„Daten sind das neue Öl. Und wegen Öl wurden Kriege geführt“

Das AIT und die Wirtschaftskammer Österreich veranstalten diese Woche die Cyber Security Week. Einer der Schwerpunkte der Veranstaltung sind Cybercrime-Trends und wie man dagegen vorgehen kann. Gernot Blümel, Bundesminister für EU, Kunst, Kultur und Medien, verglich bei seiner Rede am Donnerstag den Cyberspace mit dem Brexit. Beim Brexit gebe es ein großes Gefühl der Unsicherheit, genauso wie im Cyberspace.

Der Cyberspace sei derzeit ein ungleiches Spielfeld, weil die Regeln für nicht alle Player gelten und einige Regeln so seien, dass sie nicht von den kleineren Playern umgesetzt werden können. Man müsse Maßnahmen treffen, um wieder die Kontrolle zu erlangen und so den Bürgern Sicherheit und Vertrauen geben. „Die digitale Welt ist keine andere Realität. Es ist dieselbe Realität, in der wir leben. Deshalb müssen wir dieselben Prinzipien in der analogen und digitalen Welt anwenden“, so Blümel. Er fordert zu einer Kooperation auf, die nicht nur EU-weit, sondern global ist.

Vertrauen schwierig

Mika Lauhde, Vice-President für Cyber Security bei Huawei, beschreibt die aktuelle Lage aus der Sicht von privaten Unternehmen. Demnach sei es schwierig, Bürgern das Vertrauen in Technologie zu geben, wenn die Regierungen selbst Zugriff auf die Daten fordern. Als Beispiel nennt er das Programm „e-Evidence“ der EU und Australiens „Backdoor-Gesetz“. Laut diesem müssen Anbieter den Behörden Zugriff auf verschlüsselte Nachrichten ihrer Kunden geben. „Was passiert, wenn die Hardware-Hersteller dieses Gesetz auch umsetzen müssen? Kleben wir dann einen Sticker mit ‚Achtung: Australische Backdoor an Bord, Verwendung auf eigene Gefahr´ auf die Smartphone-Verpackung?“, fragt Lauhde.

Es sei schwierig ein „gutes Unternehmen“ aus der Sicht des Staats zu sein und gleichzeitig die Daten der Kunden zu schützen. Er sieht mit Besorgnis, dass sich nicht einmal die UNO auf Regeln für die Cyberkriegsführung einigen kann. In der Folge würden immer mehr private Unternehmen in diese Konflikte hineingezogen werden, denn: „Daten sind das neue Öl. Und wegen Öl wurden viele Kriege geführt.“

Cybercrime-Trends

Nicole Samantha van der Meulen, Analystin bei EUROPOL, beschäftig sich seit zehn Jahren mit Cybercrime. Wirklich neu sind die Gefahren nicht. Der Trend geht aber stark dazu, dass sie professioneller und kommerzieller werden. „Ransomware gab es schon vor fünf Jahren, allerdings noch ohne Verschlüsselung der eigenen Dateien. Auch vom Darknet haben wir schon damals berichtet. Jetzt findet dort eine Vielzahl an Verbrechen statt“, so van der Meulen. Ein gutes Beispiel sind auch DDoS-Attacken, um Websites und Server lahmzulegen. Auch diese Gefahr kenn man seit Jahren. Aktuell sei aber „DDoS as a Service“. Angreifer können die DDoS-Attacken einfach online bestellen, anstatt sich selbst ein Botnetz aufbauen zu müssen, um sie auszuführen.

Komitas Stepanyan, Deputy Head of Internal Audit bei der CentralBank von Armenien, bestätigt, dass sich die Bedrohungen nicht grundlegend geändert haben. Die Angriffsmethoden sind dieselben geblieben. 99,9 Prozent der Schwachstellen, die Hacker für erfolgreiche Angriffe genutzt haben, seien schon vor einem Jahr bekannt gewesen. 88 Prozent aller Cyber-Einbrüche sind auf nur neun Angriffsmuster zurückzuführen. Und 91 Prozent aller erfolgreichen Attacken beginnen mit einem Phishing-Mail.

Maßnahmen

Die Angriffsmethoden sind also bekannt, wieso gibt es dann immer noch erfolgreiche Cybercrime-Attacken? „Cybersecurity ist wie Geburtenkontrolle: Alle wissen wie es funktioniert, es gibt die Technologie und trotzdem versagen die Menschen immer wieder“, sagt Hans Holmer von Noetic International. Der ehemalige CIA-Mitarbeiter hat noch ein anderes Beispiel: „Radar Assisted Collisions“. Damit bezeichnet man in der Schifffahrt Zusammenstöße, obwohl sich beide Schiffe gegenseitig am Radar gesehen haben. „Das passiert, weil die Crews immer ausgetauscht werden, damit das Schiff möglichst lange fahren kann, ohne im Hafen zu stehen“, so Holmer. Die Technik ist also vorhanden und der Wille, nicht mit einem anderen Schiff zu kollidieren. Wie man das Unglück vermeidet, wisse die Besatzung aber nicht, weil sie nicht mit der Technik umgehen kann.

Laut Holmer müsse man deshalb umdenken. Man dürfe nicht darauf warten, dass irgendjemand per Gesetz die IT-Sicherheit vorschreibt. Man müsse stattdessen die Mitarbeiter und Unternehmen dazu bringen, von sich aus das Richtige zu machen. Ein häufiges Problem sei, dass Technologien entwickelt und gebaut werden, ohne sich Gedanken über den Einsatz zu haben. Deshalb seien unter anderem so viele IoT-Geräte besonders anfällig für Cyberattacken.

Eine weitere Weisheit von Holmer: „Wir haben keine guten Hacker, sondern nur eine lausige IT-Sicherheit. Seit zehn Jahren habe ich keinen Daten-Einbruch mehr gesehen, bei dem ich gesagt habe: Wow. Es sind immer dieselben Probleme. Deshalb: Manage deine eigenen Lücken. Erwarte nicht, dass das die Regierung für dich macht.“ Unternehmen sollten deshalb folgendes Grundschema beachten:

1. Was beschützt man?
2. Was sind/waren meine Sicherheitslücken?
3. Die optimale Strategie beschließen
4. Handeln

In die Falle locken

Holger Sontag von dem österreichischen Unternehmen CyberTrapSoftware GmbH, will mit seinem Produkt die Cybersicherheit automatisiert erhöhen. Der Angreifer wird auf eine falsche Fährte gelockt. Ihm wird ein lukratives Ziel vorgegaukelt, tatsächlich erhält er aber nur wertlose Daten.

In diesem gesicherten Bereich werden die Aktionen des Angreifers aufgezeichnet und ausgewertet. Das Ganze soll per Machine Learning möglichst automatisiert funktionieren. Die Konfiguration der Sicherheitslösung wird dann automatisch so angepasst, dass die Lücke geschlossen wird. „Denn oft ist nicht das Sicherheitssystem schuld, sondern die falsche Konfiguration“, so Sontag.

Psychologie als Waffe

Eine Angriffsmethode, die immer populärer wird, lässt sich damit aber nicht verhindern. Denn sie zielt nicht auf die Systeme ab, sondern die Menschen: Social Engineering. Christina Lekati, Social Engineering Security Consultant & Trainer bei Cyber Risk GmbH, nennt das Psychologie als Waffe. Dabei geht es darum die menschlichen Schwächen des Ziels zu identifizieren und die einfachen, menschlichen Bedürfnisse anzusprechen. Diese sind universell und können deshalb auch universal ausgenutzt werden.

Die Schwächen lassen sich oft in den Facebook- und Twitter-Postings des Ziels herausfinden. Die menschlichen Bedürfnisse sind etwa gebraucht zu werden. Besonders häufig kommt in solchen Fällen der aus der Spionage bekannte Romeo-und-Julia-Trick zum Einsatz. Dem Ziel wird eine Person vorgesetzt, die die laut Lekati die wichtigsten psychologischen Lücken schließt und eine romantische Beziehung vorgaukelt. Mit gefälschten Profilen in sozialen Netzen ist das heute für Angreifer einfacher denn je. Wurde das Vertrauen des Ziels gewonnen, wird dann etwa ein E-Mail an die Büroadresse geschickt, mit der Bitte eine Excel-Datei zu öffnen und einen Screenshot zu machen, weil man zuhause nicht das richtige Programm dazu habe. Die Excel-Datei enthält Malware und der Angreifer erhält so Zugriff auf das Firmennetzwerk.

Laut Lekati könne man auch gegen Social Engineering etwas unternehmen. Mitarbeiter sollte Trainings erhalten, wie sie mit vertraulichen Daten umgehen sollten und was überhaupt vertrauliche Daten sind. „Oft ist ihnen gar nicht bewusst, wie schädlich es für das Unternehmen sein kann, wenn diese Daten nach außen dringen“, so Lekati. Auch sollten nur tatsächlich Personen Zugriff auf die Daten haben, die diese benötigen. Das würde schon die Anzahl der potentiellen Angriffsziele reduzieren. Einen Hinweis zum Schluss hat sie noch: „Die Ziele werden üblicherweise in ihrer Freizeit angegriffen, außerhalb des Büros. Die Menschen sind dann weniger achtsam.“