Herr Zihler, was ist denn ein White Hat Hacker genau? Philipp Zihler: Ein White Hat Hacker – oder auch Ethical Hacker – versucht im Auftrag von Unternehmen, Schwachstellen in der IT-Umgebung zu identifizieren. Und so dem Auftraggeber dabei zu helfen, die Sicherheit zu erhöhen und Angriffe erfolgreich abzuwehren. Kann Hacking überhaupt «ethisch» sein? Ist Hacking nicht eben Hacking? Als Ethical Hacker halten wir uns an klare Regeln, verpflichten uns beispielsweise, identifizierte Schwachstellen zu melden. Aber Sie haben schon recht: Schlussendlich versucht man gleich vorzugehen, wie es jemand mit bösen Absichten auch machen würde. Man benötigt vielleicht nicht gerade kriminelle Energie. Es ist jedoch sicher dienlich, sich in diese Rolle zu versetzen, und zu überlegen, wie man vorgehen würde, wenn man unbedingt zum Ziel kommen will. In der Realität ist es daher auch schon vorgekommen, dass Ergebnisse von White Hats von anderen Akteuren verwendet wurden. Es wäre nicht das erste Mal, dass sich Ethical Hacker eigentlich für die ‹Gute Sache› eingesetzt haben, und später herauskommt, dass sie damit geholfen haben, die Welt auszuspionieren. Derartige Skandale gab es schon in der Vergangenheit. Man weiss nie wirklich, auf welcher Fahrt man gerade ist. In den vergangenen Jahren haben Cyberangriffe mit Erpressungstrojanern stark zugenommen. Auch dort entspricht der Urheber nicht immer dem, der diese einsetzt: Die eingesetzte Schadsoftware hat ihren Ursprung schon einige Male bei Geheimdiensten gehabt. Staaten investieren enorme finanzielle Mittel in die Entwicklung hoche�zienter Schadsoftware bzw. Cyber-Waffen, um ihre Macht zu erhalten. In Amerika beträgt das gegenwärtige Jahresbudget für Cyber-Operationen 9,6 Milliarden USD. Durch fahrlässigen Umgang mit solcher Schadsoftware gelangt diese dann in die Hände von Cyberkriminellen. Der WannaCry-Virus, der für den grossen Cyberangriff 2017 genutzt wurde, hatte beispielsweise seinen Ursprung bei der NSA. Und wie geht ein Cyberkrimineller dann vor, um einem Unternehmen zu schaden? Ein Cyberkrimineller hat nicht das primäre Interesse, ein Unternehmen komplett zu ruinieren. Er geht normalerweise nur soweit, dass das Unternehmen noch zahlen kann. Solche ‹Ransomware-Angriffe› laufen klassischerweise so ab: Eine E-Mail wird an ein Unternehmen gesendet. Wenn es geöffnet wird, wird eine Schadsoftware ausgeführt und später werden Computer oder Netzlaufwerke verschlüsselt. Um die Daten wieder zu entschlüsseln, verlangen die Angreifer Geld. Gerade in den letzten Jahren stellen wir in diesem Bereich eine zunehmende Professionalisierung fest. Das Vorgehen zur Verschlüsselung der Daten erfolgt heute oft in zwei Phasen: In der ersten infiltrieren die Hacker mit Schadsoftware Unternehmensnetzwerke, ohne dass diese es bemerken. Die damit gelegten Zugänge in die Unternehmen werden dann im Darknet weiterverkauft. Die zweite Phase beginnt: Eine andere Gruppe von Cyberkriminellen kauft sich einen Zugang in ein zuvor infiltriertes Unternehmensnetzwerk. Sie ist darauf spezialisiert, im Unternehmensnetzwerk an die höchsten Privilegien zu gelangen und Details über das Unternehmen herauszufinden: Was ist deren Kerngeschäft und welches sind die Kernsysteme? Wo ist es besonders verwundbar? Die Verschlüsselung passiert dann auf zentralen Systemen. Das erhöht die Chance, dass das Unternehmen bereit ist, Geld zu bezahlen. Als Absicherung erpressen Angreifer Unternehmen immer öfter mit unterschiedlichen Druckmitteln. Sollte die Erpressung durch die Datenverschlüsselung und die Lahmlegung des Betriebs nicht erfolgreich sein, können sie damit drohen, vor der Verschlüsselung abgezogene sensible Informationen der Öffentlichkeit zugänglich zu machen. Wie kann eine solche Infiltrierung gelingen? Man setzt doch heute auf Firewalls, weiss, dass man keine dubiosen Links anklicken soll. Dafür setzen Täter heute auf perfide Methoden. Angreifer nutzen «Das Sicherheitsbewusstsein der Mitarbeitenden ist ein entscheidender Faktor, um keine ‹low hanging fruit› für die Angreifer zu sein.» Philipp Zihler, Partner und Senior Security Consultant, B-SECURE GmbH →
RkJQdWJsaXNoZXIy NTkxNzY=