Читать книгу 10 Strategien gegen Hackerangriffe - Georg Beham - Страница 11

Information als Wert

Bevor die Strategien zur Abwehr von Hackerangriffen vorgestellt werden, ist es sinnvoll, einen Blick in die Vergangenheit zu werfen, um zu verstehen, wie es überhaupt dazu kam, dass wir uns vor Hackern schützen müssen.

Es ist schon bezeichnend, dass die als älteste bekannte Form der Verschlüsselung als „Cäsar-Chiffre“ bekannt ist.[5] Bereits Julius Cäsar verschlüsselte mit einfachen Mitteln Botschaften an seine Heerführer und Kommandanten, sodass nur ein berechtigter Empfänger über die Befehle und geplanten Aktionen am Gefechtsfeld Bescheid wusste. Es kann davon ausgegangen werden, dass er nicht der erste und im Lauf der Geschichte auch sicher nicht der letzte Herrscher und Befehlshaber war, der auf diese Weise dafür Sorge getragen hat, dass seine Geheimnisse auch geheim bleiben. Gerade das berühmte Beispiel der „Enigma“, einer Maschine zur Verschlüsselung des Nachrichtenverkehrs der Wehrmacht im zweiten Weltkrieg, zeigt, mit welchem Aufwand Informationsschutz und Kryptoanalyse betrieben wurde bzw. immer noch betrieben wird.

Informationsschutz im Sinne von Geheimnisschutz hat also bereits eine lange Geschichte und gewinnt heute insofern an Bedeutung, als die Informationsverarbeitung unsere wirtschaftlichen, politischen und sozialen Interaktionsprozesse immer mehr durchdringt. Als Beispiel sei hier die Diskussion rund um die Ende-zu-Ende-Verschlüsselung bzw. die Sicherheit von Messangerdiensten wie WhatsApp und ähnlichen angeführt.[6]

Bewegt man sich in der digitalen Welt, wird landläufig vom „Cyberraum“ gesprochen. Der Cyberraum umfasst dabei alle weltweit über das Internet hinweg erreichbaren Informationsstrukturen. Betrachtet man nun die Sicherheitsaspekte im Cyberraum, so spricht man von „Cybersecurity“. Dies schließt klassischerweise alle möglichen Arten und Ausprägungen von Informationssicherheit und IT-Sicherheit in der digitalen Welt mit ein, im Besonderen auch die Informationssicherheit von Organisationen und Unternehmen im geschäftlichen Umfeld.

Obwohl die Begriffe „Cybersecurity“ und „Informationssicherheit“ oft synonym verwendet werden und es sehr viele Schnittstellen gibt, besteht doch ein wichtiger Unterschied zwischen den beiden Konzepten. Informationssicherheit umfasst den Schutz von Daten unabhängig von der Art der Daten (auch analoge Daten), während sich Cybersecurity ausschließlich mit dem Schutz von Daten in digitaler Form beschäftigt. Im Rahmen dieses Buches werden sowohl Maßnahmen für die Cybersecurity als auch übergreifende Maßnahmen im Rahmen von Informationssicherheit dargestellt.

Cybercrime

Die starke Durchdringung des Cyberraums und die damit einhergehenden Gefahren und Bedrohungen haben längst auch unser Privatleben erreicht. Cyberkriminelle nutzen die stetig wachsenden technischen Möglichkeiten, um Informationen zu stehlen und sich finanziell zu bereichern.

+Geht Cybercrime uns alle an?

Während sich Cyberkriminelle im geschäftlichen Umfeld vornehmlich auf die Schädigung von Unternehmen fokussieren, werden im privaten Umfeld alle Individuen zu potenziellen Opfern. Ob es sich bei den Tätern aber immer um klassische Hacker handelt, wie sie aus den Medien bekannt sind, kann gerne am Ende der ersten Strategie selbst beurteilt werden (siehe Kapitel 1).

Eine allgemein gültige Definition des weit gefassten Begriffs „Cybercrime“ gibt es nicht.[7] In der Regel werden darunter alle Straftaten, die unter Ausnutzung des Internets bzw. von Informations- und Kommunikationstechnik (IKT) begangen werden, verstanden. Die österreichischen Sicherheitsbehörden unterscheiden darüber hinaus zwischen Cybercrime im engeren Sinn und Cybercrime im weiteren Sinn.

Cybercrime im engeren Sinn meint jene Straftaten, bei denen Angriffe auf Daten oder Computersysteme unter Ausnutzung von verschiedenen Techniken begangen werden (z. B. Datenbeschädigung, Hacking oder Angriffe auf die Verfügbarkeit von Daten).

Im weiteren Sinn werden unter Cybercrime aber auch Straftaten verstanden, bei denen die Informations- und Kommunikationstechnik zur Planung, Vorbereitung und Ausführung von herkömmlichen Kriminaldelikten eingesetzt wird (z. B. Betrugsdelikte, Kinderpornografie, Cybergrooming[8] oder Cybermobbing).

Es zeigt sich also, dass die Bezeichnung „Cybercrime“ für nahezu alle Ausprägungen von Kriminalität verwendet wird – denn wie unsere Interaktionsprozesse vielfach im Cyberraum stattfinden, so spielen sich auch kriminelle Interaktionsprozesse vermehrt dort ab.

Als Beispiele für kriminelle Interaktionen im Cyberraum können diverse „Darknet“-Chats ebenso angeführt werden wie Umschlagplätze im digitalen Raum für den Handel von Drogen, Waffen und anderen illegalen Waren. Dabei handelt es sich vornehmlich um Chat-Gruppen bzw. Online-Dienste, die unter Wahrung der Anonymität und mit besonderen Formen der Verschlüsselung erreichbar sind und sich daher auch besonders dafür eignen, der Strafverfolgung zu entgehen. Per se ist diesen Technologien, welche die Möglichkeit der Anonymisierung im Internet erst ermöglichen, aber nichts vorzuwerfen, denn sie eignen sich ebenfalls dazu, die Freiheiten der Meinungsäußerung oder journalistische Tätigkeiten in Regime-Staaten zu unterstützen.

+Betrug bleibt Betrug

Weit weniger abstrakt sind Cyberbetrugsdelikte. Sei es, sich Passwörtern zu ermächtigen, mit falschen Social-Media-Profilen Vertrauensstellungen zu erreichen oder schlicht Konto- bzw. Kreditkarteninformationen zu entwenden und die Opfer so finanziell zu schädigen. Hier wird von „Social-Engineering-Angriffen“ gesprochen. Gemeint sind damit neue, moderne Formen des Trickbetrugs, wie z. B. des sogenannten Enkeltricks.

Dass diese Form des Betrugs aber nicht neu ist, zeigt beispielsweise der Film „Catch me if you can“. Hier spielt Leonardo di Caprio einen erfolgreichen Scheckkartenbetrüger in den 1960er Jahren, der das Scheckkartensystem ausnutzt, um sich persönlich zu bereichern. Auch die Ära des „Phone Phreaking“ in den 1970er bis Mitte der 1990er Jahre stellt ein gutes Beispiel für Trickbetrug dar: Hierbei konnten unter Ausnutzung der Eigenschaften der analogen Telefonie Ferngespräche und andere gebührenpflichtige Dienste „gratis“ in Anspruch genommen werden – auf Kosten diverser Firmenkonten, von denen diese Gebühren durch Telefonfirmen abgebucht wurden.[9]

Die Beispiele zeigen, dass sich Betrüger immer neue Maschen ausdenken und im Gleichklang mit dem technischen Fortschritt neue Möglichkeiten finden, finanzielle Vorteile unter Ausnutzung oder zumindest unter Abstützung auf die modernen Techniken zu erlangen.

War ein Heiratsschwindler in früheren Jahren darauf angewiesen, seine Zielperson persönlich auszuspähen, so kann er sich mittlerweile von jedem beliebigen Ort aus einen Überblick über seine Opfer auf diversen Dating-Plattformen beschaffen.

Durch das unüberschaubare Angebot im Internet und die vielen E-Mails und Nachrichten in Messenger-Diensten und Social-Media-Kanälen kommt hinzu, dass Anwender zunehmend den Überblick verlieren. Die Vielzahl an Benutzeraccounts, die heutzutage durch Tätigkeiten im Internet in Verwendung sind, verleiten dazu, aus Praktikabilitätsgründen für jedes Benutzerkonto dasselbe Passwort zu verwenden, was es Cyberkriminellen einfach macht. Hat ein Hacker erst einmal Zugang zu einem Passwort erlangt, ist es ihm oftmals ein Leichtes, auch auf weitere Accounts zuzugreifen.

Faktisch macht es keinen Unterschied, ob private Kontoinformationen am Telefon an einen fremden Anrufer weitergegeben oder sie im Zuge eines täuschend echt aussehenden Gewinnspiels per E-Mail oder durch Eingabe auf einer Website preisgegeben werden. Der Effekt bleibt der gleiche, und das ist in der Regel fehlendes Geld auf dem Bankkonto.

+Verschiedene Ausprägungen von Cybercrime

Cybercrime im engeren Sinn zielt darauf ab, Informationswerte in Bezug auf ihre Vertraulichkeit, Verfügbarkeit oder Integrität zu verletzen und so Vorteile zu erlangen.

Diese Vorteile werden wir in Kapitel 1 unter dem Überbegriff „Motivation“ näher erörtert. Denn während ein gewöhnlicher Krimineller in der Regel danach trachtet, finanzielle Vorteile zu erlangen, können andere Motive politische Aktionen oder Machtdemonstrationen sein.

Eine populäre Methode, um als Hacker finanzielle Vorteile zu lukrieren, ist die Erpressung. Dabei sind unterschiedliche Ausprägungen möglich. Die folgenden Beispiele beschreiben mögliche Szenarien.

Im privaten Umfeld erlangt sich ein Angreifer beispielsweise Zugriff auf den Laptop einer Privatperson und erstellt so kompromittierende Fotos mit der Webcam, um damit sein Opfer zu erpressen. Um die Verbreitung des Fotos zu verhindern, zahlt das Opfer den geforderten Betrag an den Angreifer. In einem anderen Fall verschlüsselt ein Angreifer alle Dateien auf der Festplatte einer Person inklusive deren Urlaubsfotos mit einer sogenannten Ransomware. Damit sind alle Dateien auf der Festplatte unbrauchbar. Im besten Fall werden die Daten nach der Überweisung von Lösegeld an den Hacker wieder entschlüsselt. Oftmals sind die Daten aber trotz Bezahlung verloren.

Ransomware-Angriffe sind aber auch im unternehmerischen Umfeld sehr populär und richten hohe Schäden an, wenn alle Dateisysteme inklusive Back-Ups verschlüsselt werden, stehen somit nicht nur die Geschäftskommunikation und Buchhaltung, sondern auch die Produktion still. Angreifer lassen sich fürstlich entlohnen, um Systeme wieder freizugeben. Lösegeldforderungen in der Höhe von zweistelligen Millionenbeträgen sind die Regel. Nicht selten werden diese auch bezahlt, wie das Beispiel von Garmin[10] zeigt. Laut Medienberichten flossen beim Hersteller von Navigations-Empfängern Zahlungen in Millionenhöhe, nachdem Hacker Daten mit Hilfe einer Ransomware verschlüsselt hatten.

Eine andere Art von Angriffen sind verteilte Angriffe, um die Verfügbarkeit von Systemen zu stören. Sogenannte Destributed-Denial-of-Service-Attacken (DDoS) zeichnen sich dadurch aus, dass Systeme und Web-Services innerhalb von kurzer Zeit mit so vielen Anfragen konfrontiert werden, dass dadurch das System überlastet wird und der Service nicht mehr verfügbar ist. Die Angriffe werden gleichzeitig über ein sogenanntes Botnetz orchestriert, wobei die Bots alle möglichen Arten von Endgeräten wie Fernsehern bis hin zum vernetzen Kühlschrank sein können. Damit lassen sich Unternehmen erpressen, die auf ihren Web-Auftritt oder einen Online-Shop angewiesen sind.

Die Bezahlung von Lösegeld wird gemeinhin mit Kryptowährungen realisiert. Das versetzt das Opfer in die Zwangslage, ebenfalls eine Krypto-Wallet[11] besitzen zu müssen, um Überweisungen an die Angreifer vornehmen zu können. Für die Angreifer ist es jedenfalls vorteilhaft, da die Verfolgung von Kryptogeld bis hin zur Realisierung in einen Geldbetrag in regulärer Währung bei Verdacht auf eine Straftat für die Behörden schwierig ist. Gründe dafür sind die Designs von Kryptowährungen und nationale Grenzen.

Der Diebstahl von geistigem Eigentum in Form von Daten und Informationen – also Wirtschafts- oder Industriespionage – ist da schon deutlich „leiser“ und passiert oft unbemerkt. Werden etwa Juwelen aus dem Tresor gestohlen, wird man dies in der Regel sofort bemerken. Erlangt der Angreifer jedoch unbemerkt Zugriff auf wertvolle Daten eines Unternehmens und kopiert diese nur, kann dies auch unbemerkt bleiben. Die Folgen sind aber ebenso verheerend.

Cyberwarfare als neue Disziplin

Alle Entwicklungen, die bisher dargestellt wurden, setzen sich auch im politischen, diplomatischen und militärischen Bereich weiter fort. Es verwundert daher nicht, dass sich die geopolitischen Spannungen auch im Cyberraum weiter fortsetzen.

Obwohl es sicherlich zu weit gegriffen ist, von einem Cyberkrieg oder von Cyber-War zu sprechen, ist Cyberwarfare – also das Setzen von kriegerischen Handlungen im Cyberraum – mittlerweile Realität.

Bei Cyberwarfare geht es darum, realen politischen Auseinandersetzungen mit dem Einsatz bzw. dem Stören von Informations- und Kommunikationstechnologie zusätzlichen Nachdruck zu verleihen.

Das ist aus politischer und diplomatischer Sicht interessant, weil

+die Rückverfolgung der Angriffe und das Benennen des Angreifers, wie auch im Bereich des Cybercrimes, sehr schwer ist,

+der Mitteleinsatz im Gegensatz zu „Kommandoaktionen“ durch Spezialeinsatzkräfte relativ gering ist,

+der Schaden im realen Leben aber je nach Ziel genauso spürbar ist wie nach physischen Interventionen.

Die Art und Weise der Eingriffe in bzw. Angriffe auf Informationssysteme sind dabei höchst unterschiedlich und werden auf die jeweilige Zielsetzung maßgeschneidert. Es folgen dazu einige Beispiele.

Estland: Im April 2007 kam es zu mehrwöchigen, politisch motivierten Cyberangriffen, nachdem ein russisches Denkmal in Tallinn versetzt werden sollte. Es handelte sich dabei durchwegs um Denial-of-Service-Angriffe, die die Verfügbarkeit vieler Webseiten von estnischen Ministerien, Banken und Medien störte.[12] Ob der Auftraggeber tatsächlich die russische Regierung war oder ob pro-russische Aktivisten für die Angriffe verantwortlich waren, ist nicht klar; sie haben jedenfalls zu einem starken Engagement Estlands im Cyberbereich der NATO geführt. So wurde etwa das NATO Cooperative Cyber Defence Centre of Excellence in Tallinn als Cyber-Defence-Kompetenzzentrum aufgestellt.

Iran: Im November 2010 wurde bekannt, dass die iranische Urananreicherungsanlage Natanz mehrmalig mit technischen Problemen zu kämpfen hatte. Heute weiß man, dass mehr als 1000 Zentrifugen in Natanz zwischen 2009 und 2010 zerstört wurden.[13] Kern des Problems war eine neuartige Cyberwaffe – Stuxnet –, die speziell für die Steuerungs- und Regelungstechnik der Urananreicherungsanlage programmiert worden war und die Umdrehungsgeschwindigkeit der Zentrifugen manipuliert hatte. Die Schadsoftware Stuxnet war 2010 von Sicherheitsforschern entdeckt worden, weil sie auf anderen Systemen aufgefallen ist.[14] Auch hier ist nicht bekannt, ob US-amerikanische oder israelische Cyberangreifer hinter der Attacke stehen. Der Schaden für das iranische Atomprogramm war jedenfalls enorm.

USA 2016: Während des Wahlkampfs zu den US-amerikanischen Präsidentschaftswahlen wurden E-Mails und Dokumente der demokratischen Partei und speziell jene der Präsidentschaftskandidatin Hillary Clinton zum Nachteil für die Demokraten veröffentlicht. (Ein Effekt, der sich auch während der österreichischen Nationalratswahl 2018 mit Dokumenten der ÖVP wiederholt hat.[15]) Hier wurde später gegen zwölf Mitarbeiter des russischen Militärnachrichtendienstes GRU Anklage erhoben.[16]

USA 2018: Während der US-amerikanischen Midterm-Elections, bei denen die Abgeordneten zum Repräsentantenhaus, ein Drittel des Senats und mehr als die Hälfte aller Gouverneure gewählt wurden, führte die USA einen militärischen Cyberangriff gegen Russland durch, um zu verhindern, dass sogenannte Trolle die Wahl durch Verbreitung von Falschmeldungen in sozialen Netzen beeinflussen. Bei diesen Falschmeldungen handelte es sich in der Regel um Postings und Kommentare in sozialen Netzwerken, Zeitungsartikeln oder Webforen mit dem Ziel, diverse Themen zu propagieren und rassistische und andere gesellschaftliche Konflikte zu schüren.[17]

Aufgrund solcher Entwicklungen erkannte auch das Österreichische Bundesheer die Entstehung des Cyberraum als einen neuen operativen Raum, der, analog zu Land- und Luftraum, gesondert betrachtet werden muss und für den eigene Wirkmechanismen entwickelt werden müssen. Es nimmt daher schon seit Jahren an internationalen Übungen und Testungen im Cyberbereich teil, um seine Cyber-Defence-Fähigkeiten kontinuierlich weiterzuentwickeln.[18]

Trends

Insgesamt kann festgehalten werden, dass die Anzahl an bekannten internetbasierten Straftaten in den unterschiedlichen Ausprägungen stetig zunimmt. 2018 war in Österreich eine Zunahme von 16,8 % gegenüber 2017 zu verzeichnen[19], während die Aufklärungsquote mit 37,4 % relativ niedrig ist und sogar weiter sinkt[20]. Aufgrund der Komplexität der Angriffe, der nationalen Grenzen der Strafverfolgung und auch aus Gründen der datenschutzrechtlichen Vorgaben ergeben diese Zahlen leider die logische Schlussfolgerung.

Ein weiterer beobachteter Trend ist die professionelle Organisation von Cyberkriminellen. Organisierte Cyberkriminelle setzen dabei auf die Teilung der „Produktionsprozesse“. So können neben Schadsoftware auch Zugänge zu Unternehmen, Botnetze und unterschiedliche Angriffe gekauft oder gemietet werden.[21] Der kriminelle Cyberangreifer benötigt daher mittlerweile weniger technische Kompetenz, sondern vielmehr die kriminelle Energie und Kreativität zum Angriff. Die Technik, also die Schadsoftware oder das Botnetz, kauft oder mietet er sich zu.[22]

Parallel zur Professionalisierung von Cybercrime kommt hinzu, dass viele Unternehmer wie Privatpersonen unzureichendes Fachwissen rund um die unzähligen Details zu digitalen Medien aufweisen oder sich zu wenig Kompetenz zutrauen, sodass sie resignieren und Gefahren einfach akzeptieren. Dies sind zusätzliche Faktoren, die Cyberkriminellen und Cyberbetrügern in die Hände spielen. Daher sollten wir uns auch im Umgang mit digitalen Medien – im Cyberraum – entsprechende Kompetenzen aneignen, um uns sicher und selbstbewusst bewegen zu können.

Doch egal, wie kompetent wir uns persönlich gegen Cybercrime wappnen, unser Leben wird immer digitaler und auch die politischen Auseinandersetzungen der Zukunft werden nach und nach digitale Komponenten enthalten. Die „digitale Achillesferse“ unserer Gesellschaft muss daher ebenso gut geschützt werden und das ist eine Aufgabe, die der Staat allein nicht übernehmen kann. Hier sind alle gefordert.

Umso wichtiger ist es, dass auch Ihr Unternehmen mit den nachfolgenden zehn Strategien gegen Hackerangriffe sicher gestaltet wird.

5vgl. The Code Book. The Secret History of Codes and Codebreaking. Simon Singh. Fourth Estate-Verlag. London. 2000. Seite 10.

6vgl. https://www.boxcryptor.com/de/blog/post/encryption-comparison-secure-messaging-apps/ (abgerufen am 15.07.2020).

7vgl. https://bundeskriminalamt.at/306/ (abgerufen am 14.07.2020).

8Unter „Cybergrooming“ wird die Anbahnung von Kontakten/Freundschaften bei Kindern und Jugendlichen im Internet verstanden. Besteht eine vertrauliche Beziehung, wird diese in weiterer Folge sexuell ausgenutzt.

9Mitnick, Kevin; Simon, William: Die Kunst der Täuschung. mitp-Verlag. 2011. Seite 10f.

10https://futurezone.at/digital-life/cyberangriff-garmin-soll-loesegeld-in-millionenhoehe-bezahlt-haben/400990550 (abgerufen am 29.08.2020).

11Eine Krypto-Wallet ist eine Art digitale Geldbörse zur Verwaltung der Kryptowährung.

12vgl. https://www.stratcomcoe.org/download/file/fid/80772 (abgerufen am 18.07.2020).

13https://isis-online.org/uploads/isis-reports/documents/stuxnet_FEP_22Dec2010.pdf ISIS Report. David Albright. Paul Brannan. Christina Walrond. 2010. (abgerufen am 18.07.2020).

14https://www.wired.com/images_blogs/threatlevel/2010/11/w32_stuxnet_dossier.pdf Symantec. 2010. (abgerufen am 18.07.2020).

15vgl. https://www.diepresse.com/5685360/ovp-kein-hacker-in-kinderschuhen (abgerufen am 18.07.2020).

16vgl. https://www.tagesspiegel.de/politik/hackerangriff-auf-hillary-clinton-zwoelf-russische-spione-wegen-wahlkampf-cyberattacke-in-usa-angeklagt/22801132.html (abgerufen am 18.07.2020).

17vgl. https://www.washingtonpost.com/national-security/trump-confirms-cyberattack-on-russian-trolls-to-deter-them-during-2018-midterms/2020/07/11/66a845e8-c2c3-11ea-b178-bb7b05b94af1_story.html (abgerufen am 18.07.2020).

18vgl. https://www.bundesheer.at/truppendienst/ausgaben/artikel.php?id=1773. 2014. Abwehramt. (abgerufen am 18.07.2020).

19Lagebericht Cybercrime 2018. Bundesministerium für Inneres, Bundeskriminalamt. Digitaldruckerei des BMI. Wien 2019. Seite 17.

20Lagebericht Cybercrime 2018. Bundesministerium für Inneres, Bundeskriminalamt. Digitaldruckerei des BMI. Wien 2019. Seite 38.

21Digging in the deep web. Exploring the dark part of the web. Pierluigi Paganini. Amazon Fulfillment. 2018. Seite 20.

22vgl. https://documents.trendmicro.com/assets/wp/wp-russian-underground-2.0.pdf (abgerufen am 17.07.2020). Seite 9.