Suchen

Ordnung gegen Chaos Risiken der Cybersicherheit im Jahr 2020

Autor / Redakteur: Lionel Snell / Peter Schmitz

Der Kampf zwischen Ordnung und Chaos tobt im gesamten Cyber-Universum. Wirtschaft und Regierungen bestehen natürlich darauf, dass sie die Kräfte der Stabilität und der Organisation darstellen, und Cyberkriminelle die Kräfte des Chaos seien. Aber die Ironie besteht darin, dass in vielerlei Hinsicht die Wirtschaft und die Regierungen derzeit im Chaos versinken, während die Cyberkriminalität immer organisierter vorgeht.

Firmen zum Thema

Der Kampf zwischen Ordnung und Chaos tobt. Während Wirtschaft und Regierungen oft im Cyber-Chaos versinken, agieren Cyberkriminelle immer organisierter.
Der Kampf zwischen Ordnung und Chaos tobt. Während Wirtschaft und Regierungen oft im Cyber-Chaos versinken, agieren Cyberkriminelle immer organisierter.
(Bild: gemeinfrei / Pixabay )

Beginnen wir mit Daten aus einer vermeintlich zuverlässigen Quelle: dem Weltwirtschaftsforum. Im Jahr 2018 wurden die weltweiten Kosten der Cyberkriminalität auf 600 Milliarden Dollar geschätzt. Bis 2020 werden sie schätzungsweise 3 Billionen Dollar erreichen. Unterdessen beziffert Gartner die weltweiten Gesamtausgaben für die Cybersicherheit im Jahr 2019 auf 124 Milliarden Dollar. Der Vergleich der Kosten mit den Verlusten sieht nach einer sehr schlechten Wette aus. Oder, wie der Analytiker Vikram Phatak, Gründer von NSS Labs, betont: „Die Bösen können ihre Forschung mit einer Rate finanzieren, die etwa fünfmal so hoch ist wie die der Guten. Das verheißt nichts Gutes für die Zukunft.“

Phatak schildert auch einen ernsthaften Mangel an Kompetenzen und dass es trotz aller guten Absichten von DevOps Leute gibt, die schnell über die Google-Suche programmieren, „die sich ein Open-Source-Repository schnappen, das von Nordkoreanern, Chinesen, Russen oder Iranern vielleicht oder vielleicht auch nicht mit Hintertüren versehen wurde. Der nächste Angriffsvektor wird buchstäblich in den Code eingebettet, den wir heute entwickeln“. Wo stehen wir also heute? Die meisten CSOs können diese Frage wahrscheinlich nicht beantworten. Und das, noch bevor sie sich überhaupt mit den Gefahren des IoT, von 5G und den Bedrohungen der physikalischen Infrastruktur befasst haben.

Eine Frage der Kompetenz

Haben Sie schon vom Dunning-Kruger-Effekt gehört? Er besagt, Dass Menschen, die inkompetent sind, oftmals so inkompetent sind, dass sie nicht wissen, dass sie inkompetent sind. Sie verfügen nicht über die Mittel, um ihre eigenen Fähigkeiten zu beurteilen. Die tatsächliche Performance der unteren 25 Prozent ist vollkommen unzureichend, während sie glauben, einen guten Job zu machen. Umgekehrt gehen Menschen, die hochkompetent sind, meist davon aus, dass, wenn die Dinge für sie einfach sind, sie auch für andere einfach sein werden. „Das passiert im Silicon Valley ständig und bei Softwareprodukten im Allgemeinen. Die besten Köpfe überschätzen die Fähigkeiten der anderen.“

Die NSS Labs haben einige aufschlussreiche Daten über die Anfälligkeit von Sicherheitsprodukten gegenüber "Umgehungsmöglichkeiten" gesammelt.
Die NSS Labs haben einige aufschlussreiche Daten über die Anfälligkeit von Sicherheitsprodukten gegenüber "Umgehungsmöglichkeiten" gesammelt.
(Bild: NSS Labs)

Die NSS Labs haben einige aufschlussreiche Daten über die Anfälligkeit von Sicherheitsprodukten gegenüber „Umgehungsmöglichkeiten“ gesammelt - d.h. ein Angriff wird erfolgreich blockiert, aber der Angreifer passt ihn nur geringfügig an und die neue Version kommt unerkannt durch. Zwölf Firewalls der nächsten Generation wurden getestet, und 9 haben sich gegen einfache Klartext-Angriffe gut geschlagen. Aber alle 12 scheiterten an der Resilienz (Tiefe der Schutzbibliothek). NSS konnte bekannte bzw. blockierte Exploits geringfügig modifizieren und den Schutz in allen Geräten umgehen. Elf von ihnen konnten Exploits, die mit Hilfe von Complex App Layer Evasions (HTML / Javascript / VBScript) verschleiert wurden, nicht blockieren. Obwohl die Umgehung von IP-Fragmentierungen seit den 1990er Jahren bekannt ist und korrekt gehandhabt wird, stellen sie weiterhin 8 der Anbieter vor Herausforderungen.

Es gibt jedoch nicht nur schlechte Nachrichten. So erreichte etwa Versa Networks' FlexVNF die begehrte „Recommended“-Bewertung der NSS Labs aufgrund einer 99%igen Exploit-Blockrate und der hohen Bewertungen sowohl bei den Kriterien SSL/TLS-Funktionalität als auch bei den Gesamtbetriebskosten.

Vikram Phatak sagt zusammenfassend: „Wir fallen zurück, und die Bösen haben die Oberhand gewonnen. Es wird schlimmer. Die Werkzeuge, auf die wir uns verlassen, sind unglaublich komplex und werden nicht einfacher. Hoffentlich wird es bei einigen der KI-Entwicklungen so sein, aber dafür gibt es keine Garantie.“

Das Motiv erkennen

Wie bei jeder Detektivarbeit hilft es, mit dem Motiv zu beginnen: Was wollen die Übeltäter erreichen? Wenn man jemanden vom US Secret Service - einem Teil des Heimatschutzministeriums - fragt, könnte man eigentlich erwarten, dass er politische Bedrohungen und Cyber-Krieg als Hauptursache anführt. Aber Tom Edwards vom US Secret Service betont, dass Geld nach wie vor der größte Antrieb ist: „Der Geheimdienst hat eine doppelte Mission. Er schützt nicht nur den Präsidenten und den Vizepräsidenten, deren Familien und ausländische Staatsoberhäupter, aber die meisten Menschen wissen nicht, dass er auch gegen cybergestützte Finanzkriminalität ermittelt. Wir begannen 1865 mit der Untersuchung von Finanzkriminalität mit gefälschtem Geld, und wir haben uns parallel mit den Kriminellen bis heute weiterentwickelt“.

Edwards erklärt: „Die Cyber-Akteure, mit denen wir es zu tun haben, sind weltweit organisierte Gruppen, und sie sind gewinnorientiert, sei es im öffentlichen oder privaten Sektor, durch Lösegeldzahlungen oder durch die Kompromittierung von geschäftlichen E-Mails. Sie sind hinter dem Geld her, sie sind hinter Kreditkartendaten her, sie sind hinter persönlichen, identifizierbaren Informationen her und machen daraus Profit. Die nächste Stufe ist dann der Diebstahl von Zugangsdaten. Sie dringen in Cloud-basierte Server ein und stehlen diese Daten, um sie im Dark Web oder an anderen Orten zu monetarisieren. “

Ted Ross, CEO und Gründer von SpyCloud, verfügt über ein Forscherteam, das mit Kriminellen interagiert und von ihnen Daten per Social Engineering stiehlt, damit diese an die Kunden weitergegeben werden können, um Account-Übernahmen zu verhindern. „Wir haben das Unternehmen vor drei Jahren gegründet. Derzeit haben wir über 13.000 Verstöße in unserer Datenbank. Fast 80 Milliarden Sätze. Wenn Sie über eine Online-Identität verfügen, haben wir sie wahrscheinlich in unserer Datenbank - was bedeutet, dass auch die Kriminellen sie haben. Sie sind hochgradig organisiert und bauen ihre eigenen Datenbanken auf“.

Welche Lösungen weisen nach vorn?

Die Menschen unterschätzen die Fähigkeit des Kriminellen, kreativ zu sein. Sie gehen davon aus, dass Unternehmen wie Akamai die Informationen, sobald sie im tiefen und dunklen Netz angekommen sind, aufspüren und ihre Kunden schützen können. Tatsächlich aber können diese Daten bis zu zwei Jahre lang weiter analysiert werden: „Als erstes werden die Daten in qualitativ hochwertige Ziele aufgeteilt - eine spezielle Kategorie für sehr raffinierte gezielte Angriffe. Den Rest belassen sie für später und führen damit automatisierte Angriffe durch.“ Einer seiner Kunden, eine Finanzorganisation, die mit vielen Krypto-Währungen zu tun hat, berichtete, dass 10 Prozent der Angriffe auf ihr Netzwerk gezielt sind, aber 80 Prozent der Verluste verursachen.

Welche technischen Lösungen weisen also den Weg nach vorn? Es wird viel über KI und Techniken des maschinellen Lernens zur Automatisierung, Beschleunigung und Verfeinerung der Angriffserkennung gesprochen - aber denken Sie daran, was Phatak über die F&E-Ressourcen gesagt hat. Die Bösewichte wenden diese Techniken wahrscheinlich bereits an. Vielleicht ist ein naheliegender Ansatz, sich auf die Visibilität zu konzentrieren? Das ist ein natürlicher menschlicher Instinkt: Wenn wir mitten in der Nacht ein verdächtiges Geräusch in unserem Haus hören, schalten die meisten Menschen instinktiv das Licht ein, obwohl sie dadurch für den Eindringling sichtbar werden könnten. Sobald die Menschen sehen können, was passiert, können sie schnell und oft sehr effektiv handeln.

Paul Kraus, Vice President of Engineering for Cybersecurity bei NetScout Systems, weist auf diesen Punkt hin: „Woher wissen Sie, was Sie überwachen müssen, oder wie legen Sie Wert auf die Assets in Ihrer Organisation, wenn Sie nicht einmal wissen, dass sie da sind? Der erste Aspekt ist die Bestandsaufnahme dessen, was man tatsächlich besitzt. Und zweitens stellt sich die Frage, ob sich tatsächlich Statistiken erheben lassen. Lassen sich Veränderungen Sie weit kontrollieren, dass die Organisation das Risiko einer Beeinträchtigung dieser Assets in Kauf nehmen kann?“ Kraus hat eine Gruppe von Sicherheitsingenieuren gefragt: „Wenn das Entwicklungsteam Ihrer Organisation etwas in die Cloud verschiebt, sind Sie dann involviert? Von 300 Personen hob ein halbes Dutzend die Hand. Versteht das Sicherheitsteam überhaupt, was da draußen ist? Versteht das IT-Team überhaupt, was draußen vorgeht? Gehen wir zurück zur Sichtbarkeit. Das ist der Schlüssel zum Verständnis der Risikohaltung. Ohne diese Sichtbarkeit haben Sie wirklich keine Chance.“

Faktor Mensch

Dies ist eine subtile Verlagerung des Schwerpunkts: von der Konzentration auf Software oder Geräte, die uns schützen sollen, hin zum Nachdenken darüber, was die Menschen brauchen, um sich zu wehren. Für einen Soldaten könnte ein Fernglas mit Nachtsicht mehr wert sein als eine Waffe. Cyber-Security-ExperteTed Ross greift dies auf: „Wenn man ein Netzwerk installiert, installiert man damit auch die Security. Sie ist ein Teil der Installation. Und hoffentlich geschieht das auch in den meisten Fällen. Nur wird bei der Implementierung einer Sicherheitspraxis oftmals der menschlichen Faktor vergessen. Das ist schwächste Glied. Es reicht nicht aus, die Geräte zu schützen, wir sollten auch mit der Ausbildung der Menschen anfangen und sie über Konzepte wie Zero Trust aufklären. Wenn Sie eine E-Mail vom CEO erhalten, in der Sie gebeten werden, Geschenke bei Apple zu kaufen, rufen Sie Ihren CEO an, um zu sehen, ob er die Geschenke tatsächlich gemacht hat. Das sind wirklich grundlegende Dinge“.

Vikram Phatak fügt hinzu: „Cybersicherheit ist wie eine Mitgliedschaft im Fitnessstudio geworden. Die Leute kaufen es, es gibt ihnen ein gutes Gefühl, aber sie setzen es nicht wirklich ein und benutzen es nicht richtig. Sie gehen nicht wirklich hin und tun, was sie tun müssen.“

Michael Levin, ehemaliger stellvertretender Direktor des US-Heimatschutzministeriums, ist jetzt CEO des Centre for Information Security Awareness und hilft Organisationen, Sicherheit in ihre Organisation zu bringen und eine Sicherheitskultur zu schaffen. Er betont diesen Aspekt des Social Engineering: „Dies ist eines der Dinge, über die wir Unternehmen und Mitarbeiter aufklären. Es geht nicht nur um Phishing-E-Mails, sondern um die verschiedenen Möglichkeiten, wie Mitarbeiter dem Social Engineering ausgesetzt werden können. Es könnte über das Telefon sein, es könnte persönlich sein, es könnte durch soziale Medien geschehen. Es gilt, Mechanismen und Erinnerungshilfen für die Mitarbeiter in der Organisation zu schaffen, damit sie täglich auf der Hut sein können“.

Gute Ratschläge

Das alles zeichnet ein eher deprimierendes Bild. Wenn wir schon nicht jubeln können, so können wir doch zumindest Ratschläge geben:

  • Vergessen Sie die alte Idee, dass Hacker tief hängende Früchte bevorzugen, was bedeutet, dass sie faul sind. Wie Michael Levin sagt: „Was ist das erste, was ein intelligenter Autoknacker tun sollte? Den Türgriff überprüfen, um zu sehen, ob er unverriegelt ist. Viele Hacker machen eine sehr gute Erkundungsarbeit und finden alle offenen Fenster in unseren Netzwerken“. Sie sind nicht nur gebildet, sondern auch hoch motiviert. Für die meisten Mitarbeiter ist Sicherheit ein zweitrangiges Thema, für Hacker ist es ihr Job.
  • Denken Sie über die Beziehung zwischen Ihren sozialen Medien und Ihrem Unternehmen nach. Ein Firmenchef twitterte seinen Freunden, dass er für ein paar Tage nach Peking reisen würde. Ein paar Tage später erhielt sein CFO eine E-Mail - angeblich von ihm, in der er sagte, er sei von der chinesischen Regierung verhaftet worden und brauche Geld. Sie schickten ihm das Geld, weil es genug Details in den sozialen Medien gab, um es glaubwürdig erscheinen zu lassen.
  • Seien Sie misstrauisch, wenn Sie ein Gefühl der Dringlichkeit haben. Wie Levin sagt: „In neun von zehn Fällen werden die Menschen gezwungen, sehr schnell Entscheidungen zu treffen, und das führt oft zu einem Betrug. Wenn eine Nachricht „Beeilung, Beeilung“ sagt, klicken Sie nicht einfach darauf. Rufen Sie an und prüfen Sie.
  • „Unterstützen Sie eine offene Kultur gegenüber Cyber-Bedrohungen“, sagt Tom Edwards. Wenn Arbeitgeber zu viel Angst vor dem Chef haben, um zu gestehen, dass sie auf eine Phishing-E-Mail geklickt haben, dann ist das Unternehmen in Schwierigkeiten. Michael Levin stimmt dem zu: „Es sollte eine Möglichkeit geben, aus der Situation herauszukommen und das Unternehmen wissen zu lassen, dass sie etwas falsch gemacht haben könnten, ohne bestraft zu werden.“
  • Wenn sich Ihr Sicherheitsdenken nur auf die Technologie konzentriert, dann denken Sie mechanisch. Denken Sie stattdessen an die menschlichen Faktoren, die Motivation des Hackers und die Schwachstellen des Opfers, und Sie werden einen viel breiteren Überblick über den Kampfplatz gewinnen.

Über den Autor: Lionel Snell ist Editor bei NetEvents.

(ID:46392191)