Hacker bleiben mitunter 200 Tage lang unentdeckt
Nach dem Finanzsektor wird Cybersicherheit auch für andere Branchen immer wichtiger, sagt Pascal Steichen vom „Security Made in Lëtzebuerg“
Geldgeschäfte und Bankdienstleistungen finden zunehmend „im Netz“statt. Internetkriminelle sehen darin ihre Chance. Viel zu tun für das Cybersicherheitsinfrastrukturen wie das von Pascal Steichen geleitete SMILE (Security Made in Lëtzebuerg).
Patrick Steichen, stellen Sie seit der Invasion von Russland in der Ukraine mehr Vorfälle fest?
Eigentlich nicht. Weder wir noch die anderen Cybersecuritystrukturen, mit denen wir gesprochen haben, stellen seitdem eine flagrante Zunahme fest.
Man hört allerdings auch sonst relativ wenig in Bezug auf Cyberattacken, vor allem, was den Finanzplatz betrifft. Ist es so ruhig?
Nein, ruhig ist es überhaupt nicht. Aber über Cyberangriffe spricht man normalerweise nicht so gerne. Es ist definitiv nicht still, regelmäßig finden Angriffe statt, manchmal gibt es auch Vorfälle, die die Sicherheit von Systemen gefährden. Im Bankensektor, aber auch anderswo. Wenn man jetzt spezifisch den Bankensektor beleuchten möchte, dann ist es so, dass man in den letzten sechs, sieben Jahren feststellen konnte, dass Banken oder Finanzstrukturen selbst immer weniger direktes Ziel von Cyberattacken sind, sondern immer mehr die Kunden im Fokus der Netzkriminellen stehen, deren Systeme meistens nicht so gut geschützt sind. Der Zugriff auf Transaktionen oder Paymentsysteme wird immer schwieriger, woran die Banken selbst ja fortlaufend arbeiten, da sie natürlich auch ihre Reputation schützen wollen. Auch von den verschiedenen Regierungen oder aus der EU-Kommission sind eine ganze Reihe von Direktiven erlassen worden, die das Thema Cybersicherheit betreffen und die Finanzinstitute zwingen, das Thema ernsthaft zu behandeln.
Darum sind mittlerweile Bankkunden viel stärker zum Ziel von Cyberkriminellen geworden als die Banken selbst. Aber auch die Banken werden nach wie vor regelmäßig attackiert. Es gibt große Strukturen, die viel investieren und kleinere Institute, die weniger Möglichkeiten haben, und da gibt es natürlich immer wieder auch Schwachstellen. Keiner ist wirklich zu 100 Prozent geschützt.
Was sind denn die häufigsten Vorfälle?
Die zwei häufigsten Angriffsmethoden sind einerseits das gut bekannte Phishing, wo über eine E-Mail versucht wird, an Passwörter zu gelangen, um Zugriff auf ein System zu bekommen. Und über diesen Weg dann auf Bankkonten oder Nutzerkonten von Payment-Plattformen zu erhalten, zum Beispiel bei Paypal oder bei E-Commerce-Plattformen wie
Amazon. Den Kriminellen geht es darum, irgendwie an Geld zu kommen.
Die zweite oft genutzte Methode oder Tendenz, die wir feststellen, ist Ransomware. Also nicht der direkte Zugriffsversuch auf ein System oder auf Konten, sondern, wo es darum geht, die Computersysteme zu blockieren oder Daten zu verschlüsseln, um damit Lösegeld zu erpressen. Um das tun zu können, muss ein System irgendwo eine Schwachstelle haben.
Bei dieser Masche hat man in den letzten Jahren eine starke Evolution gesehen, und mittlerweile wird sie viel organisierter angewandt als früher. Die Kriminellen durchgrasen förmlich das Internet auf der Suche nach Systemen, die irgendwie eine Schwachstelle haben. Gelingt es ihnen, in ein System reinzukommen, dann schauen sie sich dort um. Was ist das für eine Firma? Was kann man da tun? Das heißt, es wird zuerst sehr viel Information gesammelt, bevor tatsächlich ein Angriff stattfindet. Damit hat der Kriminelle wirklich viel Wissen über das Opfer gewonnen und verlangt dann auch ein Lösegeld, das realistisch ist und wovon der Kriminelle ausgehen kann, dass die angegriffene
Firma sich die geforderte Lösegeldsumme leisten kann und lieber bezahlt als zur Polizei zu gehen.
Kommt es denn vor, dass jemand angegriffen ist oder sogar geschädigt wird und das gar nicht bemerkt oder erst mit sehr langer Verzögerung?
Wann eine Firma merkt, dass sie angegriffen wird, wird leider in sehr vielen Fällen vom Kriminellen selbst entschieden. Das heißt, der Kriminelle versucht, so unbemerkt wie möglich zu bleiben, wenn er das System einer Firma gehackt hat, und wartet den Zeitpunkt ab, der für ihn am günstigsten ist. Wenn nachträglich ein Fall im Detail analysiert wird, kann man relativ gut feststellen, wann genau der Kriminelle in ein System eindrang, und wann der Zeitpunkt ist, wo er entdeckt wird. Dazwischen können manchmal 200 Tage liegen.
Banken werden nach wie vor angegriffen, vor allem aber Bankkunden.
Ist der Finanzplatz denn gut gerüstet oder gibt es Maßnahmen, die man noch umsetzen könnte?
Es gibt immer Dinge, die man noch machen könnte, denn Sicherheit ist ja nicht ein Zustand, sondern ein Prozess. Man kann also nicht sagen, „Okay, jetzt ist alles gemacht, jetzt ist es gut.“Es ist ein Prozess. Die Dinge entwickeln sich, und man muss immer auf der Hut bleiben. Einerseits. Andererseits, um die Entdeckungsrate zu verbessern, schneller, effizienter und früher festzustellen, dass da ein Angriff stattfindet, ist definitiv ein Bereich, der nicht nur in Luxemburg, aber spezifisch auch in Luxemburg noch etwas schwä
Pascal Steichen, Chef von Securitymadein.Lu, ist seit kurzem auch Vorsitzender des European Cybersecurity Competence Centre (ECCC). chelt. Die frühen Regulierungen, seien sie europäisch oder luxemburgisch, fokussierten sich hauptsächlich auf die Schutzmaßnahmen. Aber die Reaktion auf Angriffe, dass man sie schnell entdeckt und dass man auch vorbereitet ist, um einen Angriff zu managen, da gibt es noch etwas Nachholbedarf. Das sieht man zum Beispiel in den ganz rezenten europäischen Regulierungen, wo fokussiert auf Incident Response gesetzt wird. Das ist auch ein Beispiel, wo man wirklich permanent Systeme und Leute braucht, die permanent am Ball bleiben und die Sicherheit sehr aktiv gestalten. Denn zu jedem Moment muss man ja aktiv werden, wenn ein Angriff durchdringt.
Post mortem sozusagen, wenn es um die ganzen Analysen oder die Forensik geht - die IT-Gerichtsmedizin, wenn man so will – da gibt es in Luxemburg noch Luft nach oben. Wenn man sich den Sektor der IT-Dienstleistungen in Luxemburg anschaut, die Firmen und deren Produkte und Dienstleistungen, sieht man, dass dieser Bereich weniger groß ist, es also nur einige wenige gibt, die diese Dienste anbieten. Denn der Sektor Cybersicherheit ist in Luxemburg von Anfang an eng mit dem Finanzsektor verbunden, wo Cybersicherheit schon seit längerem ein wichtiges Thema ist. Der Finanzsektor hat hier den Cybersicherheits-Sektor intensiv mitgestaltet. In Zukunft wird sich das wahrscheinlich aber wandeln. Denn auch alle anderen Wirtschaftsbereiche digitalisieren sich, und damit wird auch für sie das Thema Cybersicherheit immer wichtiger, mit neuen Anforderungen an diese Dienstleister und der Nachfrage
nach neuen Kompetenzen im Cybersicherheitsmarkt.
Was macht SMILE konkret und wie arbeiten Sie?
Wir haben drei Hauptaufgaben und bieten eine öffentliche Dienstleistung für Firmen in der Privatwirtschaft sowie für Gemeinden. Unsere Aufgabe lautet dabei Kompetenzaufbau, sei es bei den Mitarbeitern über Trainings, organisatorische Sicherheit – wie muss sich ein Unternehmen aufstellen und was braucht es für Prozeduren – und dann die technischen Lösungen, indem wir Firmen analysieren und daraufhin mit den Spezialisten für ihr spezifisches Problem zusammenbringen. Das auf zwei Ebenen: Systeme schützen und auf Angriffe auf Systeme reagieren. Für den Fall der Fälle haben wir auch ein Emergency Response Team, sozusagen die Feuerwehr, die man kontaktieren kann, wenn ein Cyberangriff gerade stattfindet.