Spektakuläre Hackerangriffe und neue Trends in der IT-Sicherheit: Prognosen für 2021

Pentest Blog: Über die Feiertage sind erneut zahlreiche Cyberangriffe bekannt geworden. Der Online-Unterricht in Rheinland-Pfalz wurde mit einer DDos-Attacke lahmgelegt, massive Datenlecks im deutschen Gesundheitsdatennetz aufgrund fehlender Sicherheitsmaßnahmen bzw. fehlerhafter Sicherheitseinstellungen wurden bekannt, die Funke Mediengruppe war von einer folgenreichen Ransomware-Attacke betroffen. Was sagt das Ihrer Meinung nach über den Stand der IT-Sicherheit in Deutschland, aber auch über die Motive und Strategien der Täter aus?

Sebastian Schreiber: Zunächst einmal ist klar festzustellen: Deutschland hat insbesondere auf dem medizinischen Sektor in der Tat einen erheblichen Nachholbedarf in Sachen IT-Sicherheit. Während z. B. Bankraub und Bankeinbrüche geschehen, seit es Banken gibt, ist das auf dem Gesundheitssektor neu. Das, was Banken und Versicherungen im digitalen Bereich in den letzten 20 Jahren geleistet haben, muss im Gesundheitswesen aufgeholt werden. Das wird eine Mammutaufgabe.

Pentest Blog: In Großbritannien wurden Fälle von Ransomware-Attacken gegen Schönheitschirurgen bekannt, deren Ziel es war, Geld für die Zurückhaltung persönlicher Daten zu erpressen. Denken Sie, man kann daraus eine allgemeine Tendenz weg von der Erpressung bzgl. der Verschlüsselung sensibler Daten hin zur Erpressung bzgl. der Veröffentlichung solcher Daten ableiten?

Sebastian Schreiber: Es ist sogar denkbar, dass der Täter beides kombiniert. Sprich: Er deponiert eine Verschlüsselungsroutine auf den entsprechenden Systemen und beginnt dann, die Daten abzutransportieren. Das aktuelle Hauptphänomen ist, dass ein Angreifer die Verfügungsgewalt über eine Unternehmens-IT nutzt, indem er sie verschlüsselt und dann vom Unternehmen ein Lösegeld erpresst, um die IT wieder freizugeben. Das Wegspeichern von Daten ist für den Täter schwieriger. Bspw. Dokumentationen von Schönheitsoperationen wie hochauflösende Bilder oder Filme benötigen eine große Bandbreite. Das Speichern ist für den Angreifer also aufwändig, außerdem könnte der Abtransport von Daten Spuren hinterlassen, die im Nachhinein zu ihm führen. Außerdem muss der Täter in solchen Fällen konkret wissen, a) wen er genau gehackt hat, b) welche Daten wie nutzbar sind und c) welchen Geldwert die erbeuteten Daten haben. Ich denke, dass es für Angreifer nach wie vor attraktiver ist, einfach die Systeme zu verschlüsseln und auf die Bezahlung des Lösegelds zu warten. Wenn ein Unternehmen jedoch ein gutes Backupsystem hat und eine Erpressung daher ins Leere läuft, kann der Täter freilich umschwenken und mit der Veröffentlichung sensibler bzw. intimer Daten drohen und für deren Zurückhaltung Lösegeld erpressen. Bei Fotos eines Schönheitschirurgen kann ich mir das in der Tat gut vorstellen.

Pentest Blog: Große Wellen geschlagen hat auch der Angriff auf den IT-Dienstleister SolarWinds, zu dessen namhaften Kunden Microsoft und Intel, aber auch das deutsche Bundeskriminalamt und das BSI gehören. Warum hat gerade diese Attacke einen so hohen Stellenwert sowohl in den Medien als auch in IT Security-Kreisen?

Sebastian Schreiber: Das besonders Spannende an diesem Angriff sind die Opfer: die großen Tech-Companys wie Microsoft oder Cisco. Die Opfer sind gerade die Firmen, die einerseits das größte Know-how besitzen, weil sie die Betriebssysteme und Software selbst schreiben, und die andererseits enorm viel Geld besitzen, weil sie zu den wertvollsten Unternehmen der Welt gehören. Äußerst bemerkenswert ist auch, dass dort Quelltexte gestohlen worden sind. Das heißt: Die Angreifer besitzen etwas, das die Verteidigung nicht besitzt, nämlich die Quelltexte von Betriebssystemen und Software, die fast überall auf der Welt im Einsatz sind. Daraus erwächst eine große Gefahr, dass neue Cyberwaffen entwickelt werden und auch zum Einsatz kommen oder zumindest höchstbietend im Darknet verkauft werden. Dass Täter nun über den Quellcode von Windows-Produkten verfügen, bedeutet, dass sie dort theoretisch Hintertüren einbauen und so in fast alle Unternehmen weltweit eindringen können. Wir müssen klar feststellen: Die Bedrohungslage verschärft sich, wir werden es mit weiteren solchen Angriffen zu tun haben, und ich fürchte, dass das Jahr 2021 das Jahr der Cyber Incidents sein wird. Wenn selbst die genannten Tech-Riesen nicht in der Lage sind, ihre Systeme ausreichend abzusichern, kann die provokante Frage „Ist dann ein klassisches DAX-Unternehmen oder eine klassische deutsche Behörde in der Lage, sich effizienter zu verteidigen?“ nur mit „Nein“ beantwortet werden.

Jedes Unternehmen ist selbst eine kleine Tech-Company und als solche abhängig von einer funktionierenden IT. Energieversorgung ist nicht allein durch fließenden Strom gewährleistet, Gesundheitsversorgung nicht nur durch gut ausgebildete Ärztinnen und Ärzte. Nahezu alle Prozesse hängen heutzutage von IT ab. Das ist die herausfordernde Faktenlage, der wir uns stellen müssen.

Pentest Blog: Hinter Angriffen wie den auf SolarWinds werden meist sog. „staatliche Akteure“ vermutet. Teilen Sie diese Einschätzungen?

Sebastian Schreiber: Zunächst einmal möchte ich mit dieser Attribution sehr vorsichtig sein. Es ist sehr sehr schwer, festzustellen, ob das nun staatliche Akteure aus Russland oder auch China oder aus einem möglichen anderen Staat sind. Außerdem ist die Abgrenzung, wer denn nun ein staatlicher Akteur ist, gar nicht so leicht. Zudem gehen die Täter ja nicht selten arbeitsteilig vor. Es ist durchaus denkbar, dass ein russischer Akteur Zero-Day-Exploits von chinesischen Hackern einkauft oder umgekehrt. Einen derart komplexen Angriff auf eine einzige staatliche Anordnung zurückzuführen, ist so nicht möglich.

Pentest Blog: Bleiben wir beim Thema Ransomware. Beim diesjährigen Kongress des Chaos Computer Clubs rC3 (remote Chaos Experience), dessen Besuch die SySS für ihre Mitarbeiterinnen und Mitarbeiter traditionell fördert, gab es im Track „IT Security“ einen Vortrag zum Thema „Tracking Ransomware End-to-end“. Ist das Ihrer Ansicht nach ein erfolgsversprechender Ansatz?

Sebastian Schreiber: Hier geht es darum, herauszufinden, wie die Zahlungsflüsse bei Ransomware-Attacken aussehen und wie das Geschäftsmodell funktioniert. Im Beratungsalltag der SySS sind die Zahlungsflüsse als solche nicht sehr relevant; sie zu kennen hilft aber sicher, das Geschäftsmodell der Täter besser zu verstehen. Grundsätzlich gilt: Die Nachvollziehbarkeit der Zahlungsflüsse ist gegeben, sie können nur nicht bestimmten Personen oder auch nur Ländern zugeordnet werden, da die entsprechenden Wallets anonym/pseudonymisiert sind. Man kann jedoch abschätzen, wie viel Profit der Täter erwirtschaftet hat, und daraus kann man wiederum ableiten, ob es für ihn attraktiv ist, derartige Angriffe zu wiederholen.

Pentest Blog: Wie die allermeisten Veranstaltungen fand der CCC-Kongress online statt. Sowohl im privaten, vor allem aber auch im Businessbereich sind Meetings per Videokonferenz, Homeoffice sowie weniger Flüge und Mobilität allgemein zum neuen Standard geworden und eine Entwicklung zur Reduktion von Büroflächen in den Städten zeichnet sich ab. Wie stellen Sie sich die Situation dazu in genau einem Jahr vor? Sehen Sie hier langfristige Trends?

Sebastian Schreiber: Ich hoffe und glaube, dass wir im Januar 2022 Covid-19 besiegt haben werden. Ich bin mir aber sehr sicher, dass Learnings aus der Homeoffice-Zeit bleiben werden. Ich glaube, dass weniger geflogen werden wird, ich glaube, dass Videokonferenzen üblich und anerkannt bleiben. Ich glaube, dass Homeoffice sich nicht komplett durchsetzt, weil die meisten Menschen soziale Kontakte brauchen, aber dass das Homeoffice zu einem regulären Arbeitsort werden wird. Mein Tipp ist: Mitarbeiterinnen und Mitarbeiter werden im Schnitt bis zu 60 % am Arbeitsplatz präsent sein und etwa 40 % zuhause arbeiten. Langfristig ist natürlich interessant, dass Modelle von Arbeitszeit und Arbeitsort dadurch obsolet werden. Nehmen wir ein Beispiel: Eine Mitarbeiterin hat einen deutschen Arbeitsvertrag und arbeitet für ein deutsches Unternehmen, befindet sich physisch aber an einem ganz anderen Ort, ggf. in einer anderen Zeitzone. Diese Art ‚automatische Globalisierung‘ erfordert dann auch ein komplett neues Führungsverständnis. Das Modell ‚Zeit gegen Geld‘ funktioniert dann so nicht mehr, die nicht mehr sichtbare ‚Zeit‘ muss durch KPIs und Kennziffern ersetzt werden.

Pentest Blog: Eine Frage, die nach wie vor die Gemüter erhitzt, ist die weitere Entwicklung der Corona-Warn-App. Sie haben ja für Lockerungen bzgl. des Datenschutzes plädiert. Welche Erwartungen haben Sie zu diesem Thema in 2021?

Sebastian Schreiber: Wir müssen in Deutschland anerkennen, dass andere Länder ihre Bürgerinnen und Bürger besser schützen. Während in Deutschland zahlreiche Grundrechte erheblich eingeschränkt sind, haben andere Länder, insbesondere Südkorea, die Pandemie viel besser in den Griff bekommen. Dort gibt es keine harten Grundrechteinschränkungen mehr und auch die Wirtschaft läuft wieder. Die Frage ist: Wie viel ist uns unser Datenschutz wert, auch in Abwägung mit anderen Rechten? Die deutsche Corona-Warn-App, die ich selbstverständlich auch nutze, hat z. B. keine GPS-Koordinaten, weil ein gesellschaftlicher Konsens zu bestehen scheint, dass zentrale Behörden bzw. die Bundesregierung nicht wissen sollen, wo einzelne Personen sich gerade aufhalten. Aktuell ist es aber doch so, dass aufgrund der Beschränkungen ohnehin jeder weiß, wo der andere sich gerade aufhält: nämlich zuhause. Hier sehe ich eine kuriose Schieflage in der Diskussion: Weil ich der Regierung nicht preisgeben will, wo ich bin, komme ich in eine Situation, in der jede und jeder meinen Aufenthaltsort kennt.

Gegenwärtig haben wir Datenschutztote. Wir haben eine App, die nicht funktioniert, wir haben Gesundheitsämter, die überlastet sind, wir haben handschriftliche Kontaktangaben mit keinerlei Fälschungssicherheit etc. Absurd ist meines Erachtens auch die neue Möglichkeit, in der Corona-Warn-App ein Kontakttagebuch zu führen. Warum? Weil die Nutzer die Orte und Kontakte manuell eintragen müssen und diese von Dritten häufig nicht nachvollzogen oder verifiziert werden können. Das Corona-Kontakttagebuch ist an sich eine gute Idee. Die Technologie ist allerdings steinzeitlich. Das Tagebuch sollte automatisch geführt werden. Warum sollte ich das tun, wenn mein Handy das auch kann – und noch dazu im Zweifelsfall verlässlicher. Außerdem dürfte das Mapping nicht nur tageweise möglich sein, sondern müsste in Echtzeit funktionieren, also wirkliche Kontakte erfassen. Anzugeben, „Am 07.01. stand ich an der Bushaltestelle xy“, bringt niemandem etwas. Wir müssten wissen, wer genau zur selben Zeit auch dort stand, um eine Kontaktnachverfolgung möglich zu machen und so das Infektionsgeschehen einzudämmen.

Zusammengefasst: Wir opfern dem Datenschutz meiner Ansicht nach zu viel. Wir opfern Menschenleben, weil die Kontaktnachverfolgung nicht funktioniert, aber auch der Lockdown ist ein Opfer, das wir für den Datenschutz bringen. Denn wenn die App präzise mit Ein- und Auschecken an Orten funktionieren würde, könnte die Kontaktnachverfolgung zuverlässig gelingen und dadurch könnten in der Folge Menschenleben gerettet werden. So wäre es meiner Meinung nach auch möglich, das wirtschaftliche und das soziale Leben weiterlaufen zu lassen. Im Sozialen ist unsere Gesellschaft gerade am Anschlag. Ich denke z. B. an den rapiden Anstieg von häuslicher Gewalt. Und wir dürfen nicht vergessen: Ein funktionierendes Gesundheitssystem setzt eine funktionierende Wirtschaft voraus.

Ich halte es für richtig, den Datenschutz in dieser Krisenzeit zu opfern zugunsten von weniger Toten, weniger Kranken, weniger häuslicher Gewalt, weniger Suiziden, weniger Lockdown und einer Aufrecherhaltung der wirtschaftlichen Strukturen.

Pentest Blog: Zum neuen Jahr treten üblicherweise zahlreiche Gesetzesänderungen in Kraft. So gilt seit dem 1. Januar 2021 die Pflicht zu einer Zwei-Faktor-Authentifizierung bei Online-Kreditkartenzahlungen (Die komplette Umsetzung ist ab 15. März für Beträge über 30 Euro festgeschrieben). Ist das aus Ihrer Perspektive ein entscheidender Schritt für die Sicherheit bei Online-Zahlungen?

Sebastian Schreiber: Ein klares „Ja“. Das ist sehr wichtig, weil Kreditkartendaten besonders leicht ausgespäht werden können. Warum: Mein Passwort teile ich niemandem mit. Meine Kreditkartennummer erhält jeder Online-Shop, jeder Reiseanbieter usw. Kreditkartennummern sind nahezu öffentliche Güter. Ein zweiter Faktor bringt hier auf jeden Fall einen entscheidenden Fortschritt. Für mich als IT Security-Verfechter ist das bisherige Zahlen per Kreditkarte äußerst kurios: Mit der Kartennummer und der Prüfnummer gewähre ich Zugriff auf mein Konto – und zwar mit immer denselben Schlüsselinformationen. Diese können ausgespäht, abgespeichert, verifiziert und weitergegeben werden. Hier kommt es zu sehr viel Fraud, dessen Schäden dann wieder auf die Nutzer umgelegt werden. Das System ist in meinen Augen absurd, daher würde ich mich sehr freuen, wenn die illegalen Abbuchungen aufgrund der Pflicht zu einem zweiten Faktor stark abnehmen und somit vielleicht auch die Transaktionskosten sinken würden.

Pentest Blog: Vielen Dank, lieber Herr Schreiber, für das Gespräch und alles Gute für ein sicheres 2021!