Krieg ohne Grenzen? (3) : Schutz und Verteidigung gegen Gefahren aus dem Cyberraum – eine gesamtgesellschaftliche Aufgabe
Die fortschreitende Digitalisierung in allen Lebens- und Wirtschaftsbereichen liefert immer neue Angriffsflächen bei fatalerweise sinkenden Kosten und steigender Attraktivität für Angreifer aus allen Bereichen. In diesem Umfeld werden nicht mehr nur Kriminalität und Konkurrenz, sondern auch Konflikte und Kriege allerorten ausgetragen. Nahezu überall in der realen und virtuellen Welt drohen Gefahren und Schäden – und damit sind auch allerorten Verteidiger gefragt: vom Staat über die Wirtschaft bis hin zum informierten Bürger. Der vorliegende dritte Teil unserer Serie fasst die wichtigsten Aspekte für Unternehmen und Organisationen zusammen.
Für ein Unternehmen ist es egal, ob der Schaden im oder aus dem Cyberraum gezielt durch Angreifer im Auftrag von Konkurrenten verursacht wird, ob Kriminelle einfach nur Geld mit Ransomware verdienen wollen oder ob es sich um einen Kollateralschaden aus dem politischen Umfeld handelt. Der pragmatische Ansatz aus Unternehmenssicht ist daher, selbst die Kontrolle über wichtige Unternehmenswerte zu übernehmen.
Zu diesen Werten gehören aber nicht nur die selbst betriebene oder ausgelagerte IT und die zusammengestellten unternehmenseigenen Informationen, die über verschiedene Kanäle wie Webseiten und Social Media in den globalen Cyberspace eingespeist werden, sondern auch Elemente, die von anderen stammen und dem Unternehmen durchaus schaden können. Beispiele hierfür sind Fake-News-Beiträge auf YouTube oder TicToc, in denen die eigenen Produkte lächerlich oder falsch dargestellt sind, oder auch unbekannte Infiltrationen in die Produkte (siehe z. B. SolarWinds [1]) bis hin zu Hintertüren, die millionenfach in den Handel gebracht werden (siehe z. B. Gigabyte-Mainboards [2]). Dirk Häger, zuständig für die operative Cybersicherheit im Bundesamt für Sicherheit in der Informationstechnik (BSI), mahnte deshalb auf der diesjährigen CODE-Jahrestagung in seinem Vortrag zu mehr Prävention [3].
In einer aktuellen Diskussionsrunde des Bundesverbandes der Deutschen Industrie e.V. (BDI) zum Thema Cybersicherheit betonte das BSI, dass zur Prävention die Kenntnis der Details der eigenen IT-Systeme gehört, wozu Von Ramon Mörl, München auch eine Auflistung der gesamten eingesetzten Software (Software Bill of Material, SBOM) zählt. Erst wenn eine solche Übersicht vorliegt, lässt sich zum Beispiel mithilfe der Common Vulnarabilities and Exposures (CVE), einer Datenbank bekannter standardisierter IT-Schwachstellen und Sicherheitslücken [4], die eigene SBOM überprüfen. Nach Meinung des Verfassers dieses Artikels kann man aber noch einen Schritt weiter gehen: Aufgrund der bekannten Hintertüren in Chips und der BadUSB-Problematik sollte man zu den Unternehmens-Assets auch die Hardwarekomponenten einschließlich ihrer Firmware zählen, die in der eigenen IT sowie in weiterverkauften Produkten enthalten sind [5].
Eine solche detaillierte Kenntnis und Kontrolle der eigenen zum Verkauf stehenden Erzeugnisse leitet sich auch aus den Forderungen des europäischen Cyber Resilience Act (CRA) ab, der voraussichtlich 2024 in Kraft tritt und die Cybersicherheit von „Produkten mit digitalen Elementen“ stärken soll [6]. Ein Arbeitspaket von LIONS, einem durch dtec.bw geförderten Projekt der Universität der Bundeswehr München unter Leitung von Prof. Dr. Ulrike Lechner untersucht das Thema auf praktische Machbarkeit [7].
In unserer Gesellschaft sind wir fest davon überzeugt, dass Verträge, wenn sie einmal geschlossen sind, auch eingehalten werden. Leider zeigen im globalen Kontext Putins völkerrechtswidriger Krieg gegen die Ukraine oder im unternehmerischen Alltag Verstöße gegen die DSGVO aus dem Ausland, die mangels entsprechender Rechtsdurchsetzung in einigen Drittstaaten nicht geahndet werden und zu Wettbewerbsnachteilen für die heimische Industrie führen, das Gegenteil. Interessant ist in diesem Zusammenhang, dass nachrichtendienstlich erlangte Daten in manchen Staaten – verfassungsrechtlich geschützt oder auch ohne jede rechtliche Legitimation – für die Eigeninteressen der in diesem Staat tätigen Wirtschaft genutzt werden. So wandern „Intellectual Property“ und Unternehmenswisen ins Ausland und erhöhen im Inland zusätzlich den Wettbewerbsdruck.
Hinzu kommt die Problematik, dass Unternehmen cyberphysische Produkte wie Rauchmelder, Staubsaugerroboter, Sprachassistenten und vieles mehr einfach mit datensammelnden Zusatzfunktionen ausstatten, die – auch wenn sie in Europa nicht zulässig sind – Mehrwerte erbringen. So können sie durch die zusätzlichen Einnahmen aus der Datenökonomie den Einkaufspreis ihrer Produkte unter die tatsächlichen Produktionskosten senken.
In Märkten ohne robuste Qualitätsmetrik und dessen Messung oder geeignete Prüfstellen ist dies fatal, da nach wie vor nach dem Bestpreisprinzip eingekauft wird. Der CISO eines Unternehmens kann es gar nicht auf eigene Kosten leisten, vor der Beschaffung alle Produkte mit digitalen Komponenten, die in den verschiedenen Unternehmensstandorten meistens ohnehin angemietet sind, auf zusätzliche Abhörfunktionen prüfen zu lassen. Aufgrund der hohen Innovationsgeschwindigkeit digitalisierter Produkte müssen Unternehmen daher auf Partnerschaften zum Beispiel mit Verbänden setzen, um in den eigenen Besprechungsräumen und Büros Abhörszenarien beispielsweise durch vernetzte Rauchmelder auszuschließen.
Regulierungen wie der CRA haben in der Vergangenheit nur dann geholfen, wenn alle importierten Produkte auch sicher keine Hintertüren haben und der Verursacher bei Verstößen haftet. Dass der Verursacher nicht immer eindeutig zu identifizieren ist, zeigte das im ersten Beitrag dieser Serie dargestellte Beispiel eines Angriffs über einen Rauchmelder [8]. Hinzu kommt, dass Regulierungen für die ansässige Industrie den Fachkräftemangel verstärken: Der National Information Officer (NISO) eines international tätigen Energieversorgers wies kürzlich darauf hin, dass die Personen, die tagtäglich mit ihrem Informations- und IT-Sicherheitswissen proaktiven Schutz in einem Unternehmen betreiben, aufgrund der sich sehr umfangreich entwickelnden regulatorischen Vorgaben in ihrer Kernkompetenz nicht mehr in dem Maße zum Einsatz kommen, wie sie dringend benötigt werden.

Angriffe und ihre Komponenten
Wie sieht also ein Angriff allgemein aus, gegen den sich ein Unternehmen in mehrfacher Dimension schützen muss? Erst einmal ist ein digitales Angriffsinstrument jedes Objekt, das die Integrität oder die Intention des Anwenders gefährdet. Angriffe haben meistens folgende Bestandteile: Eine erste Komponente, die öffentliche oder „halböffentliche“ Informationen über das Angriffsziel sammelt, auswertet und die Grundlage für einen hochwertigen – also auch potenziell mit menschlichen Eingriffen durchgeführten – Angriff bildet.
Die zweite Komponente zum Eindringen in die digitalen Systeme des Ziels. Diese kann aus verschiedenen Techniken bestehen, beispielsweise:
- Ausnutzen von Softwareschwachstellen
- missbräuchliches Nutzen digitaler Rechte von Mitarbeitern. Das reicht von einer willentlichen Kooperation zum Beispiel durch Bestechung oder Erpressung, also Spionage bis hin zu unwillentlichen Angriffen über Links in E-Mails oder vermeintlich verlorene USB-Sticks auf dem Außengelände.
- bekannte Remote-Schnittstellen, die für eine Wartung oder Kommunikationseinrichtung wie Videokonferenzen vorgesehen sind, aber falsch konfiguriert wurden, oder auch nicht geeignet von den Kernsystemen getrennt sind. Sicherheitsbewusste Unternehmen lagern oft ihre physischen Besprechungszimmer in eine Art demilitarisierte Zone abseits vom Kerngeschäft aus.
Als dritte Komponente ist nach dem Eindringen meist ein unauffälliges Programm vorhanden, das entweder schon eigenständig Informationen sammelt oder Software zum Sammeln nachlädt. Welche Informationen das sind, ist unterschiedlich:
- Professionelle Ransomware-Angreifer sammeln häufig zunächst betriebswirtschaftliche Daten, um zu beurteilen, ob das Zielobjekt über ausreichend Liquidität verfügt und somit ein lohnendes Ziel darstellt. Interessant ist hierbei, dass die gesammelten Informationen noch im Netzwerk des Angriffsziels ausgewertet werden können und dann als Ergebnis nur hochwertige Informationen über Bargeld, Konten etc. zurückgegeben werden. Dadurch ist die Datenmenge nicht entscheidend – es genügt beispielsweise ein Aufruf einer unkritisch aussehenden Website, bei welcher automatisiert die ermittelten Werte in ein Formular eingetragen werden, die nur der Angreifer dort vermutet und auch ableiten kann.
- Informationen über die Netzstruktur und genutzte Software sowie deren Versionen und Patchverfahren. Hacker sammeln diese Daten im Rahmen eines Advanced-Persistent-Threat-(APT)-Angriffs, um zukünftige Aktionen besser planen zu können, z. B. das Lahmlegen von Netzwerkteilen, das Verschlüsseln sensibler Daten, das Exfiltrieren von Informationen, das Ermitteln von Speicherorten für nachzuladenden Angriffscode.
- Prüfroutinen, um zu ermitteln, wie höhere Privilegien erlangt werden können. Auch hier gibt es verschiedene Möglichkeiten, zum Beispiel die Suche nach Privilegien-Eskalation, die durch das Fehlen von DLLs, die beispielsweise nur für Tests beim Hersteller verwendet werden, erreicht werden kann. Die vierte wichtige Komponente ist die Spurenbeseitigung bei länger andauernden Angriffsszenarien. Die als dritte Komponente genannten Informations-Sammel-Elemente können Standardsoftware sein, die beim Opfer ohnehin laufen, aber eventuell für die Angriffsziele etwas anders konfiguriert werden, sich also relativ unauffällig in der IT des Ziels bewegen. Zum Beispiel können vorhandene Remote-Access- oder Help-Desk-Anwendungen hierfür „umkonfiguriert“ werden. Deshalb ist das eine weitere Disziplin, die mit dem Verstecken der schädlichen Elemente verbunden ist.
Planung und Organisation von Angriffen
Unabhängig von den jeweils agil eingesetzten Techniken ist auch die Angriffs-Organisation bemerkenswert: Das schädliche Element bei Ransomware-Angriffen ist nicht nur die Verschlüsselung, sondern auch die Personalisierung des Angriffsziels. Mit der Exfiltration (dem Datenklau) der sensiblen und betriebswirtschaftlichen Daten des Opfers wird begonnen, um zum einen ein Druckmittel – nämlich die Veröffentlichung der sensiblen Daten – und zum anderen die Kenntnis zu bekommen, ob das Ziel kommerziell lohnenswert ist. Für geeignete Angriffsziele wird eine eindeutige Erkennungsnummer des Ziels vergeben, quasi eine beim Angreifer geführte „Kundennummer“, um diesen „Business-Case“ aus Angreifer-Sicht von anderen zu unterscheiden und die richtigen betriebswirtschaftlichen Zahlen auch zeitverzögert eindeutig zuordnen zu können.
Im Fall von flächig geplanten und organisierten Angriffen mit multiplen Wirkketten wird häufig mit „Schläfern“ gearbeitet. Es handelt sich dabei um Malware, die sich nach Belieben aktivieren oder deaktivieren lässt. Stuxnet hat gezeigt, dass die schädliche Wirkung nicht im digitalen Raum bleiben muss [9], sondern ähnlich wie von Marc Elsberg in seinem Roman Blackout beschrieben, auch physische Schäden hinterlassen kann, um die Wiederherstellungszeiten für das Angriffsziel zu erhöhen [10]. Denn in solchen Fällen, wenn zum Beispiel eine große Turbine beschädigt wird, nützt natürlich das Wiedereinspielen von Backups nicht. Multiple Wirkketten sind deshalb besonders interessant, weil sich der Schaden dann nicht auf ein System beschränkt. So können auch die Wiederherstellungsprozesse betroffen sein, zum Beispiel durch Unterbrechung von Lieferketten oder die Verfügbarkeit von benötigtem Know-how, was wiederum den Schaden durch die verzögerte Wiederherstellung erhöht.
Bei dem Verstecken von Schläfern ist anzumerken, dass es nicht auffi ndbare und nicht beweisbare Verstecke für Software gibt. Die Krypto-Spezialisten Karsten Nohl und Jacob Lell haben auf der Black Hat Konferenz 2014 diese als BadUSB bekannt gewordene Angriffsart aufgezeigt, bei der ein Controller ein solches Versteck sein kann [11].
Mehrdimensionaler Schutz und praktizierte Vertrauensketten
Welche Aufgaben kommen nun auf die Verantwortlichen im Unternehmen zu, wenn sie vor der Vielzahl von proaktiven Schutzprodukten wie Firewall, Virenschutz, VPN, Festplatten-, Datei-, Verzeichnis-, E-Mailverschlüsselung, WAF, XDR, EDR, NDR, UTM, CTI, OSINT-Analyse, TR-ESOR, Applikations-Virtualisierung stehen, das Budget nicht genügt, alles auf dem Markt Verfügbare zu kaufen, die Personalressourcen nicht ausreichen, um alles zu betreiben und die Anwender eigentlich nur arbeiten wollen?
Zunächst ist es wichtig zu wissen, dass Cybersicherheit in jedem Unternehmen mehrdimensional aufgestellt sein muss. Die Mitarbeiter in der Organisation müssen die Auswirkungen auf ihren Arbeitsplatz kennen. Der Einkauf muss verstehen, dass ein günstiges Internet-of-Things-(IoT)-Produkt eventuell schädlich sein kann und deshalb die Beschaffung zum besten Preis und das resultierende Vertragswerk der Situation anzupassen sind. Beispielsweise kann man die „Freiheit von Hintertüren“ als Vertragsbestandteil festlegen und sogar eine SBOM sowie „Hardware List of Materials“ vom Lieferanten fordern, sodass Abweichungen unter Strafe stehen. Es zeichnet sich somit ein Aufgabenfeld ab, das eine Verzahnung von Organisation, Haftung, Rechtsverbindlichkeit, Know-how, Lieferkette, Qualitätssicherung im Waren- und Informationseingang und im eigenen (Produktions-)Prozess sowie Auslieferung, Risikomanagement, physische Sicherheit und Krisenmanagement beinhaltet.
Die Komplexität bei dem obigen Aufgabenfeld steigt durch das Sicherheitsziel Verschlüsselung: Verschlüsselung dient – unabhängig davon, wo sie eingesetzt wird – dem Ziel der Vertraulichkeit. IT-Systeme können die Vertraulichkeit nicht generell aufheben, oft auch aus datenschutzrechtlichen Gründen. Der Perimeter, also die „Außenhaut“ an der man die Kontrollen wie Freiheit von Schadcode durchführen möchte, wandert an die Stelle, wo die Information oder das Produkt erstmalig „offen“ also im Klartext vorliegt. Erst dann kann der Zulauf – also die neue Information – auf Freiheit von Schadcode geprüft werden. Es stellt sich also auch die Frage, welcher Information man überhaupt vertraut.
Aus dieser Erkenntnis hat sich die Doktrin des „Zero Trust“ entwickelt. Man vertraut also dem Namen entsprechend niemandem und nichts. Die erste Aufgabe eines Zero-Trust-Projekts ist es daher, die bestehenden Vertrauensketten zu definieren. Vertraue ich beispielsweise den eingesetzten Verschlüsselungsverfahren, dass sie mein Ziel Vertraulichkeit umsetzen? Natürlich kann man im Risikomanagement darüber hinaus anreichern und eine Bewertung des Vertrauens angeben, dass zum Beispiel der etablierte Schutz mit diesem Verfahren, nicht vor Innentätern schützt. Es bleibt aber bei Zero Trust immer die Anforderung, neu ins Unternehmen kommende Informationen oder digitalisierte Produkte auf ihre Schädlichkeit zu prüfen, da man den „Neuen“ nicht trauen darf, weil man noch nicht reingeschaut hat. Es hilft also nur wenig, den Anwender auf das Verstehen von Links oder die Prüfung von E-Mail-Attachments oder Downloads zu trainieren – vielmehr müssen Firmen professionelle Verfahren etablieren, die erst nach der Entschlüsselung arbeiten. So definierte General a. D. Frank Leidenberger, CEO der BWI GmbH, auf der diesjährigen Deutor-Konferenz „Zero Trust“ als einen Prozess im Unternehmen und nicht als marktverfügbares Produkt [12].
Fazit
Als Fazit bleibt festzuhalten, dass ein einzelnes Unternehmen nicht in der Lage sein wird, die Komplexität von Cybersicherheit so umfassend zu verstehen, dass morgen alle Probleme zum Schutz der eigenen Assets gelöst sind. Ein pragmatischer Weg erscheint als Best Practice:
- Aufbau von hochwertigen, verlässlichen Austauschplattformen mit praktischen Mehrwerten auf Produkt und Konfigurationsebene über Verbände und hoheitlich mandatierte Know-how-Träger,
- Etablierung von schnellen Verteidigungsprozessen, die es erlauben, neue Erkenntnisse zu Schwachstellen sofort in Schutz umzusetzen und
- Entwicklung von Referenzsystemen, die vordefinierte Regularien zuverlässig umzusetzen.
Ramon Mörl ist Geschäftsführer der itWatch GmbH.
Literatur
[1] Stefan Krempl, US-Ermittler: Massiver Hackerangriff geht weit über SolarWinds, Heise online, hinaus, Januar 2021, www.heise.de/news/US-Ermittler-Massiver-Hackerangriff-geht-weit-ueber-SolarWindshinaus-5041427.html
[2] Panagiotis Kolokythas und Michael Crider, Viele Gigabyte-Mainboards enthalten eine Firmware-Backdoor – das sollten Besitzer jetzt wissen, PC-Welt online, Juni 2023, www.pcwelt.de/article/1937813/viele-gigabytemotherboards-enthalten-eine-versteckte-firmwarehintertur.html
[3] Dr. Dirk Häger, Rückblick und Ausblick auf IT-Sicherheit – Was muss sich ändern?, Jahrestagung CODE, Juli 2023, www.youtube.com/watch?v=DLZ5xd4dupM (ab 1:37:00)
[4] Stefan Luber und Peter Schmitz, Was ist CVE, Security Insider online, November 2018, www.security-insider.de/was-ist-cve-a-771921/
[5] Ramon Mörl, Distributed Ledger, Blockchain als Treiber für eine praktische Lösung zum Management von Digitaler Souveränität, Jahrestagung CODE, Juli 2023, www.itwatch.de/Videos/Distributed-Ledger-Blockchain-als-Treiber-fuer-eine-Loesung-zum-Management-v.-Digitaler-Souveraenitaet
[6] RA Schürmann, Rosenthal und Dreyer online, Cyber Resilience Act – Was bedeutet die geplante Stärkung der Cybersicherheit für „Produkte mit digitalen Elementen“, April 2023, www.srd-rechtsanwaelte.de/blog/cyberresilience-act/
[7] LIONS, Projekt der Universität der Bundeswehr München unter Leitung von Prof. Ulrike Lechner, gefördert durch dtec.bw, www.unibw.de/lions
[8] Stefanie Frey und Ramon Mörl, Krieg ohne Grenzen? (1), # 3, Juni 2023, itwatch.de/News/KES-Beitrag-Krieg-ohne-Grenzen
[9] Martin Dombrowski und Peter Schmitz, Stuxnet Malware als Waffe im Cyberkrieg gegen den Iran, Security Insider online, September 2010, www.security-insider.de/stuxnet-malware-als-waffe-im-cyberkrieg-gegenden-iran-a-283974/
[10] Marc Elsberg, Blackout – Morgen ist es zu spät, Blanvalet Verlag, 2013, https://marcelsberg.com/buecher?isbn=9783442380299
[11] Ramon Mörl, Digitale Souveränität und die Einschätzung der Sicherheit von Lieferketten – eine Managementdisziplin – Problembeschreibung und Lösungsansätze, Deutscher IT-Sicherheitskongress des BSI, Februar 2022, https://itwatch.de/Videos/Digitale-Souveraenitaet-und-die-Einschaetzung-der-Sicherheit-von-Lieferketten
[12] Deutor CSBP Conference 2023, Juni 2023, https://deutor.de/conference/
[13] Ramon Mörl, Artikel und Vortrag: Digitale Souveränität und die Einschätzung der Sicherheit von Lieferketten – eine Managementdisziplin. Problembeschreibung und Lösungsansätze, Deutscher IT-Sicherheitskongress des BSI, Februar 2022, https://itwatch.de/Downloads3/Artikel