Vorschau aktuelle Ausgabe

 

 

„Wir stehen erst am Beginn der Cybercrime-Ära“

Die CloudSec-Konferenz ist der jährliche Branchentreffpunkt der Cybercrime-Sicherheitsexperten im Cloud-Umfeld. Nach Singapur und Melbourne fand der europäische Ableger der Konferenz heuer in London statt. GEWINN war exklusiv für Österreich eingeladen.

Die CloudSec-Konferenz (hier das Abschlusspanel) ist der jährliche Branchentreffpunkt der Cybercrime-Sicherheitsexperten im Cloud-Umfeld (Foto: Trendmicro/Juliet Lemon)

Old Billingsgate – bis 1982 ein Fischmarkt nahe des berühmten Towers von London. Heute ist das an der Themse gelegene markante Gebäude, das mit seinen ehemaligen Lagerräumen bis tief unter das Flussniveau reicht, ein angesagter Tagungsort und mit einem blauen Himmel voller Sonne – völlig untypisch für London – war auch ein Pausenkaffee draußen am Themse-Ufer möglich.

Der war auch nötig, wenn man einen Tag lang in Vorträgen, Break-out-Sessions und vielen Vier-Augen-Gesprächen verfolgt, welche Bedrohungsszenarien schon traurige Realität sind und welche noch in den digitalen Tiefen der im Boden verlegten Glasfaserkabel schlummern. Denn mit dem weltweiten Boom der (privaten, öffentlichen oder hybriden) Cloud-Lösungen nehmen die Sicherheitsbedrohungen für Daten und Nutzer zu. Nicht umsonst lautete das Motto der Veranstaltung „die Anforderungen an die nächste Dekade der Cybersecurity“.

Wien: zu wenig Cybercrime-Mitarbeiter, aber globales UNODC-Headquarter

Eine der größten Infrastrukturüberraschungen des Tages war der Vortrag des UNODC-Vertreters: Mir war bis dato nicht bewusst, dass ausgerechnet der Standort Wien in der UNO-Organisation für die globalen Maßnahmen gegen Cybercrime zuständig ist. Die UNODC ist für die weltweite Koordination von Maßnahmen und die Unterstützung von Regierungen zuständig, um Hotspots und Nester von Cybercrime zu identifizieren und Unterstützung bei der Beseitigung zu geben. Anders als beim klassischen Verbrechen, wo der Täter vor Ort sein muss, ist es das Wesen von Cybercrime, dass es egal ist, wo der Täter sitzt – eine fette Datenleitung genügt. Somit soll Staaten Unterstützung gewährt werden, um die gesetzlichen Rahmenbedingungen gegen Cybercrime zu schaffen. Organisatorische und fachliche Unterstützung gibt es, um Polizei- und Justizeinheiten aufzubauen, denn es hilft nichts, wenn die österreichischen Behörden bestens ausgebildet sind und der Angriff von Cybercrime-Verbrechern aus einem Entwicklungsland kommt oder einem Land, in dem die Behörden nicht so genau hinschauen können.

Für die Kongressteilnehmer wie beispielsweise Ian Heritage ist die Nutzung der Cloud nicht eine Frage, ob sie für Klein- und Mittelunternehmen (KMU) attraktiv ist, sondern nur noch, wann auch die letzten Zweifler überzeugt sind. Als Hybrid Cloud Solution Engineer setzt er beruflich auf das Zusammenspiel von privater und öffentlicher Cloud, die sich für größere Unternehmen rechnen. Ob der berufliche Einzelkämpfer oder das KMU Ressourcen für den Betrieb der IT aufwenden sollte, bezweifelt Heritage.  Ein Vorteil sei doch, dass in der Cloud die Verantwortung für die Daten und deren Sicherheit – je nach Ausgestaltung des Vertrags – heute typischerweise geteilt und damit dem Kunden ein Teil der Verantwortung abgenommen werde. Und wichtig sei auch, nur jene Daten zu sammeln und zu verarbeiten, die man wirklich braucht. (Kunden-)Daten, die man nicht braucht und die man nicht verarbeitet, können nicht gestohlen oder für einen Cyberangriff genutzt werden. Ob diese Einsicht alle heutigen Internet-Datenkraken so teilen?

Trends 2020

Unisono sind sich alle Experten im Klaren, dass wir alle erst am Beginn der Cybercrime-Ära stehen. Robert McArdle, Director of forward-looking Threat Research, befürchtet besonders den Umstand, dass viele Unternehmen entgegen dem Rat von Experten das Lösegeld für erpresste Daten zahlen, wodurch Angreifer motiviert werden, monatelang im Netzwerk zu analysieren, um ein exaktes Zielprofil des Unternehmens zu erstellen. Wenn sie dann zuschlagen, optimieren die Hacker das Lösegeld so, dass der erpresste Betrag geringer ist, als wenn Sicherheitsexperten hinzugezogen werden, um das Problem zu beheben. Tja, eben Verbrecher die eine Grenzkostenberechnung zu schätzen wissen.

Mit dem breiter werdenden Einsatz von Hightech wie Künstlicher Intelligenz (KI) und Deep-Fakes werden Angriffe als sogenannte Deep-Fake-Ransomware-Attacken durchgeführt. Dabei werden sowohl Bilder als auch Videos und Stimmen verändert. Bekanntestes Opfer einer solchen Attacke war die demokratische US-Präsidentschaftskandidatin Nancy Pelosi, bei der in einem Video ihre Stimme verlangsamt wurde, was so gewirkt hat, als sei sie betrunken oder senil – im aktuellen Vorwahlkampf ein Desaster.

CEO Fraud Version 2

Obwohl schon zahlreiche Fälle von CEO-Fraud, also das Vortäuschen der Identität von Vorständen oder Geschäftsführern, in die Öffentlichkeit gelangt sind, wird das Erkennen durch Deep-Fakes noch schwieriger. Denn wenn die Künstliche Intelligenz die Stimme des Chefs am Telefon täuschend ähnlich nachahmt oder in einem Videocall das Gesicht des Chefs, der Chefin auf eine dritte Person mutiert, wird wohl kaum ein Mitarbeiter fragen: „Chef bist du es wirklich?“ TOP-GEWINN berichtete erst unlängst in der September-Ausgabe (Seite 42) von einem Schadensfall, bei dem unter Einsatz von KI-Software mit Sprachausgabe 220.000 Euro innerhalb von ein paar Minuten den Besitzer wechselten – kein schlechter Stundensatz.

Unternehmen und Unternehmer, die eine ausgeprägte Darstellung im Internet pflegen, werden zukünftig vermehrt Ziel von Angriffen mit KI-Unterstützung. Technologie kann alle diese kleinen Schnitzel im Netz analysieren und findet so verwundbare Stellen, die einem Menschen niemals auffallen. Und wenn dann noch gezielt abgefragte Informationen gegeben werden, etwa durch einen Anruf im Sek­retariat und der Anrufer in einem falsch verstandenen Servicegedanken auch noch erfährt, nein der Chef ist nicht da, der fährt gerade auf die Messe in XY-Stadt, dann ist es nur noch ein kleiner Schritt, den CEO-Fraud zu versuchen. Alles bereits passiert.

Im Sinne der Waffengleichheit hilft aber KI auch, gefälschte E-Mails, Telefonate oder Videos zu identifizieren. Und der Mensch selbst kann, besonders bei langer Zusammenarbeit im Unternehmen, immer noch an Kleinigkeiten erkennen, dass etwas nicht stimmt. Daher bleibt gezielte und wiederholte Aufklärung ein wesentlicher Teil der Vorkehrungsmaßnahmen, und falls ein Verdacht geäußert wird, nicht unwirsch reagieren, sondern loben.

Smart Home und Smart Office

Die Untergrund-Communities verfeinern gerade ihre Angriffstechnik auf simple Geräte im Internet der Dinge. Über die schlecht abgesicherte Überwachungskamera im Eingangsbereich ist es für einen Profi ein Leichtes, in das Netzwerk des Unternehmens oder das heimische WLan einzudringen.

Beeindruckend waren der Vortrag und die Präsentation der früheren Chefin der Cybercrime Unit bei Scotland Yard, Charlie McMurdie (großes Foto, 2. v. re.). Um den Datenschutz und polizeiliche Ermittlungsmethoden nicht zu gefährden, präsentierte sie anhand von Presseberichten den „Track Record“ von Scotland Yard bei Cybercrime-Verbrechen vor allem gegen Banken. Den ertappten und verurteilten Verbrechern ist gemein, dass sie jung und hochgebildet sind. Auf der anderen Seite stoßen sie auf teilweise scheunentorgroße Einfallslücken bei Zahlungsdienstleistern und Banken, die fast reizen, ausgenutzt zu werden.

Allein der fahrlässige Umgang mit Kredit- und Debitkarten sorgte hier immer wieder für Ärger auch bei Kunden. Viele Geldautomaten laufen heute noch mit veralteter Betriebssystemsoftware wie etwa das heuer zehn Jahre alt gewordene Windows 7, dessen Sicherheitsfunktionen von einem „Coding-Kid“ (englischer Begriff für Kinder mit Programmierkenntnissen) einfach überwunden werden können. Spannend war auch zu sehen, dass  diese Verbrechen alle ohne Gewaltanwendung erfolgt sind. Da wurden keine Banken überfallen, keine Geldtransporter gekidnappt und keine Geiseln genommen. Es waren nur Daten und Zugänge zu EDV-Systemen, die für die Umsetzung krimineller Ideen genutzt wurden.

Bei meinem Gespräch mit Rik Ferguson (großes Foto Mitte), VP Security Research von Trend Micro, war dann schnell klar, dass die Sicherheitsforscher einerseits und die Cyberangreifer andererseits auf einer – technologischen – Ebene agieren und es quasi immer einen Kampf um den nächsten Schritt gibt. Quasi Jedi gegen Sith. Setzen die Angreifer eine neue Methode ein, wird diese von den Sicherheitsforschern erkannt, analysiert und eine Methode zur Schadensvermeidung implementiert. Und ganz bodenständig bleibt Rik, wenn er meint dass die Menschen mehr auf ihren Verstand setzen sollten. Niemand ist Erbe eines afrikanischen Millionärs oder niemand gewinnt im Lotto ohne überhaupt mitgespielt zu haben. Und der vermeintlich großen neuen Liebe aus dem Netz gleich Tausende Euro zu überweisen, sei mit ein wenig Realitätssinn vermeidbar.

GEWINN verwendet Cookies um die Website möglichst benutzerfreundlich zu gestalten und Ihnen damit den bestmöglichen Service zu gewährleisten.
Wenn Sie fortfahren, stimmen Sie der Cookie-Nutzung zu.