Gastbeitrag: Cyber Crime – eine reale Bedrohung für klassische Geschäftsmodelle (Thomas Stubbings)

27. Februar 2015. Sergey (Name geändert, Anm.), Händler einer großen russischen Bank kommt aus der Mittagspause zurück. Als er seinen Bildschirm mit dem Handelssystem aufdreht, traut er seinen Augen nicht. Auf seinem Handelsaccount wurden in der letzten Viertelstunde Devisengeschäfte in der Größenordnung mehrerer Hundert Millionen Dollar durchgeführt – während er Mittagessen war! Als Sergey den Verlauf dieser Geschäfte genauer prüft wird er schlagartig blass und ruft sofort seinen Vorgesetzten an: durch die massiven Verkäufe und Käufe innerhalb kürzester Zeit war eine Rubel-Dollar-Volatilität in einer Bandbreite von 55 bis 66 entstanden, das ist das Zehnfache des Normalen – und das auf Kosten seiner Bank. Gesamtschaden: über 5 Millionen US-Dollar.

Bei genauer forensischer Untersuchung des Vorfalls stellt sich heraus, dass das System des Händlers mit einem neuartigen Trojaner befallen war, dem Corkow-Trojaner russischer Herkunft, der genau für diesen Angriff entwickelt worden war. Es stellt sich weiters heraus, dass die Infektion bereits fünf Monate früher stattgefunden hatte und seit über zwei Monaten eine intensive Überwachung jeglicher Tätigkeit des Händlers auf seinem PC stattgefunden hatte. Jede Mausbewegung, jeder Tastenanschlag war mitgeloggt und an die Cyber Angreifer übermittelt worden. Diese hatten sich dabei komplett ruhig verhalten, da sie keinesfalls auffallen oder entdeckt werden wollten.

Um die Sicherheitsvorkehrungen der Bank zu umgehen, wurde der Trojaner in dieser Zeit ständig aktualisiert und verändert, um nicht von Anti-Viren Programmen entdeckt zu werden. Dies war so erfolgreich, dass niemand etwas von der Infektion merkte. Am 27.2. schlugen die Täter dann schließlich zu: Punkt 12:30 Uhr, während der Mittagspause des Händlers übernahmen sie mit dem Fernzugriffsmodul des Trojaners die Steuerung des Handelssystems, das ihnen die vollständige Kontrolle ermöglichte. Sie konnten nach Belieben Kaufen, Verkaufen, ja sogar Limits des Händlers erhöhen. So war es ihnen möglich, in nur 14 Minuten Kauforders in der Höhe von 437 Mio. US-Dollar und Verkauforders in der Höhe von 97 Mio. US-Dollar zu platzieren. Von den Kauforders wurde zwar nur etwa ein Drittel tatsächlich ausgeführt, vermutlich aufgrund der begrenzten Zeit, aber dennoch reichte dies für einen Millionenschaden für die Bank. Es wird vermutet, dass die Täter bei einer anderen Bank gegenläufig spekuliert haben und somit einen Teil des Verlustes der Bank als Gewinn für sich verbuchen konnten.

Der zielgerichtete Angriff auf ein Handelssystem war tatsächlich ein Novum im Jahr 2015. Die gezielte Attacke auf IT-Kernsysteme ist hingegen schon länger traurige Realität. Im Jahr 2013 haben Mitglieder der russischen Carperb-Gruppe eine neuartige Malware namens Carbanak in Umlauf gebracht, mit welcher mehr als 50 russische Banken und fünf Zahlungsverkehrssysteme angegriffen wurden, was insgesamt zu einem Schaden in Höhe von einer Milliarde US-Dollar geführt hat und für zwei Banken den Verlust ihrer Banklizenz zur Folge hatte.

Dies war der erste Fall, bei dem ein Cyberangriff zu einem vollständigen Verlust der Geschäftsbasis einer Bank geführt hat. Die Vorgehensweise ist dabei immer dieselbe: Der Angriff beginnt mit gezieltem Inverkehrbringen der Schadsoftware durch sogenanntes "Spear-Phishing", dabei werden E-Mails mit interessant klingenden Anhängen wie "Planung2015.xls" oder "Gehaltsliste.xls" an ausgewählte MitarbeiterInnen geschickt. Nach einer Studie von Verizon öffnen 23% der MitarbeiterInnen Phishing E-Mails und 11% klicken auf Anhänge; die Schadsoftware findet somit fast immer ihren Weg ins Unternehmen. Sobald der Schadcode die Unternehmensgrenze überwunden und sich auf einem PC festgesetzt hat, sucht er nach einem privilegierten User, üblicherweise einen PC-Administrator, und versucht dessen Passwort zu knacken. Nachdem dies geschafft ist, identifiziert der Angreifer einen Server, auf den der privilegierte User Zugriff hat. Auf diesem Server versucht der Angreifer nun das Passwort des Domänenadministrators zu überwinden; damit hat er Kontrolle über die gesamte Domäne. Nun werden noch E-Mail und Workflow-Server übernommen sowie Workstations, die Zugriff auf das Kernbank- und Zahlungsverkehrssystem haben.

Auf diesen werden dann Überwachungstools installiert, Keyboard-Logger sowie Kameraüberwachung. Die BenutzerInnen werden dann über die nächsten Wochen und Monate regelrecht ausspioniert, die Tätigkeiten und Gewohnheiten werden studiert und protokolliert, Prozesse und Freigabemechanismen werden analysiert. Zuletzt werden Fernzugriffsmodule installiert, mit denen der Angreifer Zugriff auf die Steuerung der Banksoftware erhält und über die er zu gegebener Zeit in einer konzertierten Aktion zuschlägt. Dabei werden verschiedene Betrugsmethoden angewendet: von der Manipulation von Zahlungsverkehrsströmen, Veränderung von Kontobilanzen bis hin zur Fernsteuerung von Bankomaten, die auf Knopfdruck Geld ausgeben, reicht dabei das Portfolio der Angreifer. Das Ganze dauert meist nur wenige Minuten oder Stunden, danach wird der Code per Fernsteuerung wieder gelöscht, um alle Spuren zu verwischen.

Auch wenn Banken oft Ziel von Cybercrime Angriffen sind, so sind es keineswegs nur Finanzdienstleister, die im Fokus der Cyberkriminellen stehen. Ganz im Gegenteil: Cyber Angreifer haben keine besonderen "Präferenzen" bei ihren Opfern, sondern sie schlagen dort zu, wo sie Beute vermuten. Und das sind in zunehmendem Ausmaß auch mittlere und kleinere Unternehmen aller Branchen. Nach dem Symantec Internet Security Report 2015 richten sich ein Drittel aller Angriffe bereits gegen Unternehmen bis 250 MitarbeiterInnen und damit dem klassischen KMU.

Abbildung 12: Distribution of Spear-Phishing Attacks by Organization Size (Quelle: Symantec)

Die Tendenz ist weiter steigend, was nicht verwundert, haben doch gerade KMUs oft nur unzureichende Sicherheitsstrategien entwickelt. Sie sind im Vergleich zu Banken sicherheitstechnisch deutlich schlechter aufgestellt und somit leichte Beute. Ein gutes Beispiel hierfür sind sogenannte "digitale Erpressungsversuche", welche im letzten Jahr um mehrere hundert Prozent zugenommen haben. Dazu gibt es verschiedene Vorgehensmuster: eines bedient sich Distributed Denial of Service Attacken (DDoS), bei welchen von weltweit verteilten Systemen, oft mehrere zehntausend, Datenpakete an das Opfer geschickt werden, bis dessen Rechner hoffnungslos überfordert sind und nicht mehr reagieren.

Der Cyber Angreifer startet nun einen solchen DDoS Angriff gegen ein Opfer, um zu demonstrieren wozu er in der Lage ist. Danach bietet er dem Opfer an - ganz im Stil der klassischen Schutzgelderpressung - von weiteren Angriffen gegen die Zahlung einer gewissen Summe Abstand zu nehmen. Die Summe ist meistens in einem Bereich, der für KMU noch verkraftbar ist, wohingegen professionelle DDoS Abwehrmaßnahmen oft das Zehnfache davon kosten, was dazu führt, dass manche KMU der Zahlungsaufforderung Folge leisten.

Ein zweites Vorgehensmuster ist noch perfider und beruht auf einer sogenannten Cryptolocker-Attacke. Dabei sorgt eine über E-Mails eingebrachte Schadsoftware dafür, dass sämtliche Daten im Netzwerk mit starker Kryptographie verschlüsselt werden. Der Cyber Angreifer bietet dem Opfer nunmehr an, für die Zahlung einer bestimmten Summe den Schlüssel bekannt zu geben, mit dem das Opfer wieder an seine Daten kommt. Für viele Betroffene stellt dies ein existenzielles Problem dar, besonders wenn sie nicht mit einer geeigneten Backup Strategie vorgesorgt haben. In diesen Fällen wird oft bezahlt, in der Praxis erhält das Opfer aber in einer Vielzahl der Fälle den Schlüssel dennoch nicht. Es hat bereits Fälle gegeben, wo Firmen aufgrund von Cyber Angriffen ihrer Geschäftsgrundlage beraubt wurden.

Abbildung 13: Crypto-Ransomware, 2013-2014 (Quelle: Symantec)

Das Fazit aus diesen Entwicklungen ist einfach

Kein Unternehmen, egal wie groß oder klein, egal in welcher Branche, kommt heute noch um das Thema Cyber Sicherheit herum. Jedes Unternehmen ist gut beraten, sich zeitgerecht mit dem Thema zu beschäftigen und eine für seine Größe und sein Geschäftsmodell ausgerichtete Cyber Sicherheits Strategie zu erstellen, um sich auf Angriffe vorzubereiten. Nur so können die Auswirkungen solcher Angriffe so gering wie möglich gehalten werden. Eine geeignete Strategie muss nicht immer kostspielig sein, oft sind es kleine Anpassungen, die schon weiterhelfen. Wichtig ist jedenfalls die Auseinandersetzung mit dem Thema auf Geschäftsführungsebene.

Cyber Sicherheit ist dabei keineswegs ein Thema nur für IT-Abteilungen. Es geht um das Geschäftsmodell und die Existenz des ganzen Unternehmens – und damit muss es Chefsache sein. Die Bedeutung des Themas hat inzwischen auch der Gesetzgeber erkannt. Im Jahr 2013 wurde von der EU-Kommission im Rahmen ihrer "Digital Single Market Strategy" und auf Basis der Cyber Security Strategie der EU die Entwicklung der sogenannten NIS Directive beauftragt, welche ein Regelwerk zur Herstellung eines "hohen Niveaus von Netzwerk- und Informationssicherheit" in Europa darstellt. Diese NIS Directive ist gerade in Fertigstellung, ihr formaler Beschluss durch den EU-Ministerrat wird für Mai 2016 erwartet. Spätestens zwei Jahre später ist diese Direktive in nationales Recht umzusetzen.

Das bereits im Juli 2015 in Kraft getretene deutsche IT-Sicherheitsgesetz zeigt, wohin es gehen wird: verpflichtende Mindeststandards, umfassende Prüfrechte durch zu schaffende NIS-Behörden sowie eine Meldepflicht für schwerwiegende IT-Sicherheitsvorfälle. Spätestens 2018 wird es somit auch in Österreich ein entsprechendes IT-Sicherheitsgesetz geben und Unternehmen werden sich mit diesen Herausforderungen befassen müssen. Es ist jedoch empfehlenswert, mit dem Handeln bezüglich Cyber Sicherheit nicht erst auf das Gesetz zu warten, sondern bereits jetzt tätig zu werden. Denn die Angreifer sind schon jetzt höchst aktiv und werden mit Sicherheit nicht bis 2018 warten.

Gastbeitrag von: Dr. Thomas C. Stubbings

Dr. Thomas C. Stubbings ist selbstständiger Unternehmensberater und berät unter anderem die Raiffeisenbank International Gruppe zum Thema Cyber Sicherheit. Des Weiteren ist er Vorsitzender der Cyber Security Plattform der österreichischen Bundesregierung und in zahlreichen nationalen und internationalen Gremien vertreten.





<< Vorige Nächste >>