Cyber War – Realität oder Wirklichkeit

Kleine Frage zu Beginn. Wer kennt den Film WarGames von 1983 noch? Darin hackt sich ein junger Computerfreak via Akustikkoppler in den Steuerungs- und Simulationsrechner des Amerikanischen Verteidigungsministerium und startet aus Neugier ein Spiel names “Simulation”.

Was er damit auslöst, ist ihm natürlich nicht klar. Was in diesem Film jedoch geprägt wird ist das Bild des “Hackers”, der nachts vor einem flimmernden Bildschirm versucht in Computersysteme einzudringen. Und dieses Bild scheint mir heute immer noch etwas in den Köpfen der Gesellschaft zu sein. Dass sich das Bild des jungen Hackers und die IT-Landschaft seit damals jedoch dramatisch verändert haben, möchte ich in diesem Blogbeitrag kurz aufzeigen.

 

Aktuelle Brennpunkte

Datenlecks

Letzte Woche ist das bisher grösste Datenleck publik geworden. Bei Yahoo wurden 2014 über 500 Millionen Accounts geklaut. Und das kommt erst zwei Jahre später, genauer gesagt letzte Woche, ans Licht. Da sage ich nur… nicht schlecht Herr Specht oder in diesem Fall an die Gruppe der Hacker oder – was aktuell spekuliert wird – an ein konkretes Land. State-sponsored Hacking wird das genannt. Sprich Staaten verwenden ihre Steuergelder damit, im Netzt Informationen zu “klauen”. Und das auf einem sehr hohen und professionellen Level. Ich hoffe nur für alle Yahoo-Benutzer, dass sie für andere Accounts nicht das gleiche Passwort verwendet haben. Dass dies LinkedIn in den letzten zwei Jahren auch schon passiert ist, erwähne ich hier nur noch kurz am Rande.

 

(Spear)-Phishing

Die häufigste und dazu noch erfolgreichste Cyber-Attacke Phishing hat auch dieses Jahr prominente Opfer. Leoni, ein deutscher Autozulieferer hat offenbar 40 Millionen Euro mittels Fake-President-Masche verloren. Das war übrigens nicht der grösste Fall aus Zahlensicht. Wir, Namics, wurden auch beinahe Opfer dieser Attacke. Will heissen, es kann wirklich jeden treffen. Die Zeiten, in denen gefakte Mails einfach zu erkennen waren, sind definitiv vorbei und der Kreativität der Angreifer keine Grenzen gesetzt.

 

Ransomware

Die Attacke, bei der dem Opfer alle Daten auf der Festplatte gelöscht oder verschlüsselt werden, kombiniert mit einer finanziellen Erpressung, scheint dieses Jahr wieder im Kommen zu sein. Eine Ransomware-Netz hat im ersten halben Jahr 2016 immerhin über 120 Millionen damit an Geld verdient. Und wichtig, es passiert auch bei uns in der Schweiz.

 

Espionage

Was ich hier noch nicht aufgezählt habe, sind die Aktivitäten im Bereich Espionage. Das Blackout der Stromversorgung in der Ukraine ende letzten Jahres ist vielleicht dem einen oder anderen noch in Erinnerung. Auch hier ist die Schweiz 2016 nicht ungeschoren davon gekommen.

 

Was glaub ich selbstverständlich ist, ist die Tatsache, dass die Dunkelziffer hier um einiges grösser ist als das, was publik wird. Welche Firma will schon mit solchen News an die Öffentlichkeit. Die Börse zuckt ja schon beim kleinsten Schluckauf des CEO oder CFO zusammen.

 

Zwischenhalt

Die geschilderten Fälle sind nur ein paar Herausgepickte. Die Liste wäre wohl fast endlos fortzuführen (diejenigen, welche sich mit Security auseinander setzten wissen, was ich meine). Mein Eindruck insgesamt ist es, dass wir – und damit meine ich auch uns als Gesellschaft – uns gar nicht bewusst sind, wie verletzlich und abhängig wir mittlerweile sind. Alles wird Smart, alles vernetzt sich… vom Phone, TV, House, Car, Grid. Und by the way… da hilft kein neues Überwachungsgesetz, über welches wir hier in der Schweiz dieses Wochenende abgestimmt haben. Wer es gemerkt hat… das wird ein Teil davon.

 

Software is everyware

In keinem Bereich hat sich etwas in den letzten Jahren so stark ausgebreitet, wie im Bereich Software. Wir sind dem Schreckgespenst “Mein Kühlschrank bestellt für mich die Milch” schon so nahe (ja schon fast da), dass ich die saure Milch schon riechen kann. Um mal ein Gespür dafür zu bekommen. Ein heutiges modernes Auto (SmartCar) kommt mit ca. 100 Millionen Zeilen Code (Software) daher. Das MacOS schafft es vermutlich mittlerweile auch in die gleiche Region. Das sollen nur zwei Beispiele sein. Statistisch wissen wir heute, dass ca. alle 1’000 Zeilen Code ein Sicherheitsproblem mit drin steckt. Die Rechnung, wieviele potentielle Sicherheitsprobleme in einer Software steckt, überlasse ich dem Leser gerne selber.

 

Crime economics

Viel wichtiger ist es nun, das Licht etwas auf die Ökonomie resp. das Ökosystem, was sich dahinter gebildet hat zu richten. Heute ist es nicht mehr der 17 jährige Pupertierende, der aus Neugierde sich als Hacker versucht. Ok, das gibt es vielleicht auch noch (heute lassen sich neue Viren per Drag&Drop über Generatoren kreieren und verbreiten). Es ist eine Tatsache, dass mittlerweile grosse Organisationen (welche nicht nur gutes im Sinn haben) und Staaten ein grosses Interesse an diesem digitalen Krieg haben. Zum einen lockt viel Geld. Ein Zero-Day-Exploit ist heute z.B. mehrere Hunderttausend Dollar auf dem (Schwarz)-Markt wert. Mit dem Riesenhaufen an Software, welche uns umgibt, lässt sich hier richtig, richtig gut richtig viel Geld verdienen. Und das ganze ohne viel Risiko. Wer will denn heute noch auf klassische Weise eine Bank ausrauben? Das geht einfacher. Zum anderen ist es auch für einen Staat politisch gesehen viel einfacher, einen anderen Staat über digitale Kanäle in die Knie zu zwingen, als seine eigenen Streitkräfte einzusetzen und damit auch Tote zu riskieren.

 

Abschluss

Ob wir uns nun in einem digitalen Krieg (CyberWar) befinden oder nicht, kann jeder für sich selber beantworten. Wir müssen uns jedoch als Gesellschaft darauf vorbereiten, dass wir hier noch einen weiten Weg vor uns haben (über Privatsphäre meiner Daten habe ich noch gar nicht gesprochen). Vieles haben wir noch gar nicht gesehen. Und mit der neuen IoT-Welle wird uns hier auch noch einiges erwarten.

 

Als CISO bei der Namics wird mir auf jeden Fall in den nächsten Jahren nicht langweilig. Das weiss ich ganz bestimmt… :-)

2 Gedanken zu “Cyber War – Realität oder Wirklichkeit

  1. Lieber Sandro,

    vielen Dank für die Übersicht und Einschätzung. Mich würde Deine Meinung noch zu einem Derivat der Cyberthreats interessieren: wie schätzt Du die Risiken interner Datendiebstähle/Cyber Risks („Insider Threats“) ein? Da kaum ein Unternehmen hier Interesse an einer Veröffentlichung hat, müsste hier die Dunkelziffer und der „garantierte“ Schaden doch extrem hoch sein. Oder?

  2. Hallo Markus,
    Auch zu „Insider Threats“ gibt es viele Beispiele. Hier ist das Spielfeld, was jetzt genau ein „Insider Threat“ ist, einfach noch breiter. Nimm das aktuelle Beispiel von Wels Fargo… dort war das eigene interne Bonus- und Insentivierungssystem der „Threat“, der letztendlich gezogen hat. Wenn du eher „Insider Theft“ meinst, dann ist das aktuell auf Platz 6 der erfolgreichen Angriffsvektoren auf Firmen. Hier gibt es aktuell auch Beispiele, wo kurz vor Pensionierung stehende Sysadmin von „Aussen“ mit Geld insentiviert werden, Daten quasi mitzunehmen. Wenn du hier nich loyale Mitarbeiter hast, wird es schwierig…

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>