Im Gespräch mit Tom Haak von Cybertap

Auf der Suche nach wirksamen Abwehrmassnahmen haben sich Security-Experten etwas ganz Besonderes einfallen lassen: Deception. Tom Haak, Chief Revenue Officer beim österreichischen Start-up Cybertrap, erklärt, wie diese recht neue Diszi­plin in der Cybersicherheit funktioniert und was Napoleon Bonaparte damit zu tun hat.

Tom Haak: Es geht vor allem darum, Eindringlinge, die sich bereits im Netzwerk befinden, auf eine falsche Fährte zu locken - also die Angreifer in Echtzeit zu erkennen, ihre Aktionen zu analysieren, von ihnen zu lernen und sie dann abzuwehren.

Haak: Korrekt - Sie können sich das wie eine Glaskugel mit einem reichhaltigen Buffet vorstellen, in die wir den Angreifer einladen, um sich dort scheinbar unbemerkt auszutoben - frei nach dem Credo Napoleons «Störe niemals deinen Feind, wenn er gerade Fehler macht».

Haak: Klassische Prävention konzentriert sich auf die Abwehr von Angreifern, indem sie Signaturen oder Verhaltensmuster identifiziert. Wir konzentrieren uns auf die Angreifer, denen es gelungen ist - mit welcher Technik auch immer -, die bestehenden Security-Mechanismen zu überwinden und das Netzwerk zu infiltrieren. Kleine Randnotiz: Die mittlere unerkannte Verweildauer von Hackern liegt bei 150 Tagen. Wir agieren also additiv zu den absolut notwendigen Security-Techniken. Die Informationen, die unsere Lösung in Echtzeit liefert, werden wiederum dafür genutzt, Präventionsmechanismen zu verbessern und zusätzliche Sicherheitsmassnahmen für besonders gefährdete Assets zu ergreifen. Anstatt lediglich Attacken abzuwehren, erhalten Unternehmen wertvolle Hintergrundinformationen.

Haak: Honeypots werden ebenfalls unter dem Begriff Deception geführt, genau genommen spricht man von Low-Interaction-Honeypots. Demgegenüber stehen High-Interaction-Honeypots, zu denen auch unsere Technologie zählt. Wie der Name schon verrät, bietet diese weitaus mehr Interaktionsmöglichkeiten als klassische Honeypots.

Ein weiterer, grundlegender Unterschied zwischen Deception und üblichen Honeypots besteht ausserdem im Einsatz von Ködern anstelle von Schwachstellen. Die ausgelegten Köder wie auch die massgeschneiderte Täuschungsumgebung werden regelmässig angepasst. Für Angreifer ist Letztere nicht als solche erkennbar, da sie scheinbar nahtlos in das echte System integriert ist. Dadurch ist der Erkenntniswert gegenüber Honeypots deutlich grösser.

Computerworld: Wenn ein Unternehmen die Deception-Technologie einsetzen möchte, wie hoch ist der Aufwand?

Haak: Man vermutet sicherlich einen enorm hohen Aufwand und viele Wochen Arbeit. Doch das Gegenteil ist der Fall: Alles steht und fällt mit dem Deception-Design-Dokument, das normalerweise in einem ein- bis zweitägigen Workshop gemeinsam mit dem Kunden erstellt wird.

Für die Bereitstellung des Köders, des Decoy-Equipments - eines speziellen Decoy-Contents seitens der Kunden -, dem eigentlichen Deployment und der Integration in die bestehende Infrastruktur gehen noch einmal zwei bis fünf Tage ins Land. Bei einem durchschnittlichen Projekt kann man also etwa eine Woche Aufwand zugrunde legen. 

Computerworld: Wie gehen Sie vor, wenn Sie die Hintermänner enttarnt haben? Werden die Behörden eingeschaltet?

Haak: Meine Antwort fällt leider unspektakulär aus, weil wir mit Cybertrack lediglich ein Werkzeug bereitstellen, um die Hintermänner zu enttarnen - die volle Kontrolle liegt hier bei den Unternehmen und alle Informationen gehen direkt an die Stakeholder, die sich dann mit der Strafverfolgung beschäftigen und die Behörden einschalten.

In unserem allerersten Projekt waren wir jedoch voll mit dabei - Bundeskriminalamt, Interpol, das volle Programm - und immer mit schwarzen Sonnenbrillen.