Die Cyber-Security-Landschaft wird gerade umgepflügt. Kriminelle finden über IoT (Internet of Things; Internet der Dinge) und OT (operationelle Technik) neue Einfallstore in Unternehmensnetze. Daneben perfektionieren sie ihre Botnetze mit Schwarmintelligenz. Computerworld hatte vor Kurzem Gelegenheit, mit Derek Manky eine Tour d'Horizon der derzeitigen Cyber-Security-Lage zu unternehmen. Manky ist als Global Security Strategist Leiter der Bereiche Security Insights und Global Threat Alliances beim IT-Sicherheitsunternehmen Fortinet. In dieser Funktion ist er am hauseigenen Forschungslabor FortiGuard Labs in der Nähe von Vancouver, Kanada, tätig.

Derek Manky: Ich bin bereits 15 Jahre bei Fortinet und seit gut 20 Jahren im IT-Security-Umfeld tätig. Interessanterweise haben aktuelle Phänomene im cyberkriminellen Umfeld bereits eine gewisse Tradition. Nicht nur stammt der erste Wurm aus den 1970er Jahren, auch aktuelle Bedrohungen wie Ransomware sind nicht erst seit gestern bekannt. Das Konzept stammt von anno 1998. Damals forderten die Erpresser noch, dass die Opfer ihnen Bargeld in einem Couvert an ein Postfach in Panama City schicken sollen.

Was ich festhalten kann: Damals waren die Bedrohungen in einem gewissen Sinne etwas «kopflos», sie hatten kein wirkliches Hirn und bestanden nur aus einfachen Algorithmen sowie einzelnen Codezeilen. Damals brauchten sie auch noch nicht sonderlich «innovativ» zu sein, um grossen Schaden anzurichten, weil die Ziele sehr einfach zu knacken waren.

Das hat sich radikal geändert. Vor allem Windows ist bedeutend sicherer geworden. Zwischen Windows XP mit Service Pack 2 und einem aktuellen Windows 10 liegen was die Absicherung anbelangt Welten. Das kann ich aus der Warte der White Hats also der Penetration Tester bestätigen. Denn zu unserem täglichen Job gehört es, in komplett gepatchten Windows-10-Systemen nach Sicherheitslücken zu fahnden. In der Regel brauchen wir 30 bis 35 Tage, um eine Lücke ausfindig zu machen.

Manky: Das auch, aber nicht nur. Viel einfacher ist es für die Cyberkriminellen, nach neuen Zugangswegen in die Systeme und Netze ihrer Opfer zu suchen. Die haben sie auch gefunden, und zwar über die vielen IoT-Geräte. Vor gut zwei Jahren tauchte der Angriffsvektor via IoT in der Top 10 unserer Bedrohungsstatistik  auf. Davor wurden Firmen hauptsächlich über PCs, später via mobile Android-Geräte angegriffen.

Das Problem mit den IoT-Geräten, also vom Drucker über das NAS bis hin zur Webcam, ist, dass sie viele Sicherheitslücken aufweisen, die von den Herstellern nicht einmal gepatcht werden. Zum Teil sind Software-Updates geschweige denn Security-Updates seitens der Hersteller gar nicht vorgesehen. Vorhin habe ich davon gesprochen wie lange wir brauchen, um eine Schwachstelle in Windows zu identifizieren. Bei IoT-Geräten finden wir vier bis fünf Sicherheitslöcher pro Tag versus eine Verwundbarkeit bei Windows pro Monat. Für mich ist IoT gleichbedeutend mit dem Vergiften des Internets.

Manky: Nicht wirklich. Zunächst einmal kennen die IoT-Entwickler keine Security-Standards. Dann sind viele IoT-Geräte nicht einmal updatebar. Und wenn sie es sind, reagieren die Hersteller kaum auf unsere Hinweise. Informieren wir sie über Lücken, können sie mit der Information meist gar nichts anfangen, weil ihre Entwickler in Security-Fragen gar nicht geschult sind. Manchmal reagieren die IoT-Firmen sogar sehr ablehnend und feindlich auf unsere Meldungen.

Manky: Derzeit beobachten wir viele Attacken, die über die OT-Schiene laufen. Aktuell betroffen sind nicht nur die klassischen industriellen Ziele, sondern auch das Gesundheitswesen wird über OT-Systeme vermehrt angegriffen. Generell kann man sagen, dass die Angriffsvektoren sich vermehren. OT kommt somit als weitere Möglichkeit hinzu.

Manky: Genau. Wir haben gerade einen Bericht veröffentlicht, indem wir beispielsweise aufzeigen, wie eine Lücke in industriellen Switches von Moxa dazu verwendet wird, in die IT von Elektrizitätswerken einzudringen. Interessanterweise waren hauptsächlich Ziele in Japan betroffen, obwohl die Switche natürlich weltweit Verwendung finden.

Daneben beobachten wir vermehrt, dass Firmen über Systeme angegriffen werden, die im Allgemeinen nicht als kritisch angesehen werden, aber dennoch viel Schaden anrichten können. Ein gutes Beispiel ist hier die Haustechnik von Bürogebäuden wie Heizung und Lüftung, deren Steuerung für Angriffe missbraucht werden kann.

Schliesslich ist auch im OT-Bereich die Mensch-Maschine-Schnittstelle die grösste Schwachstelle. In vielen Industrien stehen noch alte Windows-Rechner, die für den Betrieb benötigt werden. Gelingt es Hackern, diese Systeme anzugreifen, können sie sich von dort aus auch in kritischere Bereiche vorarbeiten. Das heisst, selbst wenn die operationellen Systeme für sich gesehen gehärtet und damit kaum zu hacken sind, gibt es oft einen Weg, über manchmal seit Jahren bekannte Sicherheitslücken in der Kontroll-Software einzudringen.

Manky: Das grösste Problem beim Kampf zwischen White Hats und Black Hats, also zwischen den Guten und den Bösen, läuft darauf hinaus, dass die kriminellen Hacker sich an nichts halten müssen, sondern einfach einmal wild drauflos hacken und testen können, was funktioniert und was nicht. Ich bezeichne diese Hacker daher gern als «verrückte Wissenschaftler» (Mad Scientists). Das Problem dabei, selbst wenn sie ihre Malware in Spaghetti-Code schreiben, die nicht wirklich funktioniert, schafft sie es doch, dass sich gelegentlich Server in kritischen Umgebungen aufhängen. Das ist dann zwar kein gezielter Angriff, aber dennoch für den Betrieb schädlich.

Ein weiteres Phänomen ist die zunehmende Automatisierung auf Seiten der Hacker. Dies führt dazu, dass die Zeit, die vergeht, bis Hacker eine Sicherheitslücke finden und ausnutzen, auf ein Minimum reduziert wird. Es gibt wesentlich mehr Toolkits und Frameworks, mit denen Hacker ihre Attacken automatisieren können. Bestes Beispiel ist hier Autosploit. Dieses Rahmenwerk verbindet das Hackerwerkzeug Metasploit mit der Gerätesuchmaschine Shodan, mit der sich sehr effizient mit dem Internet verbundene Rechner und Devices mit bekannten Sicherheitslücken finden lassen. Mit diesem Automationsniveau wird die Angriffsseite sehr beweglich und schnell, so dass die Verteidigungsseite kaum noch Zeit hat zu reagieren.

Manky: Nicht wirklich. Die Hacker geniessen zwar viele Vorteile und sind oft im Wettrüsten der Methoden vorne. Wenn es aber um Technologie geht, befinden sie sich derzeit im Hintertreffen. Die Erklärung ist einfach: Hacker können nach wie vor dem Weg des geringsten Widerstands folgen. Als Konsequenz müssen sie auf ihrer Seite nicht zu innovativ sein. Schliesslich funktionieren sehr viele Attacken noch.

Auf der anderen Seite haben wir auf Seite der Verteidiger in letzter Zeit viel in Maschinenlerntechniken investiert. Fortinet und auch unsere Konkurrenz, wir alle haben seit gut fünf Jahren viel Zeit und Geld in die Entwicklung von ML und KI investiert. Bei uns analysieren ganze Rechenzentren Daten über Angriffe, wodurch die ML-basierten Abwehrsystem laufend besser und genauer werden. Zudem trainieren unsere Mitarbeiter die Systeme. Die Hacker-Seite hat – zum Glück – diese Ressourcen noch nicht, und braucht sie auch nicht, da noch so viele klassische Verfahren bei vielen Opfern funktionieren.

Manky: Eine vielversprechende Gegenmassnahme kann man unter der Bezeichnung Verwirrungstaktik zusammenfassen. Dabei legen Sie als Firma diverse Köder in Ihrem Unternehmensnetz aus. Wenn also ein Angreifer, ein automatisiertes Angriffswerkzeug oder in Zukunft sogar einmal ein KI-System sich im Netz umsieht, stösst er oder es neben Ihrer echten Infrastruktur auch auf zahlreiche fingierte Ressourcen, wie falsche IoT-Geräte, Fake-Server, gefälschte Applikationen oder korrupte Datensätze. Der Angreifer kommt sich dann vor wie in einem Spiegelkabinett und kann sich nicht entscheiden, wo er jetzt angreifen soll. Natürlich wird diese Methode nur für eine gewisse Zeit funktionieren. Denn sie zwingt die Hacker dazu, eigene Intelligenz zu entwickeln und noch bessere Aufklärungsarbeit zu leisten. Aber so lange es genügend einfache Ziele im Cyberspace gibt, also Unternehmensnetzwerke ohne Spiegelkabinett, wird diese Methode vor den Angreifern schützen können.

Manky: Vieles, was wir im Netz sehen, basiert auf Automation. Es gibt aber schon erste Vorformen von KI-basierten Angriffen. Eine solche sind die von uns vor Kurzem näher analysierten Bot-Schwärme, die sich selbst organisieren können. Die bisher bekannten Botnets wie etwa Mirai und Reaper werden immer noch von Menschen betrieben. Ganz anders bei den Swarm-Bots wie etwa «Hide and Seek». Diese Technik ermöglicht es infizierten Bots, sich untereinander auszutauschen. Dabei sind sie in der Lage, auf Grund der Informationen, die sie unter einander teilen, aktiv zu handeln. Bisherige Botnets sind dagegen sehr passiv. Sie warten darauf, bis ein Mensch ihnen einen Befehl schickt. Bei «Hide and Seek» wird der Mensch aus der Gleichung genommen, was an sich schon beängstigend ist. Immerhin: Bislang werden die Bot-Schwärme nur für die Erkundung der Netzwerkumgebung verwendet, also für die erste Angriffsphase.

Manky: Natürlich. Nehmen wir an, die Angreifer haben einerseits ein NAS und andererseits einen Drucker infiziert und in einen Bot verwandelt. Beide dieser infizierten Geräte sehen nun einen bestimmten Teil des Unternehmensnetzes. In der Folge tauschen sie sich gegenseitig über ihre Beobachtungen aus, lernen voneinander und arbeiten danach als Kollegen zusammen. Zum Glück handelt es sich noch um Vorformen also keineswegs um ausgereifte KI-Systeme. Allerdings kann man sich vorstellen, dass so etwas irgendwann einmal anzutreffen sein wird.

Manky: Richtig. Das dezentralisierte Modell hat sich bewährt. Solche Peer-to-peer-Botnetze sind äusserst resilient. Das sehen wir daran, dass wir noch heute immer wieder auf Conficker-Infektionen stossen. Zur Erinnerung: der Conficker-Wurm wurde erstmals 2008 gesichtet. Der Unterschied von Conficker zu den Swarm-Bots liegt im Wesentlichen darin, dass ersterer noch von Menschen Befehle empfangen und von ihnen gesteuert werden muss. Die Bot-Schwärme organisieren sich dagegen selbst. Sie werden also lange Bestand haben. Derzeit einzige Möglichkeit, den Schwärmen Herr zu werden, ist indem man auf Verwirrung setzt und die Bots so ausser Gefecht nimmt. Soll also einer der Köder von einem dieser Agenten in einen Bot verwandelt werden, kann man den Angriff isolieren und die Weiterverbreitung unterbinden.

Eine weitere Möglichkeit wäre es, ein umfassendes KI-System auf der Verteidigungsseite einzusetzen. Leider gibt es so etwas noch nicht, aber wir sind dran.

Manky: Bei Fortinet haben wir in den letzten fünf Jahren hauptsächlich ein KI-System entwickelt, das sich der Virenabwehr widmet. Es kann selbstständig Code analysieren und bei entsprechendem Befund, die Malware blockieren. Das ist zwar ein wichtiger Schritt in die richtige Richtung. Aber Antiviren-Systeme sind erst eine erste Stufe, weil sie einfacher zu trainieren sind sowie nach einer gewissen Zeit recht zuverlässig arbeiten, also nicht zu viele «False Positives» produzieren.

Ganz anders bei KI-Systemen, die Einbrüche in Netze und Angriffe abwehren sollen. Hier steht die Industrie noch ganz am Anfang. Zwar gibt es bereits Anbieter, die von sich behaupten, mit KI Eindringlinge abhalten zu können. Aber sie verwenden unbeaufsichtigte Lernroutinen und generieren zu viele «False Positives». Es gibt also noch einige Probleme mit dieser Technik. Das soll aber nicht heissen, dass sie in Zukunft verbessert und perfektioniert werden kann. Ein allumfassendes KI-System müsste also überall tätig sein, und so etwas gibt es leider noch nicht.

Manky: Technisch wäre das durchaus möglich. Auch die Idee, über Bots Sicherheitslücken in Unternehmensnetzen zu schliessen, ist durchaus machbar. Die grosse Crux dabei: Es wäre schlicht nicht legal. Denn auch ein gut gemeinter Angriff ist ein Angriff und somit illegal. Uns sind also da in einem gewissen Sinne die Hände gebunden.

Manky: Das liegt durchaus im Rahmen des Möglichen. Solche «Flash War» genannte Begegnungen werden kommen.

Manky: Auf jeden Fall, und zwar aus mehreren Gründen. So könnten solche Kriege zwischen KI-Systemen in Sekundenbruchteilen entstehen, sodass Sie keine Chance haben werden, darauf zu reagieren. Tatsächlich könnte ein solcher Kampf schon vorüber sein, ohne dass Sie davon etwas mitbekommen. Davor habe ich ehrlich gesagt mehr Angst als vor Szenarien, wie sie Elon Musk aufs Tapet gebracht hat, bei der Skynet-artige allmächtige KI-Systeme ihr Eigenleben führen werden.

Die Beschleunigung ist für mich derzeit das realistischere und damit auch gefährlichere Szenario. Wir müssen uns nur die Verkürzung der Zeitfenster für Angriffe ansehen, die dank der reinen Automatisierung schon heute möglich ist. Stuxnet brauchte noch zwei Jahre, um seine gewünschte Wirkung zu entfalten. Dieses Zeitfenster ist auf Monate, Stunden und heute auf Minuten verkürzt worden. In unserer Proof-of-Concept-Attacke mit Hilfe von Autosploit dauerte der Angriff lediglich zwei Minuten.

Wie gesagt, hier ist reine Automatisierung am Werk. Mit KI und Machine Learning wird sich das nochmals beschleunigen, da bin ich mir ziemlich sicher. Angriffe in Millisekunden wenn nicht Nanosekunden werden dann wohl möglich werden.

Manky: Das kann ich mir nicht vorstellen. Wir werden sicher Fortschritte machen, aber sicher nicht Cybercrime ausrotten. Da muss man sich nur die physische Kriminalität vor Augen halten. Die gibt es ja auch seit Menschengedenken. Trotz immer effizienterer Methoden der Strafverfolgungsbehörden konnte diese ja auch nicht eliminiert werden. Das gleiche gilt für die Cyberkriminalität. IT-Security kann sicherlich für die Eindämmung sorgen, aber es gibt auch in diesem Bereich kein Wundermittel.