Cybercrime: Wie man sich davor schützt

Wie begegnen wir solchen Bedrohungen? Einerseits werden wir lernen müssen, mit derartigen Bedrohungen und vereinzelt entsprechenden Schadensfällen zu leben. Andererseits können wir uns darauf vorbereiten. Die Erkennung solcher Angriffe ist der erste Schritt. Anti-Spyware-Programme, Intrusion-Detection-Systeme (IDS) sind technische Mittel zur Erkennung. Der Datenfluss muss genau bekannt sein. Beim Aufbau und Design einer Online-Banking Architektur ist dies zwingend, damit ein wirksamer Schutz gewährleistet werden kann. Ist ein IDS angedacht, muss überlegt werden, welcher Datenfluss wo erwartet wird und welcher nicht, damit die Alarmierungsschwelle exakt eruiert und justiert werden kann. Andernfalls liefert das IDS zwar viele Daten mit welchen nichts angefangen werden kann. In einem solchen Fall ist das IDS zwar physisch präsent, aber nutzlos. Die Alarmorganisation muss genau definiert sein. Wer ist wann für was verantwortlich? Es muss definiert sein, wer im Ernstfall entscheidet, ob die Onlineplattform ab dem Netz genommen werden soll und die Abkoppelung zeitnah durchsetzt.

Bei verteilten Systemen wie Online-Banking-Plattformen liegt die Achillesferse üblicherweise nicht beim Systembetreiber (in diesem Fall der Bank) sondern beim Benutzer. So werden die Applikationsserver mittels geeigneter Massnahmen vor unerlaubtem Zugriff geschützt und die Kommunikation mit dem Client-PC erfolgt verschlüsselt. Die prüfenswerten Aspekte sind insbesondere Authentisierung und Autorisierung. Nach neuestem Stand der Technik sollten (zertifikatsbasierte) 2-Weg-Authentisierungsmechanismen (SSL v3) und idealerweise 3-Komponenten-Authentisierung (User-ID, Passwort plus Smartcard/Secure-ID oder ähnliches) eingesetzt werden. Doch diese Massnahmen greifen nicht, wenn der Client von einem gezielt für diesen Zweck entwickelten Trojaner kontaminiert wurde - denn dann kann sich der Angreifer in die Kommunikation einklinken und beispielsweise gezielt Geld vom Konto des Opfers transferieren oder via Client in die Bankapplikation eindringen. Aus diesem Grund sollten sensible Applikationen mittels Application Security Audits inklusive Penetration- Tests auf System- und Applikationsebene überprüft werden.

Als Firma müssen Mitarbeiter lernen, mit Angriffsszenarien umzugehen. Diese permanente Security Awareness wird mittels Trainings- und Lernprogrammen gefördert. Am einfachsten geht dies, wenn das Interesse am Thema beim Benutzer so stark ist, dass er sich mit den Firmenwerten identifiziert und für die Sicherheit der Firma einsteht. Dann sprechen wir von Informationssicherheitskultur. Diese erreichen wir mit gezielten , auf die Firmenkultur abgestimmten Awareness-Massnahmen.

Um zu erreichen, dass Mitarbeiter eine Informationssicherheitskultur leben können, müssen ihnen entsprechende Werkzeuge mitgegeben werden. Das Tragen eines Sichtausweises sollte Pflicht sein. Inklusive der Verantwortung, einen Mitarbeiter ohne Sichtausweis zum Empfang zu begleiten. Wird dann zufälligerweise ein Verwaltungsratsmitglied zum Empfang begleitet, darf sich dieser glücklich schätzen über aktiv gelebte Sicherheit. Informationssicherheitskultur beginnt deshalb beim Management und muss vor- beziehungsweise mitgelebt werden.

Weitere Informationen

Die Gefahren kommen heute weniger von Viren und dergleichen, sondern vielmehr sind Wirtschaftsspionageakte an der Tagesordnung. Hobby-Hacker, Experten und Spionagespezialisten können heute wie Auftragshackings, Bot-Netze und DDoS-Attacken als Dienstleistungspaket engagiert beziehungsweise gekauft oder gemietet werden. Das Motiv hinter Spionageakten ist persönliche Bereicherung mittels Know-how oder Schädigung von Konkurrenten. Die Angriffe verlaufen daher sehr leise. Die wirklich kritischen Angriffe sind eine Kombination von Social Engineering und technischen Angriffen.

Wie begegnen wir diesen Gefahren?

Es ist heute unumgänglich ein umfassendes, ganzheitliches Sicherheitsdispositiv aufzubauen und zu betreiben:

- Auf technischer Seite gehört dazu eine State-of-the-Art-Sicherheitsarchitektur mit Perimeter-Schutz und Angriffserkennung, Applikationsschutz und Alarmierungsmechanismen.

- Auf organisatorischer Seite braucht es eine Alarmorganisation, Verantwortungen müssen klar definiert sein und die Mitarbeiter und Kunden müssen aufgeklärt werden, wie solche Angriffe stattfinden und was sie dagegen tun können.

- Technische Onlineplattformen müssen regelmässig durch Fachpersonen geprüft werden.