieren von Angriffsflächen des Unternehmens im Cyberraum. Als Faustregel gilt: Je digitaler das Geschäftsmodell einer Organisation ist, desto verwundbarer ist es im Cyberraum.
Es ist daher naheliegend, dass ein geordneter IT-Betrieb mit gut strukturierten Prozessen weitaus weniger angreifbar ist als eine komplex aufgebaute Organisation, die unzureichend organisiert ist und deren Prozesse kaum überblickt werden können.
!
Praxistipp:
Angriffsfläche verkleinern
Disziplinen wie Schwachstellenmanagement zum Identifizieren von aktuellen Lücken in IT-Systemen, Patch-Management (siehe Kapitel 6.5) zum geordneten Schließen dieser Lücken und Change-Management zum Überwachen und Verwalten der Software- und Konfigurationsstände bewirken eine Verkleinerung der Angriffsfläche. Sie ermöglichen eine konsequente Überwachung von bekannten Lücken und sind daher auch geeignete Maßnahmen in einem Informationssicherheitsprogramm.
Über das Ausgestalten der IT-Infrastruktur und das Gestalten des IT-Betriebes bzw. einer effektiven IT-Betriebsführung kann also wesentlich zur Verminderung der Möglichkeiten des Angreifers beigetragen werden. Umso verwunderlicher mag es erscheinen, dass es zu so vielen erfolgreichen Angriffen kommt, wenn doch offensichtlich das Setzen einiger Sicherheitsmaßnahmen davor schützt.
Die Wahrheit ist, dass mit sehr wenigen Maßnahmen bereits ein guter Basisschutz erzielt werden kann. Allerdings ist der Schutz vor einem Angriff umso schwieriger, je motivierter der Angreifer ist, genau in dieses bestimmte Unternehmen einzudringen. Eine gewisse Rest-Angriffsfläche bleibt darüber hinaus in nahezu allen Fällen bestehen.