Das Mail traf pünktlich und wie erwartet während des Monatsabschlusses ein. Dass der Anhang für einmal eine Word- und keine PDF-Datei war, fiel dem Empfänger in der Eile gar nicht auf – ein Doppelklick, und der Schaden war angerichtet. Glücklicherweise handelte es sich nicht um eine echte Ransomware-Attacke, sondern eine interne Awareness-Kampagne. Der Betroffene? Infortix-CEO Urs Bühler höchstpersönlich. «Das hat mir wieder einmal aufgezeigt, dass niemand vor Fehlern gefeit ist – selbst wenn man sich tagtäglich mit dem Thema IT-Security beschäftigt», sagt Bühler. «Genau deshalb führen wir solche Kampagnen auch durch.»
Der wunde Punkt jedes IT-Systems ist – das wissen auch die hochprofessionell organisierten Cyberkriminellen – der Mensch. Der Grossteil der heutigen Angriffe zielt nicht darauf ab, technische Schwachstellen wie offene Ports einer Firewall zu erkennen und auszunutzen. Sie nutzen geschickt psychologische Reize, um Menschen zu einem falschen Klick zu verführen.
Das Businessmodell Ransomware
«Cyberattacken sind zu einem Business geworden, mit dem sich schnell sehr viel Geld verdienen lässt», so Urs Bühler. Entsprechend können sich die Angreifer Zeit nehmen, sich intensiv mit ihrer Zielgruppe von potenziellen Opfern zu befassen und herauszufinden, auf welche Stimuli sie reagieren – seien es vertrauliche Informationen, Shopping-Schnäppchen oder andere Lockvogelangebote. «Dabei spielen natürlich auch KI-Tools wie Chat GPT eine Rolle», weiss Bühler. «Aus den in holprigem Englisch formulierten Massenmails werden so raffinierte, gezielte und kaum erkennbare Angriffe in perfekter Sprache und Design.»
Fehler sind menschlich, und dass auch das beste technische Abwehrsystem keine 100-prozentige Sicherheit bietet, zeigen in regelmässigen Abständen bekannte Beispiele wie die NZZ, die Universität Neuenburg oder der Nähmaschinenhersteller Bernina. «Das sind alles keine Anfänger und auch die haben die besten Produkte im Einsatz», betont der Infortix-CEO. Das Marktforschungs- und Analyseunternehmen Gartner rechnet damit, dass bis ins Jahr 2025 mindestens 4 von 5 Firmen bereits einmal von einer Ransomware-Attacke betroffen war. «Umso mehr gilt es laufend jedes verfügbare Stellrad so zu justieren, dass man den Schutz so nahe wie möglich an die 100% bringt.»
Aus seiner langjährigen Erfahrung weiss Urs Bühler, wo diese Stellräder zu finden sind: «Teilweise sind das ganz einfache Funktionen, die sogar bereits in der vorhandenen Lösung integriert sind und nur noch aktiviert werden müssten.» Er nimmt uns mit auf den typischen Ablauf eines Cyber- bzw. Ransomware-Angriffs.
Schritt 1: Einbruch
«Wer sich in eine IT-Infrastruktur einschleichen will, schickt im Normalfall erst einmal ein Mail mit einem bösartigen Link oder Anhang», sagt Urs Bühler. Ein Standardtool erkennt, wenn sich dahinter eine Bedrohung verbirgt, und liefert das Mail nicht aus. «Die Angreifer sind aber natürlich clever: Sie schicken das Mail am Freitagabend mit einem unbedenklichen Link ab. Am Sonntagabend, wenn das Mail längst zugestellt wurde, platzieren sie dann die Malware auf der Ziel-URL – und am Montag ist der User zurück im Büro und klickt drauf.» Eine bessere Lösung ersetzt deshalb den Link im Mail mit einem Proxy-Link, der bei jedem Aufruf zuerst die Ziel-URL überprüft. Erstes Learning: Es gilt also, das richtige Tool im Einsatz zu haben.
Eine weitere häufige, aber leicht vermeidbare Fehlerquelle ist das SSL-Zertifikat. Mit SSL verschlüsselte https-Websites können standardmässig von der Firewall nicht analysiert werden. Jede moderne Firewall bietet zwar https-Scanning – nur muss es aktiviert werden. «Vor allem kleinere Unternehmen richten diese Funktion aus Unwissen oder Bequemlichkeit aber schlicht nicht ein», so Bühler. Zweites Learning: Die Funktionen auch nutzen, die das Tool zur Verfügung stellt.
Ist es nicht ein Link, so ist es ein Anhang. Im Idealfall erkennt bereits die Firewall beim Scan, wenn ein angebliches PDF gar keine PDF-Datei ist. Wenn nicht, dann kommt der Endpoint-Schutz in Spiel. «Da erleben wir leider immer wieder, dass die Endpoint-Protection-Lösung nicht auf dem aktuellen Stand ist oder die Patches für das Windows-Betriebssystem nicht eingespielt wurden», erzählt Urs Bühler. Hacker, die wissen, welche Sicherheitslücken sie ausnützen müssen, haben also leichtes Spiel. Drittes Learning: Tools stets aktuell halten und alle Patches sofort installieren.
Schritt 2: Erkundung
Gelingt es einem Angreifer, sich trotz aller Sicherheitsmassnahmen in ein System einzuhacken, so kann er sich in aller Ruhe umschauen. «Die Hacker verschaffen sich ein Bild der Lage, machen eine saubere Inventarisierung und Analyse der IT-Umgebung und versuchen die lukrativsten Ziele zu identifizieren», erklärt Urs Bühler. Das Paradies für jeden Angreifer ist dabei, wenn er sich frei durch alle Systeme und Daten bewegen kann. Dem lässt sich aber ein Riegel vorschieben: «Eine Segmentierung des Netzwerks kann beispielsweise Peripheriegeräte von den PCs und diese wiederum vom Server trennen. Die Ransomware sieht so im Idealfall ein paar Endgeräte und mehr nicht.» Viertes Learning: Eine Netzwerk-Segmentierung ist nicht schwierig, muss aber gemacht werden – und kann dann grossen Schaden verhindern.
Entdeckt die Schadsoftware trotzdem einen Server, versucht sie sich wohl einen Administratoren-Zugriff zu verschaffen. Sie schnappt sich also einen Admin-Account und versucht mit Brute-Force-Methoden dessen Passwort zu knacken. Auch das lässt sich eigentlich leicht verhindern. Fünftes Learning: Die Anzahl möglicher Passworteingaben beschränken – und den Administrator am besten nicht «Administrator» nennen.
Schritt 3: Angriff
«Erkennbar wird eine Schadsoftware oft erst dann, wenn sie zum Angriff übergeht. Sie sucht das Backup und macht es unbrauchbar, ohne dass jemand etwas mitbekommt», erzählt Urs Bühler. Wichtig ist es also, verdächtiges Verhalten schnell identifizieren und entsprechende Massnahmen ergreifen zu können. «Verschiedene Tools wie die Firewall, die Server oder die Endpoint Security machen deshalb laufend Log-Einträge für aussergewöhnliche Vorkommnisse.» Arbeitet aber jedes Tool für sich, so lassen sich suspekte Handlungen nicht miteinander in Verbindung bringen – der Zugriff auf eine unsichere URL und die vielen fehlgeschlagenen Login-Versuche werden isoliert betrachtet.
Wichtig sind deshalb sogenannte Anomalie-Erkennung und SIEM-Lösungen. Sie erkennen untypisches Verhalten und bringen die verschiedenen Logs zusammen, analysieren sie und entdecken Muster und Anomalien. Wird eine Bedrohung erkannt, löst das System automatisch Alarm aus. Sechstes Learning: Am besten arbeiten die vielen verschiedenen Security-Lösungen, wenn sie zusammenarbeiten. Es ist wie beim Menschen: Ein Team bringt bessere Leistungen als Einzelkämpfer.
Handlungsbedarf klären und priorisieren
«Die meisten der genannten Lösungen sind relativ einfach und günstig zu implementieren», weiss Urs Bühler. «Trotzdem habe ich selten einen Kunden, der sagt: Doch, das habe ich alles im Griff.» Oft hat das damit zu tun, dass schlicht nicht bekannt ist, was überhaupt getan werden sollte. Bühlers Team sitzt deshalb in einem ersten Schritt mit dem Kunden zusammen, klärt den Handlungsbedarf ab und priorisiert dann, was mit dem verfügbaren Budget und in der gesetzten Frist umgesetzt werden kann, um den Schutz möglichst nahe an 100% zu bringen. Und das ist meist nicht einmal so aufwändig: «Oft haben die Kunden die Produkte schon im Haus – sie haben sie einfach noch nicht richtig eingesetzt.»
Ergänzend dazu hat die Belsoft Infortix AG ein standardisiertes Cyber-Security Assessment entwickelt, mit dem die IT-Landschaft zu einem günstigen Pauschalpreis analysiert und Schwachstellen identifiziert werden können, bevor Hacker diese finden.
