Wirksame Abwehr gegen professionellen Cybercrime
Cybercrime-as-a-Service ermöglicht weniger cyberaffinen Kriminellen, raffinierte kriminelle Aktionen durchzuführen. Feststellbar ist eine Professionalisierung der Cybercrime-Lieferkette. Zunehmend geraten KMUs ins Visier. Die Abwehr muss strategisch und proaktiv angegangen werden.
Die Hauptbedrohungsfaktoren im Cyberspace sind heute nicht mehr wie früher improvisierte Amateure, sondern strukturierte, motivierte und kompetente Organisationen, die mit erheblichen Ressourcen ausgestattet sind. Alarmierend ist, dass professionelle Cyberkriminelle damit begonnen haben, Werkzeuge und Dienstleistungen an weniger organisierte Einzelpersonen oder Banden im "as-a-Service"-Modell oder im Profitsharing-Modell zu verkaufen. Dies ermöglicht es weniger cyberaffinen Kriminellen, im Cyberspace raffinierte kriminelle Aktionen durchzuführen. Feststellbar ist eine Professionalisierung in der Cybercrime-Lieferkette. Cyberkriminelle betreiben zum Beispiel ein multilinguales Helpdesk mit automatisiertem Ticketing. Bei Schadsoftwareprodukten wie Malware, Ransomware oder Spam-Kampagnen wird sogar eine Zufriedenheitsgarantie inklusive Bug Fixing geliefert.
Tatsächlich ist es vor allem die Leichtigkeit, mit der illegale Informationen, Produkte und Dienstleistungen auf dem Marktplatz des Dark Web gehandelt werden können, die den schnellen Erfolg (und damit das Wachstum) des Cybercrime-as-a-Service-Modells auslöste. Eine der angebotenen Ransomware-Plattformen, deren Zahlungsmodell auf Monats- und Jahresabonnementen basiert, ist beispielsweise "Ranion". Für 120 US-Dollar im Monat ist man bereits mit dem günstigsten Abonnement dabei. Botnets werden grundsätzlich vermietet, um sie für den Versand von Spam-E-Mails oder für DDoS-Angriffe einzusetzen.
Das Dark Web ist der Enabler und Kryptowährungen sind die Finanzgrundlage. Eines der Hauptprobleme bei der Bekämpfung der Cyberkriminalität ist der transnationale Charakter, der sich zugunsten der Kriminellen und zuungunsten von deren Bekämpfung auswirkt. Cyberkriminelle müssen sich an keine Gesetze oder Grenzen halten. Einnahmen aus der globalen Cyberkriminalität werden heute auf 600 Milliarden bis 1,5 Billionen US-Dollar pro Jahr geschätzt. Das erstaunt, wenn man weiss, dass die Ermittler den harten Kern der Cybercrime-as-a-Service-Ökonomie auf lediglich einige Hundert Personen schätzen.
Die Schlüssel zur erfolgreichen Abwehr
Wenn Menschen an lohnende Angriffsziele denken, meinen sie gewöhnlich grosse Unternehmen wie Yahoo, Facebook oder Marriott International. In der Realität nehmen die Cyberkriminellen mehr und mehr kleine Unternehmen ins Visier. Denn ein kleines Unternehmen kann es sich nicht leisten, für die Cybersicherheit so viel auszugeben wie ein Grossunternehmen.
Aufgrund von CaaS werden künftige Onlineangriffe schwieriger zu erkennen und zu verhindern sein. Es wird viel mehr davon geben, und es wird immer teurer, sie zu bereinigen.
Eine proaktive Verteidigung ist notwendig. Das Verständnis der eigenen Risiken ist ein notwendiger erster Schritt. Die Bewertungen der Informationssicherheit, beispielsweise durch eine Gap- resp. Schwachstellenanalyse helfen, dieses Verständnis aufzubauen. Der nächste strategische Faktor, auf den sich Organisationen konzentrieren sollten, sind die Angriffstypen, welche die Akteure in ihrem Bedrohungsmodell bevorzugen, damit die Sicherheitsstrategie daran angepasst werden kann. Eine solide Netzwerkabwehr und die Fähigkeit, kritische Systeme aus Back-ups wiederherzustellen, sind Schlüsselkomponenten jeder Verteidigungshaltung. Informationssicherheits-Managementsysteme, Ende-zu-Ende-Sicherheitsdispositive oder Managed Security Services bieten technisch und organisatorisch Schutz. Dennoch heisst es in erster Linie: Sensibilisieren und Schulen der Mitarbeitenden, denn der Faktor Mensch ist entscheidend bei der Cyberabwehr.
=========================================
Die Mitarbeiter sind ein zentraler Bestandteil der Verteidigungslinie
KMUs sind für Cyberkriminelle ein leichteres Ziel als Grossunternehmen, da sie meist weniger in ihre Abwehr investieren. Wieso KMUs seit Beginn der Coronakrise noch angreifbarer geworden sind, verrät Mike Imseng, Head of Security Consulting, T-Systems Schweiz. Interview: Colin Wallace
Viele KMUs operieren momentan aus dem Homeoffice. Wie beeinflusst dies die Sicherheit der Unternehmen?
Mike Imseng: Viele Unternehmen laufen Gefahr, durch aus der Not entstandene und rasch eingeführte Lösungen ihre Compliance nicht mehr zu erfüllen beziehungsweise zu verletzen. Wie stark die Firmen gefährdet sind, hängt in hohem Masse davon ab, ob den Mitarbeitern Firmengeräte ausgehändigt wurden, die Teil eines umfassenden Sicherheitskonzepts sind. Falls private Endgeräte für den Zugriff auf Unternehmensressourcen benutzt werden, empfehlen wir, Richtlinien dafür zu erarbeiten, um das Risiko für das Unternehmen auf ein vernünftiges Mass zu reduzieren. Das kann von Malware-Schutz bis zu Multifaktor-Authentifizierung für VPN und E-Mail in der Microsoft-365-Cloud gehen.
Was sind die Hauptangriffsvektoren von Cyberkriminellen und weshalb?
An erster Stelle stehen Social-Engineering-Angriffe in Form von Phishing-E-Mails, mit denen der Benutzer dazu verleitet werden soll, vertrauliche Daten preiszugeben oder unwissentlich Schadsoftware zu installieren. Dies ist der günstigste und vielversprechendste Angriffsvektor. Es werden aber auch bekannte Schwachstellen zum Eindringen und Erlangen von privilegierten Zugriffsrechten ausgenutzt. Seit dem coronabedingten Umzug ins Homeoffice hat sich die Anzahl der Angriffe auf Remote-Desktop-Verbindungen (RDP) massiv erhöht.
Was ist das wichtigste Element der Verteidigungslinie gegen Cyberkriminelle?
Wir beraten unsere Kunden dahingehend, wie sie, basierend auf dem etablierten NIST Cybersecurity Framework "Identify, Protect, Detect, Respond, Recover", eine unternehmensweit durchgängige Security-Strategie verfolgen können. Genauso erfolgskritisch ist jedoch die Schulung der Mitarbeitenden im Umgang mit Phishing-E-Mails, Social Engineering, Sicherheit im WLAN bzw. Homeoffice und sicheren Passwörtern. Cybersecurity ist ein Prozess, der in den Unternehmenszielen verankert werden muss und Chefsache ist. Nur dies garantiert eine vollumfängliche Umsetzung über alle Stufen und Hierarchien hinweg.
Welchen Rat geben Sie KMUs, die sich um ihre Cybersecurity sorgen?
Wir empfehlen zunächst ein "Security Baseline Assessment" zum Ist- und Soll-Zustand. Die Schulung der Mitarbeitenden mittels "Security Awareness & Phishing"-Kampagnen (Angriffssimulationen im gesicherten Umfeld) ist, wie gesagt, zentral. Damit und mit Richtlinien zu sicheren sowie periodisch zu ändernden Passwörtern wird der Mitarbeiter zum integralen Bestandteil der Verteidigungslinie. Technisch sind Back-up und Recovery der kritischen Unternehmensdaten mit routinemässigen Wiederherstellungstests sowie in regelmässigen Intervallen Schwachstellen-Scans und Netzwerksegmentierungen nötig.
Wo sehen Sie derzeit die grössten Herausforderungen in Sachen Cybersecurity?
In Gesprächen mit Kunden stellen wir fest, dass es trotz der grossen medialen Aufmerksamkeit noch immer ein falsches Risikoverständnis gibt. Viele Unternehmen glauben, sie wären zu klein beziehungsweise zu unbedeutend für Cyberkriminelle, um als Opfer attraktiv zu sein. Dies stimmt leider nicht (mehr). Wir fürchten, dass sich ein Problembewusstsein erst entwickelt, wenn eine Meldepflicht für Cybervorfälle eingeführt wird. Daher ist Sensibilisierung so immens wichtig.