sichere Informationstechnologie E-Book

Sichere Informationstechnologie

Auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz und Managementsysteme

Sichere Informationstechnologie

Auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz und Managementsysteme

Tim Cappelmann

IMPRESSUM

© 2023 Tim Cappelmann

ISBN Softcover: 978-3-347-82962-6

ISBN E-Book: 978-3-347-82965-7

Druck und Distribution im Auftrag des Autors:

tredition GmbH, An der Strusbek 10, 22926 Ahrensburg, Germany

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Für die Inhalte ist der Autor verantwortlich. Jede Verwertung ist ohne seine Zustimmung unzulässig. Die Publikation und Verbreitung erfolgen im Auftrag des Autors, zu erreichen unter: tredition GmbH, Abteilung "Impressumservice", An der Strusbek 10, 22926 Ahrensburg, Deutschland.

Inhalt

Abbildungen

Einleitung

Warum dieses Buch

Über den Autor

Aufbau des Buches

Von Angreifern, Schadcode und Bedrohungen

Wo liegt das Problem?

Sicherheit braucht einen Kontext

Hacker

Innentäter

Schadcode

Social Engineering

Fraud

Die Marktwirtschaft der Cyberkriminalität

Standortbestimmung zur eigenen Bedrohungslage

Prominente Angriffe und Methoden

Phishing

APT

Privilegien Missbrauch

Brute Force Attacken

C2

DoS und DDoS

Malware Attacken

Crime as a Service (CaaS)

Rechtliche Betrachtung

Die Frage nach der Verantwortlichkeit

Keine Software ist frei von Fehlern – die Produkthaftung

Fahrlässigkeit, Stand der Technik

Das angemessene Sicherheitsniveau

GeschGehG

Hacking ist strafbar – im Detail

Hackerparagraphen, Computer Kriminalität

TMG, TKG und das Providerprivileg

private Nutzung dienstlicher Informationstechnologie

Aus privater Nutzung wird privates Equipment - BYOD

Vorratsdatenspeicherung in Deutschland

Datenschutz

Cloud Dienste

Weitere Rechtsgrundlagen – in sensiblen Branchen

Polizei, Verfassungsschutz, Schwerpunkt - Staatsanwälte

organisatorische Perspektive: Informationssicherheit & Managementsysteme

Was ist eigentlich alles IT. Grundsatzprobleme

Scoping, Zuständigkeiten

Beteiligte Organisationseinheiten

Governance

COBIT Controls

IT-Revision

Controlling

Risk Management

Datenschutz

Informationssicherheit

Schutzziele und Grundwerte

ISMS

ISO27k1

BSI Grundschutz

CISIS12

NIST

Weitere Standards

Organisation der IT

Technik-Silos vs. Governance Einheiten

Schnittmengen der IT-Governance

Security Experten und deren Ausbildung

Technische Perspektive

Disziplinen und Architektur

Firewalls

AntiVirus, AntiMalware

IDS, IPS

Web Filterung, Content Filter, Web-Proxy

AntiSPAM, MTA

Sandboxing

Authentifizierung

Berechtigungsmanagement

Privileged Access Management

Network Access Control, NAC

Cloud und Security

Cloud Security: IaaS

Cloud Security: SaaS

CASB

Hybrid Cloud Architekturen

Verschlüsselung

SIEM

UEBA

EDR – Endpoint Detection & Response

Threat Intelligence

DDoS Schutz

Verwundbarkeitsmanagement

OT Security

WAF

MDM und EMM

Data Loss Prevention, DLP

Der Security Markt

Ecosysteme, API-Wirtschaft

Best of Breed oder auch „Fabric“

Architekturentscheidungen, Bebauungsplan

Betriebskosten des Security Zoos

Betriebsprozesse der IT Security

Access Management, Identity Management

Release Management, Patch Hygiene

Staging & Change Management

Konflikt: Zero-Day Attacken

Security Management, SOC

Security in der Supply Chain

Ausblick

Die endlose Technik-Schlacht?

Abbau technologischer und prozessualer Schulden

Fehlende Vision

Wo steht die Organisation heute?

Risiko Management bildet den gemeinsame Nenner

Resilienz – erweitert den Risiko-Begriff

Die Versöhnung von Informationssicherheit, Datenschutz und IT-Security

Das Problem vor dem Keyboard

Fazit: eine neue Security Organisation

Glossar

Literaturverzeichnis

Abbildungen

Abbildung 1: Sicherheit braucht einen Kontext

Abbildung 2: Three Lines of Defense Modell

Abbildung 3: Prinzip der Risiko-Bewertung

Abbildung 4: Themencluster ISO27001, Anhang A

Abbildung 5 Bausteinprinzip BSI Grundschutz

Abbildung 6: CISIS12 Regelkreis

Abbildung 7: Governance stört Betrieb?

Abbildung 8: Architekturbild Firewalling (nur Perimeter)

Abbildung 9: Architekturbild Anti Malware

Abbildung 10: Architekturbild IDS

Abbildung 11: Architekturbild Web Proxy

Abbildung 12: Architekturbild AntiSPAM, MTA

Abbildung 13: Architekturbild Network Access Control, NAC

Abbildung 14: SIEM Verarbeitungsstufen

Abbildung 15: Architekturbild SIEM

Abbildung 16: Schema Threat Intelligence Platform (TIP)

Abbildung 17: Architekturbild DDoS Schutz (Hybrid)

Abbildung 18: Architekturbild Data Loss Prevention, DLP

Abbildung 19: Security Maturity Level

Abbildung 20: Risikomanagement in der IT

Abbildung 21: Sicherheitsorganisation - agil

Einleitung

Über die IT-Security sind schon viele Bücher geschrieben worden. Es existieren Ratgeber und Standards, sowie auch Regelwerke und eine Vielzahl von Papers aus der Fachliteratur und Wissenschaft. Es fehlt auch nicht an Studien und Untersuchungen: Behörden, Verbände und Gremien veröffentlichen jährlich aktuelle Lagebilder zur IT Sicherheit. Dabei adressieren diese Publikationen alle Zielgruppen: vom Management bis zum Spezialisten werden alle an der IT-Sicherheit beteiligten Gruppen gezielt angesprochen. Auch die breite Öffentlichkeit wird –nicht zuletzt bei den regelmäßig zu berichtenden Datenpannen- durch Massenmedien mit Themen der IT-Sicherheit konfrontiert. Kaum eine Problemstellung befindet sich derart im Scheinwerferlicht, wie die Aspekte rund um IT-Sicherheit.

Wieso also noch ein Buch? Das nachfolgende Kapitel erläutert die Motivation für dieses Werk noch im Detail. Nur eines vorweg: die Tatsache, dass sich ein komplexes und zugleich sehr spezialisiertes Thema derart in der Öffentlichkeit befindet, bietet Raum für Spekulationen. Haben wir es hier mit einem unlösbaren Dauerthema zu tun? Ist die komplexe Informationstechnologie vielleicht heute vollkommen außer Kontrolle der Sicherheitsexperten geraten? Oder ist das Thema einfach medial so spannend aufzubereiten, dass die Fachpresse aus wenigen Sicherheitspannen liebend gern ein dramatisches Grundsatzproblem ableitet, welches faktisch gar nicht existiert? Der Autor dieses Buches vertritt die Meinung, dass IT-Sicherheit nach wie vor systematisch vernachlässigt wird und, befördert durch die kurzen Innovationszyklen in der IT, auch weiterhin permanent neue Baustellen hinterlässt. Nach wie vor sieht die Wirtschaft die IT-Sicherheit als Top-Risiko in der allgemeinen Unternehmensführung.1 Offenbar scheint der immerwährende Wettlauf zwischen Angreifern und Verteidigern der IT-Sicherheit ein niemals endender Marathon zu sein: eine frustrierende Vorstellung, die unweigerlich an das Bild von Sisyphus erinnert. Lässt sich der Kreislauf zwischen Sicherheitslücken und nutzenden Angreifern, sowie verteidigenden Technologien und Administratoren wirklich nicht nachhaltig unterbrechen? Das Buch kommt zu dem Schluss: doch, das geht. Es braucht einen Paradigmenwechsel, wie mit IT-Sicherheit in von IT gestützten Organisationen (also nahezu in allen Organisationen) umzugehen ist. Dabei muss auch kein utopisches Budget für Abwehrmaßnahmen zur Verfügung stehen – eine völlig neu aufgestellte Sicherheitsorganisation würde den teuren Hase und Igel Kreislauf am ehesten unterbrechen.

Das Buch ordnet zunächst die vielen Strömungen rund um die IT-Sicherheit und der eng damit verknüpften Informationssicherheit ein. Danach wagt es eine Bestandsaufnahme und arbeitet die von der Informationssicherheit heute doch weitestgehend entkoppelte IT-Sicherheit auf. Da Technologien eine gewichtige Rolle spielen, muss das Buch die Basisbausteine der Sicherheitsarchitekturen darstellen und erläutern. Insofern kann das Werk auch durchaus als Nachschlage-Lektüre genutzt werden.

Nach Überzeugung des Autors wird in Management-Ebenen der Organisationen die IT Security häufiger als lästiges Übel gesehen – und weniger als Wettbewerbsvorteil. Informationssicherheits-Manager mit Mandat der obersten Leitung berichten mehrdeutige Kennzahlen und suggerieren mit Management-Systemen das beruhigende Bild, alles weitestgehend im Griff zu haben. Operativ sieht es hingegen völlig anders aus: überlastete Experten müssen mit vielen Spezialwerkzeugen in komplexen IT Systemen Sicherheit durchsetzen – personell unterbesetzt, bei unzureichender Ausbildung und nicht selten mit unzureichenden Tools. Da erscheinen „blinde Flecken“ in der Sensorik nahezu wohltuend – da wo keine Alarme entstehen, ist ja hoffentlich mal alles in Ordnung.

Abhängig vom Marktumfeld und der Branche, in der eine Organisation agiert, wirken vielfältige Treiber in die Ausgestaltung der IT-Security hinein. Zum einen existieren gesetzliche Grundlagen und manchmal auch marktspezifische, detailliertere Vorgaben des Gesetzgebers. Technologische Trends wirken ebenso, wie die sich ständig verändernden Wertschöpfungsketten. Mit den Digitalisierungs-Bestrebungen und auch der Vernetzung der Supply Chain wird die Sicherheitslage zudem tendenziell unübersichtlicher – mindestens jedoch verstärkt sich die Notwendigkeit, die Security schnell und flexibel bei sich verändernden IT Architekturen an neue Datenströme und Schnittstellen permanent anzupassen.

Wer zahlt das eigentlich alles? Der Finanzvorstand eines Unternehmens fragt bei allen zu diskutierenden Investitionen gewöhnlich nach dem Return on Invest, dem ROI. Auch wenn Ansätze für die Kalkulation eines Return on Security Invest (ROSI) existieren, so bleiben diese doch immer sehr interpretationsbedürftig und tragen viele Annahmen in sich. Mit Security ist es so eine Sache: vom Charakter her ähneln Investitionen in Sicherheit eher einer klassischen Versicherung. Was wäre denn, wenn es zu keinem Angriff kommt? Könnte man dann die Versicherung nicht einsparen? Schon in der Managementebene, die ja eigentlich die Vorgaben für die operative Ausgestaltung liefert, herrscht ein gehöriges Maß an Unsicherheit. Es ist ein offenes Geheimnis, das IT-Security Budgets am ehesten durchsetzbar sind, wenn Angst die Entscheider begleitet. Angst ist kein guter Ratgeber, aber wieso stehen direkt nach gravierenden Sicherheitsvorfällen große Sonderbudgets für Investitionen bereit, um die doch zuvor zermürbend und jahrelang gerungen wurde?

Nachdem die Vorgaben und das Budget geregelt sind, stehen die operative IT-Einheiten in der Verantwortung. Doch das Feld der to-Do ist unübersichtlich groß und überfordert die Verantwortlichen der IT Abteilung. Es bleibt so unendlich viel zu tun: es ist das Homeoffice zu sichern, Zero-Day Code abzuwehren, DDoS Angriffe zu unterbinden und Datendiebstahl von Innentätern zu verhindern. Angriffe sollen zuverlässig erkannt werden und wirksame Gegenmaßnahmen bereitstehen. Schnittstellen zu Partnern müssen ebenso wie die eigenen IT Arbeitsplätze im Spannungsfeld zwischen Komfort und Sicherheit balanciert werden. Dass alles natürlich im 24x7 Betrieb und bei begrenzten Budgets. Auch hier gibt es eine beruhigende Flucht in abstrakte Wahrheiten: die 100%ige Sicherheit gibt es ja gar nicht.

Zuletzt wird das Buch ein Zielbild zeichnen, das die Informationssicherheit und die ITSicherheit miteinander versöhnt. In diesem Zielbild richten sich IT-Security Technologien nach bewerteten Risiken aus. Der IT Arbeitsplatz wird dann nicht mehr so funktionieren, wie es daheim im Konsumer-Bereich zu beobachten ist – aber er wird effizient sein und gleichzeitig sicher.

Warum dieses Buch

In der Einleitung kling es bereits an – die Verantwortlichen für IT-Security arbeiten nach Beobachtungen des Autors zu oft entkoppelt von der Einheit der Informationssicherheit. Zwei Lager, die eigentlich Hand in Hand agieren sollten, verstehen einander nicht oder wagen sich jeweils nicht in das andere Spielfeld vor. Dazu finden sich noch weitere Governance Einheiten, die ebenso IT Security Disziplinen bedienen. Diese werden im Laufe des Buches strukturiert bearbeitet, um deren Sichtweise auf die IT-Security ebenso verstehen zu können.

Viel zu oft lassen sich ausgeklügelte Informationssicherheits-Managementsysteme (ISMS) beobachten, in denen Informationssicherheits-Verantwortliche in einem kontinuierlichen Verbesserungsprozess die Sicherheit vermeintlich auf ein höheres Niveau heben – aber ohne die IT-Security Experten und Technologien hinreichend mit einzubeziehen. Es macht zuweilen den Anschein, dass die „dreckige IT“ mit ihren vielen widersprüchlichen Systemen von den Governance Verantwortlichen nahezu gemieden wird. Obwohl Firewalls, Virenscanner & Co wertvolle Sicherheitsbausteine darstellen, scheinen sich Informationssicherheits-Manager für diese nicht im Detail zu interessieren. In einer Checklisten-Mentalität fragt der ISMS Auditor die Fachexperten maximal „läuft da ein Virenscanner“ und aus der bejahenden Antwort entsteht eine weitere Kennzahl zur Verarbeitung im ISMS. Dieser Oberflächlichkeit begegnen Systemspezialisten der IT-Sicherheit nicht selten mit Kopfschütteln.

Die Systemspezialisten hingegen konfigurieren die IT-Security Technologien der Abwehrmaßnahmen und haben hunderte von Konfigurationsparameter zu pflegen. Für einen simplen Virenscanner können locker fünf Tage Schulung stramm mit Inhalt gefüllt sein. Welche Features zum Nutzen der Organisation parametrisiert werden, entscheidet dann in der Regel der gut geschulte Experte der IT. Fragen nach konkreten Vorgaben und Schwerpunkten der einzusetzenden Sensorik muss sich dieser Mitarbeiter zu oft selbst beantworten. Von der Einheit der Informationssicherheit fühlt sich dieser Experte folgerichtig allein gelassen – denn deren Flughöhe beschäftigt sich nicht mit den vielen durchaus wichtigen Details.

Bereits die Lehrmeinung zur sinnvollen Reihenfolge der Security Prozesse lässt sich in der betrieblichen Praxis in Frage stellen. Eigentlich gibt das höchste Management den Rahmen des anzustrebenden Sicherheitsniveaus vor, dabei nutzt er die Informationssicherheits-Experten und bestellt einen Beauftragten für die Steuerung der Informationssicherheit. Dieser Beauftragte erarbeitet Vorgaben und implementiert das Regelwerk der Informationssicherheit als Geschäftsanweisungen oder in vergleichbarer, verbindlicher Form. Die operativen Einheiten der IT haben die Vorgaben anschließend umzusetzen und mit geeigneten Technologien und Prozessen zu reagieren. Soweit die Lehrmeinung in stark verdichteter Form. In der Praxis existieren jedoch, getrieben durch die Fachexperten der IT, bereits umfangreiche Sicherheitstechnologien und damit verbundene Sicherheitsprozesse der Betriebsführung. Selbstverständlich sind Firewalls und Schadcodescanner installiert – und dies schon lange, bevor der Informationssicherheitsbeauftragte (ISB) die Vorgaben dazu zu Papier gebracht hat. Mit den neu implementierten Anweisungen des ISB dokumentiert dieser aus Sicht der IT Security Spezialisten zu oft nur noch den längst selbst etablierten Sicherheitsstandard: der ISB erscheint aus Sicht der Experten also wenig hilfreich. Als noch unversöhnlicher lässt sich nur noch der fortwährende Konflikt einer eingesetzten IT-Revision mit den Sicherheitsexperten des IT Betriebes beschreiben.

Um diese wenig produktive Lagerbildung in einen gemeinsamen Rhythmus zu bringen, sind einige organisatorische Schranken abzubauen. Und genau mit diesen Schranken beschäftigt sich das Buch vorrangig. In seiner Rolle als Berater und Consultant konnte der Autor mit allen Stakeholdern der Cyber Security gleichermaßen arbeiten und die jeweils zu oft unversöhnlich gegeneinander agierenden Teams analysieren. Das Buch kann als Plädoyer für die Neu-Ausrichtung der Sicherheit verstanden werden, bei dem die Perspektiven der Informationssicherheit, IT-Sicherheit, Datenschutz, Risikomanagement, Revision und Controlling zusammenwachsen zu einer neuen Organisationseinheit „Security“. Es muss Schluss sein mit der Organisation der IT Abteilung nach Technik-Silos und der damit verbundenen Silogrenzen. IT Sicherheit ist eine Querschnittsfunktion und kann selbst an Zuständigkeitsgrenzen der IT nicht aufhören.

Zudem müssen die verschiedenen und durchaus hilfreichen Perspektiven auf IT-Sicherheit zusammengebracht werden: Wirtschaftsprüfer, Datenschützer, Juristen, Firewalladmins, ISB und auch der IT-Leiter haben sich an einem gemeinsamen Ziel auszurichten und mit den jeweiligen Expertisen zu diesem beizutragen.

Das Buch zeichnet dazu abschließend ein Zielbild und markiert die Handlungsfelder, die für eine Transformation der IT-Security Organisation bearbeitet werden müssten.

Über den Autor

Tim Cappelmann ist Diplom-Ingenieur (FH) der Informationstechnologie und seit 20 Jahren in der IT-Branche verankert. Er arbeitete als Berater für verschiedene IT-Dienstleister zunächst mit dem Schwerpunkt der IT-Infrastruktur und lernte Unternehmen aller Branchen in der Organisation und IT-Technologiestrategie kennen. Ein berufsbegleitendes MBA - Studium vermittelte Methodenkenntnisse zur Organisation, Planung und Führung. Als verbandsanerkannter IT-Sachverständiger und Gutachter profitiert der Autor von einem im Detail sehr tiefen technischen IT-Wissen, ohne den Gesamtüberblick der Wertschöpfung aus den Augen zu verlieren. Als zertifizierter Enterprise Architekt nach TOGAF, IT Controlling Expert (TUEV) und mit weiteren ITIL-, sowie COBIT-Zertifizierungen, bearbeitet der Verfasser dieses Buches technologische Fragestellungen immer auch unter den Perspektiven der Business-Organisation.

Als Dozent an einer Fachhochschule ist Tim Cappelmann eingebunden in deren Forschungsprojekte zu aktuellen Fragen der Wirtschaftsinformatik. Der Autor arbeitet in Führungsverantwortung bei einem IT Systemhaus und beschäftigt sich in diesem Aufgabenspektrum nicht zuletzt mit Prozess- und Organisationsfragen zu Kunden in nahezu allen Marktsegmenten.

Diverse Fachartikel wurden zu verwandten Themen der Informationstechnologie in Fachmedien bereits veröffentlicht, weiterhin tritt der Autor als Referent auf nationalen und internationalen Fachkonferenzen auf.

Mit dem Fachbuch „IT: über das Unternehmen im Unternehmen“ publiziert der Verfasser erstmalig 2019 zum Themenkomplex der IT Organisation. Das hier vorliegenden Buch „Security in der IT“ schließt an das erste Werk an und vertieft die Themen rund um IT Security – auch im Kontext der IT Organisation.

Aufbau des Buches

Das Buch zeichnet zunächst ein Bild von den Bedrohungen und Risiken, denen die Daten und Systeme unserer Organisationen ausgesetzt sind. Viele dieser Bedrohungen sind bekannt – aber sollten stets strukturiert erhoben und bewertet werden. Die Kapitel zur Bedrohungslage beantworten auch die Frage, wieso 14jährige Hobby-Hacker heute hochgerüstete IT-Abteilungen mit großen IT-Security Budgets in die Knie zwingen können. Es folgt ein Einblick in den gesetzlichen Rahmen, denn ganz offensichtlich geht es in der IT-Sicherheit auch um justiziable Vorgänge. Die rechtliche Perspektive gliedert das Buch als Teil der Problemstellung – um ein möglichst vollständiges Bild des IST-Zustandes zu beschreiben, den nicht wenige Experten plakativ als laufenden CyberKrieg bezeichnen.

Nach der Bestandsaufnahme zu den Bedrohungen und handelnden Akteuren stellt der Autor den organisatorischen Rahmen dar, der in nahezu jeder Organisation, ob nun Behörde oder Unternehmung, vorzufinden ist. Viele Organisationseinheiten tangieren die Vorgaben oder Umsetzung von IT Sicherheit und sollen für den Leser kurz mit ihrem individuellen Fokus auf das Thema eingeführt werden. In diesen Kapiteln nimmt naturgemäß der Informationssicherheitsbeauftragte mit seinen Management-Frameworks (ISMS) einen großen Raum ein.

Was wäre IT-Security ohne Technologie? Neben Firewalls und Virenscanner existieren am Sicherheitsmarkt unfassbar viele Lösungen – die zuweilen noch nach passenden Problemen suchen. Die derzeit relevantesten Technologien stellt das Buch vor.

Zum Abschluss der Bestandsaufnahme beschäftigt sich ein Kapitel mit den relevantesten Betriebsprozessen, die für den sicheren Betrieb von Informationstechnologie eine Rolle spielen. Die IT Abteilungen sind aufgefordert, bekanntwerdende Sicherheitslöcher schnellstmöglich zu stopfen und mit aktuellster Software zu agieren. Die Spannungsfelder zu den Forderungen nach dokumentiertem Change-Management, vorlaufenden Tests und Qualitätssicherung sollen in diesem Kapitel das Verständnis für die Notwendigkeit wecken, IT Organisationen grundsätzlich neu auszurichten.

Mit dem Ende der Bestandsaufnahme ist ein Ziel-Bild zu beschreiben. Der Autor zeigt in Form eines Ausblickes eine IT-Sicherheitsorganisation auf, die frei von Doppeltstrukturen ist und Hand-in-Hand alle beteiligten Stellen auf ein nachvollziehbares Ziel ausrichtet. Auch Anregungen zur Technologieauswahl fehlen nicht, denn eine optimale IT-Security verbindet Technologien mit Prozessen und Expertise.

Insgesamt folgt das Buch einem roten Faden in den fortlaufenden Argumentationen, der Aufbau erlaubt es aber auch, als Nachschlagwerk zu dienen. Die IT-Security verlangt es, nacheinander verschiedene Perspektiven einzunehmen, Methoden zu erkennen und Aufgabenstellungen im Spannungsfeld zwischen Technologie, Organisation und Verantwortung einzuordnen. Daher berührt die Gliederung ein weites Feld – durchaus zu Lasten möglicher detailreicherer Betrachtungen. Das Buch richtet sich damit vorrangig an IT-Leiter (Chief Information Officer, CIO) oder die Verantwortlichen der IT-Security (Chief Information Security Officer, CISO) und Informationssicherheit (Informationssicherheitsbeauftragte, ISB) – und weniger an spezialisierte Experten des IT-Betriebes.

In diesem Buch wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Weibliche und anderweitige Geschlechteridentitäten werden dabei ausdrücklich mitgemeint, soweit es für die Aussage erforderlich ist.

1 Allianz Global Corporate & Specialty (2021): Allianz Risk Barometer – Identifying the major business risks for 2021

Von Angreifern, Schadcode und Bedrohungen

Jeder, der sich seine Schutz-Architektur aufbauen möchte, stellt sich zunächst eine ganz einfache Frage: gegen wen oder was möchte ich mich schützen? Unsere IT Systeme bilden das Fundament der nutzenden Organisation. Zugleich besteht das Fundament aus einer komplexen Systemlandschaft mit einer Vielzahl von Schnittstellen, Aufgaben und Kommunikations-Strömen. Aus Sicht der Effizienz ist nicht die gesamte Systemlandschaft gleichwertig schützenswert, es können Sicherheitszonen mit unterschiedlichen Schutzbedarfen definiert werden. Das spart im Zweifelsfalle Geld, oder erlaubt an angemessenen Stellen mehr Bedienerkomfort ohne lästige Security Einschränkungen. So wird also jeder Funktionsblock der Informationstechnologie betrachtet und die Frage wiederholt: wogegen muss ich mich schützen?

Im Vorgriff auf das Informationssicherheits-Managementsystem (ISMS), welches das Buch noch vorstellt, lassen sich die dort oft zitierten „Grundwerte der Informationssicherheit“ als Kompass heranziehen. Die drei Grundwerte „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ könnten mit einer Skala versehen sein und nun jeder Funktionsblock der Systemarchitektur nach diesen drei Dimensionen der Sicherheit bewertet werden. So wird ein Webshop-Betreiber zur Verfügbarkeit seiner Webseite einen anderen Bedarf formulieren, als er dies für sein internes System der Reisekostenabrechnung täte. Ein Krankenhausbetreiber wird die Vertraulichkeit der Patientendaten womöglich höher priorisieren als beispielsweise seine eigenen Personaldaten in der Zeiterfassungs-Software.

Die Fragestellung nach der Bedrohungslage ist wichtig – denn daran richtet sich im Idealfall die gesamte IT-Sicherheit aus. Das klassische Risikomanagement eines Informationssicherheitsbeauftragten (ISB) sollte den Experten der IT-Sicherheit in der eigenen Organisation eine gezielte Ausrichtung Ihrer Technologien und Konfigurationen ermöglichen. Um als hilfreicher Kompass für die IT Experten tatsächlich nutzbar zu sein, muss die Bedrohungslage zwingend korrekt und vollständig erfasst werden. Dies erfordert Zeit, Gründlichkeit und Interaktion zwischen vielen verschiedenen Disziplinen. Oft genug scheitert hier in der Praxis bereits der Prozess, womit eine wertvolle Chance für vertrauensvolle Zusammenarbeit zwischen ISB und IT-Security Experten vertan wird. Der Vorgang der Risikoerhebung und Bewertung ist definitiv nicht trivial. Aber er bietet eine Möglichkeit, alle beteiligten Stellen einer Organisation „in das Thema zu holen“ und auch ein Stück weit in die Verantwortung zu ziehen. Selbstverständlich ist diese Bestandsaufnahme wiederkehrend durchzuführen – denn auch die Bedrohungslage ändert sich permanent.

Die Komplexität einer geordneten Risiko-Bestandsaufnahme besteht darin, die interdisziplinären Sichten zu ordnen und miteinander zu vereinen. Mit am Tisch sitzen beispielsweise die IT-Experten aus der IT-Architektur, IT-Betrieb, IT-Leitung ebenso wie das Business, vertreten durch das Controlling, die Linien im Organigramm (Vertrieb, Logistik, Produktion, etc.) und auch relevante Governance Einheiten, wie die Revision, Datenschützer, Risikomanagement, usw. Bei einer derart heterogenen Arbeitsgruppe besteht die Kunst darin, eine Zielklarheit herzustellen und Konflikte, die aus unterschiedlichen Sichtweisen herrühren, den Prozess des Aushandelns nicht dominieren zu lassen. Der Gedanke wird zum Schluss des Buches in der Zielbild-Beschreibung noch einmal aufgegriffen werden.

Wo liegt das Problem?

Eine Vielzahl von Bedrohungen sind den IT-Experten der Organisation bereits bekannt. Die Priorisierung der dagegenwirkenden Abwehrmaßnahmen müsste zentral gesteuert werden – hier bildet sich ein klassischer Ressourcenkonflikt um begrenzte Budgets aus. Da unsere IT-Organisationen heute weitestgehend noch nach Technik-Silos strukturiert arbeiten (Server-Team, Client-Team, Netzwerk-Team, Datenbank-Team,..), treffen unterschiedliche Sicherheitsthemen auf unterschiedlich hohe Aufmerksamkeiten. Die nachfolgende Aufzählung erhebt keinen Anspruch auf Vollständigkeit und verdeutlicht die enorme Spanne von Bedrohungen, mit denen sich die Technologie-Teams im eigenen Handlungsfeld mehr oder weniger operativ beschäftigen:

• Client/Endpoint Security (Virenschutz, Schnittstellenschutz)

• Mobile Device Management (Smartphones & Co.)

• Server Sicherheit (Berechtigungsmanagement, Schadcodeschutz, Patch-Management)

• Netzwerksicherheit (Firewalling, Intrusion Detection, Proxydienste, WLAN Security)

• eMail Sicherheit (AntiSPAM, Sandboxing, Verschlüsselung, Archiv, AntiVirus)

• Berechtigungsmanagement (Domäne, Antragsprozesse, Löschung & Rezertifizierung)

• Administrative User (Priviledged Access Management)

• Datenbanksicherheit (Überwachung, Berechtigungen)

• Applikationssicherheit (Cross Site Scripting, Script Sicherheit)

• Schutz vor Innentätern (Data Loss Prevention, DLP)

• Anomalie-Erkennung, Ransomware (Artificical Intelligence, Machine Learning)

• Authentifizierung (Multi Factor, PKI, Tokens)

• Risk & Compliance Management (Verwundbarkeitsmanagement)

• Industrial und OT Security (Schutz von nicht-IT Geräten, z.B. in der Produktion)

• Cloud Security (Verschlüsselung von Daten, sichere Identitäten, verhaltensbasierte Technologien)

Für jedes Team, welches einen Handlungsbedarf zu einem der durchaus validen Bedrohungen anmeldet, entsteht ein Verteilungskonflikt begrenzter IT-Security Budgets. Mit jedem abgelehnten Projekt wird zugleich die Frustration der operativen Einheiten gestärkt, die dann ja ein vorhandenes Risiko nicht adressiert wissen. Abgelehnte IT-Security Projekte erzeugen ohne weitere Erläuterungen zur Gesamt-Sicherheitsstrategie wiederum eine Grund-Ablehnung gegen das vorhandene ISMS oder auch den ISB persönlich. Wieder einmal wird der Eindruck der Experten bestärkt, dass „die da oben“ doch keine Kenntnis zu den tatsächlich vorhandenen Sicherheitsproblemen des operativen IT-Betriebes besitzen.

Sicherheit braucht einen Kontext

Gegen wen brauchen wir Sicherheit? Was können die Gegner? Wie bereits in der Wunschvorstellung der umfassenden Bedrohungs-Analyse und Bewertung der Schutzbedarfe (vgl. „von Angreifern, Schadcode und Bedrohungen“) formuliert, braucht die IT Organisation einen Kompass, eine Ausrichtung der vielfältigen Schutzmaßnahmen auf die relevanten Bedrohungen. Die Wahrnehmung zu „relevanten“ Bedrohungen bliebe sonst subjektiv und würde von Experte zu Experte unterschiedlich interpretiert. In unübersichtlichen digitalen Szenarien hilft ggf. der Blick in den analogen Raum. Jede Bedrohungslage und jede Abwehrmaßnahme der IT-Security findet sein Pendant in der analogen Welt und wird damit auch für beteiligte Business-Vertreter ohne IT-Expertise gut vermittelbar.

Die nachfolgende tabellarische Darstellung hilft beispielhaft bei der Zuordnung der Bilder.

Tabelle 1: Vergleich digitaler und analoger Raum: Schutzmaßnahmen

Zu jedem analogen Baustein der Organisations-Sicherheit müsste eigentlich ein digitaler Zwilling vorhanden sein. Wenn ein Unternehmen sich beispielsweise einen Pförtner leistet, existiert offenbar eine potentielle Bedrohung durch nicht registrierte Besucher auf dem Gelände oder innerhalb der eigenen Gebäude. Es existieren offenbar schützenswerte Dinge innerhalb der Liegenschaft. Da die Zeiten der heimlichen Fotokopier-Aktionen längst der Vergangenheit angehören, scheint in diesem Beispiel eine Sicherung der Daten gegen unberechtigten Zugriff in der digitalen Welt naheliegend, um ein konsistentes Schutzniveau zur analogen Wirklichkeit zu erreichen.

Die Vielzahl von Bedrohungen kann in Form von Risikokatalogen erfasst werden. Es helfen die marktüblichen Informationssicherheits-Standards, beispielsweise des Bundesamtes für Informationstechnologie (BSI) oder der ISO (ISO 27001 ff.). So listen die IT-Grundschutzkataloge und das Grundschutz-Kompendium des BSI inklusive Umsetzungs-Vorschlägen, Checklisten und IT-Grundschutz-Profilen schon gut strukturierte Hilfsmittel auf. Diese Standards schlagen Kontrollen vor, die auf eine Vielzahl von Bedrohungen hinweisen und dem Anwender der Standards helfen, in der eigenen Bewertung potentieller Bedrohungen tatsächlich nichts zu vergessen.

Die nachfolgenden Kapitel beschreiben die prominentesten Bedrohungen zur IT-Security, um dem Leser einen Eindruck von der Vielfältigkeit der Bedrohungslage zu vermitteln. Zunächst widmet sich das Buch den beteiligten Gruppen, die als Bedrohungslage definitiv betrachtet und im eigenen Kontext auch bewertet werden müssen. Im Anschluss vertieft die Darstellung häufig zu beobachtender Attacken das allgemeine Verständnis zur Bedrohungslage. Eine Darstellung der rechtlichen Einordnung von Cyber-Kriminalität rundet das Bild ab und schafft die Grundlagen, technische und organisatorische Abwehrmaßnahmen der IT-Security in später folgenden Kapiteln zu verstehen.

Hacker

Die offensichtlich spannendste und damit stark medial beachtete Bedrohungslage ist die der Cyberkriminalität durch agierende Personen. Doch auch diese sog. „Hacker“ agieren vollkommen unterschiedlich, je nach Motivation und Fähigkeiten. Es lohnt sich also, diese Bedrohung etwas tiefer zu beleuchten, denn nur nach einem allgemeinen Verständnis von Akteuren lässt sich auch die konkrete Bedrohung für die eigene Organisation ableiten.

White Hat Hacker: diese Hacker besitzen den Auftrag, Sicherheitslücken zu entdecken und zunächst testweise auszunutzen. Ob in Form bezahlter Penetrations-Tests oder aus eigenem Antrieb: White Hat Hacker finden Lücken in IT-Systemen und erstellen ggf. noch ein Proof-of-Concept für die Nutzung der ermittelten Systemschwächen. Diese Gruppe zeichnet sich dadurch aus, dass die Betreiber verwundbarer IT mindestens eine Information zu entdeckten Schwachstellen erhalten und zugleich die Möglichkeit eingeräumt wird, diese zu beseitigen. Erst wenn keine ernsthafte Bemühung zur Beseitigung der Schwachstellen erkennbar ist, gehen diese Hacker ggf. an die Öffentlichkeit. Dabei verfolgen diese Personen oder auch Gruppen immer das übergeordnete Ziel, die IT allgemein besser abzusichern und Gruppen mit böswilligen Absichten zuvorzukommen.

Black Hat Hacker: Im Vergleich zu den White Hat Hackern geht man bei den Black Hat Hackern von böswilligen Absichten aus. Diese könnten auf den Diebstahl von Informationen aus sein, wie beispielsweise Kennwörter und Identitäten oder Kreditkarten-Informationen aus Bezahlsystemen. Dabei kann potentiell jede vermeidlich unkritische Information durch Korrelation großes Schadenspotential entfalten. Bei dem Diebstahl ganzer Datenbanken liegt das Potential auf der Hand: Daten können in großem Stil verkauft oder wiederum für sehr erfolgreiche Phishing-Kampagnen genutzt werden. Doch auch einzelne entwendete Daten sind bei genauerem Hinsehen in den falschen Händen bereits als kritisch zu bewerten. Es hilft ein simples Gedankenexperiment, um den Wert entwendeter Daten zu verstehen. Ein einzelnes abgefangenes Kennwort bei einem beliebigen Login eines SaaS Anbieters dient als Einstieg in das Experiment. Mit diesem Login lassen sich mit hoher Wahrscheinlichkeit weitere prominente Dienste nutzen – da Anwender ihre Kennwörter gern mehrfach verwenden. In einem ersten Schritt werden also prominente Plattformen aus Social Media (Facebook, Google Dienste, Instagram, etc.) geprüft, vielleicht funktioniert die Kombination aus Userkennung und Passwort ja auch bei einem dieser Dienste. Die dem User zugehörige eMail Adresse herauszufinden, stellt mit den frei nutzbaren mächtigen Suchmaschinen keine Herausforderung dar. Auch große Webmail Dienste können so leicht mit dem abgefangenen Kennwort und der eMail Adresse auf mögliche Login Berechtigungen geprüft werden. Diese Suche nach nutzbaren Diensten erfolgt softwaregestützt und automatisiert – ein vielversprechender erfolgreicher Login stößt nun die nächste Tür auf. Mit dem Zugang zu Social Media Plattformen oder eMail Diensten lassen sich bei Versandhändlern bereits Waren bestellen oder Kontakte des gebrochenen Accounts unter falscher Identität kontaktieren. Es öffnen sich Türen für die Verbreitung von Schadcode oder die Werkzeuge des social Engineering. Auch hier arbeiten Hacker längst softwaregestützt, automatisiert und effizient in erschreckend guter Qualität. Aus einem einfachen abgefangenen Kennwort ergibt sich nahezu damit fast zwangsläufig ein weites Feld für kriminelle Handlungen. Oft arbeiten Hacker hier arbeitsteilig und spezialisiert. Es existiert im Darkweb ein Marktwert für gestohlene Accounts, je nach Aktualität und Reichweite. So kaufen kriminelle Akteure die gestohlenen Identitäten auf und verkaufen diese auch nach eigener Nutzung weiter.

Nach dem kurzen gedanklichen Ausflug zum generellen Wert gestohlener Daten sollte das Feld der Black Hat Hacker weiter unterteilt werden in Maßstäben der Fähigkeiten, die Mächtigkeit genutzter Tools und deren Rolle in den Wertschöpfungsketten der Cyber-Kriminalität.

Ein Black Hat Hacker ist nicht zwangsläufig auf Datendiebstahl fokussiert, sondern arbeitet vielleicht mit der böswilligen Verschlüsselung kritischer Daten – also dem Tatbestand der Erpressung. Weitere Beute-Schemata können die simple Lust an Zerstörung und der eigene Geltungsdrang sein. Ob ein Hacker nun Industriespionage betreibt, oder religiös - ideologisch motiviert ist, er gehört ganz grob zunächst mal in die hier skizzierte Black Hat Kategorie.

Script Kiddies: die Vokabel setzt sich zusammen aus „Script“ (also vorgefertigte Angriffstools) und „Kid“. Es sind Hacker gemeint, die ohne vertiefendes Knowhow mit dem Einsatz verfügbarer Software oder Webdienste Angriffe gegen gewählte Ziele starten. Die Bedrohung ist real und nicht zu unterschätzen, da die verfügbaren Angriffstools im Internet zum Teil auf mächtige Ressourcen zurückgreifen können. Rechenpower von Botnetzen (feindlich übernommene, ferngesteuerte Rechner) lässt sich im Darkweb und sogar über bekannte Versteigerungs-Plattformen buchen. So steht einer IT Abteilung eines mittelständischen Unternehmens oder einer Organisation nicht nur einem motivierten Teenager gegenüber, sondern zugleich einem komplexen Angriff auf aktuelle Sicherheitslücken – ausgeführt von vielen tausenden Recheninstanzen gleichzeitig. Zu Script Kiddies ist ein weiterer Gedanke wertvoll, um deren Agieren zu verstehen. Die Grenze zwischen einer deutlich erkennbar kriminellen Handlung und einem Ausprobieren von Eingaben an öffentlich erreichbaren Systemen ist gar nicht trennscharf möglich. Wenn eine Organisation eine Web-Plattform betreibt, an der ein Login mit den weltweit bekannten Installationspasswörtern möglich ist – ist der Login dort dann schon Hacking? Juristen finden dazu sicher eine Antwort, in der Wahrnehmung junger Computer-Nerds mag dieser so simple Login aber noch vertretbar sein. Es existieren Unmengen an Sammlungen von Standard-Kennwörtern im Internet: zu VoIP Telefonen,

Servern, Netzwerkkomponenten, Hypervisor Instanzen und auch Industrial Technologien. Beim Schreiben dieses Kapitels konnte der Autor beispielsweise durch eine simple Kombination von Suchbegriffen mit einer bekannten Suchmaschine Wartungszugänge von Windkraftanlagen im Webbrowser öffnen. Spezialkenntnisse sind für den Zugriff auf derart schlecht gesicherte Anlagen nicht notwendig, es existieren Video Anleitungen dazu auf einem bekannten Video-Portal, womit nahezu jeder junge Mensch mit ausgewachsenem Spieltrieb zum Hacker werden kann.

Die Handlungen aus der Gruppe der Script Kiddies heraus konnten auch deshalb eine so große Relevanz erreichen, da der weltweite Aktionsradius durch die Internet-Vernetzung einen riesigen Spielplatz geschaffen hat – und zeitgleich die starke Abstraktion zwischen Handlung und Wirkung nur noch eine niedrige Hemmschwelle erzeugt.

Hacktivists: Das Kunstwort aus „Hacker“ und „Aktivisten“ deutet schon in die richtige Richtung. Der Begriff beschreibt Hacker, die aus einer bestimmten Motivation heraus handeln. Als Ziel aller Hacking-Handlungen dienen politische Gegner, Gruppen oder Unternehmen. Getrieben von der eigenen Weltanschauung und in der Regel vernetzt unter Gleichgesinnten, dienen andersdenkende als Ziele. Diese Gruppe stellt eine Bedrohung für Betreiber von Informationstechnologie dar, die im öffentlichen Diskurs oder im Fokus stehen. Unternehmen mit Engagements in militärischer Ausrüstung, Banken, Parteien sollten hier Ihre Risiken bewerten - oder aber auch Hersteller von Medikamenten, emotional aufgeladener Produkte oder Kraftwerksbetreiber. Aufmerksamkeit erregten Hacktivisten beispielsweise 2011, als Kontensperrungen gegen Wikileaks durch Kreditkarten-Dienstleister und Zahlungsabwickler zu enormen Attacken gegen die Webseiten dieser Anbieter führten. Webseiten von Mastercard, Visa und paypal wurden zeitweise in die Knie gezwungen. Der digitale Wutbürger findet hier eine vielbeachtete Bühne – was bei angegriffenen IT-Betreibern zu unkalkulierbaren Angriffskampagnen führen kann.

State Sponsored Hackers: Hacker mit staatlichen Auftraggebern oder zumindest Geldgebern werden gern in die Nähre von Geheimdienstaktivitäten gerückt. Die letzten beiden Präsidentenwahlen in den USA oder auch die Kampagnen zum „Brexit“ in Europa wurden nachweislich von Hacking – Gruppen begleitet, denen eine Nähe zur russischen Administration zugeschrieben werden. Auch abseits von zeitlich begrenzten Beeinflussungen agieren diese Gruppen mit sehr spezialisierten Werkzeugen und fokussieren auf staatliche Organisationen, Behörden oder auch strategisch wichtige Ziele der Privatwirtschaft eines Wirtschaftsraumes. Die Existenz dieser Gruppen bewog die Bundesregierung dazu, das nationale Cyber Abwehrzentrum mit Mitteln auszustatten. Derzeit sind am Cyber-AZ das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), das Bundesamt für den Militärischen Abschirmdienst (BAMAD), das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesamt für Verfassungsschutz (BfV), das Bundeskriminalamt (BKA), der Bundesnachrichtendienst (BND), das Bundespolizeipräsidium (BPOLP) und das Kommando Cyber- und Informationsraum (KdoCIR) als Kernbehörden sowie das Zollkriminalamt (ZKA) und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als assoziierte Stellen beteiligt.2 Bemerkenswert sind vor allem die Werkzeuge, die State-Sponsored Gruppen zur Verfügung stehen. Diese sind nicht selten darauf ausgelegt, mit auf langfristige Nutzung ausgelegten Backdoors zu arbeiten und auf sehr intelligenten Code (z.B. mit hoher Permutationsrate und hohem Variantenreichtum) zu setzen. Die Gruppen der State Sponsored Hackers werden exklusiv mit KnowHow zu gravierenden Sicherheitslücken versorgt, die am Markt noch nicht bekannt sind und so bis zur Entdeckung ein sehr tiefes Eindringen in IT-Architekturen ermöglicht.

Spekulationen über den 2010 zur Berühmtheit gelangten „StuxNet“ Wurm, der über SPS Steuerungen Simatic S7 für die Steuerung iranischer Zentrifugen seine Wirkung entfaltete, gehen in eine ähnliche Richtung. Hier deuten die Hinweise auf eine Gruppe staatlicher Akteure der vereinigten Staaten.3 Auch hier weist neben der Wirkung des Codes vor allem der enorm hohe Entwicklungsaufwand des ausgeklügelten Codes auf ein umfassendes staatliches Sponsoring hin. Wiederum wurden bis dahin unbekannte Sicherheitslücken genutzt und weltweit IT-gestützte Produktionsanlagen und Systeme der Leitstände infiziert.

Letztlich lässt sich etwas resignierend zusammenfassen: die Realität ist die, dass ein state sponsored Hacker sich nahezu nicht entdecken lässt und unweigerlich Zugriff auf Daten erlangt, solange nicht ein anderer staatlicher Akteur hilft, diese Daten zu verteidigen“.4

Cyber Terrorists: eine weitere Kategorie von Hackern lässt sich unter dem Begriff Cyber Terrorismus subsummieren. Auch hier orientiert sich die Kategorie simpel an der Motivation für rechtswidrige Hacking – Aktivitäten. Terroristische Akte, die mit Hilfe von Internettechnologien verübt werden, werden immer kontrovers diskutiert. Hollywood Filme beschreiben chaotische Zustände, nachdem Terroristen die Steuerungsgewalt über diverse Leitsysteme erlangt haben und so Kraftwerke, Verkehrsführung und Telekommunikation feindlich übernommen haben. In der Realität spielt auch die Bundesregierung derartige Szenarien durch – beispielsweise im Rahmen der Lükex – Übungen des Bundes.5 Somit scheinen Experten ein derartiges Szenario zumindest theoretisch in Betracht zu ziehen. Ob nationalstaatliche Kriegsführung oder ideologische Motivation, bei der Begrifflichkeit des Cyber Terrorismus geht es um eine möglichst große und spektakuläre Schadenslage. In der Literatur hat sich bei staatlichen Akteuren der Begriff des „Cyberwar“ herausgebildet, der nachweislich heute schon die konventionelle Kriegsführung begleitet.

Innentäter

Nach der aufgezeigten Bedrohungslage durch Hacker beschäftigt sich dieses Kapitel mit dem Innentäter. Bei Innentätern unterstellen Spezialisten und Manager in der Begrifflichkeit leicht eine böswillige und geplante Handlung – was die Vokabel „Täter“ ja suggeriert. Doch mindestens ebenso häufig kommt es zu Schäden, wenn Mitarbeiter am IT-Arbeitsplatz in gutem Glauben handeln und mit den eigenen Berechtigungen in der Informationstechnologie unbedacht agieren. Diese „dumm gelaufen – Schublade“ füllt sich sowohl mit versehentlich versendeten eMails an falsche Empfänger, unbedarften Löschaufträgen oder auch viel zu großzügig erteilte Freigaben auf Daten. Ein Mitarbeiter könnte in der vollen Überzeugung, etwas Gutes für seine Organisation zu erreichen, sensible Daten an seinen privaten eMail Account versenden. Mit der Motivation, die zeitkritische Präsentation in der Freizeit mit hohem Engagement daheim noch fertigstellen zu wollen, fließen Daten ab und hinterlassen Schattenkopien in privaten Mailaccounts, Festplatten, etc.

Auch böswillige Handlungen von Innentätern sind keine abstrakte – sondern vielmehr eine sehr konkrete – Gefahr. Gekündigte Mitarbeiter, Streit zwischen Kollegen oder innerhalb der Berichtslinien: die Zusammenarbeit innerhalb eines Unternehmens oder einer Behörde ist zugleich ein menschliches Zusammenwirken mit sozialen und manchmal auch schwer vorhersehbaren Handlungsmustern. Gefrustete oder enttäuschte Mitarbeiter gibt es überall, die eine Chance einem Kollegen Schaden zuzufügen, durchaus zu nutzen wissen. Auch Mitarbeiter, die bereits einen Arbeitsvertrag bei der Konkurrenz unterschrieben haben, stellen eine ernst zu nehmende Bedrohung für einen potentiellen Datendiebstahl dar.

Bereits 2014 ordnete der Verfassungsschutz etwa 30% der öffentlich gewordenen Hackerangriffe einem Innentäter zu.6 Der Insider Threat Report 2019 des Cybersecurity Insider führt fast 70% der Befragten auf, die eine weitere Zunahme der Bedrohungen durch Innentäter prognostizieren.7 Als Motive von böswilligen Innentätern geben die Befragten Betrug, finanzielle Bereicherung und Diebstahl von geistigem Eigentum an. Die Bestechung von Mitarbeitern zur Erlangung sensibler Daten einer Organisation kann zudem deutlich weniger aufwändig und kostspielig sein, als mit klassischen Black Hat Hackern durch die Sicherheitssysteme einer Organisation zu hacken – womit bei diesem Szenario des Innentäters per se eine gewisse Eintrittswahrscheinlichkeit zugrunde gelegt werden müsste.

Schadcode

Schadcode bildet ganz sicher eine eigene Kategorie von Bedrohungen. Zugleich kann Schadcode auch lediglich als Werkzeug, also als Angriffsmethode begriffen werden. Ein Hacker nutzt oft Schadcode, um gezielt sein Ziel damit anzugreifen – beispielsweise über einen gezielten Verbreitungsweg, wie einer Phishing-Kampagne. Auch Script-Kiddies versenden sehr gern vorgefertigten Schadcode – womit dieser eher als bösartiges Werkzeug zu klassifizieren wäre. Nichts desto trotz führt das Buch Schadcode hier unter den eigenständigen Bedrohungslagen auf, denn zu oft wird eine Organisation eher zufällig Opfer von Schadcode. Es ist viel Code im Umlauf, der ohne zuvor festgelegte Ziele versendet wird. Die „Drive-by-Exploits“ landen quasi „im Vorbeigehen“ auf Rechnern. Auch seriöse Webseiten tragen den gefährlichen Code, wenn dieser beispielsweise in Werbebannern eingebettet wurde oder nachgelagerte Server, welche die Werbung tragen, erfolgreich kompromittiert wurden.8 Die Hacker, egal welcher der oben genannten Gruppierungen zugehörig, hoffen zunächst einmal auf einen hohen Verbreitungsgrad und damit auch auf interessante Opfer, die in der Masse infizierter IT-Systeme dabei sind. Der Schadcode meldet sich, sobald er sich in einem System eingenistet hat, bei einem zentralen Command and Control (auch: C2) Server und wartet auf weitere Anweisungen, um ggf. Daten zu kopieren, Kennwörter zu sniffern oder weiteren Code nachzuladen. Mit dieser stufenweise vorgehenden Methodik kann eine Organisation lange Zeit Opfer eines noch nicht aktiv gesetzten Schadcodes sein, ohne davon Kenntnis zu erlangen.

Eine allgemeine Bezeichnung für Schadcode ist Malware, darunter fallen unterschiedliche Bedrohungsarten wie Viren, Würmer und Trojaner. Nach der Ausführung, in der Regel unter Beteiligung des unwissenden Anwenders und seiner aktivierenden Aktion, beginnt der Schadcode mit der Arbeit und installiert zum Beispiel eine Backdoor oder startet einen Key-Logger, der unter anderem die Eingabe von Passwörtern protokollieren kann.

GData zählt weltweit über 700 Millionen verschiedene Schadprogramme. Diese lassen sich ganz grob in die Familien der Viren, der Würmer und der Exploits aufteilen.

Viren: Die Computerviren verbreiten sich über Dateien, die durch virösen Code verändert wurden. Viele Viren nisten sich in ausführbare Dateien, also in Programmen ein. Komfortfunktionen der Betriebssysteme begünstigen deren Verbreitung. So führen Autostart-Einstellungen beispielsweise Programme sofort aus, wenn diese auf einem geeigneten Datenträger wie einer CD oder einem USB-Laufwerk an einen Rechner angeschlossen werden.

Würmer: Das wichtigste Merkmal der Würmer ist, dass sich diese selbstständig weiterverbreiten. Im Gegensatz zu Viren benötigen diese dabei keine Trägerdatei. Datenpakete greifen gezielt Software-Schwachstellen an. Unterkategorien von Würmern lassen sich beispielsweise nach den Kommunikationskanälen bilden, die der Wurm für seine weitere Verbreitung benutzt. Internetwürmer durchsuchen das Internet, um verwundbare Systeme eigenständig zu finden und diese zu übernehmen. Von einem übernommenen Zielsystem aus verbreiten sich diese zudem vollkommen eigenständig weiter. Netzwerkwürmer verbreiten sich in lokalen Netzwerken und nutzen dabei die üblicherweise dort verwendeten Protokollfamilien, wie beispielsweise Protokolle für Dateifreigaben. Email-Würmer lesen Kontaktinformationen aus dem Adressbuch aus und werden gern mit social engineering Methoden kombiniert. Die Verbreitung setzt auf manipulierte Dateianhänge oder aktive Inhalte im Mailbody, wie beispielsweise Bilder oder Hyperlinks. IM-Würmer agieren vergleichbar in Instant Messaging Kanälen.

Exploits: Die Exploits machen sich Sicherheitslücken auf einem Computer zunutze. Wie auch bei Würmern, kann der Angriff vollautomatisiert ablaufen. Ein häufig anzutreffender Verbreitungsweg bilden hier Schadcodes, hinterlegt auf Inhalten einer Internetseite - auf den bei gesteuerten Angriffen auch in gezielten eMail-Kampagnen verlinkt wird. Da Exploits wenig Platz in Anspruch nehmen sollen, nutzen diese komplexen Codes Standard-Codeschnipsel des Betriebssystems oder weit verbreiteter Standard Software einfach mit. Exploits selbst richten noch keinen Schaden an, sondern gewähren Angreifern den gesicherten Zugang zum System – insofern kann der Exploit auch als Kern einer Malware begriffen werden. Nicht selten werden mehrere Exploits miteinander in Bundles genutzt, um mit einer hohen Variation von Methoden effiziente Angriffsmuster zu erzeugen. Die sogenannte Code-Obfuskation erschwert Analysten die Entwicklung von Detektionssoftware oder Gegenmaßnahmen. Code-Obfuskation ändert beispielsweise die Reihenfolge von Code-Anweisungen, ohne die Funktionalität zu verändern. Dies soll die Rückverfolgung des Schadcodes verhindern und die Funktionsweise verschleiern.

Exploits als Bundles lassen sich im Internet leicht unter dem Begriff „Exploit-Kit“ finden. Die Kits besitzen alle Tarn-Eigenschaften und technischen Finessen, wie die Möglichkeit der Code-Obfuskation oder verschlüsselte Dropper-Dateien. In die modularen Kits bauen Experten nur noch die jeweils aktuellen Zero-Day Exploits ein, bevor diese eine Kampagne starten. Hochentwickelte Kits, wie Angler, kommen sogar ohne Schreibvorgänge auf Festplatten aus und arbeiten unbemerkt im Arbeitsspeicher.9 Das Beispiel Angler gibt dem Leser einen Eindruck davon, in welcher Entwicklungsreife diese Kits zur Verfügung stehen. Das Exploit-Kit erkennt marktübliche Antiviren Software und reagiert aktiv auf diese, ebenso verfügt das Kit über eine Erkennung von Sandboxes und Hypervisor Technologien – um in dieser Prüfstands-Umgebung der Malware-Analysten eben nicht aktiv zu werden. Die Kits lassen sich mit den üblichen Signatur-basierenden Antivirus-Softwarelösungen nicht detektieren. Nur mit einer Verhaltensanalyse des laufenden Codes in Echtzeit lässt sich die Aktivität dieser hochentwickelten Kits entdecken.

Eine besondere Kategorie bilden die Zero-Day-Exploits. Dieser Begriff wird für Exploits verwendet, die sich noch nicht öffentlich bekannte Schwachstellen zu eigen machen. Solange die Verwundbarkeit noch nicht allgemein bekannt ist, bleibt diese für den Exploit ausnutzbar und gefährlich. Erkennungs-Programme, wie die weit verbreiteten Schadcodescanner können den Exploit in dieser Phase des Lebenszyklus nicht erkennen.

Zero-Day-Exploits: Web Browser, Java, Flash, oder auch die weit verbreiteten Programme der Office Familien werden durch Exploits häufig angegriffen. Diese Ziele werden permanent auf Sicherheitslücken durchsucht und Hersteller sehen sich gezwungen, nahezu täglich Patches gegen neu entdeckte Einfallstore auszuliefern. Nicht immer kann der Sicherheitspatch tagesaktuell wirken. Anwender arbeiten womöglich längere Zeit ohne Zugang zu den Update-Servern oder verweigern aktiv das Einspielen oder den notwendigen Neustart des Computers. In Rollout Prozessen der IT Abteilungen professioneller Organisation verzögern vorgelagerte Qualitätstests das Ausbringen der Patches – denn Seiteneffekte oder gar ein kompletter Systemcrash können bei diesem oft eilig zur Verfügung gestellten Code niemals ganz ausgeschlossen werden. So erklärt sich der Zeitraum, in dem Systeme für Zero-Day-Exploits verwundbar bleiben, obwohl Hersteller die notwendigen Nachbesserungen zeitnah bereitstellen. Der Zeitraum der Verwundbarkeit verlängert sich erheblich, wenn das Gesamtsystem mit seiner Anwendungslandschaft betrachtet wird. Hochspezialisierte Anwendungen, wie beispielsweise die Auswertungs-Software auf Medizintechnik für Computertomographien, lassen sich ohne Beeinträchtigung der Funktion, Zertifizierungen oder Gewährleistung nicht „mal eben“ mit Updates versehen. Die hier notwendigen Qualitätssicherungs-Prozesse kosten viel Zeit und Geld. Gleiches gilt für die Systeme in Geldautomaten, Leitstands Rechner für technische Steuerungen und viele spezialisierte Systeme mehr. Die viel zitierte „Patch Hygiene“ sieht bei diesen Computern nicht gut aus, Releases sind oft monatelang im Rückstand im Vergleich zu den Betriebssystem-Hersteller Empfehlungen.

Wie in der Beschreibung des Kapitels „Hacker“ und den dort vorgestellten „State-Sponsored“ Gruppierungen schon angedeutet, behalten exklusive Gruppen das Wissen zu Zero-Day-Verwundbarkeiten und den dazu gehörenden Exploits auch über lange Zeiträume für sich. Statt das Wissen über eine Verwundbarkeit weiter zu verkaufen, sichert sich eine Gruppe hier eine Angriffsfläche exklusiv und kann weltweit den Zero-Day Zeitraum zur Infiltration interessanter Ziele nutzen.

Ransomware: Von Ransomware spricht man, wenn Schadcode dazu benutzt wird, Rechner oder Dateien zu verschlüsseln, den Computer zu sperren oder sonst wie den Zugang zu den dort abgelegten Daten zu verhindern. Hinter Ransomware steht ein Erpressungsversuch. Mit der Transaktion einer Crypto-Währung erhält das Opfer einen Zugangscode, um wieder Zugriff auf seine Daten oder Computer zu erlangen.

Die Erstinfektion mit Ransomware gelingt in der Regel über Phishing-Mails oder durch Malware infizierte Webseiten. Die Infektion gelingt zu erschreckend hohen Anteilen, so hat nach einer in 2020 veröffentlichten Sophos-Studie mehr als die Hälfte der befragten Unternehmen eine derartige Attacke schon erlebt.10 Bei fast drei Vierteln der betroffenen Organisationen wurden Daten verschlüsselt, die durchschnittlichen Kosten eines Angriffs lagen bei 730.000 Dollar.11

Social Engineering

„Der Mensch“ bildet ein selten ausreichend beachtetes Cyber-Security Risiko. Die lt. Wikipedia „angewandte Sozialwissenschaft“ soll Anwender von IT-Systemen in der Art manipulieren, dass diese vertrauliche Daten, wie beispielsweise ihre eigenen Zugangsdaten, preisgeben. Social Engineers spähen das persönliche Umfeld potentielle Opfer aus und geben sich gern als Insider der eigenen Organisation aus. Das auch als „social Hacking“ bezeichnete Muster stellt eine wenig aufwändige und oft risikofreie, nichttechnische Methode dar, um eine gezielte Angriffskampagne auf ein bekanntes Ziel zu starten.

Angreifer können sich auf die Hilfsbereitschaft Ihrer Opfer verlassen oder das fehlende technische Wissen dieser Anwender ausnutzen. Auch in hohem Maße autoritätshörige Personen stellen ein geeignetes Angriffsziel dar.

Im Folgenden zählt das Kapitel einige der häufig angewendeten Methoden auf, um einen Eindruck zur Methodik zu vermitteln.

„Spear Fishing“ bezeichnet das Versenden von Phishing eMails nur an bestimmte Gruppen oder Personen. Die im jeweiligen Markt verbreiteten Social Media Plattformen können bei der Zielauswahl helfen. Business-Portale wie Xing oder LinkedIn können maschinengestützt leicht durchsucht werden. So lassen sich beispielsweise schnell Kontakte aus Personalabteilungen einer Ziel-Organisation mit eMail Adressen und wertvollen weiteren Informationen (Betriebszugehörigkeit, Kontakte innerhalb der Organisation) selektieren. Mit einer konkreten Organisation als Ziel vor Augen, sind zielgerichtete und zugeschnittene Ansprachen möglich. Mitarbeiter von Personalabteilungen werden eine seriös formulierte eMail mit einem Anhang „Anschreiben.pdf“ mit hoher Wahrscheinlichkeit anklicken.

„Baiting“ lässt sich mit „Ködern“ übersetzen und beinhaltet eine physische Komponente, wie einen Datenträger. USB Sticks können mit Schadcode beladen auf dem Unternehmensgelände am Mitarbeiterparkplatz ausgelegt werden oder gezielt bei Messebesuchen in den Besitz der potentiellen Opfer gelangen. Wenn das Opfer den Köder aufnimmt und an den Arbeitsplatzcomputer verbindet, aktiviert sich die dort hinterlegte Malware.

„Pretexting“ konstruiert einen spannenden Vorwand, welcher das Opfer oft scheibchenweise mit Informationen versorgt und in ein fiktives Szenario eintauchen lässt. Nicht selten verspricht das Szenario dem Opfer viel Geld oder baut Drohkulissen auf, die vermeintlich nur das Opfer durch seine Aktionen auflösen kann. Die glaubwürdigen aber erfundenen Geschichten werden mit extra angelegten Webseiten oder eMail Adressen für eine oberflächliche Verifikation abgesichert.

„Contact Spamming“ wurde bereits in den Grundzügen im Kontext der eMail Würmer skizziert. Ein Schadcode liest Kontakte aus dem Adressbuch der eMail Software aus und sendet Nachrichten an diese. Der den Empfängern ja bekannte Absender induziert ein Vorschuss-Vertrauen – weshalb die Opfer gern auf den beispielsweise enthaltenen Link klicken und so einen Exploit unbemerkt auf den Rechner laden. Da die eMail Software des bereits infizierten Computers mit einem validen eMail Account sendet, landen derartige Kampagnen seltener im Spam-Ordner der Empfänger.

„Quid pro Quo“ bezeichnet eine Methode, die mittels „einen Gefallen für einen Gefallen“ Opfer zu Handlungen bewegt. So können vermeintliche IT-Supportmitarbeiter den Anwender um seine Hilfe bitten für die schnelle Installation einer verbesserten Software – und damit Malware gezielt platzieren. Dem Opfer wird im Gegenzug womöglich eine Hilfestellung zu bestimmten Problemen angeboten.

Die bis hierher kategorisierten Ansätze geben dem Leser eine Idee davon, wie vielschichtig Social Engineering Attacken daherkommen können.12 Die gefährliche Annahme, dass nur unbedarfte Anwender Opfer von sozialem Hacking werden, greift viel zu kurz. Hinter derartigen Kampagnen können gut vorbereitete und trainierte Experten agieren – die zudem verschiedene Kanäle gleichzeitig bespielen. Psychologische Instrumente funktionieren letztlich bei allen Menschen und immer treffen hier Profis der Angreifer-Seite auf Amateure der angegriffenen Organisation.

Stereotypes Verhalten als psychologische Grundlage steckt in allen Menschen, da die Umwelt zu schnell und komplex ist, um jegliche Situation zu analysieren. Urteils Heuristiken sind daher sehr schnelle und kurze Entscheidungsmakros, die durch Auslösetrigger automatisch bei uns Menschen gestartet werden. Wenn eine Entscheidung nicht als wichtig erkannt wird, agieren alle Menschen innerhalb dieser vorhersehbaren Muster, die sich social Engineers so gern zunutze machen.

Fraud

Der Übergang vom Social Engineering zu Fraud im Sinne der Wirtschaftskriminalität ist leicht gezeichnet. In diesem Zusammenhang spielt doloses Verhalten eine Rolle, welches betrügerische Absichten durch Dulden, Tun oder Unterlassen beschreibt. Frauds zielen auf Handlungen, in denen sich agierende Personen rechtswidrig oder auch nur ungerechtfertigt Vorteile verschaffen. Unternehmen richten interne Kontrollsysteme auf besondere Einheiten aus, die mit fraud-gefährdeten Geschäftsvorfällen zu tun haben.

Eine gewisse Berühmtheit hat die CEO-Fraud Methode erlangt. Die auch als „Chef-Trick“ bezeichnete Masche basiert darauf, dass man allgemeine Regeln eher ignoriert, wenn eine vermeintliche Autoritätsperson dazu auffordert. Nur wenige Mitarbeiter, so die Annahme, wagen es, dem Vorgesetzten ein wichtiges Anliegen abzuschlagen – schon gar nicht in einer Notsituation. Es werden gezielt Mitarbeiter kontaktiert, die Zugang zu sensiblen Daten besitzen oder zahlungsberechtigt sind, wie Assistenzen der Geschäftsführung oder Controlling – Mitarbeiter.

Täter besorgen sich umfangreiche Informationen über die anzugreifende Organisation aus sozialen Netzwerken, der Unternehmenshomepage, dem Handelsregister oder Wirtschaftsberichten. Sie interessieren sich für künftige Investments und aktuelle Projekte – um so einen aktuellen Bezug für die zu täuschenden Mitarbeiter herstellen zu können. Anschließend nehmen die Täter Kontakt zu den ausgeforschten Mitarbeitern auf und geben sich als leitende Angestellte oder Geschäftspartner aus. Mitarbeiter des Rechnungswesens werden angewiesen, unter der Maßgabe der Vertraulichkeit größere Summen auf ausländische Konten zu überweisen. Mit Bezug auf aktuelle Investitions-Projekte oder Unternehmens-Übernahmen lässt sich die Vertraulichkeit und Abweichung von üblichen buchhalterischen Prozessen gut begründen. Gefälschte eMail Adressen und die Anwahl unter gefälschten internen Telefonnummern stützen derartige Vorgänge.

Das Buch hat bis zu diesem Zeitpunkt mit der Beschreibung der handelnden Gruppen einen ersten Kontext hergestellt und so den Rahmen für die erste Einordnung potentieller Bedrohungen geschaffen. Bevor sich die nächsten Kapitel konkreten Angriffen und Methoden nähern, soll zum Abschluss auf die marktwirtschaftlichen Zusammenhänge der bis hierher eingeführten Gruppen eingegangen werden. Die Cyber-Kriminalität bildet einen eigenen Markt, der die Dimension des beschriebenen Problems gut verdeutlicht.

Die Marktwirtschaft der Cyberkriminalität

Die von McAfee veröffentlichte Studie „the hidden Costs of Cybercrime“ bilanziert einen weltweiten Schaden von jährlich über einer Billion US-Dollar.13 Etwa zwei Drittel der befragten Unternehmen berichteten davon, von mindestens einem Cyberangriff betroffen gewesen zu sein. Damit hinterlassen die in dem Buch vorgestellten Akteure der Cyber-Kriminalität insgesamt einen beachtlichen Schaden, der in diesem Kapitel mit den nüchternen Augen der Wirtschaftswissenschaften als eigenständige Ökonomie angesehen wird. Es wird ein Marktsegment betrachtet, welches insgesamt größere Umsatzvolumina aufweist als der weltweite Drogenhandel. Die idealen Voraussetzungen dafür hat das Kapitel „Sicherheit braucht einen Kontext“ mit all seinen Facetten bereits aufgeblättert. Der Markt der Cyber-Kriminalität bietet risikoarme Betätigungsfelder, insbesondere im Vergleich zu anderen kriminellen Handlungen (wie Dogenhandel, Schmuggel, Überfälle und sonstige Gewaltverbrechen).

Vor einigen Jahren galt der Handel mit Exploits und gestohlenen Daten noch als Gelegenheitsgeschäft einzelner unorganisierter Hacker. Heute hat sich daraus längst ein organisierter und international funktionierender Wirtschaftszweig entwickelt. Aktuelle Exploits besitzen dabei einen sechsstelligen Marktwert. Nach den Gesetzen der Marktwirtschaft entstehen Marktpreise in Abhängigkeit von Nachfrage und Angebot, die Kurse für Daten gestohlener Kreditkarten oder aktueller Zugangsdaten zu Mailkonten können an online Handelsplätzen im Darknet direkt eingesehen werden. Schon für zwei Dollar pro Stunde können leistungsfähige Botnetze von Hackern gemietet und für Erpressungsversuche und Denial-of-Service Attacken verwendet werden.14 Die organisierte Kriminalität hat die Märkte für sich entdeckt und das etwas verklärtromantische Bild des Kinderzimmer-Hackers verdrängt. Die Risiko Manager der Unternehmen sehen folgerichtig diesen Markt schon lange als Top-Risiko, für das ihre Organisationen zugleich noch am wenigsten vorbereitet sind.15 Die Polizeiliche Kriminalitätsstatistik (PKS) notiert dazu: „Die Täterseite betreibt eine arbeitsteilige und hochprofessionelle Wirtschaft, die nahtlos ineinandergreift und durch jeden erfolgreichen Angriff wächst.“16

Standortbestimmung zur eigenen Bedrohungslage

Die Einleitung zu diesem Kapitel versprach einen Einblick in die prominentesten Bedrohungen der IT-Sicherheit zu vermitteln. Dabei muss abschließend noch darauf hingewiesen werden, dass insbesondere die hilfreichen Informationssicherheits-Standards den Scope potentieller Bedrohungen und Risiken noch sehr viel weiter fassen. Abgeleitet aus dem Schutzziel „Verfügbarkeit“, als einen der drei Grundwerte der Informationssicherheit, lassen sich Architekturschwächen, fehlende Notstromversorgungen, etc. allesamt als weitere, valide Bedrohungen zur Informationssicherheit erfassen. Da das Buch nun jedoch ausschließlich auf die IT-Security fokussiert, befindet sich dieser Gliederungspunkt exakt an der Grenze zwischen der IT-Security und der doch viel umfassender gefassten Informationssicherheit. Die Bedrohungslagen physikalischer Natur oder Anfälligkeiten aus möglichen Designschwächen klammert das Buch bewusst aus (vgl. Kapitel organisatorische Perspektive, ISMS), da diese ein Gegenstand der Informationssicherheit – und nicht der IT-Security im engeren Sinne - sind.

Die allgemeine Bedrohungslage für Organisationen kann nach dem bis hierher skizzierten Schema und ergänzend unter Zuhilfenahme verfügbarer ISMS Standards im Kontext einer zu schützenden Organisation bewertet werden. Der Leser kennt zu diesem Zeitpunkt die beteiligten Gruppen und Bedrohungen, sowie deren Motivationen. Er kann den Profit dieses speziellen Marktsegmentes ebenso einschätzen wie auch weitere Motivationen aus Geltungsdrang oder das Vorgehen staatlicher Akteure. Unter kritischer Betrachtung der eigenen Organisations-Ziele und der Position im Markt, müsste sich nun mit den bekannten Methoden des Risiko-Controllings eine Standortbestimmung entwickeln lassen, die die Risiko-Lage einer Organisation zur IT-Security vollständig und nachvollziehbar bewertet.

Prominente Angriffe und Methoden

Um ein tieferes Verständnis zu sehr konkreten Einfallstoren in die IT Architektur entwickeln zu können, beschäftigen sich die nachfolgenden Gliederungspunkte mit prominenten Angriffen und Methoden. Die Kapitel sind streckenweise technisch gehalten und fokussieren auf die „Mechanik“, die den jeweiligen Angriffen zugrunde liegen.

Phishing

Gefälschte eMails mit der enthaltenen Aufforderung, vertrauliche Daten zu übermitteln, bezeichnen die Experten als Phishing-Mails. Zu einem bestimmten Thema und unter einem konstruierten Vorwand sollen massenhaft versendete eMails einen großen Kreis von Adressaten erreichen, in der Hoffnung, dass sich möglichst viele Empfänger von der Phishing-Kampagne täuschen lassen. Der Erfolg eines Phishing Angriffs hängt von der Qualität des eMail Inhaltes und dem gewählten Empfängerkreis ab. Hacker können mit im Darkweb erworbenen Adressdatenbanken durchaus gezielte Ansprachen aufsetzen, beispielsweise an Kunden bestimmter Finanzdienstleister oder Nutzer spezieller Freemail-Anbieter. In diesem Fall erhält das potentielle Opfer eine Aufforderung, seine bekannten Zugangsdaten in einem Web Formular zu bestätigen. Mit einer sehr gezielten Ansprache und zugleich gut gefälschten Eingabemasken fällt es ungeübten IT-Nutzern durchaus nicht leicht, einen gefälschten Webserver vom echten Portal der eigenen Hausbank zu unterscheiden.

Für die Kampagne eigens angemietete Domains, ähneln auf dem ersten Blick der vertrauten Landing-Page (amzon.de statt amazon.de) oder enthalten zumindest vertraute Elemente (sparkasse-hannover.servicedienst-2.de). Es ergeben sich also Ansatzpunkte, aus denen sich der Verdacht auf eine Phishing Kampagne ableiten ließe. Diese speziellen Merkmale lassen sich, entsprechende Funktionalität und Lizensierung vorausgesetzt, auch von eMail Gateways (MTA, Mail Transfer Agents) oder Endpoint Security Produkten gezielt filtern und recht zuverlässig erkennen. Übliche Erkennungsmerkmale sind enthaltene Hyperlinks auf verdächtige Domains, die sich mittels Reputations-Bewertungen und einem DNS Lookup ressourcenschonend entdecken lassen. Auch gefälschte eMail Adressen lassen sich aus dem üblichen Werkzeugkasten der MTA mit AntiSPAM Funktionalität in der Regel entdecken. Hier wird deutlich, dass AntiSPAM als Technologiebaustein nicht nur eine Komfortfunktion für den IT-Arbeitsplatz darstellt, sondern vielmehr aufgrund des enorm beliebten Angriffsvektors „eMail“ einen vollwertigen Sicherheitsbaustein der IT-Security bildet. Phishing Angriffe haben in Verbindung mit bereits erfolgreich übernommenen Computern eine neue Qualität erhalten, zu der die üblichen AntiSPAM und Endpoint Security Produkte kaum noch Schutz beitragen können.

Eine erschreckend gute Qualität von Phishing Kampagnen erzeugte beispielsweise die laut Bundesamt für Informationstechnologie (BSI) seinerzeit „weltweit gefährlichste Schadsoftware“ Emotet. Emotet hat die Fähigkeit, aus E-Mail-Programmen neben Kontaktinformationen und -beziehungen auch Nachrichteninhalte auszulesen. Unter Nutzung von künstlicher Intelligenz (KI) erhalten Opfer eMails mit persönlicher und korrekter Anrede, zum Teil als Antwort auf tatsächlich versendete eMails. Damit ergibt sich so gut wie kein Anfangsverdacht, dass an dieser Konservation möglicherweise etwas nicht stimmt. Anhänge mit scheinbar seriösen Office Dokumenten enthalten Makros und infizieren den Rechner beim Öffnen des Dokumentes. Auch der Dateianhang trägt dabei eine valide Bezeichnung, die im eMail Body von einem bekannten Absender im Text referenziert wurde und zunächst über jeden Anfangsverdacht erhaben ist.