Das vergangene Jahr war von grossen Datenverlusten und einer starken Zunahme von Schadsoftware gekennzeichnet, die immer mehr Lebensbereiche der Menschen betreffen – auch in der Schweiz. So musste zum Beispiel der beliebte Cloud-Dienst für persönliche und geschäftliche Notizen, Evernote, die Passwörter aller seiner rund 50 Millionen Nutzer weltweit zurücksetzen, da die Zugangsdaten gehackt wurden. Und die Melde- und Analysestelle für Informationssicherung, Melani, warnte im ersten Halbjahr 2013 vor einer neuen Angriffswelle auf Schweizer E-Banking-Geschäfte mit SMS-Transaktionssignierung.
Ein Grund für diese Negativtrends liegt in der allgegenwärtigen technischen Weiterentwicklung vor allem in Richtung mehr Bedienkomfort, welche gleichzeitig und unbeabsichtigt die Möglichkeiten der Online-Gangster und -Spione vermehrt. Das beginnt schon beim täglichen Surfen im Internet: So werden immer mehr Webseiten in HTML5 implementiert. Die neueste Generation der Webbeschreibungssprache unterstützt unter anderem Multimedia-Inhalte und deren geräteabhängige Darstellung – auf dem PC, dem Smartphone oder Tablet – weit besser als die Vorgängerversion. Die Kehrseite sind HTML5-spezifische Bedrohungen wie BITB (Botnets in the Browser). Angreifer können ein Botnetz erzeugen, das auf jedem Betriebssystem und auf jedem Gerät funktioniert. Es läuft vorwiegend im Hauptspeicher und greift kaum auf die Festplatte zu. Somit ist es für traditionelle Datei-basierte Antivirenprogramme kaum zu entdecken. Da der bösartige Code als Javascript implementiert ist, tun sich auch solche Sicherheitslösungen schwer, die auf das Erkennen von Einbruchsversuchen in Netzwerken spezialisiert sind. Zu nennen sind hier die so genannten Intrusion-Detection-Systeme (IDS), die mit Signaturen arbeiten. Darüber hinaus kann der bösartige Code wegen seiner Einbettung im normalen Browser-Datenverkehr die meisten Firewalls mühelos passieren.
Vorsorge statt Nachsorge
Angesichts der Bedrohungslage reicht es nicht mehr aus, einen Rechner mittels einer rein Datei-basierten Antivirenlösung zu schützen. Vielmehr muss verhindert werden, dass Schadsoftware überhaupt auf dem Windows- oder Mac-PC, auf dem Smartphone oder Tablet landet, ob zu Hause oder am Arbeitsplatz. Vorwärtsverteidigung heisst hier das Zauberwort. Deshalb sind Funktionen wie das Blocken von bösartigen Webseiten oder E-Mail-Nachrichten, über die Infektionen eingeleitet werden, heute unerlässlich. Denn die E-Mail und der darin enthaltene Weblink oder die angehängte Datei selbst sind in der Regel frei von Schadcode. Wenn der Inhalt dieser E-Mail jedoch täuschend echt zum Beispiel einer Nachricht von der eigenen Bank gleicht und wenn die Seite, die sich nach dem Anklicken der angegebenen Internetadresse öffnet, jener der Bank zum Verwechseln ähnlich sieht, dürfte die Wahrscheinlichkeit sehr hoch sein, dass die Anwender auf diesen Betrugsversuch hereinfallen, die mitgelieferte Webadresse anklicken oder den Dateianhang öffnen. Das genügt und die Infektion ist nicht mehr abzuwenden. Was im privaten Umfeld schon schlimm genug ist und unter Umständen zu finanziellen Verlusten führt, kann die Existenz von Unternehmen ernsthaft gefährden.
Opfer merken zunächst nichts
Anders als früher bekommen die Opfer von der Infektion in den meisten Fällen gar nicht viel mit. Aus der Sicht der Kriminellen und Internetspione ist es uninteressant, ein System zum Absturz zu bringen. Viel wertvoller sind die darauf befindlichen oder von dort erreichbaren Informationen. Um diese in Ruhe abgreifen zu können, darf das Opfer von der Gefahr möglichst lange nichts merken. Der Schaden zeigt sich oft erst Wochen oder Monate und teils Jahre später, etwa wenn die Handyrechnung explodiert ist oder wie aus dem Nichts ein Produktplagiat auf dem Markt zum halben Preis auftaucht.
Diese Charakteristika – komplexe, mehrstufige Angriffe sowie stilles Ausspionieren mit zeitlich verzögertem Schadensfall – lassen sich exemplarisch an einer der schlimmsten Bedrohungen für die Schweizer Wirtschaft darstellen: der Online-Wirtschaftsspionage durch gezielte Angriffe. Das Wort «gezielt» darf dabei nicht missverstanden werden als «besonders ausgeklügelt», wie vor allem der englische Name für dieses Phänomen – man spricht im angelsächsischen Raum gerne von Advanced Persistent Threats (APTs) – suggeriert. Denn in neun von zehn Fällen beginnt alles mit einer einfachen E-Mail-Nachricht – und das ist mitnichten eine besonders ausgeklügelte Angriffstechnik.
Dabei macht der digitale Lebensstil von heute den Online-Spionen ihre Aufgabe besonders leicht. Denn um eine überzeugende E-Mail-
Nachricht zu schreiben, auf die das ausgesuchte Opfer hereinfällt, genügt in den meisten Fällen ein simpler Besuch in ein oder zwei sozialen Netzwerken – und schon weiss man mehr über die Zielperson, als dieser selbst lieb ist. Besonders Informationen zu Freizeitaktivitäten und privaten Interessensgebieten helfen den Spionen, zum Beispiel eine Nachricht vom Präsidenten des Sportvereins oder einem angeblichen Versandhaus für Anglerausrüstung zu erfinden. Hand aufs Herz – wer kann guten Gewissens behaupten, niemals auf einen solchen Köder hereinzufallen?
Die Spitze des Speeres
Diese Taktik für gezielte Angriffe heisst unter IT-Sicherheitsleuten «Spearphishing», der Name leitet sich vom Speerfischen ab. Anders als bei herkömmlichen Phishing-Kampagnen sprechen die E-Mails die Betroffenen gezielt, also beispielsweise mit ihrem Namen und Titel an und enthalten die genaue Berufsbezeichnung oder Position des Opfers. Vor diesem Hintergrund betont Melani im Halbjahresbericht 2013/1 zu Recht: «Die vielen Berichte von Sicherheitsfirmen, Opfern oder Behörden haben Cyberspionage- und APT-Angriffe erneut ins Rampenlicht gerückt. Bei gezielten Spionage-Angriffen (…) besteht ein ständiges Interesse und demzufolge ein ständiger Druck auf sensible Daten. Davon ist auch die Schweiz betroffen, da gerade hier sehr viele Spitzenunternehmen ansässig sind, die über Know-how oder Informationen mit grossem Wert verfügen.»
Spionage-Abwehr und -Aufklärung
Die Antwort auf Spionage-Angriffe aus dem Internet kann deshalb nur Spionage-Abwehr und -Aufklärung lauten. Damit ist selbstverständlich nicht das illegale Aushorchen des Gegners gemeint, sondern ein Massnahmenbündel, welches das Abhören der eigenen Kommunikation und das Eindringen in das Unternehmensnetzwerk zu verhindern hilft. Ein Kernelement der Spionage-Abwehr stellt Verschlüsselung dar, und zwar des E-Mail-Verkehrs einerseits und der Kommunikation zwischen Browsern und Webservern sowie zwischen Unternehmensapplikationen andererseits. Ferner müssen eingehende E-Mail-Nachrichten und Webadressen sowie Datei-Anhänge ähnlich der Flughafenkontrolle in einer Art Sicherheitsschleuse auf Unbedenklichkeit geprüft werden. Sandboxing heisst dieses Verfahren, das in einer abgesicherten und als solche nicht erkennbaren Umgebung simuliert, was passieren würde, wenn eine Datei geöffnet oder ein Link angeklickt würde.
Noch effektiver sind diese Verfahren, wenn sie um Aktivitäten der Spionage-Aufklärung erweitert werden: Durch ergänzende Big-Data-
Analysen ist es möglich, mit an Sicherheit grenzender Wahrscheinlichkeit zu berechnen, ob eine E-Mail, eine Webadresse oder ein Datei-
Anhang als gefährlich einzustufen ist oder nicht. Die Datenmenge, die auf einem Rechner oder gar in einem Unternehmensnetzwerk zur Auswertung zur Verfügung steht, reicht für solche Analysen allerdings nicht aus. Vielmehr benötigen Schutzmechanismen zur Abwehr von E-Mail- oder Webbedrohungen Informationen, die weltweit gesammelt und miteinander korreliert werden. Dies ist sogar möglich, ohne dabei auf personenbezogene oder unternehmensspezifische Daten angewiesen zu sein. Der Datenschutz ist also gewahrt.
Solche Analysen, die permanent und automatisiert in Hochsicherheitsrechenzentren ablaufen, sind am schnellsten in der Lage, neue, weil auf bestimmte Personen und Unternehmen zugeschnittene Angriffe zu erkennen, etwa weil eine Absenderadresse schon in früheren Angriffen verwendet wurde oder weil bekannt ist, dass der Registrar einer bis dato unbekannten Adresse einen üblen Ruf geniesst. Die so gewonnenen Erkenntnisse können dann sofort an die Nutzer – Privatpersonen oder Unternehmen – über die eingesetzten Sicherheitslösungen weitergegeben werden, so dass die Wahrscheinlichkeit erfolgreicher Angriffe dramatisch sinkt.
Mentalitätswechsel nötig
Was an der Bedrohungssituation 2013 besonders auffällt, ist die Tatsache, dass kein Einzelfall so sehr heraussticht, dass er die anderen völlig in den Schatten stellen würde. Gleichzeitig nehmen die Möglichkeiten, die in einer zunehmenden Vernetzung liegen, aus der Sicht der Gangster und Wirtschaftsspione deutlich zu. Deshalb müssen IT-Sicherheitslösungen, die der heutigen Bedrohungslage angepasst sind, über leistungsfähige Funktionalitäten zu E-Mail- und Web-Sicherheit verfügen. Mindestens ebenso nötig ist aber ein Mentalitätswechsel: Schweizer Bürger und Unternehmen müssen erkennen, dass Vorsorge besser als Nachsorge ist, um Privatsphäre und geistiges Eigentum zu schützen, und entsprechend handeln.