«Das Darknet macht Stuxnet-artige Angriffe für jedermann möglich»

Immer häufiger nehmen Hacker nicht nur Firmen und Endanwender, sondern auch die Betreiber von kritsichen Infrastrukturen ins Visier. Computerworld unterhielt sich mit Robert Griffin, Chief Security Architect bei EMCs Sicherheitsabteilung RSA über die aktuelle Situation und darüber, wie unsere Strom- und Wasserversorgung künftig besser geschützt werden kann. Computerworld: Angriffe auf kritische Infrastrukturen werden immer wahrscheinlicher. Wie beurteilen Sie die Situation? Robert Griffin: Tatsächlich kann man diese Art von Attacken zu den derzeit grössten Risiken zählen. Und das zeigt sich auch in IT-Security-Reports wie gerade vor Kurzem von Kaspersky. So werden DDOS-Angriffe zunehmend auch auf die Betreiber von kritischen Infrastrukturen gelenkt. So hatten wir im vergangenen Jahr gleich mehrere DDOS-Attacken auf Flughäfen, etwa in Israel, Polen und in der Türkei. Diese Angriffe legten die Airports lahm. Aber auch die Stromversorgung in der Ukraine wurde angegriffen, allerdings mit Malware. Dieser Angriff führte dazu, dass die Ostukraine stundenlang ohne Elektrizität war. Dabei wurden typische Methoden des Social Engineering angewendet, um via die Workstation des Administrators in das Kontrollsystem der Anlagen zu gelangen. Daneben sind immer mehr Parteien an Angriffen auf kritische Infrastrukturen interessiert. Neben Cyberkriminellen, sind dies unter anderem auch Staaten und politisch motivierte Hacktivisten. Dabei spielt auch das Darknet eine immer grössere Rolle. Es sind so auch immer häufiger ganz «gewöhnliche Cyberkriminelle» in der Lage, an Malware-Versatzstücke zu kommen, um ausgeklügelte Attacken zu fahren. Computerworld: Bedeutet das, dass herkömmliche Hacker nun Angriffe wie Stuxnet initiieren können, die bislang für diese Kategorie Cyberschurken zu komplex und teuer waren? Griffin: Das ist durchaus so. Denn im Darknet wird nicht nur die passende Malware, sondern auch die Infrastruktur für die Attacken angeboten. Dies traf beispielsweise auf die Angriffe mit der Terracotta-VPN-Malware zu. Hier wurden ganz ähnliche VPN-Modelle im Darknet genutzt, wie sie bei Firmen zum Einsatz kommen. Diese Strukturen wurden dann als Dienstleistung angeboten, um über diese unerkannt an Malware zu kommen. Das Darknet ist somit ein richtiggehender Enabler für Cyberattacken. Sie brauchen dank des Darknet weniger Wissen und Informationen, um Angriffe ausführen zu können. Ja, sogar das Risiko für die Hacker nimmt ab. Im Darknet gibt es nämlich mittlerweile Support-Verträge für Botnets. Wenn man also eine bestimmte Malware kauft, werden die Anzahl befallener Rechner garantiert. Nächste Seite: Was tun die Betroffenen? Computerworld: Zurück zu den Angriffen auf kritische Infrastrukturen: Wie viel wissen deren Betreiber also Elektrizitäts- und Wasserwerke über die Gefahren?Griffin: Meine Erfahrungen geben Grund zur Hoffnung. Das Bewusstsein der Betreiber, dass sie das Opfer von Cyberangriffen werden könnten, ist in den letzten zwei Jahren stark gestiegen. Und zwar haben sie begriffen, dass sie nicht nur selbst gefährdet sind, sondern auch, dass die Auswirkungen einer Attacke auf die von ihnen betreute Infrastruktur sich verheerend auf den Rest der Gesellschaft auswirken kann, wenn beispielsweise der Stromunterbruch zu lange andauert. Dabei wurde noch nicht das Sicherheitsbewusstsein etwa einer Finanzindustrie erreicht. Aber im Gegensatz zu früher wurden grosse Fortschritte gemacht. Computerworld: Wie sieht es bei anderen Versorgern aus, etwa bei den Wasserwerken oder den Betreibern von Kläranlagen? Schliesslich könnten auch hier Angriffe verheerende Folgen haben. Griffin: Absolut. Persönlich habe ich Kontakt gehabt mit britischen Wasserwerken, und hier ist die Awareness ebenfalls gestiegen. Ich habe im Gegensatz zu den Elektrizitätswerken mir in der Schweiz keinen persönlichen Eindruck schaffen können, bin mir aber sicher, dass auch dort die Gefahren diskutiert werden. Schliesslich hatte eine der ersten Cyberattacken auf kritische Infrastrukturen Wasserwerke im Visier. Das geschah bereits 2003 in den USA. Deshalb bin ich mir sicher, dass auch diese Betreiber sich der Gefahren bewusst sind. Nächste Seite: Wie gut ist die Nationale Cyber-Defense-Strategie der Schweiz? Computerworld: Die Schweiz hat eine Nationale Cyber-Defense-Strategie (NCS) formuliert. Wie beurteilen sie diese? Griffin: Ich bin nicht direkt involviert mit der NCS, sitze also in keiner der Taskforces. Ich kenne aber deren Inhalt sehr genau. Meines Erachtens ist sie mindestens gleich gut wie andere führenden Strategien in diesem Bereich wie etwa jene Grossbritanniens. Es gibt aber auch noch Mängel. An einem Event letztes Jahr in Zürich, an dem ich auch einen Vortrag hielt, habe ich mich auch mit Teilnehmern und Kennern über die Schweizer NCS unterhalten. Und ich habe dabei das Gefühl, dass die Strategie noch zu sehr an der Prävention und Abwehr von Attacken festhält. Meines Erachtens müsste man holistischer an das Problem herangehen und der Frage des Social Engineerings eine grössere Beachtung zukommen lassen. Denn oft werden in einem ersten Schritt Individuen privat angegriffen, die dann als Trittbrett dienen für Angriffe auf die Unternehmen. Auch hier gibt es Beispiele wie etwa die DragonFly-Attacke. Diese benutzte Waterholing-Techniken, bei denen die Angreifer harmlose Webseiten wie Fussballseiten verseuchen. Dadurch gelangte Malware auf die privaten Rechner von Angestellten einer Zulieferfirma der anvisierten Industrien. Als diese sich dann via VPN in das Netz der Energieversorger wählten, steckten sie deren Systeme an. Viele Betreiber von kritischen Infrastrukturen denken aber nicht an diese Form von Angriffen. Sie denken stattdessen an die Absicherung ihrer Systeme. Dabei vergessen sie, dass die grösste Sicherheitslücke meist beim Anwender liegt. Gerade vor zwei Stunden habe ich ein Spearphishing-Mail erhalten, das also durch alle Perimeterschutzwälle meiner Firma in mein Postfach gelangt ist. Natürlich habe ich nicht auf den Anhang geklickt, aber ich hätte leicht das Opfer werden können. So, meine Kritik an vielen dieser nationalen Abwehrstrategien lautet, dass sie zu wenig in Betracht ziehen, mit welchen aggressiven Methoden die Angreifer auf Angestellte losgehen, um so Malware in die Unternehmensinformatik oder in die Steuerungssysteme zu schleusen. In diesem Sinne müssten die Strategien überdacht werden und den Einfluss des Social Engineerings mehr Rechnung tragen. Nächste Seite: Was muss noch getan werden? Computerworld: Was muss noch getan werden? Griffin: Neben dieser Anpassung von Strategien an die veränderten Methoden der Hacker ist der internationale Austausch von Informationen über Attacken und Sicherheitslücken ausserordentlich wichtig. Dieser Austausch muss sowohl zwischen dem privaten und dem öffentlichen Sektor als auch zwischen den Staaten sowie zwischen internationalen Organisationen stattfinden. Dieses Wissen lässt sich aber nur effizient teilen, wenn der Austausch standardisiert wird. Beispielsweise bin ich derzeit beteiligt an der Ausarbeitung einer Norm, die definieren soll, wie Informationen über Cyber-Bedrohungen ausgetauscht werden können. Dieser Standard wird unter der Bezeichnung Cyber Threats Intelligence Sharing innerhalb der OASIS-Gruppe entwickelt. Das entsprechende Komitee wurde erst im letzten Juli gegründet, hat aber bereits eine grosse Abstützung. Allerdings ist die Arbeit stark aus einer US-Perspektive betrieben. Das hat den Vorteil, dass es rasch voran geht, da die USA hier schon fortgeschritten ist. Das hat aber den Nachteil, dass der Effort zu hierarchisch organisiert ist. Für europäische und Schweizer Teilnehmer wäre eine Zusammenarbeit mit mehr Netzwerkcharakter passender. Computerworld: Wie lassen sich die kritischen Infrastrukturen am besten absichern. Reicht es, mehr IT-Security-Hardware und -Software einzusetzen? Griffin: Lacht. Nicht nur. Auch mit noch so viel Equipment erhält man keine 100-prozentige Sicherheit. Wichtiger ist es da, überhaupt erst einmal die Risiken zu identifizieren und dann Massnahmen zu ergreifen. Man muss also erst einmal herausfinden, was einem besonders schützenswert ist, als Firma, als Regierung, ja als Gesellschaft. Erst dann ist es sinnvoll, zu diskutieren mit welcher Hardware, Software und mit welchen Analysemethoden ein optimaler Schutz möglich ist. Besonders wichtig scheint mir bei all dem die Ausbildung aller zu sein. Jeder sollte über die Gefahren Bescheid wissen, damit er informierte Entscheidungen treffen kann. Deshalb ist auch die Aufklärung der Allgemeinheit über die Cyber-Bedrohungen so enorm wichtig, neben der Sensibilisierung der Betreiber und der öffentlichen Institutionen. ! KASTEN !