Gravierende Sicherheitslücken 2021 – resilientere IT 2022?

Pentest Blog: 2021 war ein Jahr mit gleich zwei höchst schwerwiegenden Sicherheitslücken, die die ganze Welt in Atem hielten und enorme Schäden verursachten, nämlich in den Microsoft Exchange Servern und in der Java-Protokollbibliothek Log4j. Außerdem erreichte uns vom Bitkom die Meldung, dass die jährlichen Schäden von Hackerangriffen 220 Milliarden Euro überschritten haben. Und bereits im Februar 2021 ist der höchste jemals gemessene Wert an neuen Schadprogramm-Varianten notiert worden. Ist es um unsere IT-Sicherheit so schlecht bestellt wie noch nie?

Sebastian Schreiber: Das kann ich nur mit einem klaren "Ja" beantworten. Wir haben eine Gemengelage, in der die Digitalisierung immer mehr Tempo aufnimmt. Alle wollen noch mehr IT haben, also letztendlich noch mehr Arbeit den Maschinen überlassen. Das geht sehr weit, bis hin zu Digital Twins, also digitalen Abbildern von Dingen. Das heißt: IT wird immer mehr, die Verzahnung und die Komplexität wachsen – und unsere Anhängigkeit von IT wächst mit. Jede Schnittstelle, jedes Interface, jede API, jeder elektronisch abgebildete Geschäftsprozess birgt eben auch ein Risiko, weil das alles auch Ansatzpunkte für Täter sind.

Pentest Blog: Für die Schwachstelle in Log4j, einer Protokollbibliothek bei Java-Anwendungen, hat das BSI die höchste Bedrohungsstufe ausgerufen. Von ihr waren viele große und namhafte Hersteller wie z. B. Citrix, Cisco oder VMware betroffen. Systemadministratoren bleibt in solchen Fällen oft nichts anderes übrig, als Systeme abzuschotten bzw. abzuschalten und auf Patches zu warten.

Sebastian Schreiber: Das ist eine sehr unbefriedigende Situation. Wenn Systeme stillstehen, die eigentlich mit der Welt kommunizieren sollten, hat das gravierende Folgen. Abschalten heißt schließlich auch kein Business zu machen. Bei täglichen Umsatzverlusten in Millionenhöhe ist Warten eigentlich keine Alternative.

Pentest Blog: Sehen Sie eine Möglichkeit, dem beizukommen?

Sebastian Schreiber: Beizukommen ist dem am ehesten durch Prävention, z. B. durch den Einsatz hochwertiger Software. Außerdem sollte man von vornherein Prinzipien der Separation durchsetzen, um zu vermeiden, dass man überhaupt in die Bredouille kommt. Neben Netzwerksegmentierung sind auch Restriktionen bei den Rechten sehr wichtig. Ziel ist, dass das Gesamtkonstrukt möglichst robust ist. Es geht darum, sowohl die Eintrittswahrscheinlichkeit zu minimieren als auch den möglichen Schaden, wenn die Bredouille tatsächlich unabwendbar ist. Ein Beispiel: Nehmen wir an, ein Unternehmen hat Daten in einer Cloud und diese Cloud funktioniert zu einem bestimmten Zeitpunkt nicht zuverlässig. Dann wäre es natürlich hilfreich, wenn es eine Backup-Cloud gäbe oder zumindest die Möglichkeit, die Daten schnell auf eine andere Cloud-Plattform zu ziehen.

Pentest Blog: Die von der sog. Hafnium-Gruppe im Frühjahr 2021 ausgenutzte Schwachstelle in Microsoft Exchange Servern und die Rückkehr der Schadsoftware "Emotet" zogen laut dem BSI eine Zunahme von Angriffen per E-Mail nach sich. Können Sie das aus Ihrer Praxis bestätigen?

Sebastian Schreiber: Ja, das kann ich. Dass "Emotet" wiederkommt, haben wir vorhergesagt. Dass Täter in der Lage sind, ihre Systeme neu zu starten, dass Täter Backups machen können, dass Täter redundant arbeiten können, ist für mich schon vorher sehr naheliegend gewesen. Denn ein Angriff ist ja eher eine Idee, ein Konzept, und das kann man so einfach nicht zerschlagen.

In der Praxis bei der SySS sehen wir durchaus verstärkt Angriffe per E-Mail. Lassen Sie mich das mit einer Zahl belegen: 2021 hat sich die Summe des von uns überwiesenen Lösegelds nach Krypto-Ransomware-Angriffen im Vergleich zum Vorjahr vervierfacht. Und wenn sich etwas binnen eines Jahres vervierfacht, hört dieser Trend so schnell nicht auf. Vielleicht wird die Summe sich im Jahr 2022 versechsfachen, vielleicht wird sie sich verdoppeln. Klar ist aus meiner Sicht aber: Das wird weitergehen. Dass diese Wucht plötzlich stehenbleibt, ist undenkbar.

Pentest Blog: Wie erklären Sie sich diese Entwicklung?

Sebastian Schreiber: Es ist nun einmal so, dass Menschen die Computer bedienen und dass Menschen auf Systeme Zugriff haben. Und Menschen erhalten E-Mails, E-Mails enthalten Word-Dokumente, Menschen müssen diese Word-Dokumente lesen, um ihre Arbeit machen zu können, und so kann es eben leicht zu erfolgreichen Angriffen kommen.

Pentest Blog: Angriffe per E-Mail sind auf Personen gerichtet und die sind überwiegend keine IT-Sicherheitsexpertinnen oder -experten. Auch dieses Jahr war wieder "123456" das beliebteste Passwort in Deutschland. Wie können wir es erreichen, dass die Bürgerinnen und Bürger – auch in ihrer Rolle als Mitarbeitende in Unternehmen und Behörden – mehr Bewusstsein für IT-Sicherheit entwickeln?

Sebastian Schreiber: Zunächst einmal: Langfristig kann ich mir durchaus vorstellen, dass E-Mail-Angriffe aufhören werden. Mit "langfristig" meine ich einen Horizont von 4, 5, 6 Jahren. Da müssen wir ITler es einfach hinkriegen, dass ein Anwender bei einer E-Mail auf alles Denkbare klicken kann, ohne dass etwas Schlimmes passiert.

Bis dahin muss die Entwicklung aber noch einige Schritte machen. Aktuell ist die IT nirgends so robust, dass sie auch bei Fehlverhalten von Anwendern oder Anwenderinnen immer standhalten könnte. Deswegen gehört es meiner Ansicht nach zur Unternehmensführung dazu, die Mitarbeitenden entsprechend zu schulen und zu sensibilisieren. Wir bei der SySS lassen auch Phishing-Kampagnen gegen unsere Mitarbeitenden simulieren. Ziel ist, dass alle bei eingehenden E-Mails die Frage im Hinterkopf haben, ob die E-Mail wirklich echt ist, um welches Attachment es sich handelt usw. Insbesondere die Mitarbeitenden, die keine Hacker sind, müssen hierfür ein ausgeprägtes Bewusstsein haben.

Pentest Blog: Die Politik reagiert auf die erhöhte Bedrohungslage durch Hackerangriffe u. a. mit der Aufstockung von Personal in den entsprechenden Behörden, das Land Baden-Württemberg hat unlängst seine Cybersicherheitsstrategie 2026 vorstellt. Was versprechen Sie sich von diesen Maßnahmen?

Sebastian Schreiber: Strategien, organisatorische Infrastruktur und Netzwerke aus Expertinnen und Experten sind auf jeden Fall eine gute Sache. In der Praxis wird es ohne die Wirtschaft aber nicht gehen. IT-Sicherheit muss ganz oben auch auf der Agenda der Unternehmer, der Geschäftsführerinnen und Geschäftsführer stehen.

Pentest Blog: Auch im Zusammenhang der Corona-Pandemie beschäftigen uns Fragen der IT-Sicherheit und des Datenschutzes. Ab der zweiten Jahreshälfte stand die Fälschungssicherheit digitaler Impfausweise im Zentrum der Diskussion. Wie ist es Ihrer Ansicht nach hierum bestellt?

Sebastian Schreiber: Die digitalen Impfausweise haben einen bombastischen Vorteil: Sie sind nicht fälschbar. Einen Impfausweis kann ich nicht hacken. Um ihn zu erstellen oder zu fälschen, müsste ich den Schlüssel stehlen. Der Schlüssel ist aber gut verwahrt. Das Problem liegt vielmehr darin, dass der analoge Impfausweis genutzt wird, um den digitalen zu erstellen. Und der analoge Impfausweis wiederum ist sehr leicht fälschbar. Unterschrift, Stempel und Aufkleber sind zum einen leicht manipulierbar und zum anderen ist es für die Apotheken nicht machbar, bei jeder Digitalisierung die Echtheit der Daten zu recherchieren. Verschärfter noch stellt sich das bei internationalen Dokumenten dar. Wenn jemand für 200 US-Dollar im Darknet einen Impfpasseintrag aus dem Iran kauft, dann hat der Apotheker oder die Apothekerin gar nicht die Chance, zu prüfen, ob das Dokument authentisch ist oder nicht. Dieses Problem lässt sich auf technischem Weg schlicht nicht lösen.

Pentest Blog: Vergangene Woche fand ein Hackerangriff auf Regierungsseiten in der Ukraine statt. Der Angriff geschah zu einem Zeitpunkt, an dem eine Invasion Russlands in der Ukraine befürchtet wird. Denken Sie, die Form der 'gemischten' Kriegsführung aus Cyberwar und bewaffneten Auseinandersetzungen wird zukünftig die Regel werden?

Sebastian Schreiber: Cyber ist eine weitere Einheit des Militärs, neben Heer, Luftwaffe, Marine, Sanitätsdienst und den Streitkräften. Cyberangriffe sind schon jetzt nicht mehr trennbar von anderen militärischen Aktionen bzw. Interventionen. Ich denke, dass die allermeisten zukünftigen kriegerischen Auseinandersetzungen auch auf dem Cyber-Gefechtsfeld geführt werden. Betrachten wir folgendes Szenario: Wenn ein Staat ein Infrastrukturelement des Gegners ausschalten möchte, z. B. eine Pipeline, hat er diverse Optionen: Er kann mit einer Drohne hinfliegen oder mit einem Kampfjet, er kann Personen hinschicken – oder er kann die Pipeline einfach hacken. Hacken ist in so einem Fall vergleichsweise sehr billig: ein Marschflugkörper kostet Geld, eine Agentin einzuschleusen kostet Geld usw. Und nicht zuletzt bringt ein Cyberangriff die eigenen Einsatzkräfte nicht unmittelbar in Gefahr. Hacken wird oft der erste Schritt sein und erst, wenn der scheitert, werden andere militärische Instrumente eingesetzt werden.

Pentest Blog: Kommen wir abschließend zum Ausgangspunkt des Gesprächs zurück: Was muss Ihrer Ansicht nach getan werden, damit 2022 nicht wieder ein Jahr schwerster IT-Sicherheitsvorfälle wird?

Sebastian Schreiber: Da haben wir keine Chance. Ich kann mir kein Szenario vorstellen, das uns innerhalb von nur einem Jahr in eine IT-mäßig deutlich resilientere Welt führt. Ich mache eine Wette, dass es mit den Vorfällen genauso weitergehen wird. Die Anzahl von Sicherheitsvorfällen wird weiter wachsen, vielleicht wird es eine Vervielfachung geben. Kämpfen müssen wir auf zwei Seiten: Das eine ist die strategische Seite. Hier geht es darum, wie man langfristig IT und Software besser macht. Das andere ist die taktische Seite, auf der es um die Vorbereitung von Schadensfällen, die Durchführung von regelmäßigen Übungen und die Durchführung von Penetrationstests geht. Bis wir aus der Umwelt mit der extrem schlechten IT raus sind, müssen wir das Risiko durch solche taktischen Maßnahmen halbwegs in den Griff bekommen.

Pentest Blog: Herzlichen Dank, lieber Herr Schreiber, für das Gespräch.