Fünf Thesen zu „Cyber-Angriffen“

Der folgende Text ist eine Zusammenstellung der Inhalte aus meinen bisherigen Referaten zum Thema “Cyber“. Er dient als Handout für die Zuhörer und als Blog für am Thema Interessierte.
Ich danke Franz Koch für die inhaltliche und redaktionelle Unterstützung.

Die fünf Thesen zu „Cyber-Angriffen“:

  1. Sie sind das Ziel, nicht Ihr Computer
  2. Es gibt keinen Schutz gegen Cyber-Angriffe
  3. Die Armee kann nicht die ganze Schweiz vor Cyber-Angriffen schützen
  4. Die Armee muss Cyber-Angriffe beherrschen
  5. Drei einfache Massnahmen reichen zum wirkungsvollen Schutz

Was ist “Cyber”?

Der Begriff “Cyber” ist von „Kybernetik“ abgeleitet. Ursprünglich gemeint waren damit Steuer- und Regelkreise. Daraus erwuchsen in der Science-Fiction Literatur der 80er Jahre der “Cyberspace” und “Cyberpunk”. Heute ist alles “Cyber-…”. Cyber-Mobbing ist vor allem an Schulen ein belastendes Thema, der Cyber-Junkie ist online-süchtig und Cyber-Armeen sollen in Zukunft Cyber-Kriege führen. Da sich nur die wenigsten Menschen in der Welt der bits und Bytes zurechtfinden, begann man die komplexe neue Cyber-Welt mit Metaphern beschreiben. So entstanden Cyber-Attacks, Cyber-Defence, Cyber-Operationen und sogar preemptive Counterstrikes, die im Cyber-Raum möglich sein sollen.
Die Medien heizen die Cyber-Phantasien zusätzlich an. So wurde der “WannaCry” Virus als “eine von einer Hacker Truppe beim US-Geheimdienst gestohlene Cyber-Waffe” beschrieben. Was in Tat und Wahrheit ein Softwarefehler in einem Uralt-Betriebssystem von Microsoft ausnützt, wird zur Cyber-Waffe hochstilisiert. Besonders brisant: Die Sicherheitslücke hätte mit kostenlosen Updates schon längstens geschlossen werden können.

Was ist “Kritische Infrastruktur”?

Den grössten Schaden richten Cyber-Angriffe auf kritische Infrastrukturen an. Wir denken dabei zu Recht an Stromwerke, Spitäler oder die Verfügbarkeit des Zahlungssystems. Fällt der Strom aus, so fallen auch die Wasserversorgung und das Mobilfunknetz aus. Ganze digitale Wertschöpfungsketten stehen ohne Strom still. Unsere effiziente und technologisierte Gesellschaft ist deshalb in hohem Masse von kritischen Infrastrukturen abhängig. Der Umfang der heutigen Definition des Begriffs der kritischen Infrastruktur reicht aber im Zeitalter der Cyber-Angriffe nicht mehr aus. Verstand man bisher unter dem Schutz kritischer Infrastruktur die Verfügbarkeit von unverzichtbaren Gütern und Dienstleistungen, müssen in Zukunft auch ideologische und immaterielle Werte unserer Gesellschaft vor Cyber-Angriffen geschützt werden. Der Diebstahl und die Verbreitung von unbestätigten Informationen beeinflusst Wahlen, untergräbt das Vertrauen der Bevölkerung in staatliche Institutionen und kann Regierungen stürzen.
Die Cyber-Bedrohung bedarf eines ganzheitlichen Konzeptes zum Schutz kritischer Infrastruktur.

Was ist ein “Cyber-Angriff”?

Im Folgenden möchte ich den Begriff “Cyber-Angriff” für das gezielte Eindringen in Computersysteme und -netze von kritischen Infrastrukturen verwenden.

Cyber-Angriffe

Die ungezielte und unkoordinierte Verbreitung von Schadsoftware ist in diesem Zusammenhang somit nicht gemeint. Viren, Trojaner und Würmer gibt es schon seit über 20 Jahren, länger als das Internet. Die Erkennung und Ausmerzung dieser Art von Schädlingen ist, unter anderem, die Welt der Anti-Viren-Programme.
Auch Cyber-Kriminalität ist in diesem Zusammenhang nicht gemeint. Zwar greifen Kriminelle auch die Systeme und Betreiber kritischer Infrastrukturen an. Deren Absicht ist jedoch die persönliche Bereicherung und nicht das gezielte Ausschalten der Infrastruktur. So kombiniert aktuell eine neue Generation unspezifisch verbreiteter Schadsoftware die Verbreitungsmechanismen der Viren, Trojaner und Würmer mit der Verschlüsselung von Daten. Nur wer den Erpressern einen Betrag, meistens in Bitcoins, bezahlt, kommt vielleicht wieder an seine Daten.

1. These: Sie sind das Ziel, nicht Ihr Computer

Wie stellen Sie sich einen Cyber-Angriff vor? Vielleicht sehen Sie vor sich das Bild eines Hackers mit „Hoody“ vor einem Bildschirm mit grünen Zeichen? Einen Server-Raum mit einer Unzahl an Kabeln und blinkenden Lampen? Die Wirklichkeit sieht anders aus. Sie und ich sind das Ziel. Die meisten Cyber-Angriffe erfolgen auf das schwächste Glied in der Systemkette: Uns Menschen.

Moderne Firewalls sind schon längst mehr als nur “Brandschutzmauern”. Sie übernehmen eher die Funktion einer Zutrittskontrolle in einem Gebäude mit Identitäts- und Gepäckprüfung. Sie lassen nur zuvor definierte Daten hinein, schauen woher diese kommen und ob ein Zugriff berechtigt ist. Hinaus darf bei vielen Firewalls leider jeder, ohne Kontrolle. Genau das wird ausgenutzt. Bei den meisten gezielten Angriffen gelangen die Eindringlinge unter Umgehung der Firewall in ein System und installieren Schadsoftware. Diese Software nimmt dann, meistens über verschlüsselte Verbindungen, Kontakt zu einem sogenannten “Command- & Control”-Server ausserhalb der geschützten Zone auf. Damit besteht ein weit geöffneter Tunnel, über den die weitere Verbreitung der Schadsoftware und der Diebstahl von Daten erfolgt. Diese Bedrohung nennt man auch einen “Advanced Persistent Threat” oder kurz APT. Die Angreifer betreiben in der Regel einen sehr grossen Aufwand um unerkannt einzudringen, bewegen sich möglichst unauffällig, um nicht entdeckt zu werden und bleiben lange Zeit im System drin.

Frage: Wie kann man jemand dazu bringen, ungewollt Software zu installieren? Ihn dazu bringen einem Angreifer einen Tunnel zu öffnen um die Firewall zu umgehen? Die Antwort lautet “Social Engineering”. Die meist professionellen Angreifer sammeln über öffentlich zugängliche Quellen Informationen über Sie. Ihre Position in der Unternehmung, Ihre Vorgesetzten und Mitarbeiter, Ihr soziales Umfeld, Ihre Hobbies. Vielleicht dringen die Angreifer sogar zuerst in Ihr privates, schlecht geschütztes Netzwerk Zuhause ein oder schnüffeln in Ihrem Abfall. In einer nächsten Phase sucht man den Kontakt zu Ihnen. Entweder jemand, den Sie zufällig kennenlernen, auf einer Social Media Plattform oder per E-Mail. Der Kontakt wird sich auf etwas beziehen, was Sie gerne machen, möchten, müssen oder Sie interessiert. Die Möglichkeiten sind vielfältig:

  • Eine E-Mail von Ihrem Chef oder einem anderen wichtigen organisations-internen Absender mit einem Anhang, den Sie öffnen;
  • eine neue “zufällige” Bekanntschaft, die Ihr Hobby teilt. Darauf folgt ein Mail mit einem Link, den Sie unbedingt anschauen müssen;
  • eine E-Mail mit einem Angebot, welches Sie nicht ausschlagen können. Sie folgen dem Link;
  • ein Ihnen per Post zugestellter oder von jemandem persönlich übergebener USB-Stick den sie an Ihrem PC verwenden;
  • ein USB-Stick den Sie auf der Strasse vor dem Arbeitsort oder sogar in den Arbeitsräumen finden und aus Interesse einstecken.

Diese Art des Angriffs wird “Spear Phishing” (auf deutsch “Speerfischen”) genannt. Sie ist zwar aufwändig, aber leider effektiv. Die meisten bekanntgewordenen Cyber-Angriffe erfolgten auf diese Art und Weise, inklusive “STUXNET”, der Angriff auf die RUAG oder die Einmischung Russlands in den amerikanischen Wahlkampf.

Natürlich gibt es auch noch weitere Angriffsmöglichkeiten. So ist es möglich, dass durch oben genanntes “Social Engineering” Ihr Passwort erraten wird. Vielleicht ist es dasselbe Passwort, welches Sie überall verwenden und bereits woanders gestohlen wurde. Im Internet können Fallen auf Web-Seiten aufgestellt werden, von denen man weiss, dass Mitarbeiter des Angriffszieles sie besuchen werden. Die kriminelle Energie ist auch hier unbegrenzt. Die verbreitetste und gefährlichste Möglichkeit bleibt jedoch das “Social Engineering” als Vorbereitung für den gezielten Angriff.

2. These: Es gibt keinen Schutz gegen Cyber-Angriffe

Zugegeben, die These müsste lauten: “Es gibt keinen absoluten Schutz”. Später werde ich drei einfache Massnahmen vorstellen, mit denen die gängigen Angriffe verhindert werden könnten. Dennoch können wir uns auf diese nicht verlassen. Experten und Auftragshacker sind sich einig, dass mit genügend grossem Aufwand in jedes System eingedrungen werden kann. Die Angreifer wählen Zeit und Ort und werden gezielt unsere Schwachstellen ausnützen. Um eine kritische Infrastruktur zu gefährden reicht bereits ein einziger Mitarbeiter, der den Link im E-Mail anklickt, ein Anhang an einer E-Mail öffnet oder einen USB-Stick einsteckt. Die Angreifer verfügen teilweise über Informationen von Schwachstellen, über die noch nicht einmal der Hersteller Bescheid weiss. Diese sogenannten “Zero Day Exploits” können gekauft werden und werden in endsprechenden Foren gehandelt. Die Preise gehen in Höhen von mehr als 500’000$. Geheimdienste benutzen diese Exploits genau so wie Hacker.

Was sind die Konsequenzen? Nebst technischen Massnahmen, wie Backups, dem Führen von Logs über Systemaktivitäten oder dem Überwachen des Datenflusses innerhalb und ausserhalb des Systems, ist es nötig eine Risikoanalyse  zu machen, um festzustellen, was unsere eigene kritischen Bereiche sind. Welchen Schaden können Angreifer anrichten? Was ist unser Kerngeschäft und wie können wir dieses Schützen? Wie lange sind Ausfälle der Informatik für uns tragbar? Alles zu schützen ist nicht möglich und wäre nicht wirtschaftlich. Wir müssen in die erkannten Kernbereiche investieren um diese robust und resilient zu gestalten. Unternehmenskritische Informationen können in einem getrennten System oder Netz geführt werden, Redundanz gegen Ausfälle geschaffen oder zusätzliche Sicherheitsmassnahmen wie Verschlüsselung etc. benutzt werden.

3. These: Die Armee kann nicht die ganze Schweiz vor Cyber-Angriffen schützen

Die Armee ist nicht Selbstzweck. Sie hilft, schützt und wenn nötig kämpft sie für unser Land und Leute. Sie gibt Sicherheit und schützt unsere Freiheit. Verständlich, dass wir diesen Auftrag auch auf den Cyber-Raum ausdehnen möchten. Mit dem Wissen, dass wir Menschen die Ziele von Cyber-Angriffen sind, wird aber auch klar, dass die Armee nicht die ganze Schweiz wirksam schützen kann. Sie kann nicht überall sein, sich nicht schützend vor alle Benutzer und Systeme stellen, nicht alle E-Mails und USB-Slots überwachen. Was die Armee hingegen kann, ist unterstützen und helfen. Wenn es schon zu spät und der Strom weg ist, kann sie Kommunikationsmittel und -netze für die Hilfskräfte bereitstellen. Wenn es zu technologischen Katastrophen kommt, kann sie mit schweren Mittel Trümmer räumen, evakuieren, Patienten pflegen, Hilfsgüter verteilen. Sie kann die verbleibenden kritischen Infrastrukturen schützen.

Da die Systeme und Netze der Armee kritisch sind, muss sie über grosse Kompetenzen in der Cyber-Abwehr verfügen. Dabei kann sie vom grossen Wissen unserer Milizangehörigen profitieren. Im Verbund von Verwaltung, Wirtschaft und Hochschulen kann sie Informationen zu Wissen konsolidieren und zum Schutz aller zur Verfügung stellen.

Immer häufiger sind Stimmen zu hören, dass die Schweizer Armee keine Waffen mehr brauche. Im Zeitalter von Cyber-Angriffen brauche es Computerspezialisten, denn zukünftige Kriege würden am Computer stattfinden. Tatsache ist: Noch nie wurde ausserhalb der USA und Europa so viel Geld für Rüstungsgüter ausgegeben wie jetzt. Schon lange nicht mehr gab es so viele konventionelle Konflikte und Kriege. Noch kein terroristischer Anschlag mit Toten und Verletzten fand ausschliesslich im Cyber-Raum statt. Und selbst wenn kritische Infrastrukturen durch Cyber-Angriffe ausgeschaltet werden braucht es die Armee als einzige Sicherheitsreserve der Schweiz. Zum Helfen, Schützen und wenn nötig Kämpfen.

4. These: Die Armee muss Cyber-Angriffe beherrschen

Eigentlich logisch. Wenn wir wissen, wie und wo Einbrecher eindringen, können wir Gitter, Schlösser, Bewegungsmelder und Alarmanlagen anbringen. Genau so ist es im Cyber-Raum. Mit dem Wissen über Methoden und Mittel der Angreifer können wir unsere eigenen Systeme testen, Schwachstellen erkennen und schliessen. Und tönt es nicht verlockend, unseren Angreifern durch Cyber-Gegenangriffe einfach den Strom oder die Computersysteme abzustellen? Nur – wer sind die Angreifer? Alle professionell durchgeführten Angriffe der letzten Monate und Jahre erfolgten durch Hacker-Gruppierungen oder Angreifer, die nicht identifiziert werden konnten. Selbst wenn in der Schadsoftware Hinweise gefunden wurden, könnten dies bewusst gelegte falsche Fährten sein. Es liegt gerade in der Natur von Cyber-Angriffen, dass der Eindringling seine Identität verbergen kann. Im Wissen um die aufwändige Vorbereitung von “Advanced Persistent Threats” müssten wir ja bereits heute, im relativen Cyber-Frieden, bei allen möglichen Akteuren die Netze auskundschaften und APT’s installieren. Was, wenn wir den falschen treffen und dieser zurückschlägt? Wie hoch ist das Risiko, dass Cyber-Angriffe mit Massnahmen in der realen Welt vergolten werden? Und selbst wenn wir ein einzelnes System des Angreifers lahmlegten, könnte er von einem anderen Ort und anderen Systemen den Angriff weiterführen.

Die Schweizer Armee muss Cyber-Angriffe beherrschen. Als Basis für den wirkungsvollen passiven und aktiven Schutz. Ob wir selber Cyber-Angriffe gegen Organisationen oder andere Staaten durchführen bleibt letztlich eine rechtliche und politische Frage.

5. These: Drei einfache Massnahmen reichen zum wirkungsvollen Schutz

Alles bisher Geschriebene tönt eher bedrohlich und lässt wenig Hoffnung. Dennoch können wir uns mit drei einfachen Massnahmen wirkungsvoll schützen:

  • Wachsamkeit und Schulung
    Die Struktur unseres Gehirns ist bereits 200’000 Jahre alt. Damals gab es die Gefahren des modernen Lebens noch nicht. Dennoch ist unser Hirn lernfähig. Genauso wie wir als Kinder lernen im Strassenverkehr Gefahren unbewusst zu erkennen, können wir lernen Bedrohungen im Cyber-Raum zu erkennen. Verdächtige E-Mails, unbekannte USB-Sticks und weitere Unregelmässigkeiten können wir mit Wachsamkeit erkennen. Sorgen sie auch dafür, dass in ihrer Umgebung die Leute entsprechend informiert und geschult sind.
  • Aktualisierung der Systeme
    Sorgen Sie dafür, dass in ihrem Verantwortungsbereich alle Systeme immer aktuell gehalten werden. Lassen Sie automatisierte Updates des Betriebssystems zu. Systeme die nicht aktualisiert werden können, müssen zwingend in einer geschützten Netzwerkumgebung stehen.
  • Passwörter
    Verwenden Sie für jedes System, Programm und Login ein eigenes Passwort. Da Sie so rasch über dutzende, wenn nicht hunderte, von Passwörtern verfügen, empfiehlt sich der Einsatz eines Passwort Managers. Dieser verwaltet nicht nur, sondern erzeugt bei Bedarf sichere Passwörter.

Zusammenfassung

Wir stehen mitten in einer Revolution. Der vierten industriellen Revolution. Immer mehr Daten verlagern sich in die Cloud. Immer mehr Informationen liegen digital vor und werden zu neuem Wissen verknüpft. Die Abhängigkeit von Systemen, dem Internet und letztlich dem Strom nimmt ungebrochen und beinahe exponentiell zu. Damit auch die Verwundbarkeit unserer Gesellschaft.

Seit der “WannaCry” Virus auch Spitäler lahmlegte, wird die Forderung nach einer Art “Genfer Konvention” für den Einsatz von Cyber-Waffen lauter. Sicher eine prüfenswerte Initiative. Andererseits ist zu viel Optimismus nicht angebracht. Geheimdienste und Hacker sind nicht dafür bekannt, sich an Regeln zu halten. Dies gilt insbesondere für den Cyber-Raum, in dem anonym operiert wird und der Angreifer sich nicht zurückverfolgen lässt.

Es braucht noch weitere Lösungen. Ein Ansatz für die Schweiz könnte eine Art erweiterte strategische “Cyber-Defence-Federation” sein, an der Bund, Kantone, Hochschulen, die Wirtschaft, die Betreiber kritischer Infrastrukturen und die Armee beteiligt sind. Das Wissen über Bedrohungen und Akteure kann so rasch verbreitet werden und die Mitglieder können sich beim Schutz und in der Abwehr von Cyber-Angriffen beistehen. Verbindliche Vorgaben, in Form von “Minimum Standards”, an die Betreiber kritischer Infrastrukturen haben sich bereits in mehreren Ländern bewährt und werden auch hierzulande diskutiert. In diesem Zusammenhang muss auch der Umfang und die Bedeutung kritischer Infrastrukturen überdacht werden.

Die Cyber-Bedrohung gewinnt also an Wahrnehmung. Viele Grundlagen und Initiativen zu unserem Schutz sind bereits gelegt oder in Planung und Umsetzung begriffen. Letztendlich bleibt die Verantwortung aber immer bei uns. Denn die Angriffe erfolgen immer auf das schwächste Glied in der Kette: Uns Menschen. Diese Verantwortung müssen wir wahrnehmen indem wir wachsam sind, indem wir keine verdächtigen Anhänge oder Links in E-Mails öffnen, keine unbekannten USB-Sticks verwenden und die Systeme in unserer Verantwortung immer aktualisiert halten.