Service Navigation

Cyber Security-Experte Frank Fischer im Gespräch: „Auch Angreifer haben ihren Business Case.“

04. Okt 2017

Cyber Security-Experte Frank Fischer im Gespräch: „Auch Angreifer haben ihren Business Case.“

Die jüngste groß angelegte Attacke der Erpressungstrojaner WannaCry und Petya/NotPetya hat uns vor Augen geführt, wie dringlich das Thema Cyber Security ist; laut Europol wurden dabei weltweit rund 200.000 Computer in 150 Ländern in kürzester Zeit angegriffen. Was können und müssen Unternehmen wie die Deutsche Börse tun, um sich zu schützen? Anlässlich des European Cyber Security Month sprachen wir mit Frank Fischer, Chief Security Officer der Gruppe Deutsche Börse.

Frank Fischer, Chief Security Officer of Deutsche Börse Group

Welche Motive haben die Angreifer?

Wir beobachten drei Motive. Erstens finanzielle Interessen, das heißt, die Angreifer haben das Ziel, möglichst leicht einen monetären Gewinn zu erzielen. Das zweite Motiv ist, ein Unternehmen im laufenden Betrieb und/oder in seiner Reputation zu schädigen, indem man wichtige Services unterbricht. Und der dritte Grund ist, sich interessante Informationen über das Unternehmen anzueignen. Letztere sind quasi die Voraussetzung für die beiden vorher genannten Motive.

Wie konnten die Angreifer im Fall der WannaCry-Attacke eine so große Wirkung erzielen?

Erstens durch die Angriffsmittel und zweitens durch die Schwachstellen der Angriffsziele. Bei den Angriffsmitteln gilt nun mal, dass Waffen, die gebaut werden, irgendwann auch eingesetzt werden. Im Fall von WannaCry hat sich die NSA eines ihrer eigenen Angriffsmittel, nämlich eine Schadsoftware namens Eternal Blue stehlen lassen. Mit dieser wurden dann Schwachstellen im Code von Microsoft ausgenutzt.

Liegt der Fehler eher bei den Nutzern oder bei den Anbietern der Software?

Wahrscheinlich bei beiden. Bei WannaCry war die Schwachstelle seit Langem bekannt und wurde sehr frühzeitig von Microsoft publiziert – zusammen mit einem Patch; nur haben nicht alle Unternehmen und Privatpersonen ihr System zeitnah aktualisiert. Des Weiteren nutzte der Trojaner das gebräuchliche SMB-Protokoll, um sich schnell zu verbreiten. Das Problem besteht oft darin, dass nicht schnell genug gepatcht wird und laterale Verbreitungsmöglichkeiten nicht unterbunden werden, weil die Prozesse zu langsam und schwerfällig sind.

Welche Lehren ziehen Sie aus WannaCry?

Wichtig ist, dass wir sehr frühzeitig verstehen, wo neue Bedrohungen entstehen – möglichst, bevor sie einen kritischen Zustand erreichen, also bevor Angriffe so stark „industrialisiert“ sind, dass sie als Waffe gegen uns eingesetzt werden können. Denn immer, wenn Schwachstellen genutzt werden, gibt es schnell erste Versuche, diese auch flächenmäßig auszunutzen. Das heißt, auch ein Angreifer macht im Prinzip einen Business Case daraus.

Wir haben bei der forensischen Analyse aller großen Angriffe festgestellt, dass es in der Regel schon Vorstufen gab, wo die Angreifer das eine oder andere ausprobiert haben. Das sind kleine Nadelstiche, die für sich genommen typischerweise gar keinen großen Schaden anrichten. Aber die Angreifer sammeln so unbemerkt sukzessive immer mehr Fähigkeiten und Kenntnisse, bis sie das gesamte Waffenarsenal zusammen haben, das sie für den geplanten Angriff brauchen.

Wie bekommen Sie denn mit, dass ein Angriff vorbereitet wird?

Dafür ist es wichtig, jede Abweichung von der Norm festzustellen. Das heißt, wir müssen große Datenvolumina auswerten, um letztlich die Nadel im Heuhaufen zu finden. Hierbei ist Vernetzung absolute Pflicht. Es gibt ja auch andere Unternehmen, die entsprechende Fähigkeiten entwickelt haben und die möglicherweise in der Lage sind, auch in anderen Zeitzonen oder Regionen schon viel früher solche Vorstufen zu entdecken.

Wo sehen Sie ein stärkeres Gewicht, bei den Industrienetzwerken oder bei der Kollaboration mit der Politik?

Überwiegend bei Industrienetzwerken, denn die Industrie ist einfach flexibler und meist agiler. Sie muss nicht darauf warten, dass – wie bei Behörden üblich – die Frage der Zuständigkeit geklärt ist. Meist ist es ja auch nicht nur eine Behörde, die sich für zuständig erklärt, sondern zwei oder drei. Das hat viele Konsequenzen. Auf jeden Fall verlangsamt es die Geschwindigkeit, mit der man sich solcher Themen annehmen könnte.

… und diese Industrienetzwerke sind eher national oder europäisch oder global?

Ist man national begrenzt, ist man im Nachteil, weil einen Angreifer nationale Grenzen nicht interessieren. Also muss man sich frühzeitig international vernetzen, um Angriffsschwerpunkte auch rechtzeitig diagnostizieren zu können.

Wir treffen uns regelmäßig in verschiedenen Netzwerken – angefangen bei unseren DAX-Kollegen über Untergruppen der World Federation of Exchanges bis hin zum Financial Services Information Sharing and Analytics Center, kurz FS-ISAC. Das ist eine weltweite Organisation von Finanzinstituten – von der kleinen Regionalbank bis hin zu globalen Konzernen wie JP Morgan.

Das sind nach außen gerichtete Maßnahmen. Aber wie erhöhen Sie die Sicherheit innerhalb des  Unternehmens?

Die eigenen Mitarbeiter sind eigentlich die allererste Verteidigungslinie. Wieso? Weil viele Angriffe über Social Engineering, also den Missbrauch persönlicher Vertrauensverhältnisse, stattfinden.

Angreifer versuchen dabei denjenigen, den sie angreifen, unter Zugzwang zu setzen und so aus seinem Standardprozess hinauszudrängen – entweder, indem sie ihrem Opfer eine Karotte vor die Nase halten und es in bestimmte Handlungen verwickeln; oder sie setzen ihre Zielperson durch eine Zwangssituation unter Druck, um so gewünschte Aktionen auszulösen oder interessante Informationen zu gewinnen.

Ein Beispiel dafür ist Spear-Phishing, also ein Angriff, bei dem Mitarbeitern gezielt maßgeschneiderte Köder wie VIP-Tickets für Konzerte angeboten werden. Sie können darauf wetten, dass ein gewisser Prozentsatz auch unserer Mitarbeiter darauf hereinfallen würde. Das ist einfach so: Attraktive Anreize schalten das Gehirn aus.

Der Angreifer erschleicht sich so Zugang zum System, kann die erste Angriffswelle starten und für ihn interessante Informationen beschaffen. Das ist vielleicht noch nicht ausreichend, aber es gibt ihm so viel Aufschluss, dass er im nächsten Schritt schon deutlich mehr machen kann. Ein Angriff findet ja nicht als Einzelevent statt, sondern als Kette von Maßnahmen. Spear-Phishing funktioniert dadurch, dass man jemanden mit interessanten Informationen konfrontiert, die derjenige unbedingt haben möchte oder aber mit interessanten Gelegenheiten, die er wahrnehmen möchte. Also erreicht der Angreifer schon damit sein Ziel, wenn er jemanden findet, der darauf reagiert.

Die Mitarbeiter müssen also geschult werden?

Genau. Am wichtigsten ist, das Bewusstsein für verdächtige E-Mails zu schärfen. Die E-Mail ist eines der größten Einfallstore. Das ist sozusagen die Gießkanne, man versucht damit so viele Leute wie möglich zum Klicken zu bewegen. Ich schreibe zum Beispiel 50 Millionen Leute an. Klicken davon nur 1 Prozent, habe ich schon 500.000 Antworten. Und wenn von diesen nur 10 Prozent auf meine Schadsoftware hereinfallen, habe ich ungefähr 50.000 Opfer, von denen ich dann z.B. so und so viele Bitcoins fordere. Damit bekommen Betrüger sehr schnell einen Business Case zusammen.

Welche konkreten Maßnahmen unternehmen Sie dagegen?

Wir informieren und motivieren. Insbesondere das Thema E-Mail-Phishing muss man immer wieder adressieren, aber auch allgemeine Verhaltensweisen: Wie schütze ich meine persönlichen Daten? Wie gehe ich mit diesen Daten in der Öffentlichkeit um? Bin ich mir jederzeit bewusst, mit wem ich Informationen austausche und welche Websites ich zum Beispiel nicht aufrufen sollte?

Wir sind gerade dabei, eine Lösung auszurollen, die genau das bewerkstelligt. Dazu gehören regelmäßige Phishing-Tests und eventuell auch ein Ranking der Abteilungen. Wir werden uns immer wieder etwas Neues einfallen lassen müssen. Weil klar ist, dass Mitarbeiter recht schnell wieder gegen die Angriffsmethoden abstumpfen.

Wenn E-Mails eines der populärsten Einfallstore sind, wie viele E-Mails bekommt die Deutsche Börse eigentlich pro Woche?

Die Zahl schwankt zwischen 11 bis 13 Millionen pro Woche. Davon enthalten maximal ein paar Hunderttausend valide Informationen, die entweder auf wirkliche Geschäftsbeziehungen zurückgehen oder im Innenverhältnis ausgetauscht werden. Im Grunde kann man gut 99 Prozent abziehen, die überhaupt keinen Wert haben. Und in diesen 99 Prozent steckt ein gewisser Prozentsatz mit verdächtigen Anhängen.

Bei den ganzen Analysen gewinnen Sie eine Menge an hochvertraulichen Daten. Wie gehen Sie damit um?

Wir schließen solche Daten in einen virtuellen Tresor ein, das heißt, sie werden verschlüsselt und gegen Zugriffe gesichert. Und sie werden nicht dort gespeichert, wo sie erhoben wurden. Ein Angreifer, der möglicherweise seine Spuren verwischen will, hat also schlechte Karten, weil wir die Log-Informationen woanders ablegen. Außerdem ist der Zugriff auf diese Daten streng reglementiert; das heißt, wir erlauben nur einem ganz kleinen Team, Teilmengen dieser Daten auszuwerten und das nur unter einer besonderen Verschwiegenheitspflicht.

Was lernen wir aus alldem für die Zukunft? Wie muss ich mit Sicherheit künftig umgehen und welche Risiken und Chancen bietet hierbei Cloud Computing?

Mit der Cloud haben wir die Chance, das Thema Sicherheit sehr viel stärker in der Infrastruktur unterzubringen. Das schafft viele Möglichkeiten, bestimmte Sicherheitsmaßnahmen zentral und trotzdem agil durchzusetzen. Aber natürlich müssen wir immer einen Mittelweg zwischen Nutzerfreundlichkeit und Sicherheit finden, und das zusammen mit unseren Regulatoren. Aber hier sind wir auf einem guten Weg.

Interview: Irmgard Thiessen

Der European Cyber Security Month feiert in diesem Oktober fünfjähriges Jubiläum. Die jährliche Kampagne der EU soll ein Bewusstsein schaffen für Sicherheitsbedrohungen in der digitalen Domäne und stellt Anwendern Material zur Verfügung, wie sie sich selbst und sensible Daten online schützen können. Vom 1. bis 31. Oktober finden in 24 Ländern auf dem Kontinent 252 Veranstaltungen zur Wichtigkeit von Informationssicherheit statt und die jeweiligen Gastgeber stellen wirksame Praktiken vor. Der ECSM wird koordiniert von der Agentur für Netzwerk- und Informationssicherheit der EU (ENISA) und Partnern. Unter dem Motto „STOP.THINK.CONNECT.“ teilt die EU die Verantwortung für einen sicheren und stabilen Cyberspace.

 

Fachbegriffe

Drive-by-InfektionDas unbewusste („im Vorbeifahren”) und unbeabsichtigte Herunterladen (Download) von Software auf einen Computer
ExploitEin Schadprogramm, das Sicherheitslücken in Computerprogrammen ausnutzt
MalwareSammelbegriff für Programme, die dazu entwickelt wurden, Benutzern Schaden zuzufügen
PatchKorrekturauslieferung für Software oder Daten zur Behebung von Sicherheitslücken im Code
RansomwareEine Malware, die einen Computer infiziert, sperrt und dann Geld dafür verlangt, ihn zu entsperren
SMB (Server Message Block)Ein von Windows unterstütztes Protokoll, in dem die Kommunikation für Datei- und Druckdienste definiert ist
Social EngineeringMethode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch „Aushorchen“ zu erlangen
Spear-PhishingGezielter E-Mail-Betrug, mit dem unbefugt Zugriff auf vertrauliche Daten erlangt werden soll

Additional Information

Kontakt

Internet-Hotline

Servicezeiten: Mo-Fr, 9 – 18 Uhr MEZ

+49-(0) 69-2 11-1 16 70

info@​deutsche-​boerse.com