Cybercrime im 21. Jahrhundert: Reine Verteidigung hinkt hinterher

Auch wenn es selten vorkommt, es kommt vor: Themen wie Datenschutz und Cyberattacken haben es nicht nur in die Schlagzeilen der Tageszeitungen und abendlichen Nachrichtensendungen geschafft. Mittlerweile beschäftigen sich sogar Talkshow-Gäste mit genau diesen Themen.

John Carlin ist Assistant Attorney General for National Security, und hat in der seit 1991 über den Äther gehenden Bloomberg-Talkshow Charlie Rose über Cyberspionage, die Verbreitung von Attacken, Insiderbedrohungen und Prävention gesprochen. Selbst für diejenigen unter den Zuschauern, die nicht gerade in der IT- und Informationssicherheit beschäftigt sind, dürften seine Aussagen auch außerhalb der USA einige Aha-Erlebnisse ausgelöst haben.

Carlin erläuterte glaubwürdig, wie sich intelligente Systeme weiterentwickelt haben, um Angriffe und ihre Ursprünge zurückzuverfolgen. Man kann sich das bildlich auf einem überdimensionalen Bildschirm vorstellen, der laufende Attacken und Bedrohungen in Echtzeit samt ihrer Herkunft aus Übersee darstellt. Wie die Angriffswellen sich beispielsweise zunächst gegen eine bestimmte Stadt richten und sich von dort aus weiter fortpflanzen. Carlin sagte außerdem, dass die US-Geheimdienste mit einer ziemlich hohen Wahrscheinlichkeit davon ausgehen, dass Russland für den DNC-Hack und Nordkorea für den Angriff auf Sony verantwortlich waren. Eine verhältnismäßig neue Strategie ist es, diese Erkenntnisse, wenn sie als gesichert gelten, öffentlich zu machen und die Verantwortlichen zu benennen.

Das Wesen der Cyber-Wirtschaft

Das ist laut Carlin durchaus als Botschaft an die Welt gemeint á la: „Sie gehen vielleicht davon aus, dass alle diese Attacken anonym sind. Nein, das sind sie nicht.“ Und ein Staat hat Möglichkeiten zu reagieren. Entweder mit Strafverfolgung oder mit wirtschaftlichen Sanktionen gegen bestimmte Staaten und Regierungen, die zweifelsfrei als Urheber von Angriffen identifiziert wurden. Cyberspionage hat also ihren Preis. Unter Umständen ist es selbst für Unternehmen keine schlechte Strategie die Öffentlichkeit zu suchen oder entsprechende Informationen zumindest bei staatlichen Aufsichts- und Strafverfolgungsbehörden zur Kenntnis zu bringen. Auch wenn es sich nicht um den Angriff eines Staates oder einer Regierung handelt. Selbst wenn Strafverfolgung und Beweisführung eher mühsam sein sollten und vielleicht erfolglos bleiben, Öffentlichkeit herzustellen sendet eine wirksame Botschaft.

Das passt zu Carlins Credo, Hacking müsse so teuer wie möglich werden. Möchtegern-Hacker und „Script Kiddies“ verursachen in den USA noch immer mehr als 80 % aller Datenschutzvorfälle. Überraschend auch der enorme Umfang in dem Wissenskapital durch Cyberspionage und digitale Wirtschaftskriminalität in den USA abhanden kommt. In Deutschland sieht das nicht weniger erschreckend aus, wie unter anderem eine Studie von KPMG 2014 ergeben hat.

Carlin beschreibt beispielsweise einen Vorfall, bei dem ein Angreifer in staatlichem Auftrag die Preisstruktur eines amerikanischen Solartechnologie-Unternehmens ausspionieren konnte. Die Folge: Die betreffenden Firmen boten ihre eigenen Produkte im lokalen Markt zu Dumping-Preisen an. Noch während das Unternehmen sich an die zuständige Strafverfolgungsbehörde wandte, wurden dann noch die Dokumente mit der kompletten Prozessstrategie gehackt. Kein unwesentlicher Vorteil für die gegnerische Partei.

Insider und Zugriffsberechtigungen

Für die meisten Unternehmen ist es jedoch ungleich wahrscheinlicher, dass sich ein Insider mit unlauteren Absichten in den Besitz von Wissenskapital oder vertraulichen Informationen bringt, als in die Fänge eines staatlichen Hackers zu geraten. Schenkt man Carlin Glauben sind Insiderbedrohungen ein äußerst diffiziles Problem und zwar für jeden.

Sein Rat: “Sich ausgerechnet gegen diejenigen zu verteidigen, denen man eigentlich vertrauen sollte, ist eine der schwierigsten Herausforderungen überhaupt. Gleichzeitig sind Insiderbedrohungen etwas mit dem sich Privatwirtschaft und Industrie ernsthaft auseinandersetzen sollten. Das bedeutet im Umkehrschluss, Firmen müssen in der Lage sein, alle potenziellen Veränderungen im Nutzerverhalten zu überwachen, die gegebenenfalls auf einen Insider verweisen. Gleichzeitig sollten Unternehmen ihre Systeme so aufsetzen, dass eine einzige Person niemals auf sämtliche Ressourcen zugreifen kann …“

Will man sich gegen Insiderbedrohungen schützen, hilft es das Benutzerverhalten kontinuierlich zu beobachten und im Hinblick auf Abweichungen und Anomalien zu überwachen. Wenn es darum geht, dass entweder ein Staat oder eine kriminelle Gruppierung in ein mit dem Internet verbundenes Netzwerk gelangen wollen, wird ihnen das in aller Regel gelingen. Daran lässt Carlin keinen Zweifel. Hier hinken die Verteidigungsmechanismen den Möglichkeiten der Angreifer hinterher. Langfristig betrachtet ist Carlin durchaus optimistisch, was allerdings die nähere Zukunft anbelangt, sollte man es Hackern so schwer wie möglich zu machen an sensible Informationen und Daten zu gelangen. Daten und Informationen, die sich zu Geld machen lassen. Eine dieser Strategien ist es, Datenschutzvorfälle in einem sehr frühen Stadium aufzudecken und den Umfang der Daten zu minimieren auf die ein Hacker potenziell zugreifen kann. Forensische Methoden sollten dazu beitragen, die Schuldigen schnell zu identifizieren und dingfest zu machen.

Varonis CEO, Yaki Faitelson: “Absolute Sicherheit wird es nie geben. Dafür aber Angreifer, die entweder selbst die erforderlichen Ressourcen für einen Zero-Day-Exploit haben oder sie sich beschaffen können. Und damit stehen ausreichend Mittel und Wege zur Verfügung um ins Innere eines Netzwerks zu gelangen. US Assistant Attorney General Carlin räumt gründlich auf mit der Idee einer unüberwindbaren Verteidigungslinie an der Netzwerkgrenze (die dann ohnehin kurz davor wäre, die betreffenden Systeme von der Internetverbindung abzuschneiden). Für die weitaus meisten Firmen stellt sich eher die Frage, was man tun kann, um es Hackern so schwer wie möglich zu machen. Am besten so schwer, das der Zeitaufwand zu hoch wird. Die Erfahrung lehrt, dass es hilfreich ist, das Nutzerverhalten insbesondere die Zugriffsaktivitäten nahezu in Echtzeit zu überwachen. In vielen Fällen reicht das schon aus, um eine Attacke zu stoppen, bevor es den Angreifern gelingt Daten abzuziehen. Mit anderen Worten: Die Hacker haben es vielleicht bis ins Netzwerk geschafft, aber es gibt Methoden damit sie nicht wieder herauskommen (und die betreffenden Daten auch nicht).