Warum IT nicht die Antwort auf Cybercrime ist

Rund 1900 IT-Sicherheitsexperten trafen sich diese Woche an der Themse - im Park Plaza Hotel Westminster Bridge in London. Sie folgten dem Ruf von Trend Micro. Unter dessen Schirmherrschaft fand am 5. September die bereits dritte Cloudsec in London statt.

Die zentralen Themen waren das Internet der Dinge, die Cloud und die digitale Transformation. Doch trotz all dem technologischen Fortschritt, sollte man nicht übereilt handeln. Einerseits befreie eine bessere Technologie den Nutzer noch nicht von der grundsätzlichen IT-Hygiene. "Man muss seine Infrastruktur pflegen und darin investieren", sagte Stuart Aston, National Security Officer bei Microsoft UK, während dem eröffnenden Podiumsgespräch.

Ein Blick hinter die Kulissen der Cyberkriminellen

Sein Podiumskollege Ian McCormack stimmte zu. McCormack ist Technical Director Risk beim NCSC, dem National Cyber Security Centre des Vereinigten Königreichs. "Wir sollten uns wieder stärker vom Business als von Technologien leiten lassen", sagte er. So sollten Sicherheitsanforderungen im Unternehmen von den Geschäftsanforderungen getrieben werden – nicht andersrum.

Dieses Konzept, dass man sich nicht immer von der Technologie leiten lassen und dabei den Menschen vergessen sollte, griff auch David Sancho auf. Sancho, Senior Threat Researcher bei Trend Micro, hielt einen Vortrag mit dem Titel "Are West African Cybercriminals on Safari in your Network?".

Die Podiumsteilnehmer (v.l.): Moderatorin Jane Frankland, Ian McCormack (NCSC), Marc Hughes (BT Security), Stuart Aston (Microsoft UK), Martin Borrett (IBM Security) und Mieke Kooij (Trainline). (Source: Netzmedien)

Sanchos Vortrag bot einen Blick hinter die Kulissen einer cyberkriminellen Gruppe. Die Gruppe war wohl Opfer ihrer eigenen Malware geworden. Sicherheitsexperten wie Sancho konnten so alles mitverfolgen, was der Anführer der Bande machte.

Unsere Abwehrmassnahmen sollten nicht immer technischer Natur sein

Die cyberkriminelle Gruppe betrüge Unternehmen mittels Social Engineering. Das heisst, sie gaukeln Firmen vor, sie seien potenzielle Kunden oder Partner. Der Kontakt läuft primär per Mail – auf diese Weise schleusen sie auch ihre Malware auf den Rechnern ihrer Opfer ein.

"Ihre Ziele und Angriffspunkte sind nicht technischer Natur", brachte Sancho seinen Vortrag auf den Punkt. "Unsere Abwehrmassnahmen sollten es also auch nicht sein." Eine teurere und bessere IT löst dieses Problem nicht. Nur Training und IT-Hygiene helfen hier.

David Sancho, Senior Threat Researcher bei Trend Micro. (Source: Netzmedien)

In seiner Präsentation zeigte Sancho einige Screenshots, die angeblich direkt von der Maschine der Cyberkriminellen stammten. Auf einer der Screenshots war seine Telefonnummer zu sehen, über diese fanden die Sicherheitsexperten schliesslich sein Facebook-Profil und somit auch seinen realen Namen heraus.

Je schneller sich die Technologie entwickelt, desto schneller werden einzelne Technologien obsolet

Wie sich herausstellte, ist der Anführer der Bande gemäss Sancho ein lokaler Filmproduzent. Das Kapital für die Produktionen stamme wohl von seinen cyberkriminellen Aktivitäten.

Der rasante technologische Wandel führt auch zu problematischen Altlasten. "Je schneller sich die Technologie entwickelt, desto schneller werden einzelne Technologien obsolet", sagte Rik Ferguson, Vice President Security Research bei Trend Micro. Derartige Technologien werden vergessen und vernachlässigt, sagte Ferguson. Früher war es nicht dramatisch, wenn ein Schlosser Konkurs geht. Der Schlüssel funktionierte weiterhin.

Rik Ferguson, Vice President Security Research bei Trend Micro. (Source: Netzmedien)

Aber was geschieht, wenn etwa ein Anbieter von smarten Vorhängeschlössern den Betrieb einstellt? Wer garantiert dann, dass die App weiterhin funktioniert und dass die Nutzer auch weiterhin ihre Schlösser öffnen können?

They make things, not smart things

Zu den Rednern am Cloudsec 2017 gehörte auch Ken Munro, Partner und Gründer von Pen Test Partners. Ein Unternehmen, das nichts lieber macht als Elektrogeräte auseinanderschrauben, bis sie alle Schwachstellen gefunden haben.

In seinem Vortrag kritisierte er die Hersteller von vernetzten IoT-Geräten. Derartige Produkte würden derzeit massenweise und überstürzt produziert – ohne Bedenken wegen der Security. Von Unternehmen, die bisher unvernetzte Geräte produziert haben – ohne viel Erfahrung im Bereich IT. "They make things, not smart things", sagte Munro.

Dabei seien die potenziellen Fehlerquellen zahlreich: die Mobile App, die Schnittstellen (APIs), die Web-App, die WLAN-Funktionalität, die Firmware, die Ports. Ein Fehler in auch nur einem dieser Bereiche könnte dazu führen, dass Kriminelle das Gerät hacken könnten.

Erstschlag per Thermometer

Die Konsequenzen sind verheerend. In seiner Präsentation zeigte Munro, wie leicht sich etwa intelligente Temperaturregler für Smarthomes knacken lassen. Täte dies wer mit bösen Absichten, könnte er die Geräte in kurzer Abfolge ein- und wieder abschalten. Mit einer genügend grossen Menge an Geräten, könnte er so das Energienetz lahmlegen.

"Wenn man eine westliche Industrienation angreifen will, wäre das ein effizienter und einfacher Erstschlag", sagte Munro.

Ken Munro von Pen Test Partners lobt Sphero für die rasche Reaktion. (Source: Netzmedien)

Es gebe aber auch Gutes zu berichten. Generell würden Hersteller sehr rasch reagieren, wenn er oder seine Kollegen die Firmen auf Schwachstellen hinweisen. In seiner Rede nannte er etwa Sphero als Beispiel. Die US-amerikanische Firma stellt kleine Star-Wars-Droiden her, die sich per Smartphone steuern lassen. Nachdem Munro das Unternehmen auf eine Sicherheitslücke hinwies, hatte Sphero diese innert zwei Wochen behoben.