Im Netz, da sind die Räuber

Die paraguayische Grenzstadt Ciudad del Este liegt im Dreiländereck zwischen Paraguay, Ar­gentinien und Brasilien. Dort ist nicht viel vom südamerikanischen Flair vieler Reiseprospekte zu erkennen. Denn die Stadt lebt vor allem vom Schmuggel. Also kein Ort, an dem sich Touristen unbedingt aufhalten müssen. Im vergangenen Jahr machte Ciudad del Este mit einer anderen Geschichte auf sich aufmerksam und gelangte so über die Nachrichten bis in die deutschen Wohnzimmer. Hintergrund waren schwer bewaffnete Räuber, die sich den Weg zum Tresor eines Geldtrans­portunternehmens freischossen und sprengten. Von mehreren Millionen US-Dollar Beute war die Rede.

Die Räuber fuhren im wahrsten Sinne des Wortes schwere Geschütze für ihren Raubzug auf und hinterließen eine Schneise der Verwüstung mit wilder Schießerei und Verfolgungsjagd. Weitaus ruhiger und präziser gehen demgegenüber moderne Diebe vor. Deren Ziel ist nicht das Erstürmen von Tresorräumen, sondern der leise und zugleich lohnende Raubzug – ohne Trommelfeuer und eher im Verborgenen. Gemeint sind die zahllosen Hackerangriffe und Diebeszüge in allen Branchen. Professionelle Angriffe, sogenannte „Advanced Persistent Threats“, treffen heutzutage nicht nur Unternehmen, sondern auch Regierungen und immer häufiger auch kritische Infrastrukturen, wie Netzbetreiber, Flughäfen oder Banken. Für die Kriminellen nach Auffassung des Ehrenvorsitzenden des Vorstandes des Frankfurter Ins­tituts für Risikomanagement und Regulierung e. V. (FIRM), Wolfgang Hartmann, ein lukratives Geschäft. Die Vorteile für moderne Gangster liegen seiner Meinung nach auf der Hand: „Die potenziellen Gewinne von Kriminellen durch Cybercrime sind hoch, die Finger muss man sich nicht mehr schmutzig machen und auch nicht Leib und Leben Dritter gefährden.“ Und Hartmann prognostiziert: „Es ist nur noch eine Frage der Zeit, bis eine Großbank ihre Geschäftstätigkeit durch Ausfälle im Zuge eines Cybercrime-Angriffs einstellen muss.“

Gefragt: Ganzheitliche Sicht, ganzheitliches Risikomanagement

Nun ist das Thema Cybergefahren kein ganz neues mehr und doch erstaunt es immer wieder, wie selbst große Konzerne mit ausgewiesenen Informationssicherheitsprozessen und Risikomanagement- sowie Complianceabteilungen in die Falle von Hackern tappen. Die Bandbreite der Einfallstore für digitale Gauner, Spione und Saboteure ist groß – von mangelnden Sicherheitsprozessen und -updates über veraltete und offene Systeme bis hin zum Social Engineering.

Apropos Social Engineering. Was in der Praxis häufig unterschätzt wird, ist die Phase, in der Täter Informationen über ihre Zielobjekte sammeln. Hierbei fallen in der Regel nur bedingt Spuren an. In der Praxis existieren hier höchst unterschiedliche Akteure. Exemplarisch seien hier die Desert Falcons genannt. Eine Gruppe von Cyber­söldnern, die vom Nahen Osten aus agieren und eine ganze Reihe verschiedener Methoden nutzen. So hat die Gruppe vielfältige Erfahrungen im Bereich des Social Engineerings, verwendet Malware für Windows-Systeme, mobile Malware für Android-Geräte, Infektionsvektoren, einschließlich Phishing-E-Mails, gefälschter Webseiten und falscher Social-Media-Konten. Zu den Opfern zählen sowohl Militär und Regierung als auch Finanz- und Handelsunternehmen, Forschungs- und Bildungsinstitutionen, Energieunternehmen und viele weitere Branchen. So griffen im Jahr 2016 die Desert Falcons die Android-Smartphones von israelischen Soldaten an, indem sie zuvor eine aufwendige Social-Engi­neering-Kampagne gestartet hatten. Konkret legten die Angreifer bei Facebook gefälschte Profile von jungen Frauen an.

Anschließend nahmen die nicht real existierenden Frauen über die Facebook-Messenger-Funktion Kontakt auf und bauten über einen recht langen Zeitraum ein Vertrauensverhältnis auf. Ganz am Ende wurde auf den Android-Geräten ein Spionageprogramm übermittelt. Ein weiteres Beispiel beschreibt Timo Steffens, der seit vielen Jahren Hackerangriffe analysiert, in seinem Buch „Auf der Spur der Hacker“: Die Hacker-Gruppe Lotus Blossom verschickte im Jahr 2016 gefälschte Einladungen für eine Sicherheitskonferenz des Sicherheitsunternehmens Palo Alto. Empfänger waren primär Teilnehmer aus den vergangenen Jahren. Angehängt war ein Word-Dokument, das eine bekannte Schwachstelle in Windows ausnutzte. Wenn der Empfänger das Dokument öffnete, wurde unbemerkt der Emissary-Trojaner installiert.

Deutlich wird in beiden Fällen, dass die Ursache für den erfolgreichen Angriff im Ausnutzen eines Vertrauensverhältnisses lag. Eine rein technische Maßnahme hätte den Angriff nur bedingt verhindern können.

Silostrukturen als Einladung für Täter

In der Praxis zeigt sich, dass viele Unternehmen auf eine komplexe Verflechtung aus eigenen Lösungen und Standardsoftware-Programmen zurück­greifen, die über Jahre gewachsen ist. Dadurch entstehen viele Insellösungen und Silos, die keine einheitliche Datenerfassung, Dokumentation und Interpretation ermöglichen. Für Risikomanager und Entscheider lassen sich daraus keine (oder nur schwer) valide Informationen zur Unternehmens­steuerung ziehen. Mit anderen Worten: Das Unternehmen und seine Führungsmannschaft bewegen sich im Blindflug durch die Risikowelt.

Wichtig ist es daher, bessere Vorhersagen treffen zu können. Dies erscheint umso dringlicher, als neue Technologien – wie Blockchain, Virtual Reality oder Machine Learning – immer mehr Branchen durchdringen. Was es bedeutet, ein Unternehmen heute vorausschauend zu steuern, erklären Günther Angerbauer und Markus Müller, Geschäftsführer der calpana business consulting GmbH, wie folgt: „Infolgedessen könnten die IIoT-basierten Risiko-Management-Systeme eine raschere Entscheidungsfindung aufgrund aktuellerer und weitreichenderer Daten ermöglichen.“

Über den Autor:

Frank Romeike zählt international zu den renommiertesten und führenden Experten für Risiko- und Chancenmanagement. Er ist Gründer des Kompetenzzentrums RiskNET – The Risk Management Network sowie Geschäftsführer und Eigentümer der RiskNET GmbH.

Fortgeschrittene Methoden und Technologien, wie etwa stochastische Simulationsverfahren oder Blockchain, ermöglichen eine bessere Antizipation von potenziellen Angriffsszenarien und Risiken. „Ähnlich wie beim Einsatz des IIoTs könnte diese Technologie die Fehler- und Manipulationshäufigkeit bei Datentransaktionen reduzieren“, so die Experten von calpana.

Mitarbeiter nicht vergessen

Doch bei aller Technikgläubigkeit vieler Organisationen wird der wesentliche Schlüssel für mehr Sicherheit vielfach vernachlässigt: der eigene Mitarbeiter. Informationssicherheit und Risikomanagement sind nur so gut wie die Menschen, die sie leben. Gleiches zählt für Mitarbeiter, die mit dem eigenen Smartphone im Unternehmen hantieren, filmen, Daten kopieren oder unachtsam mit sensiblen Unternehmensinformationen umgehen. Social Engineering, Hackerangriffe oder Spionagefälle in Unternehmen beweisen, dass Angreifer diese Schwächen für sich zu nutzen wissen.

Hier hilft ein Blick in die Luftfahrt, bei der ein gelebtes Risiko- und Krisenmanagement auf eine lange Historie verweisen kann. Hochtechnische Navigations- und Frühwarnsysteme und ausgefeilte Risikomanagement-Systeme haben zu einer hoch entwickelten Risikokultur und einem exzellenten Sicherheitsniveau geführt. Piloten üben im Flugsimulator den richtigen Einsatz von Risikomanagement-Methoden und die adäquate Reaktion in Krisen. Der Flugsimulator stellt eine realitätsnahe Trockenübung dar und vereint Elemente aus Kreativitäts-, Szenario- und Simulationstechniken.

Diese Erkenntnisse sollten auch im Bereich der Informationssicherheit beherzigt werden. Denn die neuen Räuber sind leise und im Netz. 

1 Antwort

Einen Kommentar hinterlassen

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.