Cyberkriminalität

Antriebe einer
industrialisierten Branche

Smart Building, VR, Cloud, BIM: Die Digitalisierung ist nicht aufzuhalten. Sie treibt neue Geschäftszweige nach vorne. Analoge Geschäftsmodelle veröden. Doch plötzlich stellt so manches Unternehmen fest, dass Digitalisierung allein nicht wirklich funktioniert. Warum Cybersecurity zwingend in den Warenkorb einer jeden Organisation und eines jeden Menschen gehört, der sich diesem Thema zuwendet.

Digitalisierung macht Spass. Egal wo wir hinsehen, an der Digitalisierung kommen wir nicht vorbei. Es ist die Zeit der neuen Möglichkeiten – schneller, bunter, manchmal aber auch lauter. Wir sind uns einig: Digitalisierung ist zum Bestandteil unseres täglichen Lebens geworden. Nicht überall funktioniert sie gut. In Zeiten des Homeschoolings beschleicht uns manchmal die Erkenntnis, dass noch nicht alles so ist, wie es sein sollte. Und dann, gerade als Covid-19 vermeintlich die Digitalisierung noch verstärkte, zeigte sie auch ihr hässliches Gesicht. Plötzlich kam der Begriff des „Zoom-Bombing“ auf. Kurz gesagt, die Cybersecurity, oder eher fehlende Cybersecurity, holte so manchen Digitalisierer auf den Boden der Tatsachen zurück

Die Angreifer sind viele

In alten (und auch teilweise aktuellen) Filmen wird der Hacker sehr häufig als eine übermächtige und mit tollen Anwendungen ausgestattete Person, Hoodie tragend, Pizza essend und in dunklen Räumlichkeiten, schnell auf mysteriös erscheinenden Terminalkonsolen tippend dargestellt. Der Angreifer von heute, der sich IT-Systeme vornimmt, egal ob von grossen oder kleinen Unternehmen, Privathäusern, Arztpraxen, Kliniken, Bauunternehmen oder Fensterbauern, ist nicht alleine im Keller. Die Angreifer von heute sind viele. Sie arbeiten, wie die Industrie auch, arbeitsteilig. Eine Gruppe organisiert die Distribution, denn schliesslich muss der Programmcode, der den Angriff unterstützt, ja ausgeliefert werden. Andere Menschen organisieren die Nutzung und Funktionalität dieses sogenannten „Schadcodes“ und wieder andere kümmern sich um die Monetarisierung, wie das Inkasso bei Ransomware oder die Weiterveräusserung von „Intellectual Property“, gefolgt von Menschen, die sich um Geldwäsche bemühen. Sie arbeiten im Schichtbetrieb und manchmal ist der vermeintliche Keller dann doch eher der Infinity Pool an einem asiatischen Strand.

Manchmal ist es aber auch künstliche Intelligenz, die auf den digitalen Einbruch trainiert wurde und so die Digitalisierung der Angreifer vorantreibt. Längst hat sich hier eine kriminelle Industrie entwickelt, deren volkswirtschaftlich verursachter Schaden weltweit mittlerweile grösser ist als der volkswirtschaftliche Schaden durch Drogen. 

Motivation der Angreifer

Warum wird das hier so ausführlich beschrieben? Es ist wichtig zu verstehen, welche Motivation die Angreifer antreibt. Devisenbeschaffung isolierter Staaten führt zu Ransomware Angriffen mit teils atemberaubenden Lösegeldforderungen.

Das Entwenden von Daten und deren Veräusserung an Wettbewerber oder direkt durch den Wettbewerber als „Auftragsarbeit“ initiiert, werden regelmässig beobachtet und waren lange Jahre das vorherrschende Delikt im Zusammenhang mit Cyberkriminalität. Die Entwendung von Daten wird neuerdings zusätzlich mit Ransomware verbunden, um Lösegeldforderungen grösseren Nachdruck zu verleihen. Insofern hat sich das hinter Datendiebstahl liegende „Geschäftsmodell“ von Spionage hin zur Unterstützung von Erpressung ausgedehnt.

Zerstörung von Daten ist leider ebenfalls zum Portfolio der Angreifer hinzugekommen. Die grösste Wertschöpfung mit dem geringsten Entdeckungsrisiko dürften mittlerweile durch Ransomware Angriffe verursacht werden. Bewegen sich Unternehmen in einer kontrovers diskutierten Branche, zum Beispiel in der Rüstungsindustrie, der Ölförderung oder im Bankwesen, dann kann neben der Motivation des Gelderwerbs eine andere Motivation für Angreifer hinzukommen: Die Moral, diejenigen Unternehmen zu schädigen, die nachteilig für Umwelt und Gesellschaft sind. So lautet zumindest häufig die Rechtfertigung solcher Angriffe.

Verstehe ich die Motivation besser, warum ich angegriffen werde, kann ich mich auch besser schützen.
Wo liegen meine Daten?
Wer trägt noch zu dem von mir genutzten Datenuniversum bei?

Risikomanagement zentral für Verteidigung

All diese Überlegungen sind Elemente einer zentralen Risikomanagement-Strategie, die Organisationen etablieren müssen. Erst danach lohnt es sich, über Prozesse und Technologien zur Einrichtung eines angemessenen Sicherheitsniveaus nachzudenken. Allerdings gilt auch hier: „Fix the basics first“. Patchen, Patchen und dann nochmals Patchen ist eine Grunddisziplin der Sicherheit. Als Beleg dafür, dass das noch nicht in den Köpfen angekommen ist, mag ein Beispiel einer Sicherheitslücke aus Windows herhalten: Mittels einer „Internet of Things Search Engine“ lassen sich mehrere tausend Systeme im Internet in Deutschland identifizieren, die bereits vor vielen Monaten hätten abgesichert werden können durch einfaches Einspielen der Microsoft Sicherheitspatches. Hier greift ein weiterer Mechanismus eines funktionierenden Angriffs. Genau wie derzeit vielfach anhand von Covid-19 und Masern diskutiert, wirken diese ungeschützten Systeme analog zu ungeimpften Menschen oder Tieren als Einflussfaktor auf die Herdenimmunität bei Impfungen. Die ungeschützten Systeme sind willkommene Einfallstore und werden ausgenutzt.

Eine weitere Frage, die sich stellt, ist: „Wo liegen meine Daten?“. Und auch beispielsweise im BIM System: „Wer trägt noch zu dem von mir genutzten Datenuniversum bei?“. Grundsätzlich sind Cloud-Umgebungen nicht schlechter als Systeme im eigenen Rechenzentrum. Häufig sogar besser, weil Anbieter wie Amazon und Co. über wesentlich höhere Budgets für Sicherheit verfügen als jeder mittelständische Betrieb und auch Standardisierung die Sicherheit erleichtert. Aber wie immer in der Realität kann man Top-Technologie auch ziemlich falsch und damit schwach einsetzen. Zahlreiche Schwachstellen in grossen Cloud-Systemen stellten sich im Nachgang nicht als Schwachstelle des Cloud-Anbieters heraus, sondern als unsichere Implementierung, beispielsweise von Administrationszugängen. So geschehen vor wenigen Jahren in einem (Sicherheits-) Vorfall rund um die Cloud Azure von Microsoft.

Im Zusammenhang mit Cloud-Systemen stellt sich die Frage hinsichtlich Compliance, also der Befolgung von Datenschutzregeln wie zum Beispiel der DSGVO (Datenschutzgrundverordnung), aber bitte nicht nur der Compliance in Deutschland, sondern beispielsweise auch in China und den USA, die ähnliche Gesetzgebungen für den Datenschutz besitzen. 
Die Frage der Compliance stellt Unternehmen vor nicht unerhebliche Probleme und jede Organisation ist gut beraten, Compliance zu Datenschutzgesetzen und Cybersecurity Gesetzgebungen aktiv zu regeln und nicht dem Zufall zu überlassen.

Typische Einfallstore der Angreifer

Neben Schwachstellen von IT-Systemen, die mit Hilfe sogenannter „Internet of Things Search Engines“ (zum Beispiel Shodan.io) zu identifizieren sind, haben sich zwei Schwachstellen als besonders effektiv für Angreifer herausgestellt. Wen wundert es, dass der Faktor Mensch an erster Stelle steht? Über sogenannte Phishing-Mails, die dolose Dateianhänge oder Links enthalten, wird der Benutzer zum Baustein des Angriffs, von dem aus die Reise der Angreifer durch das Unternehmen beginnt. Das zweite sehr grosse Einfallstor stellt die „Supply Chain“ dar. Das zunehmend kostengetriebene Einkaufsverhalten führt dazu, dass die Marge von Zulieferern immer knapper wird und damit verbunden auch deren Möglichkeit, wirksame Sicherheitsmassnahmen einzuführen.

Am Ende sind die Angreifer in der Lage, eigene Anwendungen zu installieren, die unentdeckt entweder den Ransomware Angriff vorbereiten oder, im Falle eines Datendiebstahls, im Hintergrund den Datenversand durchführen.

Die Auswirkung dieser (hausgemachten) Schwachstelle kann anhand der Statistiken nachvollzogen werden: Nahezu alle grösseren erfolgreichen Angriffe der vergangenen drei Jahre lassen sich auf Angriffe über die Supply Chain zurückführen.

Wie kann ich mir selbst helfen?

Neben den bereits erwähnten Basis-Massnahmen („Fix the basics“) sind Mitarbeiterschulungen sehr hilfreich, um Anwender darin zu schulen, Phishing-Angriffe besser zu erkennen. Wenn das nicht gelingt, sollten intelligente Systeme zur Angriffserkennung genutzt werden. Diese Threat Detection-Systeme sind nicht nur für teures Geld selbst zu betreiben, sondern auch als Service zu beziehen und tragen der wirtschaftlichen Leistungsfähigkeit einermittelständischen Industrie in jedem Fall besser Rechnung als der sogenannte Eigenbetrieb.

Beherzigt man diese wenigen grundsätzlichen Überlegungen, sollte jede Organisation in der Lage sein, wirksame Massnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau zu erreichen. 
Jörg Asma ist Partner Cybersecurity & Privacy bei PwC. Jörg Asma hat Elektrotechnik mit Schwerpunkt Automatisierung studiert. Seit mehr als 20 Jahren ist er im Bereich Cybersecurity / Informationssicherheit unterwegs und berät Kunden aller Industrien und Grössen. Jörg Asma war Vertreter im Normungsausschuss für ISMS Standards NI 27A. Er ist weiterhin Mitautor verschiedener Bücher zu Cloud Security und Security Governance. Darüber hinaus übt er Lehrtätigkeiten an Universitäten bezüglich Cybersecurity und Cyberwarfare aus.
glossar
Bonet
Ein Botnet ist ein von Cyberkriminellen gesteuertes Netzwerk, das aus mehreren mit Malware infizierten Computern besteht, die mit dem Internet verbunden
sind. Es dient dazu, Malware und Spam zu verteilen und Schäden zu verursachen, die mit einem einzelnen Computer nicht möglich wären.

Ransomware
Ransomware ist eine Art von Malware (Schadprogramm), die den Zugriff von
Nutzern auf ihr System durch Verschlüsselung einschränkt oder verhindert, indem entweder der Rechner oder persönliche Dateien des Nutzers gesperrt werden. Zur Entschlüsselung und Freigabe wird der Nutzer mit einem „Lösegeld“ (engl. ransom) erpresst.

Threat Detection
Threat Detection beschreibt die Fähigkeit einer Organisation, Bedrohungen für das Netzwerk, Anwendungen oder andere Vermögenswerte innerhalb des Netzwerks genau zu identifizieren. Eine Bedrohung ist alles, was das Potenzial hat, einem Computersystem oder der Cloud Schaden zuzufügen.


Patchen
Die Aktualisierung eines Betriebssystems oder einer Anwendung, die vom Hersteller freigegeben wird, um einen identifizierten Fehler oder eine Schwachstelle zu beheben und die Software zu verbessern.
Human Firewall
Eine Human Firewall bezeichnet die Verpflichtung einer Gruppe von Mitarbeitern einer Organisation, bewährte Methoden und Verfahren zu befolgen, um Datenverstösse oder verdächtige Aktivitäten zu verhindern oder zu melden und für ein sicheres Netzwerk zu sorgen.



Phishing

Phishing bezeichnet den Versuch, Menschen zur Preisgabe sensibler Informationen wie Kreditkartennummern oder Passwörtern zu verleiten. Dies geschieht oft unter Verwendung von E-Mails oder Websites, die vertrauenswürdig scheinen.