10. Juni 2021

Cyberkriminalität – das Damoklesschwert über Firmen und Privaten

Grafiken-3-EN-Dobler-Blogbild-rgb

Cyberangriffe // Cybersecurity ist das Wort der Stunde. Es vergeht kein Tag ohne eine Meldung über eine Cyberattacke oder gehackte Accounts in den Zeitungen. Wer steckt dahinter? Und was wollen die Angreifer? Eine Übersicht.

2018 hat der Bund alle Cybersecurity-Gremien in einer neuen Organisation zusammengefasst: das «Nationale Zentrum für Cybersicherheit» NCSC, das auch alt­bekannte Einheiten wie «MELANI» oder «GovCERT» beherbergt. Mit der Schaffung des neuen Kompetenzzentrums un­ter­streicht der Bund die Bedeutung des Themas «Cybersecurity» und wie wichtig es ist, die Kräfte im Kampf gegen Cyberkriminelle zu bündeln.

Meldungseingang 2020/2021 (pro Woche)

Abbildung 1: Anzahl Angriffe pro Woche, Quelle: NCSC.ch


Das NCSC veröffentlich jede Woche die aktuellen Statistiken zu den gemeldeten Cybersecurity-Vorfällen in der Schweiz, durch­schnittlich rund 350 an der Zahl. Das bedeutet aber lediglich, dass mind. 350 Attacken entdeckt und gemeldet werden – die Dunkelziffer dürfte um einiges höher liegen. Das NCSC publiziert auch die Daten zur Art der gemeldeten Angriffe. In der Kalenderwoche 23 des laufenden Jahres bspw. waren ein Grossteil der Attacken Betrugsdelikte und Phishing-Angriffe (siehe Abbildung 2).

Meldungseingang 2021 nach Kategorien, KW 23/2021

Abbildung 2: Angriffe nach Kategorien, Quelle: NCSC.ch


Im neusten Report des Center for Strategic and International Studies (CSIS) zum Thema Cybercrime im Februar 2021 wird die globale Schadenssumme durch Cyberangriffe auf ca. 600 Milliarden US-Dollar pro Jahr geschätzt. Zum Vergleich: Der internationale Drogenhandel setzt schätzungsweise ca. 500 Mrd. pro Jahr um. Noch alarmie-render als die Höhe der Schadenssumme ist aber die Entwicklung von
Cybercrime: In den letzten fünf Jahren hat eine Zunahme um 30 Prozent stattgefunden, und eine Stagnation ist nicht zu erwarten – im Gegenteil.

Einordnung der Attacken und Akteure
Cyberangriffe lassen sich grob in drei Kategorien einteilen und entsprechend können daraus Aufwände und mögliche Opfer abgeleitet werden.

 

1. Advanced Persistent Threats
Hierbei handelt es sich um gezielte Attacken, welche in der Regel mit sehr viel Know-how und Aufwand betrieben werden. In der Regel ist das Ziel der Attacke Informationsextraktion. Die Angriffe sind speziell auf das Zielsystem ausgerichtet und dauern in der Regel mehrere Monate. Die Angreifer besitzen ein grosses technisches Wissen und haben erhebliche Ressourcen zur Verfügung. Geheimdienstaktivitäten und Industriespionage sind die bekanntesten APT-Attacken.

2. Gezielte Angriffe von Cybercrime-Organisationen
Diese Attacken haben häufig einen finanziellen Anreiz. Ziel ist es, durch Betrug oder Erpressung einen Gewinn zu erzielen. Opfer dieser Attacken sind in der Regel kleinere und mittlere Unternehmen. Ransomware ist der häufigste Vertreter dieser Attacken. Dabei versuchen die Angreifer, die kompletten Daten einer Firma zu verschlüsseln, um ein Lösegeld zu erpressen. Nach der Bezahlung des Lösegelds bekommt die Firma in den meisten Fällen das Passwort und kann wieder auf ihre Daten zugreifen. Oft reichen einzelne Schwachstellen aus, um die Randsomware einzuspielen. Eine weitere beliebte Attacke in dieser Kate­gorie ist der «CEO-Betrug», wo der Angreifer versucht, sich per Mail oder Telefon als CEO auszugeben und Zahlungen zu veranlassen.

Unter die Kategorie von gezielten Angriffen von Cybercrime-Organisationen fallen auch die Aktivitäten von Aktivisten. Ihre Ziele sind nicht finanzieller Natur, vielmehr sind diese Attacken ideologisch motiviert. Ziel solcher Angriffe sind meist exponierte Firmen und Organisationen. Den Aktivisten geht es häufig um Aufmerksamkeit und Reichweite und nicht primär darum, Schaden anzurichten. Diese Angriffe werden daher möglichst medienwirksam durchgeführt und inszeniert. Hierzu werden meist bekannte Software-Schwachstellen ausgenutzt oder es wird versucht, an Zugangsdaten von Administratoren zu gelangen.

3. Massenangriffe gegen Privatpersonen
Bei diesen Angriffen werden Privatpersonen mittels Spam-Mails attackiert. Wenn nur Einer von Tausend einen Link anklickt und seine Login-Daten weitergibt, wird ein kleiner Gewinn gemacht. Die Schadenssumme pro Einzelfall ist in der Regel zu klein, als dass sich grössere Ermittlungen lohnen würden. Die Täuschungsmanöver werden immer besser und ausgeklügelter. Früher waren Spam-Mails meist leicht zu erkennen, ob es jetzt die liebesbedürftige Frau oder der verzweifelte Prinz aus Afrika waren. Heute geben sich Angreifer mehr Mühe und geben sich als Bank oder gar Polizei aus – mit entsprechend gut fingierten Mails.

 

Abbildung 3: Vereinfachte Darstellung der Bedrohungspyramide nach SANS.

Was bringt die Zukunft? Sind wir schutzlos?
Im Gegensatz zur Strafverfolgung, die an nationale Gesetze gebunden ist, agieren Cyberkriminelle ohne Grenzen. Die Cyberkriminalität wird zunehmen, viel zu verlockend ist die Aussicht auf Gewinn bei vergleichsweise kleinem Risiko und Aufwand. Ein Angreifer kann Tausende von Versuchen starten, der Verteidiger muss jeden Angriff abwehren. Auf den ersten Blick stehen die Chancen nicht gut. Der Schutz vor Cyberangriffen muss beim schwächsten Glied in der Kette ansetzen, beim Faktor Mensch. Wie viele Personen nutzen einfachste Passwörter oder überall das gleiche Passwort?
ti&m hat sich zum Ziel gesetzt, das Passwort abzuschaffen. Eine sichere Zukunft ohne Passwort ist möglich. Jeder Mensch besitzt nahezu fälschungssichere biometrische Merkmale wie Fingerabdrücke oder Gesicht. Als weitere Alternative ist der «digitale Fussabdruck» zu nennen. Hierbei wird ein Profil für einen Benutzer angelegt basierend auf Verhalten und eingesetzter Geräte und es werden Eigenschaften wie Ort, Zeit, Tippgeschwindigkeit, Gerätetyp, Browser, Spracheinstellungen und viele weitere Faktoren erfasst. Mit ca. 40 solcher Faktoren ist fast jede Person eindeutig identifizierbar. Werden zukünftig Logins über biometrische Merkmale oder digitale Fussabdrücke erledigt, wird Identitätsdiebstahl nahezu unmöglich sein.
Die zweite wichtige Waffe bei der Bekämpfung von Cyberkriminalität ist Wissen.


Solange Firmen nicht wissen, was genau in ihren Systemen passiert, können sie Angreifer nicht entdecken, oder merken es erst, wenn es zu spät ist. Security Information and Event Management (SIEM) heisst das Schlagwort in diesem Zusammenhang. Die Theorie ist einfach: Alle Daten und Logdateien werden durch Algorithmen durchsucht und korreliert, um Anomalien zu erkennen. Dabei kann künstliche Intelligenz und Machine Learning verwendet werden. So können Attacken erkannt werden, bevor sie Schaden anrichten. Die technische Umsetzung ist natürlich nicht so trivial, aber die Vision ist klar und das Ziel verspricht einen guten und nachhaltigen Schutz gegen Cyberattacken. 


Fabian Dobler
Fabian Dobler

Fabian Dobler ist seit acht Jahren bei ti&m und verantwortet den Bereich Security Integration. Ehrenamtlich arbeitet er als Offizier bei der Feuerwehr.

Leunita Saliji
Leunita Saliji

Leunita Saliji leitet als Associate Principal die Bereiche Service Management & Operations und Application Management bei ti&m. Sie ist zudem Dozentin des BSc- und MAS-Studiengangs für Informatik der Fernfachhochschule Schweiz (FFHS).