25. Januar 2024
«Für Hacker gilt: Wir kriegen euch alle!»
Philipp Leo, welches sind die grossen Cyberbedrohungen für die Schweiz?
Die Bedrohungen lassen sich mit der geopolitischen Lage abgleichen. Strategic Power Competition ist das internationale Thema. Ein paar Beispiele: Chinesische Cyberkräfte sind auf Wirtschaftsspionage spezialisiert. Für die USA ist Cyberkompetenz gleichbedeutend mit ihrer strategischen Positionierung. Israel behauptet sich sehr erfolgreich und ist sehr effizient im Eigenschutz. Hingegen sind wir Schweizer und mit uns die Europäer eher unauffällig und defensiv. Kritisch ist die Grauzone, wo Organisationen im Schutz des Staates Cybercrimebusiness betreiben. Das sind in erster Linie chinesische und russische Staaten oder auch der Iran. Sie nutzen es aus, dass Rechtshilfe-Gesuche für Länder östlich von Wien, im Prinzip gut für den Schredder sind. Wenn beispielsweise Hackergruppen in St. Petersburg festgenommen werden, dann hat das oftmals wenig mit rechtstaatlichen Bemühungen zu tun.
Interessant ist, dass bei Ihren Aufzählung Indien fehlt.
Meine Antwort darauf ist nicht hundertprozentig fundiert. Ich nehme es so wahr, dass die Inder sich um ihre eigenen Angelegenheiten kümmern. Der Organisationsgrad in Indien ist relativ tief und viele agieren als Solitäre. Sie sind technisch versiert, aber nicht im cybertechnischen Bereich tätig.
Lassen wir die geopolitisch motivierten Bedrohungen beiseite; was sind die Tricks der Cyberkriminellen?
Phishing ist nach wie vor ein wichtiges Instrument. Ob nun digital oder analog übers Telefon. Selbst Ransomware gehört zur Tradition von Betrügern, ist aber nicht so super neu wie viele glauben. Sie wurde in den 1980er-Jahren von einem Studenten entwickelt, der mit Disketten Computer sperrte. Vieles basiert auf Trickbetrug. Was leider noch immer gut funktioniert sind USB-Sticks. Wenn du es als Cyberkrimineller schaffst, dass ein USB-Stick auf einem Arbeitsplatztisch zu liegen kommt, dann ist die Chance gross, dass dieser eingesteckt wird. Ausser die USB-Ports sind gesperrt – wie dies bei vielen Banken der Fall ist. Eine andere bewährte Methode ist Shouldersurfing im Zug. Die Bahnlinie Zürich-Bern ist ein echter Data-Lake, da kann man schon mal auch einem Mitarbeiter des Bundes über die «Schulter» schauen.
Phishing ist nach wie vor ein wichtiges Instrument.
Trickbetrug, Phishing, menschliche Schwachstellen – Cyber Security basiert auf einem Drei-Säulen-Prinzip: Technik, Menschen und Prozesse. Wo viel Geld in Technik investiert wird, werden die Menschen angegriffen. In letzter Konsequenz wird auf die Prozesse gezielt. Wieso sollen wir uns durch sieben Ebenen Sicherheitsmassnahmen hacken, wenn uns jemand die Türe zum Serverraum aufhält? Beispielsweise muss man zwischenzeitlich auch damit rechnen, dass sich Cyberkriminelle eventuell als Notärtzte ausgeben und zusammen mit ein paar als Rettungssanitätern getarnten Kollegen an einem Empfang auftauchen und einem vermeintlichen Hirnschlag-Patienten zu Hilfe zu kommen. Da fragt niemand nach, ob man einen Termin hat.
Eine schöne Hollywood-Szenerie …
… ja, und es kommt noch dicker: Bei kleineren Firmen funktionierts mit dem offiziellen Schlüsseldienst. Wobei offiziell in diesem Fall bedeutet: 25 Franken für ein gebrandetes Shirt, 100 Franken für Autokleber und die Tür geht auf. Bei richtig grossen Operationen geht es um Firmenfusionen, Erpresser-Hacks etc. Im Cyberbereich haben die Leute das Gefühl, es sei eine saubere Sache, weil digital. Im strategischen Kontext sterben aber Menschen und das verstehen viele Politiker nicht, wenn sie von Hackbacks sprechen und zurückschlagen wollen. Hackback bedeutet halt auch, dass Kraftwerke oder andere kritische Infrastrukturen ausser Kraft gesetzt werden. Bei Stuxnet liefen Operationen im Hintergrund ab, bei denen Physiker auf offener Strasse umgebracht wurden.
Ich unterrichte im Cyberlehrgang die Gegenseite und versuche zu zeigen, wie diese funktioniert und wie dreckig es zu und her geht. Die Cyber-Spezialisten müssen verstehen, wie die Gegenseite funktioniert und welche Ziele sie verfolgt.
Wie kam es dazu, dass Sie den Studierenden erklären, wie die Gegenseite funktioniert?
Subversives Denken liegt mir und macht mir Spass. Der klassische Bundesangestellter der vor einer geschlossenen Türe steht, geht wieder nach Hause. Jemand mit einem subversiven Denken kontrolliert, ob alle Fenster geschlossen sind, vielleicht steht eine Kellertüre offen, es findet sich ein Schlüssel unter der Schuhmatte oder im Blumentopf. Plan A, Plan B, Plan C, … ich mache so lange weiter, bis ich einen Weg finde.
Welche psychologischen Mechanismen nutzen Angreifer beim Social Engineering?
Im Social Engineering sprechen wir von Compliance Principels beziehungsweise psychologische Mechanismen, wieso du Sachen machst, die du sonst nicht machst. Du hast drei wissenschaftliche Felder, die sehr stark sind und das sind Psychologie, Marketing und Kriminologie. Beispiele für Compliance Principels sind Autorität, Reziprozität und Herdentrieb, denn sobald man in der Gruppe unterwegs ist, will keiner der Überkritische sein. Deshalb ist es einfacher Menschen in der Gruppe zu manipulieren. Aus diesen drei Fachbereichen nehmen wir (Anm. d. Redaktion: Leo & Muhly GmbH) die Principles, die wir für die Ausbildung einsetzen.
Es ist einfacher Menschen in der Gruppe zu manipulieren.
Sind IT-Professionals mit ihrem beruflichen Know-how vor Hackerangriffen gefeit?
Am Ende ist es eine Frage von Zeit und Ressourcen. Und für Hacker gilt: Wir kriegen euch alle! Es geht darum herauszufinden, welches deine Leidenschaften sind und dir unwiderstehliche Möglichkeiten zu bieten.
Und wie sieht es bei den Fachexperten des Cyberkommandos der Armee aus? Müssten diese nicht inkognito sein, anstatt Posts in den Sozialen Medien zu veröffentlichen?
Armee-Angestellte sind ebenso gefährdet. Aber wenn du nicht als Einsiedler im Wald leben willst, dann musst du akzeptieren, dass es keine hundertprozentige Sicherheit gibt. Selbst ich bin nicht vor Manipulationen gefeit.
In der Tat, es gibt keine Garantie. Worüber wir noch nicht gesprochen haben: KMUs, die durch Ransomware lahmgelegt werden.
Ransomware ist eine der aktuell vorherrschenden Cybergefahren. Die Erträge aus diesem Bereich sind astronomisch hoch und daher ist diese Sparte für viele Cyberkriminelle aus dem Osten sehr attraktiv.
Im gleichen Atemzug gründen sie eine Versicherung mit einer Produktpalette, die Cyberangriffe abdeckt?
Der ganze Versicherungsbereich ist diesbezüglich geläutert. Vor ca. fünf bis acht Jahren boten Versicherungsgesellschaften Cyberversicherungen an, ohne sich der Folgen wirklich bewusst zu sein. Dies, obwohl Versicherungsmathematiker das Risikogeschäft nicht wirklich bewerten konnten. Der Sales verkaufte ganz viele Versicherungen und dann hagelte es Schadensfälle. Die Raten korrespondierten Nullkommanichts mit dem Versicherungsbetrag. Dann mussten die Juristen die Sache wieder in Lot bringen – und diese «fanden» im Kleingedruckten den «Act of War», also kriegsähnliche Zustände, um den Schaden nicht zu decken. Ob dieses juristische Manöver gelang, wird die Zeit zeigen. Inzwischen haben sich viele Versicherer vom Cyberbereich getrennt, ihr Kleingedrucktes ergänzt oder sie decken Schäden nur noch marginal. Die ganzen Cyberversicherungen sind ein Trauerspiel, das irgendwann einmal aufgearbeitet werden muss. Sie sind aber auch Beispiel dafür, was digitale Veränderungen mit dem Markt anstellen. Viele Banken haben Cyberversicherungen nur noch, um ihre Kunden zu beruhigen.
An dem von der Fachgruppe «Digital Competency» organisierten Event zeigen Sie und Dr. Fabian Muhly mit einem spielerischen Ansatz die Gefahren von Social Engineering. Was genau muss ich mir unter diesem Format vorstellen?
In einer Einführung zeigen wir den Gästen, wie unser Team eine hochrangige militärische Persönlichkeit gehackt hat. Anhand dieses Angriffs führen wir Sie in die Grundlagen und Methoden des Social Engineerings ein. Im anschliessenden Serious Game können sie das Erlernte gleich praktisch umsetzen und schlüpfen selbst in die Rolle eines Angreifers. Sie werden als Team in dieser geführten und interaktiven Simulation auf spielerische Weise Angriffe auf ein Unternehmen planen, durchführen und analysieren, sowie sich mit anderen Teams messen können. Sicherheit in einer vernetzten Welt braucht beides: Sichere Technologien und aufmerksame Anwenderinnen und Anwender.
Zur Person:
Philipp Leo ist Experte für Cyberrisiken und Digitalisierung, Berater zahlreicher Behörden und Organisationen im In- und Ausland und Mitgründer von Leo&Muhly. Er studierte Wirtschaftswissenschaften, Informatik und Kunstgeschichte an der Universität Zürich. Am Cyber-Lehrgang der Schweizer Armee unterrichtet er die angehenden Cyberspezialisten und ist als Milizoffizier im Kommando Cyber eingeteilt. Philipp Leo ist er Teil des Expertennetzwerkes für Datenschutz und Cyberkriminalität von EUROPOL und Lehrbeauftragter an der Universität Glasgow und der Hochschule für Wirtschaft Zürich.
Serious Game am 30. Januar 2024
In einem spielerischen Ansatz werden die Gefahren von Social-Engineering-Angriffen interaktiv erlebbar gemacht. Dabei schlüpfen die Teilnehmenden gleich selbst in die angreifende Rolle und werden dadurch für die Tricks sowie Methoden der Cyberkriminellen sensibilisiert. Anmeldemöglichkeiten finden Sie hier.
Das Interview führte die swissICT-Redaktion.