Bekämpfung von Cyberangriffen

Von Pascal Lamia

Die Melde- und Analysestelle Informationssicherung MELANI ist vom Bundesrat mit dem Schutz Kritischer Infrastrukturen in der Schweiz beauftragt und befasst sich täglich mit den Gefahren, die im Internet lauern.

Artikel erschienen in Swiss IT Magazine 2012/06

     

T äglich werden private Internetnutzer, aber vor allem auch grosse, mittlere und kleine Unternehmen Opfer von Cyberangriffen. Meist bleiben diese Angriffe über längere Zeit unerkannt, weshalb der durch die Angreifer verursachte ideelle, materielle und finanzielle Schaden ins Unermessliche steigen kann. In Einzelfällen mussten zuvor durchaus erfolgreiche und renommierte Unternehmen Konkurs anmelden, nachdem sie Opfer von Cyberangriffen wurden.
Was aber bezwecken die Angreifer? Grundsätzlich ist immer davon auszugehen, dass jemand, der etwas Verbotenes im Internet tut, damit Geld verdienen will. Dies geschieht oft auf direktem Weg, beispielsweise durch so genannte «Man-in-the-Middle»-Angriffe im E-Banking: Den Angreifern gelingt es mithilfe eines zuvor auf dem PC des Opfers installierten Schadprogramms parallel zur E-Banking-Sitzung des Opfers eine zweite Sitzung aufzubauen und so – vorläufig unbemerkt – illegal Geld auf ausländische Konten zu transferieren. Geld lässt sich aber auch verdienen, indem beispielsweise Betriebsgeheimnisse, Baupläne für ein neues Produkt, chemische Zusammensetzungen für neue Medikamente usw. entwendet werden. Diese Informationen lassen sich im Untergrundmarkt problemlos zu Geld machen.

Wer denkt, dass er oder sie als private/r Internetnutzer/in für Angreifer nicht interessant ist, liegt falsch: Immer häufiger wird z.B. der Missbrauch von Kreditkartendaten oder der so genannte Identitätsdiebstahl: Eine Person gibt sich für illegale Zwecke als eine andere, real existierende Person aus. Dies ist beispielsweise eine der Motivationen, die hinter den allseits bekannten Lotto-Mails stehen: Diese Mails stellen Ihnen oft einen Gewinn in Millionenhöhe in Aussicht, jedoch müssen Sie als «Bestätigung» eine Kopie Ihres Passes einscannen und per Mail zurückschicken. Die so übermittelten Personalien dienen den Betrügern, um sich für illegale Machenschaften als eine andere, real existierende Person auszugeben.
Sehr beliebt sind momentan Mails, die ein Betrüger im Namen einer anderen Person abschickt: Der Betrüger hat zuerst das E-Mail-Konto eines unbeschadeten Bürgers – nennen wir ihn Karl Mustermann – gehackt und sich so Zugang zu den im E-Mail-Konto gespeicherten Kontakten verschafft. Der Betrüger verschickt im Namen von Karl Mustermann Mails, in denen er seine Bekannten, Freunde und Geschäftspartner um Hilfe bittet: Er sei im Ausland ausgeraubt worden und benötige dringend Geld für die Bezahlung der Hotelrechnung und für den Kauf eines Tickets in die Heimat. Man solle das Geld bitte via Western Union an ihn überweisen.
Andere Betrüger greifen zu weitaus dreisteren Mitteln: So machte beispielsweise vor einigen Monaten eine E-Mail im Namen einer real existierenden Anwaltskanzlei in Deutschland die Runde: Den Empfängern wurde mitgeteilt, sie hätten illegal MP3-Songs vom Internet heruntergeladen und auch Songs ins Internet hochgeladen. Eigentlich – so die «Anwaltskanzlei» müsse man Anzeige wegen Verstosses gegen das Urheberrechtsgesetz erstatten, würde aber bei der Bezahlung eines kleineren dreistelligen Betrages absehen. Viele Personen, die dieses Mail erhalten haben, haben auch tatsächlich bezahlt, weil sie sich vor einer Anklage fürchteten.

Im Vergleich zu den folgenden Beispielen mögen die oben erwähnten Vorfälle richtig harmlos klingen:

Vor rund zwei Jahren sorgte der Computerwurm «Stuxnet» für weltweites Aufsehen: In einem iranischen Urananreicherungswerk wurde dieser Computerwurm entdeckt. Er war so raffiniert programmiert, dass er nur ganz bestimmte Systeme eines einzigen Herstellers befiel. In der Folge manipulierte er die Drehzahl der für die Urananreicherung notwendigen Turbinen. Diese Turbinen müssen in einem sehr konstanten Drehzahlbereich arbeiten. Stuxnet reduzierte und erhöhte die Drehzahl der Turbinen mehr oder weniger beliebig, während er den Ingenieuren im Kontrollraum gleichzeitig vorgaukelte, die Drehzahl sei sehr konstant. Im Extremfall hätten die Turbinen erheblichen Schaden nehmen und unter Anderem sogar Uran freigesetzt werden können. Analysen des Computerwurms haben ergeben, dass eine einzige Person für die Programmierung rund 10 Jahre hätte aufwenden müssen. Diese und weitere Erkenntnisse lassen vermuten, dass ein oder mehrere ausländische Staaten in diesen Angriff involviert waren oder ihn sogar selber durchgeführt haben.
Selbstverständlich ist auch die Bundesverwaltung nicht vor Angriffen gefeit: So gelang es Angreifern im 2009 in das Netzwerk der Bundesverwaltung einzudringen. Auch in diesem Fall waren die Vorbereitungsarbeiten für die Angreifer sehr hoch und die programmierte Malware wurde explizit für diesen Zweck gebaut. Daher steht auch hier die Vermutung im Raum, dass einer oder mehrere ausländische Staaten an diesem Angriff beteiligt waren.

Die Frage steht natürlich im Raum, ob und wie man sich gegen solche Vorfälle effizient schützen kann. In erster Linie sollten alle Personen das Internet mit der gebotenen Vorsicht verwenden und sich bewusst sein, dass jedes Unternehmen und jede Privatperson für Angreifer interessant ist. Daneben müssen selbstverständlich die gängigen Sicherheitsmassnahmen umgesetzt werden: Aktueller Virenschutz, regelmässige Updates von Betriebssystem und Anwendungen, im Unternehmensbereich ebenfalls klar definierte Firewall-Policies, deren Umsetzung regelmässig überprüft wird.
Damit jedoch nicht genug: Die Erfahrung zeigt, dass technische Massnahmen allein nicht genügen, um sich insbesondere vor Informationsdiebstahl zu schützen: Es reicht nicht aus, beispielswiese das Anschliessen von externen Datenträgern wie z.B. USB-Sticks zu verbieten und die USB-Ports zu deaktivieren. Heute verfügt fast ausnahmslos jedes Handy über eine Sprachaufzeichnungsmöglichkeit, über eine Foto- und Filmkamera. In besonders sensiblen Bereichen sollte daher auch die Frage geklärt werden, ob, von wem und unter welchen Voraussetzungen Handys in diese Unternehmensbereiche mitgebracht werden dürfen.
Die Problematik der mobilen Geräte, egal ob Handy oder Tablet, werden uns in Zukunft noch vermehrt beschäftigen. Einen wirklich adäquaten Schutz gibt es nämlich nicht und die neuen Generationen solcher Geräte werden immer schneller und verfügen über eine grosse Speicherkapazität. Das heisst, es werden in Zukunft immer mehr geschäftliche Informationen auf diesen Geräten bearbeitet; ein Unterschied, ob vertraulich oder nicht wird oftmals nicht gemacht, Hauptsache man kann flexibel arbeiten. Die Sicht einer integralen Informationssicherheit wird zur grossen Herausforderung und braucht pragmatische, aber sichere Lösungen.

Der Autor

Pascal Lamia ist Leiter der Melde- und Analysestelle Informationssicherung MELANI sowie Informatiksicherheitsbeauftragter des Bundes. Er ist 44 Jahre alt und arbeitet seit Jahren im Informatikbereich.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER