Eigentlich ist "as a Service" ein positiver Begriff - doch mittlerweile verwenden ihn Experten schon für die Hacker-Szene. Ein Webcast der Computerwoche schildert, wie sich Betroffene wehren können.
Denn Cyberkriminelle arbeiten heute hoch effizient. Sie sourcen Aufgaben aus und bieten ihre "Leistungen" as a Service an. Eine Gruppe stiehlt Zugangsdaten, die andere dringt ins Firmennetzwerk ein und die nächste kapitalisiert die Daten. Wie sich IT-Chefs dagegen wehren, schildern einige Fallbeispiele.
Bernd König, Director Product Line Security EMEA bei Akamai Technologies, und sein Kollege Gerhard Giese, Manager Enterprise Security Architects EMEA, schildern die Lessons Learned im Gespräch mit dem Fachjournalisten Arne Arnold.
Bots ermöglichten den unerwünschten Schwarzmarkt
Fallbeispiel Eins bezieht sich auf einen Sportverein, der über eine Website Tickets verkauft. Diese Tickets sind so begehrt, dass der Verein ein zweites Portal eingerichtet hat, über das Fans - sollten sie das Spiel doch nicht sehen können - ihre Karte weiterverkaufen können. "Eine Art Tauschbörse, die den Schwarzmarkt trockenlegen soll", kommentiert Arnold. Irgendwann fiel den Verantwortlichen auf, dass diese Tickets einfach zu schnell weg waren. "Da konnte etwas nicht stimmen", erklärt Giese. Hier waren Bots am Werk, wie Akamai denn auch feststellte.
"Damit hatten die Fans also wieder das Nachsehen, weil sich eben doch ein Zusatzmarkt mit Tickets zu deutlich überhöhten Preisen entwickelt hatte", so Giese. Akamei schaltete ein System mit dem Ziel, dass nur Menschen kaufen können, keine Bots. "Die Fans sind zufrieden und der Sportverein sichert seine Reputation", ergänzt König. Beide Experten halten Captures in solchen Fällen nur für eine Notlösung. "Sie können nicht sicher sein, ob sie wirklich mit einem Menschen zu tun haben", so ihre Einschätzung. Übrigens müsse man Bots ja nicht zwingend blocken. Man könne sie auch umleiten.
Nach Königs Erfahrung werden im Darknet DDoS-Services etwa für 109 Euro angeboten. "Hier weisen die Anbieter darauf hin, dass sie "alle gängigen Abwehrsysteme" umgehen könnten", betont der Experte. Darin sieht er übrigens eine gewisse Chance, verraten die Hacker mit dieser Formulierung doch eine gewisse Trägheit - alle gängigen Systeme. "Auch die Angreifer wollen das Rad nicht neu erfinden", schmunzelt König. Sie sind auf "tiefhängende Früchte" aus. Genau hier aber machen es ihnen viele Unternehmen zu einfach, leider.
Die Artikelnummer ist im Warenkorb, bevor die Ware live geht
Eine Ad-hoc-Umfrage unter den Webcast-Zuschauern ergibt: Jeder Dritte (33 Prozent) ist bereits mehrfach angegriffen worden, weitere 15 Prozent einmal. 21 Prozent können die Frage gar nicht beantworten und ebenfalls rund ein Drittel nimmt für sich in Anspruch, noch nie Opfer geworden zu sein. Zum Vergleich: das BSI geht von siebzig Prozent aus, die bereits attackiert wurden.
"Generell werden alle Branchen angegriffen", beobachtet Giese. Und zwar immer da, wo Daten "interessant" sind, das heißt, Rückschlüsse auf eine Person zulassen. Verwendet dann diese Person ihre Passwörter mehrfach, macht sie es Angreifern leicht. "Man kann im Darknet erbeutete Daten auch an eine Art Treuhänder geben", berichtet König. "Oder der Hacker bekommt 25 Prozent vom erbeuteten Lösegeld bei ver- und wieder entschlüsselten Daten."
Die Experten schildern ein weiteres Fallbeispiel. Es geht um einen Sportartikel-Hersteller , laut König Marktführer. Der Akamai-Manager hat zwei Screenshots aus dem Darknet mitgebracht. "Sportschuhe werden zum Luxusgut, wenn eine berühmte Persönlichkeit eine limited Edition herausgibt", berichtet König. Diese Schuhe werden natürlich beworben, und Cyberkriminelle wissen, dass sie irgendwann online gestellt werden. Die Bots haben die Artikelnummer des vorbereiteten Artikels bereits im Warenkorb, bevor die Ware live geht. "So schnell kann der Mensch gar nicht klicken, wie die dann weg sind", seufzt König. Und hier wird mit normalen Webcrawlern gearbeitet. "Die Angreifer brauchen dafür nicht mal Leakage", so das Fazit des Experten.
Von "Do-it-yourself" zur Cloud
Doch Moderator Arnold will noch mehr von Seiten der Zuschauer wissen. "Wie sind Ihre Server geschützt?", fragt er das Publikum. Die Antworten: 36 Prozent schützen sich über eine eigene Firewall, acht Prozent über die des Internet Providers, fünf Prozent über einen Cloud Security Anbieter - und der große Rest über einen Mix aus allen genannten Wegen.
In Sachen Schutz identifiziert Giese einen Trend von "Do-it-yourself" zur Cloud. Was er nachvollziehen kann: "Cloud-Services wachsen mit ihren Anforderungen. Sie sind skalierbar in Performance, Verfügbarkeit und Sicherheit." Sein Kollege ergänzt: " Wir sind doch längst drin. Die Digitalisierung hat uns doch erreicht, etwa beim Bezahlen per Handy!"
Doch wie soll ein Entscheider im Unternehmen nun vorgehen? Giese empfiehlt, erst einmal die unterschiedlichen Schichten durchzugehen. "Ist meine Web-Infrastruktur gesichert, ist die Router-Infrastruktur gesichert, habe ich ausreichend Ressourcen", zählt er auf. Selbstverständlich müssen Penetrations- und Vulnerability-Tests durchgeführt werden, ebenso Patch-Management. König formuliert das so: "Eigentlich die Anwendung von gesundem Menschenverstand, aber auf ganz anderem Abstraktionsniveau und sehr, sehr technisch." Und Giese ergänzt: "Prävention ist alles!"