Die Unsicherheit als Maßstab
Im Januar 2016 hat der Nachrichtendienst des Bundes (NDB) einen Hackerangriff auf den bundeseigenen Rüstungskonzern Ruag entdeckt. …. Spuren der Hacker führen nach Russland. Der Angriff war fast 14 Monate lang unentdeckt geblieben. Gemäß einem Communiqué des Verteidigungsdepartements VBS zeigen erste nachrichtendienstliche Erkenntnisse, dass die Schadsoftware gegen die Ruag bereits ab Dezember 2014 eingesetzt worden war. Zuvor hatte es ähnlich konzipierte Angriffe auf das Aussendepartement EDA gegeben...
+++ Tagesanzeiger Online +++ 04. Mai 2016 +++
...ermittelt seit dem 15. Januar dieses Jahres die Karlsruher Bundesanwaltschaft in dem Fall wegen des Verdachts der geheimdienstlichen Agententätigkeit. Die Hacker hatten sich Zugriff auf 14 Bundestagsserver verschafft, darunter auch auf den Hauptserver mit sämtlichen Zugangsdaten zum deutschen Parlament. Welche Informationen genau sie aus dem Netz des Bundestages stahlen, ist noch immer unklar.
+++ Spiegel Online +++ 30.01.2016 +++
Was ist das Neue an solchen Meldungen, die Sie mehr oder weniger regelmäßig in der Presse lesen können? Es gab doch früher auch schon Berichte über Viren oder Angriffe.
Und welche Bedeutung haben diese Erkenntnisse für Ihre Sicherheitsstrategie? Darauf möchte Ihnen der folgende Artikel Antworten liefern.
Das Paradigma der Unsicherheit
Jahrelang haben wir als Sicherheitsverantwortliche, Autoren und Dozenten die möglichen Risiken, die allgemeine Sicherheitslage und die entsprechenden Maßnahmen für die Herstellung einer verantwortbaren Informationssicherheit in den Fokus der Betrachtungen und damit den Imperativ der Bemühungen gestellt.
Das Paradigma lautete immer gleich: Es gibt Gefahren und wir müssen uns schützen, dann passiert uns nichts. Ob das nun externe Gefahren (Hacker, Katastrophen, Malware) oder interne Gefahren betraf (Nachlässigkeit, Mitarbeitende) war dabei noch nicht mal erheblich, der Glaube an die Schutzmaßnahmen war das A und O jeden Sicherheitsbudgets.
Und dennoch nehmen die Sicherheitsverstöße laufend zu, insbesondere die Professionalisierung der kriminellen Szene nimmt wirtschaftlich relevante Ausmaße an. Das Paradigma der Schutzmaßnahmen hat sich allzu oft als trügerisch erwiesen, nicht erst seit Fremdwörter wie Ransomware oder Targeted Attacks die Runde machen (dazu gleich mehr). In diesen Kontext gehören denn auch die eingangs erwähnten Meldungen, das sind nicht irgendwelche Viren, die zufällig auf eine Verwaltung oder die Rüstungsindustrie gestoßen sind, das sind erschreckend reale Beispiele für gezielte und gerichtete und demzufolge auch gut vorbereitete Angriffe auf ausgewählte Ziele.
Die Sensoren werden nach innen gerichtet, um rasch eine Kompromittierung zu erkennen.
Auf Sicherheitstagungen der letzten Monate ist nach der Häufung solcher Meldungen (wobei längst nicht alle öffentlich gemacht werden) verschiedentlich über das Ende des bisherigen Sicherheitsparadigmas diskutiert worden. So sagte etwa Dr. Serge Droz vom Registrar Switch schon letztes Jahr (an den Hacking Days in Zürich): "Die Frage ist nicht, ob unsere Schutzmaßnahmen greifen werden, sondern wann wir merken, dass wir kompromittiert sind." Diese Aussage ist eine völlige Umkehr des bisherigen Denkens.
Damit zeichnet sich ein neues Paradigma ab, und es lautet: "Wir sind kompromittiert, wie schnell merken wir es?". Nicht die vermeintliche Sicherheit, sondern die Unsicherheit wird zur Ausgangslage der Sicherheitsbetrachtungen und -investitionen. Es geht nicht mehr primär um Abwehr, sondern um Aufdeckung. Die Sensoren werden nach innen, auf das Unternehmen und seine Werte gerichtet, um möglichst rasch eine Kompromittierung der Infrastruktur, Daten oder Prozesse zu erkennen.
Die Professionalisierung der Bedrohungen
Die Szene der Malware-Entwickler hat sich wie erwähnt stark verändert. Waren es in der Anfangszeit vorwiegend private Interessen und später die Suche nach Publicity, so hat sich der wirtschaftliche Faktor und das profitorientierte Verhalten in dieser Szene massiv weiter entwickelt. Es gibt heute eine ganze Anzahl von Spezialisten, denen es nicht um die Schlagzeile geht, sondern gezielt um einen wirtschaftlichen Gewinn, auch in organisierter Form.
Nicht unwesentlich haben dazu die staatlichen Stellen selber beigetragen, die jahrelang Entwickler für Schadsoftware für den Spionage-Einsatz gesucht und bezahlt haben und mittlerweile längst die Übersicht über deren Ergebnisse verloren haben. Stux war in dieser Hinsicht mehr als nur eine erste solche Malware, er war auch ein Startschuss zu einer nicht mehr aufzuhaltenden Entwicklung einer eigenständigen, hochspezialisierten Szene für Crimeware, die sich längst der ursprünglichen staatlichen Kontrolle entzogen hat. Abb.1 zeigt deutlich auf, wie sich das Verhalten der Angreifer verändert hat.
Es ist unschwer zu erkennen, dass die Zeit für die Angreifer gekommen ist, aus dem „Schaden am System“ zum „Schaden zum Erwirtschaften von Geld“ überzugehen. Das heißt, die Ziele werden immer präziser ausgesucht, und neue Formen wie gezielte Angriffe (Targeted Attacks) oder gar APT (Advanced Persistent Attacks), welche über einen langen Zeitraum erfolgen, führen zu direkten (und großen) wirtschaftlichen Schäden bei den Betroffenen.
Bei der Risikobeurteilung durch Schadsoftware ist daher auch auf die Motive der möglichen Angreifer einzugehen. Handelt es sich dabei um die normalen Motive von Cyberkriminellen, steht Geld meist im Hauptfokus. Bei dieser Täterschaft soll Schadsoftware beispielsweise eine unauffällige Abbuchung im E-Banking, das Aufzeichnen der Kreditkartendaten oder eine anschließende Erpressung des Opfers ermöglichen. So werden dann auch unterschiedliche Schadsoftwaren und Kombinationen davon für Angriffe auf Endsystemen eingesetzt.
Beispiel Ransomware
Ransomware stellt eine aktuell viel diskutierte Form der Malware-Bedrohung dar, bei welcher (wie das englische Wort "ransom" andeutet) Lösegeld vom Opfer erpresst wird. Bei einem solchen Angriff werden alle Daten wie Dateien, Bilder, Filme usw. auf den Festplatten und auch auf Netzlaufwerken der Opfer verschlüsselt und damit ohne entsprechenden Schlüssel (Decryption Key) unlesbar gemacht. Um an den entsprechenden Entschlüsselungsschlüssel zu gelangen, wird vom Opfer Geld verlangt. Dabei hat das Opfer in der Regel nur wenig Zeit, beispielsweise nur 24 Stunden, um an den entsprechenden Schlüssel zu gelangen. Um die weiterführenden Zahlungsinformationen zu bekommen, muss in der Regel eine Website im Darkweb, meist über das Verschlüsselungsnetzwerk TOR besucht werden.
Von der Zahlung der Forderungen wird von den Strafverfolgungsbehörden abgeraten. Abgesehen von aktuellen Datensicherungen (Backups) hilft an dieser Stelle nichts mehr weiter, um einen Verlust zu vermeiden. Das BSI veröffentlichte dazu eine Pressemitteilung:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Allianz für Cyber-Sicherheit eine Umfrage zur Betroffenheit der deutschen Wirtschaft durch Ransomware durchgeführt. Demnach waren ein Drittel (32 Prozent) der befragten Unternehmen in den letzten sechs Monaten von Ransomware betroffen. Dabei waren Unternehmen aller Größenordnungen betroffen. Drei Viertel (75 Prozent) der Infektionen waren auf infizierte E-Mail-Anhänge zurückzuführen. Die Auswirkungen des Ransomware-Befalls waren zum Teil erheblich: Während 70 Prozent der betroffenen Unternehmen angaben, dass einzelne Arbeitsplatzrechner befallen waren, kam es in jedem fünften der betroffenen Unternehmen (22 Prozent) zu einem erheblichen Ausfall von Teilen der IT-Infrastruktur, 11 Prozent der Betroffenen erlitten einen Verlust wichtiger Daten.
+++ BSI +++ 27. April 2016 +++
Beispiel Advanced Persistent Threat
Der Begriff Advanced Persistent Threats (APT) kommt ursprünglich aus dem militärischen Bereich und versteht sich als qualitativ hoch entwickelter, meist langfristig angelegter Angriff auf ein klar definiertes Ziel. Die Täterschaft – wenn man überhaupt von einer solchen sprechen darf – kommt ursprünglich wie erwähnt vielfach aus dem staatlichen Bereich. Es wird hier also Spionage und Sabotage betrieben, um staatliche Interessen auf dem elektronischen Weg durchzusetzen. Da bei einem APT-Angriff mit komplexen Problemen umgegangen werden muss, wird dieser in der Regel durch Hacker-Organisationen mit Spezialisierungen in verschiedenen Fachgebieten durchgeführt.
Zusätzlich zu den breiten technischen Kenntnissen ist für erfolgreiche gezielte Angriffe ein hohes Know-how der Systeme, Prozesse und Schnittstellen im entsprechenden Branchenbereich des ausgewählten Angriffsziels nötig. Eigens entwickelte APT-Angriffe sind vielfach datenorientiert und rechnen sich daher finanziell für normal agierende Cyberkriminelle schon aufgrund des hohen Aufwandes nicht. Es ist allerdings anzunehmen, dass Regierungsorganisationen hoch qualifizierte Leistungen von gut organisierten und auch illegal operierenden Hackergruppen gegen das nötige Entgelt in Anspruch nehmen. Eine gute Übersicht über die verschiedenen gezielten APT-Schadcodeangriffe bietet das Kaspersky Lab im Stile eines Logbuches [2]. Da hoch entwickelter APT-Programmcode nun auch für Cyberkriminelle zur Verfügung steht, wurde eine neue beängstigende Dimension in der Cyberkriminalität erreicht.
Der wohl erste und bekannteste APT ist der gezielte Angriff mit dem Stuxnet-Wurm auf die iranischen Atomanlagen, hinter dem wohl mutmaßlich nationale Interessen standen. Der über einen infizierten USB-Stick ins System gelangte komplexe Computerwurm hat anschließend über vier Zero-Day-Lücken gezielt Steuerungssysteme manipuliert. Es handelte sich dabei um einen SCADA-Angriff (Supervisory Control and Data Acquisition), bei welchem gezielt Industriesteuerungssysteme attackiert werden. Hier wurde der Welt die Gefahr vor Angriffen auf kritische Infrastrukturen vor Augen geführt. Unvorstellbar, wenn in unserer hoch digitalisierten Gesellschaft Steuerungssysteme nicht explizit vom Internet getrennt sind und zusätzlich gesondert gesichert werden.
Gerade im Zusammenhang mit der massiven Verbreitung von IoT und den damit verbundenen netzwerkbasierten und oft internetverbundenen Überwachungssystemen (SCADA) drohen hier massive Beeinträchtigungen der Funktionalität und eine echte Bedrohung funktionierender Systeme oder Produktionsstätten.
Wenn es richtig teuer wird: der APT namens Carbanak
Ein eindrückliches und für die Betroffenen sehr teures Beispiel für einen solchen gezielten Angriff (Targeted Attack) lieferte 2013 bis 2015 der Carbanak-Angriff auf Banken. Varianten, auch Carbanak2 genannt, sind zudem bis heute im Umlauf und verursachen Schäden.
Die Abb.3 erläutert das Vorgehen, das die über rund eineinhalb Jahre aufgebaute Attacke zeigt. Die meiste Zeit verbrachten die Angreifer dabei mit dem genauen Studium der Vorgänge in den Banken selbst, die sie monatelang verfolgen konnten, nachdem sie die Malware über verschiedene Angriffsformen vom Reinigungspersonal oder Lieferanten-zugängen sukzessive bis an die Schaltersysteme der betroffenen Bank durchgeschleust hatten. War die Malware erst einmal auf den verarbeitenden Systemen drauf, studierten die Hacker alle Abläufe exakt, um Transaktionen nachahmen und letztlich die Banken effektiv schädigen zu können.
Nach Abschluss der Aktion, die sich wie gesagt nach Einschätzung von Experten über eineinhalb Jahre hinzog, verschwanden die Angreifer mit gut 1 Milliarde Dollar – und zwar nicht virtuell, sondern mit wirklichem Geld, das sie durch das Eröffnen von Konten, das Verschieben von Geldern und das Abheben von Bankautomaten entwendeten.
Selbst Sicherheitsfirmen sind vor solchen Angriffen nicht mehr zu schützen, wie im Jahr 2015 das Beispiel der erfolgreichen Attacke auf Kaspersky zeigte. Hierbei wurde die Firma vermutlich im Herbst 2014 von Hackern angriffen, entdeckt wurde dies aber erst im Frühjahr des darauf folgenden Jahres.
"Der Angriff auf Kaspersky Lab beweise, "wie schnell das Wettrüsten mit Cyberwaffen eskaliert", heißt es in einem 45-seitigen Report des Unternehmens, in dem es den Vorfall selbst analysiert…. Der genaue Grund für den Angriff sei den eigenen Analysten "noch nicht klar", die Eindringlinge hätten sich aber insbesondere für Themen wie zukünftige Technologien, sichere Betriebssysteme und die neuesten Kaspersky-Untersuchungen über anhaltende, hochentwickelte Bedrohungen ("Advanced persistent threats", APT) interessiert – als eine solche ordnen die Kaspersky-Mitarbeiter auch das gegen sie selbst eingesetzte Spionagewerkzeug ein. Den Analysten in der Moskauer Firmenzentrale kam der Schädling schnell bekannt vor. Es handelt sich nach ihrer Einschätzung um eine modernisierte und weiterentwickelte Variante der Cyberwaffe Duqu, die 2011 international Schlagzeilen machte." +++ Spiegel Online +++ 10.06.2015 +++
Gerade Kaspersky ist aber auch ein sehr gutes Beispiel für den angesprochenen Paradigmenwechsel. Denn anstatt das Problem zu vertuschen, war es das Unternehmen selber, das mit der Nachricht der Entdeckung an die Öffentlichkeit ging und darüber berichtete, mit welcher Problemlage wir es zu tun haben. Zudem wurde – wie im Zitat erwähnt – ein ausführlicher Bericht verfasst und interessierten Stellen zugänglich gemacht, um daraus wichtige Erkenntnisse zu gewinnen.
Und nun? Erkennung statt nur Abwehr
Der zu Beginn angesprochene Paradigmenwechsel bedeutet nicht, dass Sie von nun an keine Firewalls und keinen Malwareschutz mehr implementieren müssen, aber der Fokus der Sicherheitsbeauftragten verschiebt sich von den Maßnahmen hin zu internen Kontrollsystemen, welche eine Erkennung einer Kompromittierung rasch möglichst erlauben.
Dies wiederum erfordert eine von oben her organisierte Sicherheitsstrategie. Ich zitiere hierzu noch einmal eine Pressemitteilung des BSI:
"Die Ergebnisse der BSI-Umfrage machen deutlich, wie verwundbar viele Unternehmen in Deutschland für Cyber-Angriffe sind. Schon ungezielte Attacken wie die aktuellen Ransomware-Angriffe führen zu teils erheblichen Beeinträchtigungen der IT und gefährden den Geschäftserfolg. Wenn wir die Potenziale der Digitalisierung voll ausschöpfen wollen, dann muss Cyber-Sicherheit ins Risikomanagement der Unternehmen integriert werden. Cyber-Sicherheit ist Chefsache."
+++ Arne Schönbohm, Präsident des BSI +++ 27. April 2016 +++
Überwachen Sie den Lieferanten Ihrer Klimaanlage?
Dies bedeutet in erster Linie, dass Sicherheit vom oberen Management her gelebt und getragen wird. Es handelt sich hier (und zwar schon länger nicht mehr) um keine Disziplin der Informatik, sondern der gesamten Unternehmung, in Folge deren alle Bereiche von oben gesteuert auch integriert sein müssen. So kommt es nicht von ungefähr, dass viele gezielte Angriffe "außen" beginnen, mit der Infiltration von Zulieferern oder temporärem Personal, Versorgungs- und Reinigungsdiensten – denn alle diese Stellen werden häufig nicht oder nur ungenügend überwacht. Oder hätten Sie daran gedacht, dass Ihre Klimaanlage eine Firmware-basierte Steuerung hat und mit dem Internet verbunden ist? Und überwachen Sie folglich die Klimaanlagen oder gar den Lieferanten der Klimaanlage?
In der Praxis bedeutet das neue Paradigma daher, dass Prozesse wie das Konfigurationsmanagement und dessen Überwachung an Bedeutung gewinnen, denn so lassen sich im Alltagsbetrieb Abweichungen erkennen. Es geht in obigem Beispiel nicht darum, den Lieferanten der Klimaanlage zu überwachen, sondern die Klimaanlage im Haus zu kontrollieren, um verdächtige Bewegungen zu entdecken, ebenso wie bei Kopiergeräten oder Versorgungsautomaten – und nicht nur bei Servern oder Netzwerkgeräten. Es bedeutet generell, dass dem Monitoring eigener Anlagen, Programme und Daten mehr Bedeutung zugemessen werden muss.
Und es zeigt einmal mehr in aller Deutlichkeit – gerade am Beispiel professioneller Ransomware – wie wichtig eine umfassende und regelmäßig überprüfte Datensicherung mit einem nachvollziehbaren Konzept ist. Und in Umfeldern größerer Datenmengen – wo heute anstelle von Backups lieber mit Redundanzen (Orts- oder Georedundanz) und Replikationen gearbeitet wird – sollten diese Überlegungen im Rahmen des neuen Sicherheitsparadigmas wieder in Betracht gezogen werden. Denn sind die Systeme einmal befallen, wird auch der Befall repliziert. Was tun Sie dann ohne Datensicherung?
Darüber hinaus gilt unter dem neuen Paradigma die grundsätzliche Haltung des "wir sind kompromittiert" und damit verbunden die Einstellung des maximalen Schutzes aller Werte, da Sie davon ausgehen müssen, dass jederzeit etwas passieren wird. Dies führt in der Folge auch zu einer klar veränderten Einstellung gegenüber bisherigen Maßnahmen. So wird es selbstverständlich werden, SSDs und Festplatten standardmäßig zu verschlüsseln, keine mobilen Datenträger ohne Sicherheitsüberprüfung zuzulassen, Smartphones nur noch via VPN auf Firmendaten zugreifen zu lassen, Mails bei Speicherung und Transport zu verschlüsseln und so weiter und so fort.
Dieses Umdenken erhöht den Aufwand der Angreifer beträchtlich und da sich diese Szene, wie jede andere Branche auch, ebenso stark wirtschaftlich orientiert wird dadurch in vielen (längst nicht allen) Fällen das Interesse nachlassen, weil es sich einfach nicht rechnet, den entsprechenden Aufwand zu betreiben.
- Kaspersky Lab: Übersicht über APT-Schadcodeangriffe
weiterführende Informationen:
M. Kammermann und M. Gut, 2016: CompTIA Security+, MITP-Verlag, 2. Auflage