Im Wettrüsten mithalten

Um gegen zukünftige Bedro­hungen gewappnet zu sein, lohnt sich bisweilen ein Blick in die Vergangenheit. Das gilt auch beim Thema Cybercrime. Vor etwa 15 Jahren gehörten Bankkunden zu den ersten Opfern von Kriminellen, die versuchten, sich mit Trojaner-Programmen Zugriff auf das Internet-Banking zu verschaffen. Heute sind die Banken besser in der Lage, infizierte Kunden-Computer zu entdecken und Cyber­angriffe rechtzeitig abzuwehren. Cyber­kriminelle sind meistens Oppor­tunisten. Wenn der Widerstand zu stark ist, suchen sie sich ein anderes Opfer oder ein neues Schlupfloch. So haben sie seit einigen Jahren vermehrt Firmen jeder Grösse und Branche mit Ransomware ins Visier genommen. Dabei ist häufig das gesamte IT-Netzwerk eines Unter­nehmens betroffen. Für die Freigabe der gehackten Daten versuchen die meistens aus dem Ausland operierenden Banden, ein Lösegeld in der Bitcoin-Währung zu erpressen. Die Fahndung nach den Tätern ist aufwendig und selten erfolgreich.

Menschen statt Maschinen hacken

Eine zunehmende Bedeutung hat Social Engineering, was sich mit «sozialer Manipulation» übersetzen lässt. Angreifer profitieren dabei von menschlichen Eigenschaften wie der Arglosigkeit. Es ist erstaunlich, wie viele Firmen ohne Not Informa­tionen preisgeben, die Eindring­lingen Türen öffnen. Wenn etwa ein Job-Beschrieb auf der Firmen­webseite darüber Auskunft gibt, welche Software im Unternehmen im Einsatz ist, lässt sich das ausnützen – zum Beispiel indem sich ein Angreifer am Telefon als Mitarbeiter des Software-Herstellers ausgibt und ankündigt, er werde gleich ein Dokument mit wichtigen Update-Infor­mationen schicken. Wird die Täuschung glaubhaft vorgebracht, öffnet der Empfänger möglicher­weise das Dokument und gewährt einer Malware Zutritt ins Firmennetzwerk. Die Schwachstelle im System war dann nicht die Technik, sondern der Mensch. Ebenfalls zum Social Engi­neering gehören mit Methoden der künstlichen Intelligenz manipulierte Videos, in denen Gesichter verändert werden (Deepfakes). Damit kann man eine beliebige Person Dinge sagen lassen, welche diese Person in der Realität nie von sich gegeben hätte.

Vertrauen allein genügt nicht

Die Vernetzung in der digitalen Welt und die damit verbundenen gegen­seitigen Abhängig­keiten eröffnen Hackern immer neue Möglichkeiten. Schlagzeilen machte der Fall des auf Netzwerk­mana­gement-Software spezialisierten US-Unternehmens Solarwinds. Wegen eines schwachen Passworts auf einem Updateserver konnten im Jahr 2019 Angreifer Schad­programme in ein Software­produkt der Firma einschleusen und monatelang unentdeckt Kunden von Solarwinds ausforschen – eine klassische «supply chain attack». Eine einzige Sicherheits­lücke am Ursprung der Lieferkette genügte in diesem Fall, um alle davon abhängigen Systeme zu infil­trieren. Die Erkenntnis aus diesem Vorfall lautet: Vertrauen ist gut, im Cyberspace aber nicht gut genug. Das gilt auch dann, wenn man Daten­verar­beitung outsourct oder auf cloudbasierte Lösungen setzt. Dabei sollte gründlich geprüft werden, ob der externe Partner anerkannte Sicherheits­standards erfüllt. Zudem sollten die gesetzlichen Bestim­mungen des Landes beachtet werden, in denen der Partner seinen Geschäftssitz hat oder die anvertrauten Daten verarbeitet. Amerikanische IT-Dienstleister etwa sind von Gesetzes wegen verpflichtet, den US-Behörden Zugriff auf gespeicherte Daten zu gewähren («Cloud Act»), sogar wenn diese aus dem Ausland stammen.

Resignation ist keine Option

Unternehmen und Institutionen haben in den vergangenen Jahren gelernt, mit der Cyberkriminalität umzugehen. Das Bewusstsein, dass man jederzeit Zielscheibe eines Angriffs werden kann, ist gestiegen. Bei der Planung von Vorsorge­mass­nahmen stellt sich dennoch die Frage nach dem richtigen Verhältnis zwischen Aufwand und Nutzen. Hochstehende Technologien bieten einen guten Schutz, kosten aber viel Geld. Und absolute Sicherheit können auch sie nicht bieten. Deswegen den Kopf in den Sand zu stecken, ist dennoch die schlechteste Option. Angreifer und Verteidiger liefern sich ein permanentes Wettrüsten mit wechselnden Vorteilen für die eine oder die andere Seite. Damit wird man weiterhin leben müssen. Der IKT-Minimal­standard des Bundes kann dabei helfen, den Handlungsbedarf im eigenen KMU zu ermitteln und Abwehr­mass­nahmen zu planen.

Herausforderung Daten­analyse

Wer immer noch glaubt, mit einer ­Firewall und einem Antiviren­programm Angreifern den Zugang zum Firmen­netzwerk zu verunmöglichen, muss jedenfalls umdenken. Wirksame Abwehr­mass­nahmen erfordern eine permanente Überwachung aller Systeme und Netzwerke. Die grosse Heraus­forderung besteht darin, die gros­sen Datenmengen rasch zu verarbeiten. Dies ist Voraussetzung, um Gegen­mass­nahmen einleiten zu können, bevor die Malware Schaden anrichtet. Ein innovativer Ansatz besteht darin, die Daten mit Methoden des «Machine Learning» zu analysieren. Die meisten Schad­programme sind nicht vollständig neu entwickelt, sondern verwenden einzelne Kompo­nenten aus bereits existierender Malware. Diese müssen allerdings erst aufgespürt werden, was mit einer manuellen Analyse sehr aufwendig und teuer ist. Mit einem vom BFH-Spin-off «Threatray» entwickelten Analysetool ist es nun möglich, automatisch und in kürzester Zeit Korrelationen von einer Vielzahl von Samples zu prüfen. Dazu muss es laufend mit allen verfügbaren Informa­tionen über bereits bekannte Schadprogramme gefüttert werden.

Vom Wissen der anderen profitieren

Ein immer wichtigerer Faktor für die Abwehr von Cyber­angriffen ist der Austausch von Wissen und Informa­tionen auf nationaler und inter­nationaler Ebene. Fast jede Branche bildet heute «Threat intelli­gence Commu­nities» – Teams von Spezialisten der Mitglieder, die sich den gemeinsamen Heraus­for­derun­gen stellen. Im Fall der Elektrizitäts­versorger beispiels­weise ist dies das EE-ISAC («European Energy – Information Sharing & Analysis Center»). Es stellt Basis­infor­mationen und Handlungs­empfeh­lungen auch Nicht­mitgliedern zur Verfügung. Ausserdem sollten sich Unter­nehmen und Organi­sationen das Know-how der Schweizer Bildungs­institu­tionen zunutze machen. Die technischen Hochschulen sowie verschiedene Universitäten und Fach­hoch­schulen sind in den Bereichen Cyber-Security und digitale Forensik tätig. Laufend kommen neue Bildungs­angebote dazu, 2020 etwa der Studien­gang MAS Digital Forensics & Cyber Investi­gation der Berner Fach­hoch­schule. Das dabei akkumulierte Know-how steht privaten Partnern für die Entwicklung von Praxis­anwen­dungen zur Verfügung.