Sensibilisierung für Cybersicherheit

In der letzten Folge einer dreiteiligen Sonderserie diskutiert Bryan Ferrari, der Gastgeber des Podcasts, mit drei Gästen über Cybersicherheit. Bertrand Lathoud ist COO (Chief Operating Officer) beim Luxembourg House of Cybersecurity, Philippe Parage ist IT Infrastructure Engineer beim National Cybersecurity Competence Center und Lars Weber ist CISO (Chief Operating Security Officer) bei Spuerkeess.

Wo hören technische Bedrohungen auf und wo fangen ausgeklügelte kriminelle Strategien an? Wie können Unternehmen ihre Infrastruktur sichern und gleichzeitig leistungsfähig bleiben? Die Experten haben alle unsere Fragen beantwortet.

Bryan Ferrari: Zu Beginn dieser Episode ist es wichtig, eine Frage zu stellen. Was ist Cybersicherheit und was ist sie nicht?

Bertrand Lathoud: Cybersicherheit ist die Sicherheit jeglicher Infrastruktur, die mit dem Internet verbunden ist. Es geht in erster Linie um Prävention, um Schutz. Und dann, wenn es notwendig ist, um die Reaktion auf Vorfälle. Aber Betrug geht über die Sicherheit hinaus. Betrug ist ein Phänomen, bei dem ein Krimineller ein System oder andere Personen missbraucht, um ihnen Vermögenswerte zu stehlen, sei es Geld oder Informationen. Dabei kommen alte Vorgehensweisen zum Einsatz. Ein Beispiel dafür ist der sogenannte Trickdiebstahl, wie er im schweizerischen Strafgesetzbuch bezeichnet wird. Diese Form des Betrugs besteht darin, die Gutgläubigkeit von Personen gezielt auszunutzen. Durch den Einsatz moderner Technologien wie Deepfakes – gefälschte Videos oder Tonaufnahmen – können solche Betrugsmethoden erheblich verstärkt werden, etwa beim Identitätsdiebstahl.

Lars Weber: Wir sprechen hier vom Schutz von IT-Infrastrukturen vor Bedrohungen, die spezifisch für die IT-Welt sind. Diese zeigen sich häufig durch die Ausnutzung unsicherer Passwörter oder durch Schwachstellen in Systemen. Auf dieser Grundlage definieren wir unseren Schutzbereich, der gemeinhin als Cybersicherheit bezeichnet wird.

Bryan: Wir alle kennen zum Beispiel den Präsidentenbetrug. Welche Cyberangriffe sind am weitesten verbreitet? Gibt es da ein bestimmtes Muster?

Bertrand: Nein, aber man könnte zwischen Angriffen, die sich gegen einzelne Nutzer richten, und Angriffen, die sich gegen Unternehmen richten, unterscheiden. Und in der Unternehmenswelt wachsen diese Betrugsfälle. Was aber, zumindest bis vor kurzem, die häufigste Art des Angriffs blieb, war Ransomware. Weil sie es Kriminellen ermöglicht, mit relativ geringem Aufwand viel Geld zu verdienen.

Bryan: Ransomware… was ist das?

Bertrand: Ransomware, das sind Kriminelle, die Malware, also schädliche Software, die sie präpariert haben, in das System eines Unternehmens schicken. Dann verschlüsseln sie alle Daten dieses Unternehmens und verlangen von dem Unternehmen ein Lösegeld, damit sie ihm seine Daten zurückgeben. Grob gesagt ist das der Mechanismus.

Bryan: Ist das auch in Unternehmen weit verbreitet?

Bertrand: Derzeit ist es der häufigste Angriff auf Unternehmen.

Lars: Es wird auch oft als eine Form des opportunistischen Angriffs gesehen. Man sendet eine präparierte E-Mail, die entweder einen Virus enthält oder auf einen Ort verweist, an dem der Virus aktiviert werden kann, an eine ganze Reihe von E-Mail-Adressen. Alle Internetnutzer können betroffen sein. Häufig sind die Auswirkungen für eine Privatperson anders als für einen Angestellten. Aber dennoch kann man sehen, dass diese Art von Angriff wirklich jeden erreicht, da der Verbreitungsweg oftmals die E-Mail ist. Es gibt auch andere Formen von Angriffen. Denial-of-Service-Angriffe, die in letzter Zeit leider sehr in Mode gekommen sind, zielen im Wesentlichen darauf ab, entweder die Internetbandbreite eines Systems zu sättigen oder sogar die Festplatten- oder Speicherkapazität eines Systems zu überlasten. Man macht einen Dienst unverfügbar und hofft, dafür bezahlt zu werden, dass der Angriff aufhört.

Philippe Parage: Um noch eine weitere Art von Angriffen hinzuzufügen, gibt es die Ausnutzung von Software-Schwachstellen, auf Englisch Zero Day Attacks, die viel technischer sind als DDoS und Phishing. Sie hängen nicht von einer Aktion des Opfers oder einer Rückmeldung des Nutzers ab. Der Betrüger zielt auf eine Schwachstelle ab, die einen Prozess auslöst, mit dem der Angriff gestartet wird. Zero-Day-Angriffe sehen nicht gleich aus, da sie für jede Software spezifisch sind, und sind sehr gefährlich.

Bryan: Ich habe bisher noch nie von Zero Days gehört. Gibt es Beispiele, die sie veranschaulichen können? Und warum heißt sie Zero Day?

Lars: Als die ersten Computerviren auftauchten, war die Situation relativ einfach: Antivirensoftware erkannte die Viren in der Regel bereits und bot entsprechenden Schutz. Mit der Zeit bemerkten die Virenentwickler jedoch, dass ihre Schadprogramme schnell entdeckt und neutralisiert wurden. Daraufhin begannen sie, Viren zu entwickeln, die ihre Form ständig verändern und dadurch von herkömmlicher Sicherheitssoftware nicht mehr erkannt werden konnten. Heutzutage bezeichnen wir solche Viren als Zero-Day-Viren. Sie bleiben an dem Tag ihres Auftretens unentdeckt, da es noch keine passenden Signaturen gibt. Der Begriff geht auf diese historische Entwicklung zurück.

Bertrand: Das wurde auf Schwachstellen im Allgemeinen ausgeweitet. Denn wenn Schwachstellen entdeckt werden, werden sie in der Regel mit einem Patch veröffentlicht. Auf diese Weise können wir sie sofort in unserem System reparieren. Was Lars beschreibt, sind Schwachstellen, die noch nicht von Sicherheitsforschern entdeckt wurden, sondern von Kriminellen, die sie ausnutzen wollen. Zero Day deckt das Ganze ab, sowohl die Seite der Viren als auch die Seite der Schwachstellen. Und wie Philippe betont hat, muss der Nutzer nicht involviert sein. Es ist also sehr, sehr praktisch für den Angreifer, denn er wird in das System eindringen und die Kontrolle übernehmen, ohne dass es entdeckt wird. Die Nutzer können nicht einmal mehr sagen "Ich wurde um etwas Ungewöhnliches gebeten" und es melden.

Bryan: Aber, naive Frage, könnte man das Problem nicht umgehen, indem man verhindert, dass die Leute Software auf die Firmen-PCs herunterladen?

Lars: Man kann das Risiko auch vermeiden, indem man die Systeme herunterfährt … aber man muss ein Gleichgewicht zwischen dem Bedürfnis, das man mit der Nutzung von Computersystemen adressieren will, und den damit verbundenen Risiken finden. Also das Herunterladen von Dateien zu vermeiden, ja, das wird in einigen Fällen funktionieren, in denen die Leute nicht im Internet sein müssen oder keine Dateien herunterladen müssen. Leider muss man sie in der Realität zulassen, weil man sie braucht. Man muss also wirklich eine Konfiguration finden, die die Risiken minimiert, aber auch die Bedürfnisse des Geschäfts anspricht.

Bertrand: Die Nutzer hingegen müssen ihre Geschäftsaufgabe erfüllen. Wenn man ihnen also etwas verbietet, werden sie versuchen, einen Weg zu finden, das Verbot zu umgehen. Und hier befinden wir uns in einer Situation, die viel komplizierter ist, weil wir die Einrichtung von Parallelsystemen beobachten können, bei denen es den Nutzern trotzdem gelingt, externe Dateien in das System der Organisation zu bringen. Das ist sehr problematisch. Lars hat auf eines der Probleme hingewiesen: Das Schwierigste für die Sicherheitsverantwortlichen ist es, diese Balance zu finden zwischen dem Druck durch die Angriffe, der dazu führt, dass man möglichst viele Möglichkeiten schließen möchte, und der Tatsache, dass es nicht die Sicherheit ist, die Geld in die Kassen des Unternehmens spült. Interessant ist, dass wir es hier nicht mit einem technischen Problem zu tun haben, sondern mit einem menschlichen und organisatorischen Problem. Man kann Sicherheitsprobleme nicht mit einem magischen Werkzeug lösen, das alles blockiert.

Bryan: Okay, aber was tun wir dann, sowohl auf persönlicher als auch auf Unternehmensebene? Denn wir scheinen uns in einem Rennen zu befinden, in dem wir immer den zweiten Preis bekommen?

Lars: Nicht unbedingt. Dann gibt es das auch in anderen Bereichen des Lebens. Du bist heute Morgen mit dem Auto zur Arbeit gekommen. Dein Auto hat auch Schwächen. Du triffst auch Vorsichtsmaßnahmen und hältst dich an die Straßenverkehrsordnung. Du bringst dein Auto nicht an seine Grenzen, zumindest nicht jeden Tag. In der Informatik ist es ein bisschen ähnlich. Man baut komplexe, hochintegrierte Systeme und es ist sehr schwierig, wenn nicht gar unmöglich, 100 Prozent aller Interaktionen in den verschiedenen Systemkomponenten zu beherrschen. Wenn du also wirklich 100 Prozent Sicherheit haben willst, musst du ein sehr langes, sehr detailliertes Design machen. Man muss es ständig anpassen und das wird die Innovationszyklen sehr langsam machen. Das wird die Preise für Systeme enorm in die Höhe treiben. Man muss das Tempo verlangsamen. Irgendwo muss man also akzeptieren, dass Systeme nicht perfekt sind. Und um dich gegen die Restrisiken zu schützen, die du durch die Nutzung solcher Systeme akzeptierst, musst du eine gewisse Grundhygiene haben.

Bertrand: Auf Unternehmensebene werden wir versuchen, dafür zu sorgen, dass sich ein Angriff auf eine der verbleibenden Schwachstellen nicht überall ausbreitet, wenn er einmal stattfindet. Die Idee ist, die Auswirkungen so gering wie möglich zu halten, um den Schaden zu begrenzen. Auch hierbei handelt es sich um Architekturmaßnahmen. Für den Einzelnen kann man diese Idee der Minimierung auch haben, indem man sich bewusst ist, was man online stellt, welche Daten man verbindet. Man ist nicht gezwungen, alles einzustellen, alles zu verbinden. In diesem Fall wird der Betrüger woanders hingehen. Das erinnert mich übrigens an eine Anekdote, als wir in einer europäischen Arbeitsgruppe über Sicherheitsfragen sprachen und die Vertreter eines Landes sagten, dass man nicht schneller als der Bär, sondern schneller als sein Nachbar laufen müsse.

Bryan: Wenn der Nachbar also schwächer ist, wird der Angreifer dazu neigen, ihn selbst anzugreifen.

Bertrand: Ja, genau das ist es. Danach dürfen wir die Dinge nicht auf individuelles Handeln reduzieren. Wir dürfen uns damit nicht zufrieden geben. Das Handeln der öffentlichen Behörden ist extrem wichtig, um den Schwächsten ermöglichen zu können, trotzdem diesen Mindestschutz zu haben. Das ist es, was wir auf der Ebene des Luxembourg House of Cybersecurity zu tun versuchen; dem gesamten Ökosystem Werkzeuge oder Dokumentationen zur Verfügung zu stellen, die zugänglich sind. Der Traum wäre, wenn der Ruf unter Kriminellen so wäre, dass es sich nicht lohnt, in Luxemburg zu versuchen zu betrügen, weil man seine Zeit und sein Geld verschwendet.

Bryan: Für ein Unternehmen wie die Spuerkeess ist es etwas anderes, als wenn man ein kleines mittelständisches Unternehmen mit etwa 20 Mitarbeitern ist. Die Kosten für all das werden wichtiger. Wenn man sich zwischen Geschäft und Sicherung seiner Systeme entscheiden muss, wird man sich für das Geschäft entscheiden. Was kann ein Unternehmer in der Praxis tun?

Philippe: Die Sensibilisierung ist entscheidend. Im NC3 organisieren wir simulierte Angriffe, wie sie mit ROOM#42 vorgeschlagen wurden, um Prozesse zu bewerten, die Stressresilienz der Teilnehmer zu testen und ihre Fähigkeit zur effektiven Kommunikation zu verbessern. Diese Übungen helfen dabei, bestehende Schwachstellen zu identifizieren, die Vorbereitungen der Unternehmen zu optimieren und vor allem das Bewusstsein der Teilnehmer für die Komplexität eines realen Angriffs zu schärfen. Auch wenn es sich um eine Übung handelt, verdeutlicht sie die konkreten Herausforderungen, mit denen Organisationen konfrontiert werden könnten.

Bertrand: Dann muss man auch bedenken, dass wir als öffentliche Agentur nicht dazu da sind, den Sicherheitsunternehmen auf dem Markt Konkurrenz zu machen. Unsere Idee ist es vielmehr, erste Tests durchzuführen oder grundlegende Ratschläge zu erteilen, die den Einstieg in die Sicherheit in kleinen und mittleren Unternehmen ermöglichen. Danach verweisen wir sie an den Markt, denn wir wollen auch, dass sich ein Ökosystem von luxemburgischen Sicherheitsunternehmen entwickelt. Deshalb werden wir auf der Ebene der LHC, zusätzlich zu dem, was NC3 tut, eine Plattform namens cybersecurity.lu, allgemein bekannt als Cyberlux, haben, die einen Überblick über alle Marktakteure, also alle Anbieter von Sicherheitslösungen, ermöglicht. Und wir haben über 300 Unternehmen, die sich angemeldet haben.

Bryan: Wie kann man auf den ROOM#42 zugreifen?

Philippe: Im Moment genügt es einfach, das Luxembourg House of Cybersecurity zu kontaktieren, um eine Sitzung in unseren Räumlichkeiten zu buchen. Eine Sitzung kann 5 bis 8 Teilnehmer aufnehmen und besteht aus einem Briefing, der eigentlichen Übung und einem Debriefing. Kleiner Spoiler: Sie werden nicht gewinnen.

Bryan: Objektiv betrachtet muss man also besser sein als sein Nachbar. Wenn man sich mit den Nachbarländern vergleicht, sind wir dann gut ausgestattet?

Bertrand: Natürlich, wenn man sich Frankreich oder Deutschland anschaut, hat man es mit großen Ländern zu tun, die über sehr umfangreiche Ressourcen verfügen. Man sieht ihre zentralen Behörden, das ist beeindruckend. Aber sie haben auch Herausforderungen, die in einer anderen Größenordnung liegen. Was wir jedoch feststellen, weil Luxemburg in den europäischen Instanzen immerhin sehr gut vertreten ist, ist, dass wir als ein Land wahrgenommen werden, das im Bereich der Cybersicherheit sehr aktiv ist. Im Englischen wird oft gesagt, dass wir "über unser Gewicht boxen". Wir haben ziemlich viele Dinge eingeführt, die dazu führen, dass Luxemburg gut wahrgenommen wird. Es gibt noch einiges zu tun, man darf sich nicht auf seinen Lorbeeren ausruhen, aber es gibt eine Anerkennung. Wir sind auf dem richtigen Weg.

Bryan: Wie steht es um das luxemburgische Bankensystem?

Lars: Ich denke nicht, dass man das vergleichen sollte. Wir haben die gleichen Gegner. Wir haben kürzlich gesehen, dass nationale Grenzen keinen Computerangriff aufhalten. Aber auf luxemburgischer Ebene denke ich, dass wir allein schon aufgrund der regulatorischen Anforderungen gut aufgestellt sind. Wir werden ständig auf die Probe gestellt, um uns zu verbessern, um mit allem Schritt zu halten, was an die Oberfläche kommt. Wir sind eindeutig mit Bedrohungen konfrontiert, die wir sehr ernst nehmen und die wir versuchen, so schnell wie möglich zu adressieren. Wir sind also keine Konkurrenten untereinander.

Bryan: Wenn Sie die Möglichkeit hätten, was würden Sie vorrangig tun, um die Dinge einen Schritt weiter zu bringen?

Lars: Ich glaube, dass es vor allem darum geht, weiterhin zu beobachten, was passiert, Angriffe vorherzusehen und sich darauf vorzubereiten. Sich ständig anpassen. Das ist wirklich das Wichtigste. Es ist ein Rennen, das nie endet. Solange wir Systeme haben, die miteinander verbunden sind, die da sind, wo Strom drin ist, sollten wir davon ausgehen, dass früher oder später jemand versucht sein könnte, eine Schwäche in unserem System auszunutzen.

Philippe: Die Aufklärung überdenken, früher beginnen. Schon in den Schulen erklären, dass solche Angriffe möglich sind. Man muss eine "aware" Gesellschaft werden, die diese Bedrohung nicht übersieht, und durch dieses Bewusstsein eine strenge Sicherheitshygiene einführen, um sich effektiv zu schützen. Dazu gehört die Verwendung komplexer und eindeutiger Passwörter, die Aktivierung automatischer Updates und eine erhöhte Wachsamkeit gegenüber riskanten Verhaltensweisen, wie z. B. nicht auf Links oder Anhänge aus unbekannten Quellen zu klicken. Für Unternehmen ist die Segmentierung der Systeme eine Schlüsselpraxis, um die Ausbreitung von Vorfällen im Falle eines Angriffs zu begrenzen.

Bertrand: Ich würde das Teilen betonen. Das Teilen von Informationen zwischen Fachleuten, die dazu bestimmt sind, die Prävention zu verbessern und sich besser vorzubereiten. Dies ermöglicht einen besseren Überblick über die Bedrohungen. Auch der Austausch von Dokumentationen, Schulungen, seitens der Bevölkerung und der Verteidiger, Dinge, die zugänglich sind und die es jedem ermöglichen, Praktiken anzuwenden, die die Exposition enorm minimieren. In Anlehnung an das, was Philippe sagt, sollte man nicht nur in der Schule aufklären, sondern diese Informationen auch auf nachhaltigere Weise weitergeben. Denn teilen ist nicht nur online stellen, sondern auch dafür sorgen, dass die Leute die Informationen finden können und wissen, wo sie hin müssen.

Bryan: Ich habe eine große Angst – das ist die künstliche Intelligenz. Ich nehme an, dass die künstliche Intelligenz, die sich selbst verbessern wird, Ihre Arbeit nicht gerade erleichtern wird?

Lars: Das kommt darauf an. Künstliche Intelligenz kann man als Chance sehen, man kann sie aber auch als Bedrohung sehen und wahrscheinlich liegt die Realität irgendwo dazwischen. Ich glaube, dass man auch alle Fähigkeiten von Lösungen, die auf künstlicher Intelligenz basieren, nutzen muss, um sich zu schützen. Ich glaube, dass man diese Lösungen ganz klar zum Schutz einsetzen muss, denn die Angreifer nutzen sie.

Bertrand: Was wir sehen, ist, zumindest im Moment, eine Verbesserung bestimmter Phasen der Angriffe durch künstliche Intelligenz. Aber einen kompletten Paradigmenwechsel haben wir nicht gesehen. Das bedeutet, dass einige der Verteidigungswerkzeuge unter Druck geraten, aber auch, dass es einige gibt, die noch wirksam sind. Wenn man also eine halbwegs kohärente Sicherheit eingerichtet hat, ist man immer noch geschützt. Das ist ein wichtiger Punkt, man sollte nicht in Panik geraten. Aber es ist klar, dass man super wachsam sein muss.

Bryan: Vor kurzem, vor einem Jahr, gab es eine große Lücke im System, die dazu führte, dass Flugzeuge nicht starten konnten. Das war Cloudflare. Müssen wir uns an solche Ereignisse gewöhnen und parallel dazu einen einsatzbereiten Notfallplan haben?

Lars: Ich glaube, dass man sich bei allen kritischen Prozessen in einem Unternehmen die Frage gestellt haben muss, was man tut, wenn man den Prozess nicht mehr am Laufen halten kann. Bei dieser Überlegung kann man mehrere Ansätze verfolgen. Der erste ist zu sagen: "Okay, wir akzeptieren, dass diese Aktivität, auch wenn sie kritisch ist, vier Stunden oder zwei Tage lang nicht funktioniert" Man kann auch überlegen, ob man Ausweichmöglichkeiten hat, die man aktivieren kann, falls der Ausfall zu lange dauert. Ich denke, dass oftmals die Taktik angewandt wird, eine unabhängige Lösung zu haben, die es ermöglicht, für eine gewisse Zeit im Ausfallmodus zu arbeiten.

Bertrand: Es gibt keine allgemeingültige Antwort, da es von der Branche abhängt, in der Sie tätig sind. In der Welt der Krankenhäuser zum Beispiel gibt es derzeit eine ganze Reihe von Überlegungen, weil man es sich nicht leisten kann, das Krankenhaus zu schließen. Die Menschen sterben. Dies sind Bereiche, die als hochsensibel gelten. Auf der Ebene eines Unternehmens hat Lars es gut zusammengefasst. Es ist etwas, das formal definiert ist. Es gibt Methoden, die man befolgen muss. Und dann nach und nach eine Planung einführen, um seine Geschäftskontinuität zu gewährleisten. Zumal dies in einigen Bereichen gesetzlich vorgeschrieben ist. Wir haben zuvor über den Informationsaustausch gesprochen. Ein wichtiger Punkt, den man beim Austausch von Informationen im Hinterkopf behalten sollte, ist die Tatsache, dass es eine Reihe von Dingen gibt, die Zeit brauchen, um aus technischer Sicht analysiert zu werden, weil sie komplex sind. Wir können also keine Antworten geben. Und wir müssen sehr vorsichtig sein. Ich erinnere mich an einen Fall, der in den Medien sehr, sehr präsent war. Es war der Fall von TV5Monde in Frankreich. Das war im Jahr 2015. Ihr System war von Angreifern komplett zerstört worden. Es sah so aus, als ob sich der Islamische Staat auf ihrer Website, die gehackt worden war, dazu bekennen würde. Mehrere Tage lang erregten sich also alle in den Pariser Kreisen über diesen Blitzangriff des Islamischen Staates. Einige Zeit später wurde klar, dass es sich um einen Angriff handelte, der vom russischen Geheimdienst durchgeführt worden war. Was ihnen zum Verhängnis wurde, war die Tatsache, dass ihre Übersetzung der arabischen Pressemitteilung nicht die eines Muttersprachlers war. Aber es hat lange gedauert, bis sie zu diesem Schluss gekommen sind.

Bryan: Wir kehren also wieder zur Geopolitik zurück …

Bertrand: Ja … es ging nur darum, bekannte Beispiele zu nennen, über die man nicht diskutieren kann und die trotzdem sehr, sehr markant sind, weil sie sich gegen Entitäten richteten, die wichtige und sichtbare Entitäten waren.