deen
Nexia Ebner Stolz

IT-Sicherheit - geht mich nichts an?!

„Bisher ist noch nie was passiert“, „Wir sind zu klein, als dass man sich für uns interessieren könnte“. Zwei von vielen üblichen Sätzen, die seit Jahren in vielen Abteilungen sowie Vor-standsetagen fallen, wenn es um Cyber-Attacken geht. Doch die Realität ist mittlerweile eine andere.

Und nicht nur große, son­dern auch kleine und mitt­lere Unter­neh­men (KMU) sind regel­mä­ßig Ziel von digi­ta­len Angrif­fen, teil­weise mit Fron­ta­l­at­ta­cke (DDoS, Ran­som­ware, etc.) und teil­weise ver­deckt (Busi­ness Pro­cess Com­pro­mise, Advan­ced Per­sis­tent Threats – „APTs“, etc.). Dies bele­gen zahl­rei­che Exper­ten, bei­spiel­haft seien fol­gende Zitate genannt:

IT-Sicherheit - geht mich nichts an?!© Thinkstock
  • My mes­sage for com­pa­nies that think they haven’t been atta­cked is: “You’re not loo­king hard enough”. – James Snook, Deputy Direc­tor of the Office for Cyber Secu­rity and Infor­ma­tion Assurance (OCSIA) Uni­ted King­dom
  • “Smal­ler busi­nes­ses are fre­qu­ent tar­gets for cyber­cri­mes for a simple rea­son - they're easy tar­gets.” – ent­re­p­re­neur.com

Ans­tieg der Gefah­ren­lage durch das Dar­k­net

Kon­k­ret hat sich die Gefah­ren­lage dra­ma­tisch ver­schärft, hat sich doch seit nun­mehr eini­gen Jah­ren regel­recht eine eigene Dienst­leis­tungs­bran­che im Dar­k­net für Cyber-Atta­cken ent­wi­ckelt, die wie folgt struk­tu­riert wer­den kann:

  • Hacking as a Ser­vice (HaaS)
  • Crime as a Ser­vice (CaaS)

Die Dienst­leis­tun­gen ori­en­tie­ren sich dabei nicht nur am Namen an den bekann­ten Geschäfts­mo­del­len von SAP, Micro­soft oder Ama­zon (Soft­ware, Infra­struc­ture oder Platt­form as a Ser­vice; SaaS, IaaS oder PaaS).

Beide Dienst­leis­tun­gen, HaaS und CaaS, ver­ei­nen ein imp­li­zi­tes Ziel: Ille­gale Hand­lun­gen ver­ein­fa­chen und über das Dar­k­net brei­ter ver­füg­bar zu machen. Bei dem Dar­k­net han­delt es sich um einen Bereich im Inter­net, der anonym u. a. für sol­che kri­mi­nel­len „Hid­den Ser­vices“ genutzt wird.

Die kri­mi­nel­len Dienst­leis­tun­gen rei­chen von ver­teil­ten Denial-of-Ser­vice-Atta­cken („DDos“) bis hin zum geziel­ten Aus­le­sen oder Zer­stö­ren von Infor­ma­tio­nen auf bestimm­ten Unter­neh­mens­ser­vern. 

Zuneh­mend belieb­ter wer­den ein­zelne Sub­zweige, die sich bei­spiels­weise in der HaaS-Bran­che her­aus­bil­den, so gibt es ver­mehrt Ange­bote aus dem Bereich „Ran­som­ware as a Ser­vice“. 

Nach Regi­s­trie­rung einer kos­ten­lo­sen API kön­nen sich kri­mi­nelle Hacker den Quell­code für die Ran­som­ware gleich her­un­ter­la­den, diese kom­pi­lie­ren und müs­sen diese dann nur noch ver­tei­len. Um den Zah­lungs­ver­kehr küm­mert sich der Ser­vice­an­bie­ter, wel­cher 30 % der erpress­ten Löse­geld-Kryp­to­geld­ein­hei­ten als Ser­vice­ge­bühr ein­be­hält und 70 % an den eige­nen Acco­unt wei­ter­lei­tet. 

Erschwe­rend kommt hinzu, dass auch die früher in einem Quasi-Mono­pol tätig gewe­se­nen Unter­grund-Orga­ni­sa­tio­nen das Monats-Abon­ne­ment als Geschäfts­mo­dell für sich ent­deckt haben. Die Unter­grund-Akti­vis­ten, wel­che den Eter­nal­Blue-Exp­loit zu Wan­nacry (Ran­som­ware) aus dem Bestand der NSA ent­wen­det haben, bie­ten mitt­ler­weile ähn­lich mäch­tige Skripte und Teile von bewähr­ter Mal­ware in einem monat­li­chen Abon­ne­ment an. Inter­es­sierte zah­len hierzu in Kryp­to­wäh­rung einen hohen sechs­s­tel­li­gen Betrag; erhal­ten im Gegen­zug jedoch Zugriff auf umfang­rei­che und noch unbe­kannte Lücken in weit ver­b­rei­te­ten Sys­te­men. Die übli­che Anti-Viren-Soft­ware ist hier­ge­gen macht­los.

Die fort­sch­rei­tende Pro­fes­sio­na­li­sie­rung und Ver­grö­ße­rung der Grund­ge­samt­heit an kri­mi­nel­len Anbie­tern führt zuneh­mend zu einem kom­for­ta­b­len Käu­fer­markt. Die Struk­tu­ren sind denen bei gro­ßen Anbie­tern wie Ama­zon inzwi­schen ähn­lich; auch im Dar­k­net sind Platt­for­men vor­han­den, die mit Kun­den­be­wer­tun­gen, Geld-zurück-Garan­tien, Money Escrow (Treu­hän­der) oder Kun­den­fo­ren um die Käu­fer feil­schen.

Neu­er­dings gip­felt diese Ent­wick­lung in der Mög­lich­keit, sich gegen mög­li­che Betrü­ger abzu­si­chern. Hierzu gibt es soge­nannte „Scam­mer-Ver­si­che­run­gen“ (z. B. „Tor­Su­re“). Eben diese sor­gen dafür, dass der anonyme Käu­fer gegen einen eben­falls anony­men Betrü­ger (engl. scam­mer) abge­si­chert ist und im Betrugs­fall sei­nen Kauf­preis zurü­cker­stat­tet bekommt. Die monat­li­che Rate hier­für beträgt 30 USD.

Es zeigt sich, dass sich Unter­neh­men aller Grö­ßen damit beschäf­ti­gen müs­sen, wel­cher Bedro­hungs­lage sie aus­ge­setzt sind. Die­sem Thema sollte man sich risi­ko­o­ri­en­tiert annäh­ern. Tra­gi­scher­weise kann mit der Frage gesch­los­sen wer­den:

„Who needs a gun when you can have a key­board?
 


nach oben