Digitalisierung macht Spass. Egal wo wir hinsehen, an der Digitalisierung kommen wir nicht vorbei. Es ist die Zeit der neuen Möglichkeiten – schneller, bunter, manchmal aber auch lauter. Wir sind uns einig: Digitalisierung ist zum Bestandteil unseres täglichen Lebens geworden. Nicht überall funktioniert sie gut. In Zeiten des Homeschoolings beschleicht uns manchmal die Erkenntnis, dass noch nicht alles so ist, wie es sein sollte. Und dann, gerade als Covid-19 vermeintlich die Digitalisierung noch verstärkte, zeigte sie auch ihr hässliches Gesicht. Plötzlich kam der Begriff des „Zoom-Bombing“ auf. Kurz gesagt, die Cybersecurity, oder eher fehlende Cybersecurity, holte so manchen Digitalisierer auf den Boden der Tatsachen zurück
Die Angreifer sind viele
In alten (und auch teilweise aktuellen) Filmen wird der Hacker sehr häufig als eine übermächtige und mit tollen Anwendungen ausgestattete Person, Hoodie tragend, Pizza essend und in dunklen Räumlichkeiten, schnell auf mysteriös erscheinenden Terminalkonsolen tippend dargestellt. Der Angreifer von heute, der sich IT-Systeme vornimmt, egal ob von grossen oder kleinen Unternehmen, Privathäusern, Arztpraxen, Kliniken, Bauunternehmen oder Fensterbauern, ist nicht alleine im Keller. Die Angreifer von heute sind viele. Sie arbeiten, wie die Industrie auch, arbeitsteilig. Eine Gruppe organisiert die Distribution, denn schliesslich muss der Programmcode, der den Angriff unterstützt, ja ausgeliefert werden. Andere Menschen organisieren die Nutzung und Funktionalität dieses sogenannten „Schadcodes“ und wieder andere kümmern sich um die Monetarisierung, wie das Inkasso bei Ransomware oder die Weiterveräusserung von „Intellectual Property“, gefolgt von Menschen, die sich um Geldwäsche bemühen. Sie arbeiten im Schichtbetrieb und manchmal ist der vermeintliche Keller dann doch eher der Infinity Pool an einem asiatischen Strand.
Manchmal ist es aber auch künstliche Intelligenz, die auf den digitalen Einbruch trainiert wurde und so die Digitalisierung der Angreifer vorantreibt. Längst hat sich hier eine kriminelle Industrie entwickelt, deren volkswirtschaftlich verursachter Schaden weltweit mittlerweile grösser ist als der volkswirtschaftliche Schaden durch Drogen.
Manchmal ist es aber auch künstliche Intelligenz, die auf den digitalen Einbruch trainiert wurde und so die Digitalisierung der Angreifer vorantreibt. Längst hat sich hier eine kriminelle Industrie entwickelt, deren volkswirtschaftlich verursachter Schaden weltweit mittlerweile grösser ist als der volkswirtschaftliche Schaden durch Drogen.
Motivation der Angreifer
Warum wird das hier so ausführlich beschrieben? Es ist wichtig zu verstehen, welche Motivation die Angreifer antreibt. Devisenbeschaffung isolierter Staaten führt zu Ransomware Angriffen mit teils atemberaubenden Lösegeldforderungen.
Das Entwenden von Daten und deren Veräusserung an Wettbewerber oder direkt durch den Wettbewerber als „Auftragsarbeit“ initiiert, werden regelmässig beobachtet und waren lange Jahre das vorherrschende Delikt im Zusammenhang mit Cyberkriminalität. Die Entwendung von Daten wird neuerdings zusätzlich mit Ransomware verbunden, um Lösegeldforderungen grösseren Nachdruck zu verleihen. Insofern hat sich das hinter Datendiebstahl liegende „Geschäftsmodell“ von Spionage hin zur Unterstützung von Erpressung ausgedehnt.
Zerstörung von Daten ist leider ebenfalls zum Portfolio der Angreifer hinzugekommen. Die grösste Wertschöpfung mit dem geringsten Entdeckungsrisiko dürften mittlerweile durch Ransomware Angriffe verursacht werden. Bewegen sich Unternehmen in einer kontrovers diskutierten Branche, zum Beispiel in der Rüstungsindustrie, der Ölförderung oder im Bankwesen, dann kann neben der Motivation des Gelderwerbs eine andere Motivation für Angreifer hinzukommen: Die Moral, diejenigen Unternehmen zu schädigen, die nachteilig für Umwelt und Gesellschaft sind. So lautet zumindest häufig die Rechtfertigung solcher Angriffe.
Verstehe ich die Motivation besser, warum ich angegriffen werde, kann ich mich auch besser schützen.
Das Entwenden von Daten und deren Veräusserung an Wettbewerber oder direkt durch den Wettbewerber als „Auftragsarbeit“ initiiert, werden regelmässig beobachtet und waren lange Jahre das vorherrschende Delikt im Zusammenhang mit Cyberkriminalität. Die Entwendung von Daten wird neuerdings zusätzlich mit Ransomware verbunden, um Lösegeldforderungen grösseren Nachdruck zu verleihen. Insofern hat sich das hinter Datendiebstahl liegende „Geschäftsmodell“ von Spionage hin zur Unterstützung von Erpressung ausgedehnt.
Zerstörung von Daten ist leider ebenfalls zum Portfolio der Angreifer hinzugekommen. Die grösste Wertschöpfung mit dem geringsten Entdeckungsrisiko dürften mittlerweile durch Ransomware Angriffe verursacht werden. Bewegen sich Unternehmen in einer kontrovers diskutierten Branche, zum Beispiel in der Rüstungsindustrie, der Ölförderung oder im Bankwesen, dann kann neben der Motivation des Gelderwerbs eine andere Motivation für Angreifer hinzukommen: Die Moral, diejenigen Unternehmen zu schädigen, die nachteilig für Umwelt und Gesellschaft sind. So lautet zumindest häufig die Rechtfertigung solcher Angriffe.
Verstehe ich die Motivation besser, warum ich angegriffen werde, kann ich mich auch besser schützen.
Wo liegen meine Daten?Wer trägt noch zu dem von mir genutzten Datenuniversum bei?
Risikomanagement zentral für Verteidigung
All diese Überlegungen sind Elemente einer zentralen Risikomanagement-Strategie, die Organisationen etablieren müssen. Erst danach lohnt es sich, über Prozesse und Technologien zur Einrichtung eines angemessenen Sicherheitsniveaus nachzudenken. Allerdings gilt auch hier: „Fix the basics first“. Patchen, Patchen und dann nochmals Patchen ist eine Grunddisziplin der Sicherheit. Als Beleg dafür, dass das noch nicht in den Köpfen angekommen ist, mag ein Beispiel einer Sicherheitslücke aus Windows herhalten: Mittels einer „Internet of Things Search Engine“ lassen sich mehrere tausend Systeme im Internet in Deutschland identifizieren, die bereits vor vielen Monaten hätten abgesichert werden können durch einfaches Einspielen der Microsoft Sicherheitspatches. Hier greift ein weiterer Mechanismus eines funktionierenden Angriffs. Genau wie derzeit vielfach anhand von Covid-19 und Masern diskutiert, wirken diese ungeschützten Systeme analog zu ungeimpften Menschen oder Tieren als Einflussfaktor auf die Herdenimmunität bei Impfungen. Die ungeschützten Systeme sind willkommene Einfallstore und werden ausgenutzt.
Eine weitere Frage, die sich stellt, ist: „Wo liegen meine Daten?“. Und auch beispielsweise im BIM System: „Wer trägt noch zu dem von mir genutzten Datenuniversum bei?“. Grundsätzlich sind Cloud-Umgebungen nicht schlechter als Systeme im eigenen Rechenzentrum. Häufig sogar besser, weil Anbieter wie Amazon und Co. über wesentlich höhere Budgets für Sicherheit verfügen als jeder mittelständische Betrieb und auch Standardisierung die Sicherheit erleichtert. Aber wie immer in der Realität kann man Top-Technologie auch ziemlich falsch und damit schwach einsetzen. Zahlreiche Schwachstellen in grossen Cloud-Systemen stellten sich im Nachgang nicht als Schwachstelle des Cloud-Anbieters heraus, sondern als unsichere Implementierung, beispielsweise von Administrationszugängen. So geschehen vor wenigen Jahren in einem (Sicherheits-) Vorfall rund um die Cloud Azure von Microsoft.
Im Zusammenhang mit Cloud-Systemen stellt sich die Frage hinsichtlich Compliance, also der Befolgung von Datenschutzregeln wie zum Beispiel der DSGVO (Datenschutzgrundverordnung), aber bitte nicht nur der Compliance in Deutschland, sondern beispielsweise auch in China und den USA, die ähnliche Gesetzgebungen für den Datenschutz besitzen.
Die Frage der Compliance stellt Unternehmen vor nicht unerhebliche Probleme und jede Organisation ist gut beraten, Compliance zu Datenschutzgesetzen und Cybersecurity Gesetzgebungen aktiv zu regeln und nicht dem Zufall zu überlassen.
Typische Einfallstore der Angreifer
Neben Schwachstellen von IT-Systemen, die mit Hilfe sogenannter „Internet of Things Search Engines“ (zum Beispiel Shodan.io) zu identifizieren sind, haben sich zwei Schwachstellen als besonders effektiv für Angreifer herausgestellt. Wen wundert es, dass der Faktor Mensch an erster Stelle steht? Über sogenannte Phishing-Mails, die dolose Dateianhänge oder Links enthalten, wird der Benutzer zum Baustein des Angriffs, von dem aus die Reise der Angreifer durch das Unternehmen beginnt. Das zweite sehr grosse Einfallstor stellt die „Supply Chain“ dar. Das zunehmend kostengetriebene Einkaufsverhalten führt dazu, dass die Marge von Zulieferern immer knapper wird und damit verbunden auch deren Möglichkeit, wirksame Sicherheitsmassnahmen einzuführen.
Am Ende sind die Angreifer in der Lage, eigene Anwendungen zu installieren, die unentdeckt entweder den Ransomware Angriff vorbereiten oder, im Falle eines Datendiebstahls, im Hintergrund den Datenversand durchführen.
Die Auswirkung dieser (hausgemachten) Schwachstelle kann anhand der Statistiken nachvollzogen werden: Nahezu alle grösseren erfolgreichen Angriffe der vergangenen drei Jahre lassen sich auf Angriffe über die Supply Chain zurückführen.
Wie kann ich mir selbst helfen?
Neben den bereits erwähnten Basis-Massnahmen („Fix the basics“) sind Mitarbeiterschulungen sehr hilfreich, um Anwender darin zu schulen, Phishing-Angriffe besser zu erkennen. Wenn das nicht gelingt, sollten intelligente Systeme zur Angriffserkennung genutzt werden. Diese Threat Detection-Systeme sind nicht nur für teures Geld selbst zu betreiben, sondern auch als Service zu beziehen und tragen der wirtschaftlichen Leistungsfähigkeit einermittelständischen Industrie in jedem Fall besser Rechnung als der sogenannte Eigenbetrieb.
Beherzigt man diese wenigen grundsätzlichen Überlegungen, sollte jede Organisation in der Lage sein, wirksame Massnahmen zu ergreifen, um ein angemessenes Sicherheitsniveau zu erreichen.
Jörg Asma ist Partner Cybersecurity & Privacy bei PwC. Jörg Asma hat Elektrotechnik mit Schwerpunkt Automatisierung studiert. Seit mehr als 20 Jahren ist er im Bereich Cybersecurity / Informationssicherheit unterwegs und berät Kunden aller Industrien und Grössen. Jörg Asma war Vertreter im Normungsausschuss für ISMS Standards NI 27A. Er ist weiterhin Mitautor verschiedener Bücher zu Cloud Security und Security Governance. Darüber hinaus übt er Lehrtätigkeiten an Universitäten bezüglich Cybersecurity und Cyberwarfare aus.
