Interview mit Karl-Otto Feger, Ministerialrat a.D., CISO des Freistaates Sachsen a.D. Mit digitalen Ködern Hacker abwehren

Anbieter zum Thema

Dell GmbH

sysob IT-Distribution GmbH & Co. KG

Eye Security GmbH

Die Zahl der Fälle von Cyber-Kriminalität nimmt seit Jahren zu: Alleine 2017 verzeichnete das BKA in Deutschland einen Anstieg der Attacken um 54 Prozent im Vergleich zum Vorjahr. Um nicht grob fahrlässig zu handeln, müssen Unternehmen auf ganzheitlichen Schutz vor Hacker-Angriffen setzen, denn Gefahr droht längst nicht mehr nur aus dem Internet, sondern auch aus dem eigenen Netzwerk.

Auch in der öffentlichen Verwaltung spielen Cyberattacken eine immer größere Rolle. So steht auch bei der Sächsischen Landesverwaltung bei Hacker-Angriffen ein wichtiges Gut auf dem Spiel: Das Vertrauen der Bürgerinnen und Bürger. Um dieses Vertrauen nicht zu verspielen, müssen die IT-Systeme nicht nur vor Attacken aus dem Internet geschützt werden, sondern auch Angriffe von innen abwehren können. Wurzel allen Übels sind in diesem Fall meist mit Schadsoftware befallene Rechner, unbemerkt in das Netzwerk eingedrungene Hacker oder Mitarbeiter, die Sicherheitsbestimmungen missachten. Zentrale Firewalls oder Antivirussysteme bieten hier keinen adäquaten Schutz.

Um auf derartige Bedrohungen reagieren zu können, wurde „HoneySens“ entwickelt. Über die gezielte Platzierung von digitalen Ködern innerhalb gefährdeter Teilnetze werden alle verdächtigen Aktivitäten aufgezeichnet. Administratoren können die aggregierten Daten im Anschluss auswerten und im Ernstfall entsprechende Abwehrmaßnahmen einleiten. Die IT-Sicherheitslösung wurde vom Sächsischen Staatsministerium des Innern gemeinsam mit der Technischen Universität Dresden entwickelt und durch T-Systems Multimedia Solutions in die Praxis überführt. Karl-Otto Feger, Ministerialrat a.D., Chief Information Security Officer des Freistaates Sachsen a.D. und Initiator des HoneySens-Projekts, spricht im Interview über die zunehmende Gefahr, die aus dem internen Netzwerk droht und den richtigen Schutzmaßnahmen.

Security-Insider: Welche Netzwerke mit welchen Daten werden von Hackern bevorzugt angegriffen?

Karl-Otto Feger: Für die große Masse der heutigen Angriffe gibt es kein besonderes Muster. Alle Internetnutzer werden ständig von Hackern, guten oder schlechten, gescannt und zumindest auf Sicherheitsschwachstellen hin bewertet. Dabei spielt es keine Rolle, ob es sich um Privatpersonen oder Konzerne handelt.

Es gibt aber auch gezielte Angriffe, die dann ausgesuchte wirtschaftliche oder politische Ziele verfolgen. Beispiele hierfür gibt es einige, wie den Angriff auf Thyssenkrupp oder den Deutschen Bundestag.

Security-Insider: Gibt es markante Veränderungen in der Art und Häufigkeit der Attacken zwischen 2017 und heute? Auf das sächsische Verwaltungsnetz / insgesamt?

Feger: Laut des jährlichen Bundeslagebilds Cybercrime des BKAs verzeichnete Deutschland 2017 fast 86.000 Fälle von Cyber-Kriminalität, wobei es eine Zunahme zum Vorjahr von 54 Prozent in Sachen mobiler Malware gab. In 2018 gab es bereits über 87.000 Fälle. Besonders durch den Trojaner „Emotet“ war 2018 ein „gutes“ Jahr für Angriffswellen. Das zeigt: Die Angriffe werden häufiger und Hacker nutzen zunehmend Smartphones und andere mobile Endgeräte als Einfallstore.

Security-Insider: Wer verbirgt sich hinter den Angriffen der vergangenen Jahre? Was sind die Interessen der Angreifer?

Feger: Mittlerweile haben sich kriminelle Netzwerke ausgebildet, die die verschiedensten Ziele verfolgen. Industriespionage ist dabei ein häufiger Grund. Dabei verschaffen sich Hacker gezielt Zugriff zu Netzwerken im Auftrag ihrer Kunden, um Geschäftsdaten von beispielsweise Konkurrenten zu erlangen. Weiter wird „auf gut Glück“ versucht, große Mengen von Netzwerken und damit Computer zu verseuchen, um dort hauptsächlich Kontaktdaten für weitere Angriffswellen zu erlangen. Die Hacker verschlüsseln die Daten der befallenen Computersysteme und Netzwerke und erpressen damit Lösegelder bei Unternehmen. Nicht zu unterschätzen sind auch staatlich kontrollierte und beauftragte Angriffe, um Wirtschaftsspionage durchzuführen oder um Quellen für unliebsame Informationen aufzudecken.

Security-Insider: Was wären die Konsequenzen von Attacken beispielsweise auf die öffentliche Verwaltung, wenn sie erfolgreich wären?

Feger: Das wichtigste Gut der öffentlichen Verwaltung ist das Vertrauen der Bürger und der Wirtschaft. Daher wären insbesondere Datenabflüsse aus der öffentlichen Verwaltung verheerend für dieses Vertrauen. Zudem ist es, wie oben erwähnt, problematisch, wenn die Verwaltung aufgrund von Hackern verschlüsselter Daten den Zugriff verliert. Damit werden Verwaltungsprozesse lahmgelegt.

Security-Insider: Stichwort Hacker-Methoden: Welche kommen vor und wie genau können diese durch HoneySens abgewehrt werden?

Feger: Ein klassischer Infektionsweg ist eine verseuchte E-Mail mit Anhang, wie DOC- oder PDF-Dateien. Dafür nutzen sie gerne Makros innerhalb eines Word-Dokument-Anhangs. Wir sehen es immer wieder, dass die heutigen Virenscanner in vielen Fällen versagen, beim Versuch solche Bedrohungen auf den lokalen Rechnern zu finden.

HoneySens kann solche Angriffe zwar nicht verhindern, aber es erkennt die Verbreitung von Schadsoftware in Netzwerken. Das funktioniert so, indem digitale „Köder“ im Netzwerk ausgelegt werden, also absichtliche Schwachstellen, auf die es Hacker abgesehen haben. Wenn sie die Köder schlucken, löst HoneySens einen zentralen Alarm aus und informiert die Administratoren über diese „Lateralbewegungen“.

Security-Insider: Welche digitalen Köder benutzt HoneySens? (Z.B. Datenbanken, Registry-Einträge, Netzwerk-Shares?)

Feger: HoneySens legt eine ganze Reihe solcher Köder aus. Das beginnt bei vermeintlichen Webservern über Datenbanken und Netzwerkshares bis hin zu SCADA-Systemen.

Security-Insider: Ist das Honeypot-Element in das systemweite Sicherheitskonzept integriert? Woran erkennt man, dass es sich um einen echten Sicherheitsvorfall handelt? Was genau passiert dann? Werden ausschließlich automatisierte Maßnahmen eingeleitet oder sind auch händische Aktivitäten erforderlich?

Feger: HoneySens ist nicht zu verstehen als eine Schutzmaßnahme, die für sich alleine reichen würde. HoneySens ist eine Ergänzung der bestehenden Sicherheitsarchitektur, die man in seinen Netzen aufbauen sollte. Wir können mit HoneySens verhindern, dass Cyberspione erfolgreich sind.

Die „Honigtöpfe“, oder Schwachstellen, zeichnen zunächst in ausgewählten Teilnetzen des Sächsischen Verwaltungsnetzes alle verdächtigen Zugriffe auf die mit den damit verbundenen Datenpakete auf und leiten sie an den zentralen HoneySens Server zur Prüfung und Alarmierung weiter. Der zuständige Administrator erhält eine E-Mail, die im sagt: „Dieser Honeypot in deinem Bereich wurde von einem Rechner mit folgender IP-Adresse an folgender Stelle angefasst.“ Die weiteren Schritte liegen dann in der Hoheit des Administrators. Wir können mit HoneySens sicherstellen, dass wir das oft sehr große Zeitfenster zwischen Infektion und Erkennen der Infektion deutlich verkleinern.

Security-Insider: Wie sieht das HoneySens-Reporting aus? Wie werden die Ergebnisse in die übergreifende InfoSec-Strategie eingebettet? Gab es bereits Optimierungen, die der Freistaat Sachsen aufgrund von HoneySens-Analysen durchgeführt hat?

Feger: Das Reporting erfolgt einerseits über die E-Mail-Alarmierung des jeweiligen Administrators, andererseits über die Reportingfunktion des HoneySens-Servers.

Im Lauf der Entwicklung und auch danach wurden eine ganze Reihe von Optimierungen eingebracht. So entwickelte sich der Sensor vom ursprünglichen Einplatinen-Computer hin zu einem modularen System auf Basis der Container-Lösung Docker, dass schon für den HoneySens Server Anwendung fand. Damit war es möglich, den Sensor mit überschaubarem Aufwand sowohl als Hardware- wie auch als Software-System zu realisieren und so, wie in heutigen Rechenzentren die Regel, als virtuelle Maschine anzubieten.

Ein weiterer wichtiger Punkt war die Integration in hochkomplexe Netzwerke, wie es das Sächsische Verwaltungsnetz darstellt. HoneySens hat sich so von einer Idee und einer Diplomarbeit erfolgreich zu einem professionellen Schutzsystem weiterentwickelt.

Security-Insider: Gibt es Berührungspunkte zwischen Honeypots und DSGVO, z.B. bei der Erfassung von IP-Adressen von Angreifern oder als wirksamer Mechanismus zum Schutze von Kundendaten, etc.?

Feger: HoneySens ist ein passives System. Nachdem seine Dienste nicht als aktive Ressource im Netzwerk angeboten werden, sind Zugriffe auf den Sensor in aller Regel nicht versehentlich. Wer darauf zugreift, hat nach Ressourcen im Netzwerk gesucht und ist als Angreifer einzustufen. Dabei ist es für HoneySens natürlich unerheblich, ob die Suche durch einen gehackten Rechner oder einen Innentäter ausgeführt wird. Insofern ist der Berührungspunkt zur DSGVO, dass HoneySens dabei hilft, jegliche Informationen im Netzwerk, auch personenbezogene, gegen unerlaubten Zugriff zu schützen.

Security-Insider: Wie schützt HoneySens davor, nach einem erfolgreichen Hackerangriff selbst zum Ausgangspunkt für Cyber-Angriffe zu werden?

Feger: HoneySens ist ein auf Software basierendes System und es besteht als solches immer das Risiko, dass sich Schwachstellen im System befinden. Allen Beteiligten war und ist diese Tatsache sehr bewusst und es wurde daher von Beginn an darauf geachtet, die Funktionalität des Systems ebenso hoch zu bewerten wie die Eigensicherheit. Daher wurde bewusst auf die Anwendung agiler Methoden oder DevOps verzichtet. Trotzdem, obwohl die Aussage recht abgegriffen ist, wird die absolute Sicherheit nie gegeben sein, dass ein Sensor oder der Server nicht durch Angriffe kompromittiert werden kann.

(ID:46392544)