Rückblick: Am IT-Puls der Unternehmen

Hackerangriff auf St.Galler Firma auf dem Darknet buchen

Niemand muss selber hacken können, denn ein Hackerangriff kann über das Darknet als Dienstleistung gebucht werden. Die Veranstaltung «Am IT-Puls der Unternehmen» der Fachhochschule St.Gallen (FHS) hat eindrücklich die zwingende Notwendigkeit von IT-Sicherheit aufgezeigt, bevor zwei Lösungsansätze präsentiert wurden – diejenige eines Anwenders und diejenige eines Anbieters.

In alles, was mit dem Internet verbunden ist, kann potenziell eingedrungen werden. Entsprechend müssen all diese Geräte vor unerlaubtem Zugriff geschützt werden: Computer, Mobiltelefone, Server, Autos oder Kühlschränke, die verwendete Software und Applikationen. Oder wie es Prof. Dr. Peter Jaeschke, Gastgeber der Veranstaltung und Leiter des Instituts für Informations- und Prozessmanagement IPM-FHS an der FHS St.Gallen zusammenfasste: Es gebe überall einen Zusammenhang mit Security. Darum könne diese auch nirgends weggelassen werden.

Etwas Licht ins Darknet bringen

Es braucht nur ein wenig kriminelle Energie und der Rest lässt sich übers Darknet lösen. Hier können Viren oder Sicherheitslücken zur späteren Anwendung gekauft werden. Da deren Nutzung dann doch noch technisches Knowhow benötigt, stehen Kurse und Tutorials mit Übungen im Darknet zur Verfügung. Falls es dann immer noch zu kompliziert ist, so kann im Zweifelsfall der Angriff auch einfach als Dienstleistung bezogen werden. «Im Darknet findet sich alles», sagt Prof. Dr. Christian Thiel vom IPM-FHS. «Hacker können gemietet werden, Distributed Denial of Services (die Webseiten von Unternehmen mit einer Vielzahl von Anfragen zum «Absturz» bringen) können in Auftrag gegeben werden. Buchbar über ein Formular, auch als Flatrate verfügbar und zur Überwachung steht ein Dashboard bereit.» Auch das Einspeisen von Ransomware könne gebucht werden – Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln.

St.Gallen ist stark infiziert

Wenn kein eigenes Botnet (Netz von infizierten Computern) zur Verfügung steht, lässt sich dieses mieten. Darunter können auch infizierte Computer aus St.Gallen sein, denn der Ostschweizer Kanton ist einer der am stärksten infizierten in der Schweiz. «Allerdings haben kantonale Grenzen keine Bedeutung mehr im Darknet. Das Geschäft mit der Internetkriminalität ist international und stark mit der organisierten Kriminalität verbunden», sagt Thiel. «80% der Hacker arbeiten mit der organisierten Kriminalität zusammen, sind aber auch selber sehr gut organisiert. Sie verfügen über Unternehmensstrategien und Hierarchien.» Den Unternehmen stünden eine Million Hacker und nochmals hunderttausend Geheimdienstmitarbeitende gegenüber, die Unternehmen erpressen oder als Industriespione Wissen von Unternehmen absaugen.

Alle kennen die Gefahr, nicht alle schützen sich

Die Einfachheit, wie ein Unternehmen angegriffen und der potenziell beträchtliche Schaden, der damit angerichtet werden kann, unterstreicht die Bedeutung der Sicherheit. Ein Beispiel: Ein Onlineshop verliert unter Umständen sehr viel Geld jeden einzelnen Tag, an dem die Webseite nicht erreichbar ist. Und trotzdem schützen sich viele KMU nicht genügend vor Hackerangriffen: Nur 60% der Unternehmen verfügen über Grundschutzmassnahmen (z.B. Virenschutz), nur 18% über einen Prozess, wie mit Vorfällen umgegangen werden soll, und lediglich 20% haben Systeme eingerichtet, die Angriffe erkennen.

Eine hundertprozentige Sicherheit gibt es nicht

Die Bedeutung des Erkennens hat Alexander Odenthal, Stellvertretender Chief Information Security Officer (CISO) der Raiffeisen betont: Es reiche nicht nur Angriffe abzuwehren oder Systeme von Befällen zu befreien. Viel wichtiger sei es bereits festzustellen, dass sich ein Angriff anbahnt, um dann prophylaktisch dagegen vorzugehen. Odenthal listete eine notwendige Abfolge auf, um die nötige Resilienz zu erhalten:

1) Identifizieren und vorhersagen

2) Schützen und verhindern

3) Erkennen und überwachen

4) Reagieren und herstellen

Hierfür stehe immer weniger Zeit zur Verfügung, vielmehr müsse man immer schneller reagieren können. Und trotzdem: eine hundertprozentige Sicherheit gebe es nicht mehr.

Es braucht Hilfssysteme, die auch verstanden werden

Zuerst müssten alle Systeme erfasst und inventarisiert werden, inklusive Cloud-Anwendung: «Wir müssen wissen, was wir haben, um zu wissen, was passieren kann», erklärte Odenthal. Das umfasse nicht nur das eigene Unternehmen: «Wir müssen uns anschauen, mit wem wir zusammenarbeiten und testen, wie sicher diese Zulieferer sind», sagt Odenthal. So müssen Partner beispielsweise alle Vorfälle melden. Es muss ein Zusammenarbeitsmodell für Notfälle und Krisen ausgearbeitet werden und für das Risikomanagement müssen jederzeit ausreichende Kapazitäten zur Verfügung stehen. Dabei betonte er auch, dass Hilfssysteme, die niemand verstehe, nutzlos seien: «Die gesammelten Daten müssen zum Erkennen von Anomalien und ’Indicators of compromise‘ nicht nur gesammelt, sondern auch ausgewertet und verstanden werden.»

 

Eine Lösung um die Daten zu verstehen hat Aldo Frick von der Telecom Liechtenstein AG präsentiert. Auch er bestätigte, dass der Schutz relativ weit entwickelt sei, die Überwachung und damit eine mögliche Prävention allerdings noch nicht. Hier stellen sich die Fragen, wie Ereignisse gedeutet werden sollten oder generell, wie ein Unternehmen den Überblick über die Sicherheit behalten könne. «Diese Funktion kann ein Security Operations Center (SOC) übernehmen», sagt Frick.  «Natürlich können viele Sicherheitsprozesse unterdessen automatisiert werden», sagt Frick, «aber es braucht dennoch Menschen, um komplexe Angriffe zu erkennen und Gegenmassnahmen einzuleiten.» Da vielen KMU sowohl die Ressourcen und das Knowhow dafür fehlen würden, empfehle sich ein SOC als eine Dienstleistung zu beziehen. Odenthal nahm die Unternehmen nicht ganz aus der Pflicht, aber auch er bemerkte, dass er sich nur mit internem Wissen nicht wohl fühlen würde – aber auch nicht mit nur externem Wissen. Die Verantwortung schlussendlich liege, so Odenthal und später auch Frick, bei der Geschäftsleitung.