Ein kritischer Blick von aussen: Wer zuletzt kommt, den bestrafen die Cyberkriminellen

 


Von Uwe Gries

Die Schweiz spielt unter anderem auf dem weltweiten Finanzmarkt, im pharmazeutischen Umfeld und in der wissenschaftlichen Forschung eine Spitzenrolle. Doch bei Cybersicherheitsfragen reagieren der Bund und die Unternehmen etwas langsamer, als es die tatsächliche Bedrohungslage erfordern würde. Und die ist bedauerlicherweise besorgniserregend.

Laut einer Trend-Micro-Studie wurden 88 Prozent der befragten Schweizer Unternehmen im ersten Halbjahr 2022 Opfer von Cybersicherheitsvorfällen. Dem vom Threat-Hunter Group-IB stammenden Hightech-Crime-Report für Juli 2021 bis Juni 2022 zufolge wurden die Daten von 44 Schweizer Unternehmen von Ransomware-Gruppen auf Data-Leak-Sites veröffentlicht. Doch nicht nur das: In demselben Zeitraum wurden laut Group-IB zudem Zugänge zu 21 kompromittierten Netzwerken von Schweizer Unternehmen im Darknet zum Verkauf angeboten. Somit ist die Schweiz in diesen Studien zwar rein numerisch jeweils das sechste bzw. das achte am stärksten gefährdete Land auf dem europäischen Kontinent, doch gemessen an der Zahl der hiesigen Unternehmen im Vergleich zu anderen analysierten europäischen Ländern steht die Schweiz vor Herausforderungen, denen sich sowohl die Regierung als auch die Privatwirtschaft sofort stellen müssen. Dies besonders wenn man bedenkt, dass laut der jüngsten PWC-Studie die meisten Schweizer Unternehmen für 2023 mit einem weiteren Anstieg von Cybervorfällen rechnen. Darunter befürchtet über die Hälfte einen weiteren Anstieg von Ransomware-Attacken und über ein Drittel Angriffe auf ihre Cloud-Dienste.

Die Zusammenarbeit zwischen Behörden und Privatwirtschaft

Ende des letzten Jahres hat der Bundesrat dem Parlament einen Entwurf zur Änderung des Gesetzes über die Informationssicherheit im Bund unterbreitet. Dieser soll auch die gesetzliche Grundlage dafür bilden, Betreiber kritischer Infrastrukturen zur Meldung erlittener Cyberangriffe zu verpflichten. Ein Prinzip, das in der EU bereits erfolgreich betrieben wird und Behörden wie Unternehmen in den letzten Jahren dazu bewegte, sich für die Umsetzung wirksamer Cybersicherheitsstrategien und -massnahmen einzusetzen. Dieser Entwurf ist ein begrüssenswerter Schritt nach vorn: Angesichts der Tatsache, dass finanziell motivierte Bedrohungen gegen kritische Infrastrukturen, Lieferketten, Cloud-Dienste und Industrie-4.0-Unternehmen aufgrund des Reichtums des Landes auch 2023 keinen Halt machen werden, sollten die Privatwirtschaft und die Behörden zusammen für einen angemessenen Schutz sorgen. Die Schweiz hat in den letzten Jahren ihre Bemühungen verstärkt, diese Zusammenarbeit in Fragen der Cybersicherheit zu fördern. Deren Zunahme und Weiterführung würden dazu beitragen, solche Bedrohungen dank der gesammelten Erfahrungswerte und Best-Practice-Beispiele effektiver abzuwehren – selbst wenn der anfängliche Anreiz hierfür ein genauso umstrittenes Gesetz sein sollte, wie es die DSGVO und die NIS-Richtlinien für die übrigen europäischen Länder waren.

Doch die Zusammenarbeit und die Implementierung von adäquaten Sicherheitsstrategien allein erweisen sich nur teilweise als hilfreich. Die wirtschaftliche Bedeutung von Cybersicherheitskompetenz wird ebenfalls weiter steigen. Die Schweiz hat im europäischen Vergleich einen genauso hohen Bedarf an qualifizierten Fachkräften. Es ist deshalb wichtig, jetzt in Ausbildung und Schulung von qualifizierten Cybersicherheitsspezialisten sowie des Personals in den einzelnen Organisationen zu investieren, um den steigenden Anforderungen kurz- bis langfristig gerecht zu werden. Der Grund dafür ist simpel: Cyberkriminelle haben stets bewiesen, dass sie sehr geschickt neue Angriffstechniken auf Zielinfrastrukturen entwickeln können. Aufgrund deren Erfolge bei der Umgehung technischer Schutzvorrichtungen darf man sich nicht ausschliesslich auf Sicherheits-Tools oder gar KI-Algorithmen verlassen. Letzten Endes gilt der Mensch nach wie vor als grösste Sicherheitslücke und als erster Schutzwall zugleich.

Die wichtigsten aktuellen Bedrohungen

Obgleich man sicherlich darauf vertrauen kann, dass sich das Thema Cybersicherheit zukünftig einer grösseren Aufmerksamkeit von allen Akteuren auch hierzulande erfreuen wird, sind alle Parteien heute mit einer ganzen Reihe an sehr konkreten Bedrohungen konfrontiert. Deren Risikopotenzial soll auf ein Minimum reduziert werden.

Zu den bekanntesten und auch in der Schweiz relevanten Taktiken der Cyberkriminellen im B2B-Umfeld gehören verschiedene Phänomene wie das Phishing, eine Variante des Spoofings zum Diebstahl von persönlichen Daten, das Spear-Phishing, ergo ein Phishing-Angriff in Kombination mit Social Engineering, und der sogenannte Polymorphismus. Letzterer beschreibt die Fähigkeit von Malware, Antivirenprogramme mittels einer Reihe nicht zusammenhängender Fingerabdrücke zu umgehen. Die mittlerweile klassische Ransomware mit ihrer dreifachen Erpressungsstrategie darf ebenso wenig unerwähnt bleiben wie dateilose Malware, die ausschliesslich im Arbeitsspeicher des Systems läuft. Obendrein gibt es neue Bedrohungen wie den Browser-in-the-Browser-Angriff, bei dem ein gefälschtes Pop-up-Fenster die Benutzer zur Angabe möglichst vieler persönlicher Daten verleitet.

Für eine weitere Ausdehnung der Angriffsfläche im Unternehmen sorgen erschwerend die zunehmende Nutzung von unklar abgesicherten Cloud-Diensten und – im Zuge der Pandemie – von privaten mobilen Geräten. Auch die Entwicklung von APIs ohne Berücksichtigung potenzieller Schwachstellen, die IT/OT-Konvergenz sowie die heutigen hybriden und Multi-Cloud-Umgebungen zählen dazu. Die fortschreitende Verflechtung unterschiedlichster Informationssysteme führt zu täglich neuen Sicherheitsverletzungen. Es ist also keine Überraschung, dass Fachleute aus dem Bereich Cybersicherheit viele Ressourcen in das Auditing der eingesetzten Systeme und Produkte investieren, um neue Schwachstellen zu erkennen und gleichzeitig in der Lage zu sein, neue Erkennungsmethoden zu entwickeln.

Die Analysten werden zudem mit dem Aufstieg von Technologien rechnen müssen, die das Spoofing erleichtern, also etwa Deepfakes von Videos, Gesichtern und sogar Stimmen. Auch die Text-Augmentation, womit tausende E-Mails mit demselben Inhalt, aber leicht unterschiedlichen Nuancen generiert werden, dürfte weiter zunehmen. Dadurch entziehen sie sich den zur Erkennung verwendeten Signaturen. Zukünftig wird es demnach erforderlich sein, die Methoden zur Identifizierung von Bedrohungen zu optimieren, um zuallererst zu gewährleisten, dass der Gesprächspartner tatsächlich eine Person ist. Zweitens muss sichergestellt werden, dass es sich um die Person handelt, mit der man in Kontakt treten möchte. Das Unternehmen Uber wurde kürzlich von einem Hacker angegriffen, der sich als Kollege ausgab und einen Mitarbeitenden über ein Chat-Fenster einfach um Zugangsdaten bat. Wenn es um Social-Engineering-Praktiken dieser Art geht, wird die Rolle derjenigen, die zwischen Stuhl und Tastatur sitzen, wichtiger denn je.

Uwe Gries

Uwe Gries ist Country Manager DACH bei Stormshield, dem europäischen Cybersicherheitsanbieter.

Ein kritischer Blick von aussen: Wer zuletzt kommt, den bestrafen die Cyberkriminellen

 


Von Uwe Gries

Die Schweiz spielt unter anderem auf dem weltweiten Finanzmarkt, im pharmazeutischen Umfeld und in der wissenschaftlichen Forschung eine Spitzenrolle. Doch bei Cybersicherheitsfragen reagieren der Bund und die Unternehmen etwas langsamer, als es die tatsächliche Bedrohungslage erfordern würde. Und die ist bedauerlicherweise besorgniserregend.

Laut einer Trend-Micro-Studie wurden 88 Prozent der befragten Schweizer Unternehmen im ersten Halbjahr 2022 Opfer von Cybersicherheitsvorfällen. Dem vom Threat-Hunter Group-IB stammenden Hightech-Crime-Report für Juli 2021 bis Juni 2022 zufolge wurden die Daten von 44 Schweizer Unternehmen von Ransomware-Gruppen auf Data-Leak-Sites veröffentlicht. Doch nicht nur das: In demselben Zeitraum wurden laut Group-IB zudem Zugänge zu 21 kompromittierten Netzwerken von Schweizer Unternehmen im Darknet zum Verkauf angeboten. Somit ist die Schweiz in diesen Studien zwar rein numerisch jeweils das sechste bzw. das achte am stärksten gefährdete Land auf dem europäischen Kontinent, doch gemessen an der Zahl der hiesigen Unternehmen im Vergleich zu anderen analysierten europäischen Ländern steht die Schweiz vor Herausforderungen, denen sich sowohl die Regierung als auch die Privatwirtschaft sofort stellen müssen. Dies besonders wenn man bedenkt, dass laut der jüngsten PWC-Studie die meisten Schweizer Unternehmen für 2023 mit einem weiteren Anstieg von Cybervorfällen rechnen. Darunter befürchtet über die Hälfte einen weiteren Anstieg von Ransomware-Attacken und über ein Drittel Angriffe auf ihre Cloud-Dienste.

Die Zusammenarbeit zwischen Behörden und Privatwirtschaft

Ende des letzten Jahres hat der Bundesrat dem Parlament einen Entwurf zur Änderung des Gesetzes über die Informationssicherheit im Bund unterbreitet. Dieser soll auch die gesetzliche Grundlage dafür bilden, Betreiber kritischer Infrastrukturen zur Meldung erlittener Cyberangriffe zu verpflichten. Ein Prinzip, das in der EU bereits erfolgreich betrieben wird und Behörden wie Unternehmen in den letzten Jahren dazu bewegte, sich für die Umsetzung wirksamer Cybersicherheitsstrategien und -massnahmen einzusetzen. Dieser Entwurf ist ein begrüssenswerter Schritt nach vorn: Angesichts der Tatsache, dass finanziell motivierte Bedrohungen gegen kritische Infrastrukturen, Lieferketten, Cloud-Dienste und Industrie-4.0-Unternehmen aufgrund des Reichtums des Landes auch 2023 keinen Halt machen werden, sollten die Privatwirtschaft und die Behörden zusammen für einen angemessenen Schutz sorgen. Die Schweiz hat in den letzten Jahren ihre Bemühungen verstärkt, diese Zusammenarbeit in Fragen der Cybersicherheit zu fördern. Deren Zunahme und Weiterführung würden dazu beitragen, solche Bedrohungen dank der gesammelten Erfahrungswerte und Best-Practice-Beispiele effektiver abzuwehren – selbst wenn der anfängliche Anreiz hierfür ein genauso umstrittenes Gesetz sein sollte, wie es die DSGVO und die NIS-Richtlinien für die übrigen europäischen Länder waren.

Doch die Zusammenarbeit und die Implementierung von adäquaten Sicherheitsstrategien allein erweisen sich nur teilweise als hilfreich. Die wirtschaftliche Bedeutung von Cybersicherheitskompetenz wird ebenfalls weiter steigen. Die Schweiz hat im europäischen Vergleich einen genauso hohen Bedarf an qualifizierten Fachkräften. Es ist deshalb wichtig, jetzt in Ausbildung und Schulung von qualifizierten Cybersicherheitsspezialisten sowie des Personals in den einzelnen Organisationen zu investieren, um den steigenden Anforderungen kurz- bis langfristig gerecht zu werden. Der Grund dafür ist simpel: Cyberkriminelle haben stets bewiesen, dass sie sehr geschickt neue Angriffstechniken auf Zielinfrastrukturen entwickeln können. Aufgrund deren Erfolge bei der Umgehung technischer Schutzvorrichtungen darf man sich nicht ausschliesslich auf Sicherheits-Tools oder gar KI-Algorithmen verlassen. Letzten Endes gilt der Mensch nach wie vor als grösste Sicherheitslücke und als erster Schutzwall zugleich.

Die wichtigsten aktuellen Bedrohungen

Obgleich man sicherlich darauf vertrauen kann, dass sich das Thema Cybersicherheit zukünftig einer grösseren Aufmerksamkeit von allen Akteuren auch hierzulande erfreuen wird, sind alle Parteien heute mit einer ganzen Reihe an sehr konkreten Bedrohungen konfrontiert. Deren Risikopotenzial soll auf ein Minimum reduziert werden.

Zu den bekanntesten und auch in der Schweiz relevanten Taktiken der Cyberkriminellen im B2B-Umfeld gehören verschiedene Phänomene wie das Phishing, eine Variante des Spoofings zum Diebstahl von persönlichen Daten, das Spear-Phishing, ergo ein Phishing-Angriff in Kombination mit Social Engineering, und der sogenannte Polymorphismus. Letzterer beschreibt die Fähigkeit von Malware, Antivirenprogramme mittels einer Reihe nicht zusammenhängender Fingerabdrücke zu umgehen. Die mittlerweile klassische Ransomware mit ihrer dreifachen Erpressungsstrategie darf ebenso wenig unerwähnt bleiben wie dateilose Malware, die ausschliesslich im Arbeitsspeicher des Systems läuft. Obendrein gibt es neue Bedrohungen wie den Browser-in-the-Browser-Angriff, bei dem ein gefälschtes Pop-up-Fenster die Benutzer zur Angabe möglichst vieler persönlicher Daten verleitet.

Für eine weitere Ausdehnung der Angriffsfläche im Unternehmen sorgen erschwerend die zunehmende Nutzung von unklar abgesicherten Cloud-Diensten und – im Zuge der Pandemie – von privaten mobilen Geräten. Auch die Entwicklung von APIs ohne Berücksichtigung potenzieller Schwachstellen, die IT/OT-Konvergenz sowie die heutigen hybriden und Multi-Cloud-Umgebungen zählen dazu. Die fortschreitende Verflechtung unterschiedlichster Informationssysteme führt zu täglich neuen Sicherheitsverletzungen. Es ist also keine Überraschung, dass Fachleute aus dem Bereich Cybersicherheit viele Ressourcen in das Auditing der eingesetzten Systeme und Produkte investieren, um neue Schwachstellen zu erkennen und gleichzeitig in der Lage zu sein, neue Erkennungsmethoden zu entwickeln.

Die Analysten werden zudem mit dem Aufstieg von Technologien rechnen müssen, die das Spoofing erleichtern, also etwa Deepfakes von Videos, Gesichtern und sogar Stimmen. Auch die Text-Augmentation, womit tausende E-Mails mit demselben Inhalt, aber leicht unterschiedlichen Nuancen generiert werden, dürfte weiter zunehmen. Dadurch entziehen sie sich den zur Erkennung verwendeten Signaturen. Zukünftig wird es demnach erforderlich sein, die Methoden zur Identifizierung von Bedrohungen zu optimieren, um zuallererst zu gewährleisten, dass der Gesprächspartner tatsächlich eine Person ist. Zweitens muss sichergestellt werden, dass es sich um die Person handelt, mit der man in Kontakt treten möchte. Das Unternehmen Uber wurde kürzlich von einem Hacker angegriffen, der sich als Kollege ausgab und einen Mitarbeitenden über ein Chat-Fenster einfach um Zugangsdaten bat. Wenn es um Social-Engineering-Praktiken dieser Art geht, wird die Rolle derjenigen, die zwischen Stuhl und Tastatur sitzen, wichtiger denn je.

Uwe Gries

Uwe Gries ist Country Manager DACH bei Stormshield, dem europäischen Cybersicherheitsanbieter.