Interview mit Mikko Hypponen – KMUs: Ausspähen leicht gemacht

Interview mit Mikko Hypponen beim AIN der AXSOS AG

Mikko Hypponen und Frank Müller, Vorstand der AXSOS AG, beim AIN Symposium 2015

Am 07. Mai 2015 fand das vierte AXSOS Innovation Network (AIN) Symposium der AXSOS AG aus Stuttgart statt. Mit der idyllischen Eselsmühle, einem ländlichen Kleinod am Rande Stuttgarts, wurde bewusst ein Veranstaltungsort gewählt, der viel Freiraum für Gedanken, Gespräche und Vorträge erlaubte. Ein positiver Kontrast, der auch Mikko Hypponen, Chief Research Officer der finnischen Firma F-Secure, begeisterte. Als einer der führenden Internet-Sicherheitsexperten weltweit, füllt er normalerweise Säle mit tausenden von Zuhörern. Auf dem AIN Symposium konnten ihn 60 Fachleute aus dem Mittelstand persönlich und hautnah erleben.

Es heißt kleine und mittelständische Unternehmen (KMUs) sind ein besonders dankbares Opfer für Cyberkriminelle, da diese Angriffe gar nicht oder erst viel zu spät bemerken würden? Worauf führen Sie diese Nachlässigkeit zurück, oder ist dies ein deutsches Phänomen?
Das ist ein echtes und globales Problem, kein ausschließlich deutsches. Der Kern ist, dass Unternehmen erst darüber nachdenken, nachdem sie direkt betroffen sind. Dann erst wachen sie auf und erkennen: Das ist real und wir müssen uns gegen die Gefahren schützen. Vor drei Jahren tauchten mehr und mehr so genannte Krypto-Trojaner auf. Das sind Trojaner, die Festplatten verschlüsseln und Dateien nur gegen Geld wieder nutzbar machen. Anfangs waren nur Privatanwender und deren Urlaubsfotos betroffen. Dann erkannten die Angreifer aber, dass einige ihrer Opfer keine Privatanwender waren, sondern Nutzer eines Unternehmensrechners und diese genauso leicht angreifbar sind. Wenn sie dazu noch keine Back-ups hatten, bedeutete das, dass die Unternehmen zu zahlen hatten, um ihre Dateien zurück zu bekommen. Deshalb wurden die Trojaner auf Unternehmensrechner ausgerichtet. Die Menge an zu zahlendem Geld bemaß sich dabei an der Menge der verschlüsselten Dateien. Und wenn wir von Unternehmensrechnern sprechen, dann sprechen wir auch von einem Firmennetzwerk und damit verbundenen Netzwerkfreigaben, was bedeutet, dass über Nacht Zehntausende von Dokumenten befallen werden können.

Warum sind sich KMUs der Gefahr von Trojanern nicht bewusst?
Das Problem ist, dass KMUs meist nicht über Vollzeit-IT-Sicherheitsexperten verfügen. Wenn das Unternehmen aber wächst und Konzerngröße erreicht, haben sie vermutlich eigene IT-Abteilungen mit Experten und Beratern. Dies ist dann ein entscheidendes Level, in dem sie groß genug sind, um ein interessantes Ziel für Kriminelle zu werden aber sie noch nicht groß genug sind, um ihr Unternehmen tatsächlich richtig zu sichern.

Sind KMUs überhaupt in der Lage sich entsprechend zu wappnen?
In vielen Fällen verfügen sie nicht über das nötige Know-how, um es selbst zu tun. Das bedeutet, wenn sie sicher sein wollen, brauchen sie Hilfe. Sie müssen die IT-Sicherheit möglicherweise outsourcen. Das ist etwas, womit sich viele Unternehmen unwohl fühlen. Denn wenn sie ihre IT-Sicherheit in fremde Hände geben, dann damit auch die Sicherheit der kritischsten Geschäftsgeheimnisse. Jedoch ist es nichts anderes als das Outsourcing der physischen Sicherheit: Die meisten Unternehmen haben keinen eigenen Wachmann. Sie lagern diesen Sicherheitsdienst aus. Genauso ist es hier: Wenn sie die Ressourcen und die Fähigkeiten nicht haben, um es selbst zu tun oder ihr Geschäft nicht daraus besteht ein IT-Sicherheitsexperte zu sein, sollten Unternehmen das Outsourcing ernsthaft in Erwägung ziehen.

Viele Unternehmen ignorieren die Risiken und folgen keinen Standards, sondern »zimmern« sich Schutzmaßnahmen im Eigenbau und nehmen ungern externe Hilfe an. Was können CEOs und IT-Entscheider hier tun?
Die Aufgabe des CIOs ist es die Höhe der Investitionen in die IT-Sicherheit mit den potenziellen Risiken abzuwägen. Es macht keinen Sinn zehn Millionen auszugeben, um sich gegen ein eine Million teures Risiko zu schützen. Sie müssen in der Lage sein, die Ausgaben für Sicherheit gegen mögliche Risiken abzuwägen. Es beginnt alles mit der Bedrohungsmodellierung und -analyse, in denen die Gefahren identifiziert werden – sprich wen würde der Zugang zu den unternehmenseigenen Systemen interessieren. Dies ist nicht bei allen Unternehmen gleich! Unterschiedliche Unternehmen haben andere Arten von Angriffen zu befürchten. Zum Beispiel muss sich eine Pizzeria nicht darüber den Kopf zerbrechen, dass fremde Regierungen versuchen die IT-Sicherheit zu umgehen, um Rezepte zu stehlen. Sehr wohl muss sich die Pizzeria aber darüber Gedanken machen, dass jemand daran interessiert ist, Zugang zu dem Kreditkartensystem, mobilen Zahlungsterminals, Gehaltsabrechnungssystem oder den Kreditkarteninformationen zu bekommen.

Zusammenfassend: Niemand kann die Bedrohungsanalyse für sie übernehmen. CIOs kennen die eigene Organisation besser und wissen, welche Risiken zu befürchten sind und CIOs sind deshalb am besten in der Lage zu beurteilen, wer hinter ihnen her ist.

Sicherheit, Sicherheit, Sicherheit! Das Bewusstsein dafür war immer sehr niedrig, aber jetzt wird es zusehends besser.
Ja, denn das Thema bestimmt mehr und mehr auch die Schlagzeilen. Natürlich verändern sich auch die potenziellen Risiken in Bezug darauf. Wenn wir darüber nachdenken, welche Art von Sicherheitsproblemen wir vor zehn Jahren hatten, dann waren das meistens Malware-Angriffe per E-Mail und Würmer, die das Netz nach potenziellen Schwachstellen scannten. Die Opfer waren Unternehmen, die nur zufällig betroffen waren. Die Angriffe, die wir heute sehen, sind viel zielgerichteter.

Wie beurteilen Sie das Problem diesbezüglich in Hinblick auf den »Bring-Your-Own-Device«-Gedanken (BYOD) oder dem mobilem Arbeiten?
Kein Unternehmen beginnt mit der Umsetzung des BYOD, um Sicherheitsvorteile zu erlangen. Denn da gibt es keine! Die Vorteile liegen woanders – Bequemlichkeit, Benutzerfreundlichkeit und vielleicht auch Kostenvorteile aber nicht die Sicherheit. Wenn sich Unternehmen zum BYOD entschließen, dann müssen die Regeln klar sein. Sie müssen Richtlinien festlegen, die vor allem für die Mitarbeiter verständlich sind. Denn wenn Mitarbeiter eigene Geräte im Unternehmensumfeld nutzen wollen, müssen sie sich an unternehmenseigene Policies halten. Wenn die Geräte nicht sicher sind, werden sie automatisch gesperrt, so dass sie nicht auf E-Mails oder Unternehmensdaten zugreifen können. So sollte es gemacht werden, um die bestmögliche Sicherheit in einer Situation zu gewährleisten, die nicht ideal ist.

Jedermann spricht von Industrie 4.0 und dem Internet of Things. Wird das Problem demnach akut?
Das Internet of Things wird definitiv zum Ziel ausländischer Übergriffe. Wir haben bereits Beispiele gesehen, die das belegen. Es ist klar, dass alle unsere Geräte in Zukunft verbunden sein werden. Das bedeutet, dass der Kühlschrank, die Mikrowelle und sogar der Toaster online sein werden – Autos sind es bereits (siehe Tesla). Das ist also nicht etwas, was in ferner Zukunft geschehen wird sondern es passiert gerade jetzt. Allerdings sind Bedrohungsszenarien, in denen jemand den Toaster hackt und als Brandauslöser benutzt, nicht sehr realistisch. Denn was bringt das dem Angreifer? Warum sollten sie das tun? Aber es gibt Bedrohungsszenarien, die Sinn machen würden. Zum Beispiel hackt jemand den Toaster, nicht um das Haus abzubrennen, sondern um Rechenleistung zu stehlen. Er macht aus dem Toaster einen Bot in einem Botnet, das verwendet werden kann, um Denial-of-Service-Angriffe gegen Webseiten zu starten. Also müssen wir aus Sicht der Motive denken. Die Angreifer wollen Geld verdienen und wenn sie dazu das Internet of Things hacken müssen, dann wird das in Zukunft tatsächlich geschehen.

 

Der Mittelstand gilt als das Rückgrat der deutschen Wirtschaft. Wie kann das geistige Eigentum und Know-how besser oder überhaupt geschützt werden?
Es ist schwer und gleichzeitig überraschend für viele Unternehmen, dass sie tatsächlich geistiges Eigentum verlieren – vor allem an eine ausländische Regierung. Vor zwei Jahren fanden wir eine Malware, die wir Medre nennen. Diese Malware ist in Lisp geschrieben. Das ist eine Sprache, die wir fast nie in Malware gefunden haben. Der Grund ist: Medre infiziert 3D-Zeichnungen, die mit AutoCAD erstellt wurden und Lisp ist die Makro-Programmiersprache darin. Wir sprechen also von einer Zeichnung, zum Beispiel von Häusern, Brücken oder Geräten, die mit der AutoCAD 3D-Software erstellt wurde. Wenn die infizierte Zeichnung an ein anderes Ingenieurbüro oder den Kunden weitergeleitet wird, wird damit die schädliche Malware verbreitet und infiziert beim Öffnen gleichzeitig alle anderen Zeichnungen. Dies repliziert sich von einem Ingenieurbüro zum anderen – und schließlich von einem Land zum anderen. Es gibt Tausende von Ingenieurbüros, auch hier in Deutschland, die infiziert wurden. Sie haben keine Ahnung, dass ihr geistiges Eigentum gestohlen wird. Die meisten von ihnen erkennen erst viel später, was passiert und dann ist es zu spät.

Was das Ganze noch schlimmer macht, ist dass wenn diese Dateien infiziert werden, der Wurm eine Kopie dieser Zeichnungen erstellt und diese Kopien nach China sendet. Wir glauben, dass es sich demnach um massive chinesische Spionage handelt.

Also das ist die eine Sache. Die andere ist: Jeder spricht über Cloud. Was denken Sie über Cloud und Daten in der Cloud, wie Entwicklungsdaten und ähnliche?
Zunächst es gibt keine Cloud. Es ist der Computer von jemand anderem. Möchte man Dateien auf dem Computer eines anderen speichern? Wenn man sich entschließt Cloud-Services zu nutzen, muss klar sein, dass man seine Dateien aus der Hand gibt. Wenn man einen Service nutzt, dem man blind vertrauen kann, ist das kein Problem. Doch die meisten Cloud-Services, mit denen Unternehmen arbeiten, sind amerikanische Dienste: Amazon, Microsoft, Apple, Google, Dropbox. Das Problem dabei ist, dass wenn wir die Dienste als europäisches Unternehmen nutzen, diese Dienste auf dem US-Gesetz basieren. Das heißt, wir haben keine Rechte!

c_7-8-2015_400_zitat1

Wenn wir freiwillig unsere Daten an amerikanische Dienste geben, verschenken wir sie also regelrecht. Die US-Regierung kann einen Blick auf die Daten werfen, so lange und so oft sie will, und sogar Kopien davon machen – und das völlig legal! Deshalb sollten wir genau überlegen, ob wir Cloud-Services überhaupt nutzen und wirklich ausländische Dienste in Anspruch nehmen sollten. Dann sollten Daten vor dem Speichern in diesen Diensten aber verschlüsselt werden, um es für Dritte unmöglich zu machen, diese anzusehen. Die meisten Unternehmen tun das nicht. Was aber noch viel überraschender für mich ist, ist nicht die Tatsache, dass die Unternehmen ihre eigenen Daten in der Cloud speichern, sondern dass sie es mit ihren Kundendaten machen.

Der deutsche Mittelstand gilt immer noch als Selbstbedienungsladen für Cyberkriminelle. Was sind die größten Gefahren und Versäumnisse?
Ein zunehmend ernster werdendes Problem für KMUs sind so genannte Ransom-Trojaner. Das sind Self-Encrypting-Trojaner, die Systeme befallen und Dokumente verschlüsseln, um Geld zu erpressen. Das ist ein sehr konkretes Problem, weil sich beim Erkennen, dass das Netzwerk verschlüsselt ist, bereits die Frage stellt, wie weiter gearbeitet werden kann? Gibt es Back-ups? Wie gut sind die letzten Back-ups bzw. die Back-up-Politik? Wurden die Back-ups zu einem Online-Server hochgeladen, der nun auch verschlüsselt wurde? Sind auch diese Back-ups nun verloren? Wir sehen überraschend viele Fälle, in denen Unternehmen zu Opfern werden, die letztendlich Lösegeld zahlen müssen. Einige dieser Fälle sind fast schon komisch. Wir kennen zwei Fälle, in denen tatsächlich Polizeistationen betroffen waren und die Polizei keine Back-ups hatte. So musste die Polizei die Verbrecher bezahlen, um ihre Dateien zurück zu bekommen.

Mikko Hypponen

Was können KMUs tun, um einen Hack schnellstmöglich zu bemerken?
Man braucht sich keine Hoffnung auf das frühzeitige Erkennen von Hacking zu machen, wenn man nicht weiß wie der Datenverkehr normalerweise aussieht. Man muss wissen was die Basislinie ist, von der ausgegangen werden muss, wenn das Netzwerk, der Datenverkehr und die Art der Nutzung betrachtet wird. Nur dann kann nach einer guten Erklärung für Anomalien gesucht oder es auf Hardware-Ausfall oder vielleicht sogar Schlimmeres zurückgeführt werden. Vielleicht gibt es etwas im Netzwerk, das normalerweise nicht zu sehen ist. Zum Beispiel: Warum sendet der Laptop unseres Chief Financial Officers Gigabyte an Daten nach China um vier Uhr in der Früh? Dann gibt es die Möglichkeit der Erkennung. Erst dann kann danach gefragt werden, warum etwas passiert, das nichts mit dem normalen Geschehen zu tun hat. Aber erst die Basislinie ermöglicht es Unregelmäßigkeiten abwägen zu können.


Das Gespräch führte Albert Absmeier
Bilder: Axsos AG

Weitere Artikel zu