Malware-Industrie: Strategien gegen die Übermacht

Die bisherigen IT-Sicherheitsstrategien sind den aktuellen Bedrohungen nicht mehr gewachsen. Schadprogramme wie Ransomware, ihre hochindustrialisierte Produktion und ihr zielgerichteter Einsatz gehören zu den größten Gefahren für die innere Sicherheit. Welche Strategien helfen?

Bundes- und Landessicherheitsbehörden beurteilen die Lage in puncto Cybercrime als alarmierend. Das zeigte die Public IT-Security-Konferenz in Berlin im September dieses Jahres.

Cyberbedrohung: ein Lagebild

Nach Einschätzung von Arne Schönbohm, dem Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI), werde die Gefahr noch immer nicht ernst genommen. Dass „IT-Sicherheit bisher nicht immer Chefsache war“, so Schönbohm, zeige die rasche Verbreitung der Schadsoftware-Varianten WannaCry und Petya/NotPetya. Dabei sei die Spirale der Verwundbarkeit noch lange nicht am Ende. „Denn wir werden erst noch richtig digitalisiert werden“, mahnte Schönbohm mit Hinblick auf das Internet der Dinge.

Aber schon heute ist die Lage dramatisch: Jedes dritte Unternehmen war bereits von Ransomware betroffen, hatte Schönbohm bereits an anderer Stelle verlauten lassen. Gezielte Cyberspionage wird im Durchschnitt erst nach 243 Tagen entdeckt, und jede Woche wird auch ein gezielter Angriff eines ausländischen Nachrichtendiensts registriert. Zu den rund 600 Millionen Schadprogrammvarianten kämen täglich etwa 390.000 hinzu.

Cybercrime ist ein hochindustrialisiertes Geschäft

Heiko Löhr, Referatsleiter Cyberkriminalität im Bundeskriminalamt, kennt den kriminellen Markt bestens und weiß: Ransomware ist mittlerweile ein hochindustrialisiertes Geschäft. Viele Varianten, die international auftreten, gehen oft auf die gleichen Täter zurück. „Seit Jahren versuchen die Tätergruppen, die gesamte Wertschöpfungskette rund um das Thema abzudecken“ so Löhr. „Eine Spielart ihres Geschäftsmodells: Ransomware as a Service. Jeder kann im Netz einen Ransomware-Service buchen und entsprechend einsetzen.“ Aber nicht nur Erpressungssoftware wird auf Nachfrage für den digitalen Jedermann produziert. Hackerleistungen aller Art sind käuflich. Eine gehackte Kreditkarte sei derzeit für etwa 5 Euro zu haben, ab 100.000 Karten liege der Preis je Karte 4 Euro niedriger, so Sven Rutsch, Principal Systems Engineer bei Fortinet.

„Jeder kann im Netz einen Ransomware-Service buchen und entsprechend einsetzen.“

– Heiko Löhr, Referatsleiter Cyberkriminalität, Bundeskriminalamt

Politik, Wirtschaft, Wissenschaft: Es geht nur gemeinsam

Die Polizei, sagt Löhr, könne diesen Feind nicht allein bekämpfen. Essenziell sei die Kooperation mit Wissenschaft und IT-Sicherheitsindustrie. Alexander Maaß aus der Abteilung Cybersicherheit in der Berliner Senatsverwaltung rückte die Zusammenarbeit zwischen Bund und Ländern in den Vordergrund. Diese sei schließlich auch explizit Teil der Cyber-Sicherheitsstrategie für Deutschland. Das Land Berlin zum Beispiel sei mit seinem CERT neben dem allgemeinen CERT-Verbund Teil einer Kooperation mit Mecklenburg und Brandenburg.

Soweit die Stimmen aus Politik und Exekutive. Doch auch Vertreter der IT-Sicherheitsindustrie sprachen sich in Berlin für die Zusammenarbeit untereinander aus – und das bedeutet immerhin, der Konkurrenz die Hand zu reichen. Einen besonders eindringlichen Appell formulierte Ingo Rosenbaum, Leiter Public Sector bei Sophos: Ransomware beispielsweise sei heute nicht mehr nur einer Cyber-Waffe, sondern ein komplexes Cyber-Waffensystem. Dem könne man auf Endpoint-Ebene nur begegnen, wenn alle Komponenten zusammenspielten. Dazu aber müsse eine permanente Kommunikation zwischen ihnen stattfinden. Genau dazu seien die Hersteller bisher aber noch nicht bereit: „Eine McAffee-Endpoint-Lösung redet nicht mit einer Checkpoint-Firewall, eine Sophos UTM redet nicht mit einer Symantec-Endpoint-Lösung. Das ist unbegreiflich. Wir müssen aus unserem Herstellersandkasten herauskommen.“ Ingo Straßburger, Major Account Manager Government bei Check Point, forderte eine gemeinsame Threat Intelligence Cloud, an der sich etwa Hersteller, BSI, Landesorganisationen und kommunale Rechenzentren beteiligen könnten. Sensoren in Firewalls, mobilen Endgeräten oder an Arbeitsplätzen könnten Informationen über Bedrohungen sammeln und allen Teilnehmern zur Verfügung stellen.

„Wir müssen aus unserem Herstellersandkasten herauskommen.“

– Ingo Rosenbaum, Leiter Public Sector, Sophos Technology GmbH

Nicht alles, aber das Richtige

Im Angesicht der Breite der Bedrohung scheint gutes Risikomanagement ein weiterer wichtiger Punkt im Kampf gegen Cybercrime zu sein. Nicht von ungefähr überarbeitet das BSI seine Standards in puncto Risikobewertung auf der Basis des IT-Grundschutzes. IT-Sicherheitsexperten, wie Andreas Köhler vom Hersteller Bromium, betonen, dass es wahrscheinlich nicht für jeden möglich sei, sich vollständig vor allen Risiken zu schützen. Stattdessen müsse man sehen, welcher Schutz den maximalen Nutzen bei vertretbarem Aufwand bringe. Gleicher Meinung ist Sven Rutsch von Fortinet. Banken beispielsweise wissen, dass Internetbanking nicht besonders sicher sei. Das funktioniere bisher schlicht über eine Website mit Passwort, und tatsächlich läge der Schaden durch Betrug bei jährlich mehreren zehn Millionen Euro. Die Kosten jedoch für die Einführung eines etwa biometrisch geschützten Anmeldeverfahrens lägen weitaus höher.

Wir werden uns daran gewöhnen müssen, dass auch im Cyberraum Kriminelle überall dort sind, wo es Geld zu verdienen gibt. Nun kommt es darauf an, sich dafür zu sensibilisieren, die kritischen Stellen zu identifizieren und dann mit allen Stakeholdern gemeinsam an ihrem Schutz zu arbeiten.

Fotos: © Joszef Bagota/Shutterstock

Alle Kommentare (0)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*