Infoguard Innovation Day

Warum Cyberschutz allein nicht mehr ausreicht

Uhr

Infoguard hat an seiner Hausmesse gezeigt, wie man auf fortgeschrittene Cyberbedrohungen wie Emotet reagieren sollte. Live-Demos, Praxisbeispiele und Networking standen am diesjährigen Innovation Day auf dem Programm.

Cyberkriminelle haben es mehr und mehr auf lebenswichtige Infrastrukturen abgesehen. Ende Oktober 2019 wurden beispielsweise mehrere Schweizer Spitäler und weitere Gesundheitseinrichtungen Opfer von Cyber-Attacken, wie "SRF" damals berichtete. Recherchen der Sendung "Rundschau" zeigen, dass unter anderem die Spitäler Wetzikon, Limmattal und das Zentrallabor Zürich durch den Trojaner Emotet angegriffen wurden. Die betroffenen Institutionen seien heute noch damit beschäftigt, ihre Geräte zu kontrollieren und zu säubern.

Aber warum nehmen Angreifer ausgerechnet Einrichtungen des Gesundheitswesens ins Visier? "Die sind eher bereit zu zahlen", sagte Nicolas Forster, Penetration Tester bei Infoguard, am Innovation Day des Cybersecurity-Dienstleisters.

Es war einmal ein Nerd-Thema

250 Kunden und Partner waren für den Anlass nach Baar gereist. Sie informierten sich über Trends und Produktneuheiten, diskutierten über Sicherheitsrisiken und knüpften Kontakte. "Die Vernetzung mit den Partnern und Kunden ist für uns das Wichtigste an diesem Anlass", sagte Thomas Meier, CEO von Infoguard. Dabei gehe es auch um Networking über die Branchengrenzen hinweg. "Cybersecurity ist kein Nerd-Thema mehr. Das Bewusstsein für Sicherheitsfragen ist stark gewachsen – in den Verwaltungsräten, im Management und auch in der Politik."

Der Schutz vor Cybergefahren sei wichtig, aber längst nicht alles. Detection und Incident Response würden angesichts der aktuellen Bedrohungslage an Bedeutung gewinnen, sagte Meier. Um solche Szenarien drehten sich denn auch einige der Vorträge von Infoguard. So standen etwa Angriffssimulationen, Live-Demos und Praxisbeispiele auf dem Programm.

Von Opportunisten und Profi-Halunken

Die Angreifer lassen sich, grob gesagt, in zwei Arten unterteilen, wie Nicolas Forster sagte. Es gibt zum einen die Opportunisten, die beispielsweise massenhaft Phishing-Mails verschicken und jene Nutzer attackieren, die in die Falle tappen. Zum anderen gibt es jene Angreifer, die selektiv vorgehen. Sie fassen ganz bestimmte Ziele ins Auge und versuchen diese, etwa mittels Spear Phishing zu überlisten, sich so Zutritt zu einem Netzwerk zu verschaffen und dann Spionage, Sabotage oder Datendiebstahl zu begehen.

Von dieser zweiten Gruppe von Angreifern geht die grösste Bedrohung aus. Oftmals handelt es sich um staatsnahe Akteure, von denen man gemäss Nicolas Forster annehmen muss, dass sie über lange Zeit hinweg unentdeckt bleiben und früher oder später an ihr Ziel kommen. Man spricht in solchen Fällen von Advanced Persistent Threats. Auf Deutsch: fortgeschrittene, andauernde Bedrohungen. Von einer solchen war beispielsweise der Rüstungskonzern Ruag betroffen, wie Sie hier nachlesen können.

Bezahlen? Schlechte Idee

Die derzeit grösste Bedrohung gehe derzeit von Ransomware-Angriffen wie im Fall von Emotet aus. Solche Attacken seien gross angelegt, voll automatisiert und werden immer raffinierter, wie Michael Kurth, Senior Security Analyst bei Infoguard, sagte. Die Angreifer würden den Trojaner mittels professionellen, gezielten Phishing-Mails an bestimmte Nutzer verschicken - oftmals getarnt als Word-Anhang, der den Nutzer nach dem Öffnen dazu auffordert, ein Makro zu aktivieren. Anschliessend würde sich die Malware gewissermassen selbstständig machen, Prozesse im Hintergrund ausführen, dem Angreifer den Zugriff ermöglichen, weitere Phishing-Mails verschicken und sich so im Netzwerk ausbreiten wie ein Wurm. Sobald genügend Clients im Netzwerk infiziert sind, kann der Angreifer zum entscheidenden Schlag ausholen: Er verschlüsselt die Daten auf den PCs, auf den Servern sowie die Back-ups und verschickt den Nutzern eine Lösegeldforderung.

Für organisierte Kriminelle ist Ransomware ein lukratives Geschäftsmodell. Die höchste Lösegeldforderung, die bislang in der Schweiz verzeichnet wurde, liegt bei 6 Millionen US-Dollar, wie Kurth sagte.

Auf solche Forderungen einzugehen, sei gleich in mehrfacher Hinsicht eine schlechte Idee. Denn es sei unklar, ob der Erpresser die Daten tatsächlich entschlüsselt. Zudem könne der Täter jederzeit erneut zuschlagen. Auch von einer Datenwiederherstellung mithilfe eines Back-ups rät Kurth ab, zumal ungewiss sei, wie lange der Angreifer respektive der Trojaner bereits im Netzwerk war. Die einzige Möglichkeit, auf solche Angriffe zu reagieren, sei ein frühes Aufspüren, umfassende Analyse, Live-Überwachung und Containment.

Virulente Freude am Rätseln

Die Analyse von Malware ist eine Disziplin für sich. Sicherheitsforscher finden dabei heraus, was eine Schadsoftware wie Emotet genau macht, wie sie vorgeht und wer dahinter stecken könnte. Wobei: Die Attribution, also die Zuschreibung des Täters, ist mittlerweile extrem schwierig, wie Stefan Rothenbühler, Senior Cyber Security Analyst bei Infoguard, sagte. Insbesondere die Zuschreibung von Herkunftsländern sei heutzutage kaum haltbar – obwohl dies in den Medien gang und gäbe ist. "Nur weil man im Code ein kyrillisches Zeichenset findet, heisst das noch lange nicht, dass da russische Hacker am Werk waren", sagte Rothenbühler. Machbar sei hingegen die Attribution von Angriffsgruppen. Experten könnten das Handwerk bestimmter APT-Gruppen anhand der verwendeten Tools und deren Kombination erkennen.

Die wichtigste Aufgabe eines Malware-Analysten sei jedoch nicht die Attribution, sondern Reverse Engineering mit dem Ziel, die Schadsoftware bis ins Detail zu verstehen und sogenannte IOCs zu finden. Ein Indicator of Compromise dient Forensikern als Hinweis darauf, dass sich jemand unberechtigt Zugang zu einem System verschafft hat.

Am einfachsten funktioniere das mittels Sandboxing in einer virtuellen Umgebung. Das klingt allerdings leichter, als es ist: Es braucht sehr gute Programmierkenntnisse, Kenntnisse der Windows-Internals, viel Übung, Erfahrung mit "echter" Malware und vor allem: Neugier und "Spass am Rätseln", sagte Rothenbühler, "Wir haben grosse Freude an neuen Viren. Wenn Sie also etwas entdecken, lassen Sie es uns wissen."

Webcode
DPF8_167321

Kommentare

« Mehr