Armand Portmann: «Cyber-Kriminelle machen mehr Geld als Drogenhändler»
Der Hacker mit Kapuzenpulli ist passé: Cyber-Kriminalität ist ein Milliardenbusiness. Armand Portmann, Experte für Informationssicherheit an der Hochschule Luzern, erklärt, wie die Angreifer vorgehen, weshalb auch Staaten zum Hacking greifen, und welche Rolle neue Technologien wie KI bei der Cyber-Sicherheit spielen.
Dieser Beitrag wurde von Martin Zimmermann von der Hochschule Luzern für secnovum verfasst.
Armand Portmann, aktuell vergeht fast keine Woche ohne die Meldung über einen grösseren Cyber-Angriff. Wer steckt hinter diesen Attacken?
Es hat eine Verlagerung stattgefunden: Vor zehn oder 15 Jahren führten oft sogenannte Script Kiddies die Angriffe durch. Also technisch mehr oder weniger versierte Einzeltäter, deren Ziele nicht immer ganz klar waren. Inzwischen sind meistens finanziell motivierte kriminelle Organisationen die Angreifer.
Das Klischee des einsamen Hackers mit Kapuzenpulli hat also ausgedient?
Das ist eine romantisierende Vorstellung, die mit der Realität nichts mehr zu tun hat. Daten sind heute insgesamt viel besser geschützt als früher. Entsprechend brauchen die Angreifer mehr Know-how. Man muss hier von regelrechten kriminellen Grossunternehmen mit teils hunderten «Mitarbeitenden» sprechen, die «Cyber Crime as a Service», also Cyber-Kriminalität als Dienstleistung, anbieten.
Wie muss man sich diesen «Service» vorstellen?
Der Klassiker sind sogenannte Denial of Service-Attacken. Dabei wird der Internet-Auftritt eines Unternehmens so blockiert, dass er für Kunden nicht mehr erreichbar ist. Den Angriff kaufe ich bei einer cyber-kriminellen Organisation ein, die über «Bot-Netze» verfügt. Dabei handelt es sich um Verbünde hunderter oder tausender infizierter Computer von Einzelpersonen oder Unternehmen, die von den Angreifern ferngesteuert werden. Diese Bots bombardieren den Server des Ziels solange mit Anfragen, bis dieser zusammenbricht. Je mehr Computer an einem Bot-Netz beteiligt sind, um so potenter ist der Angriff.
Welche Unternehmen sind besonders gefährdet?
Grundsätzlich könne alle Opfer eines Angriffs werden, vom internationalen Grosskonzern über Hochschulen und Behörden bis zum lokalen Transport-Unternehmen – ob nun per Zufall oder weil jemand sie gezielt ausgewählt hat. Gerade bei kleineren Unternehmen herrscht allerdings oft noch die Vorstellung: Bei uns gibt es nichts zu holen, also müssen wir auch nicht in Cyber- und Informationssicherheit investieren.
Sie haben Denial of Service-Attacken angesprochen. Welche anderen Angriffsarten gibt es noch?
Ransomware-Angriffe gehören seit Jahren zum Repertoire der Cyber-Kriminellen. Dabei werden die Daten auf den Systemen der Opfer verschlüsselt und dadurch ihrem Zugriff entzogen. Die Hacker entschlüsseln die Daten erst nach einer Lösegeldzahlung – so jedenfalls die Hoffnung der Opfer, die sich nicht immer erfüllt.
Mit der Verbesserung der Schutzmassnahmen haben sich auch die Angreifer weiterentwickelt. Sie kopieren nun sensible Daten vor der Verschlüsselung und drohen damit, sie zu veröffentlichen, falls nicht gezahlt wird. Die Universität Neuenburg wurde erst vor wenigen Tagen Opfer einer solchen Ransomware-Attacke.
Lohnen sich Cyber-Attacken finanziell?
Cyber-Kriminelle liefern uns keinen Einblick in ihre Konten, aber das Geschäft ist sehr lukrativ. Man schätzt, dass der weltweite Umsatz mit Cyber-Kriminalität rund 600 Milliarden Dollar jährlich beträgt. Cyber-Kriminelle machen mehr Geld als Drogenhändler.
Ein Einzelfall zur Illustration: 2015 führte die russische Hacker-Gruppe «Carbanak» Angriffe auf zahlreiche Finanzinstitute aus, die unter anderem dazu führten, dass Bankautomaten höher notierte Noten ausgaben, als die Automaten-Software registrierte. Die Kriminellen lösten zudem missbräuchliche Zahlungen aus. Carbanak erbeutete bei diesem Cyber-Bankraub insgesamt 1 Milliarde Dollar.
Cyber-Angriffe in der Schweiz
Mitte Februar rief das nationale Zentrum für Cybersicherheit des Bundes über 100 Schweizer Firmen und Gemeinden dringend dazu auf, ihre Sicherheitslücken zu schliessen, um sich vor Angriffen zu schützen. Die Warnung kommt nicht von ungefähr: Laut dem Branchenverband Digital Switzerland waren 2021 rund ein Drittel der Schweizer KMU von einem Cyberangriff betroffen. Genaue Zahlen sind nur schwer zu bekommen, wie IT-Sicherheitsexperte Armand Portmann von der Hochschule Luzern erläutert. Unternehmen hielten Angriffe oft unter dem Deckel, auch um eigene Versäumnisse zu verbergen. Seit rund fünf Jahren nehme die Zahl der Vorfälle zu. Die Corona-Pandemie habe diese Entwicklung noch beschleunigt. Betroffen sind auch prominente Namen wie Stadler Rail, die Swatch Group oder die Flughafen-Logistikfirma Swissport.
In den letzten Jahren wurden auch Ziele ohne finanzielle Motive angegriffen, etwa die Steuerung der Trinkwasserversorgung in Florida. Was steckt da dahinter?
Neben klassischer Kriminalität gibt es auch politisch motivierte Attacken. Wer eine kritische Infrastruktur angreift, ist vielleicht gar nicht darauf aus, Geld zu machen, sondern will Unsicherheit und Angst verbreiten. Die Grenzen zu terroristischen Akten sind hier fliessend. Manchmal sind die Drahtzieher im Hintergrund auch staatliche Akteure. Offiziell übernimmt aber niemand die Verantwortung. Nordkorea hat bei Cyber-Raubzügen übrigens schon mehrere Milliarden Dollar erbeutet. Das Land hält sich damit finanziell über Wasser.
Welche Rolle spielen Cyber-Attacken im Krieg zwischen der Ukraine und Russland?
Militärische Cyber-Fähigkeiten gehören heute generell zum Standard-Repertoire zahlreicher Staaten. Russland ist da nicht allein. Im Fall der Ukraine-Krise erfolgten Cyber-Angriffe bis vor kurzem als Teil der hybriden Kriegsführung Russlands vor allem in Form von Desinformations- und Propagandakampagnen. Hacker verbreiteten mit Hilfe gestohlener Social-Media-Nutzerprofile Falschinformationen. Nun, da der Krieg offen ausgebrochen ist, führen sie auch massive Cyber-Attacken auf den ukrainischen Staat aus; umgekehrt gab es auch Angriffe auf russische Seiten.
Begünstig das Homeoffice die Zunahme der Attacken?
Das Homeoffice hat die Angriffsfläche für Cyber-Kriminelle massiv vergrössert. Die Verbindungen zwischen Haushalten und Betrieben sind oft unsicher. Oder es wird auf unsicheren privaten Geräten gearbeitet. Der Familien- oder Gaming-Computer als Arbeitsgerät – für die Informationssicherheit eine Horrorvorstellung! Daher lautet meine ausdrückliche Empfehlung an alle Unternehmen, Verhaltensempfehlungen für die Mitarbeitende im Homeoffice abzugeben und gleichzeitig technische Sicherheitsmassnahmen wie VPN-Verbindungen und Zweifaktor-Authentifizierung einzuführen. Niemand ist «zu klein», um angegriffen zu werden.
«Militärische Cyber-Fähigkeiten gehören zum Standard-Repertoire von Staaten.»
Armand Portmann
Wir haben vor allem über Attacken auf Unternehmen und kritische Infrastrukturen gesprochen. Vor welchen Angriffen muss sich der oder die Einzelne in Acht nehmen?
Besonders verbreitet ist «Social Engineering»: Die Angreifer versuchen dabei, ihre Opfer zu manipulieren und sie zu unvorsichtigem Verhalten zu verleiten. Ein klassisches Beispiel dafür ist das Phishing. Wir alle kennen die angeblichen Zahlungsaufforderungen im Namen der Post oder von Netflix. Wer nicht genau hinschaut, klickt in so einer E-Mail auf den eingebetteten Link, landet auf einer echt aussehenden Login-Seite und gibt dort seine Anmeldeinformationen ein. Da helfen dann auch keine komplexen Passwörter mehr.
Darauf fällt doch niemand mehr herein…
Klar, die meisten Nutzerinnen und Nutzer erkennen schlecht gemachte Phishing-E-Mails, aber diese Mails gehen an tausende Adressen, sodass immer jemand im Netz hängen bleibt. Finanziell scheint die Rechnung aufzugehen. Die Kriminellen betreiben zudem immer öfter Spear Phishing, Attacken also auf gezielt ausgewählte Personen. Spear Phishing-E-Mails sind sehr gut gemacht, sozusagen massgeschneidert mithilfe von Informationen, die man im Internet recherchieren kann. In solchen E-Mails fordert beispielsweise der «Chef» einen Mitarbeiter oder eine Mitarbeiterin der Finanzabteilung auf, sofort eine Transaktion für ein laufendes Projekt auszulösen. Man nennt diese Angriffe sinnigerweise «CEO Fraud».
Was kann man als Unternehmen tun, um sich gegen Cyber-Angriffe zu wappnen?
Einerseits ist der technische Schutz, durch Updates, Anti-Virus-Software, Firewalls, Verschlüsselung der Daten, Zweifaktor-Authentifizierung und so weiter, ein absolutes Muss. Aber man muss in den Unternehmen auch ein Bewusstsein für die Gefährdungen schaffen und bei Mitarbeitenden das richtige Verhalten schulen. Darüber hinaus sollte die Öffentlichkeit generell durch Kampagnen zu Themen der Informationssicherheit sensibilisiert werden. Die besten technischen Schutzvorkehrungen nutzen nichts, wenn man als Einzelner oder Einzelne kein Bewusstsein für die Gefahren entwickelt und sich manipulieren lässt.
Die Zukunft der Cyber-Kriminalität
Neue Technologien wie Künstliche Intelligenz oder Quantencomputer wirken sich auch auf die Cyber-Kriminalität aus. Armand Portmann nennt drei Beispiele:
- Künstliche Intelligenz: «KI ermöglicht Deep Fakes, realistisch wirkende Fake-Videos. Bekannt ist das Video einer Ansprache von Barak Obama mit Aussagen, die er nie gemacht hat. Solche Fakes könnten eingesetzt werden, um die Video-Identifikation, wie sie von gewissen Finanzinstituten bei der Kontoeröffnung praktiziert wird, auszutricksen. Es gibt jedoch auch gute Nachrichten: Lernende Algorithmen können helfen missbräuchliche Finanztransaktionen zu erkennen oder verdächtige Aktivitäten in einem Firmennetzwerk zu identifizieren.»
- Quantencomputer: «Dank ihrer enormen Rechenleistung werden Quantencomputer dereinst innert kürzester Zeit aktuelle Verschlüsselungssysteme brechen können. Die Technologie steckt noch in den Kinderschuhen. Um sich aber gegen künftige Angriffe zu wappnen, erforschen Quantenkryptografinnen und -kryptografen schon heute Abwehrstrategien; an der Hochschule Luzern im Rahmen einer Assistenzprofessur des Schweizerischen Nationalfonds SNF.»
- Internet der Dinge: «Bei Kriminellen besonders beliebt sind schlecht gesicherte Privatgeräte wie Babyphones mit Internet-Anschluss. Es gab schon Fälle, wo Angreifer tausende dieser Geräte hackten, um damit Bot-Netzwerke zu errichten. Auch Steuerelemente von Kraftwerken, zum Beispiel Ventile, gehören zum Internet der Dinge und rücken zunehmend in den Fokus von Cyber-Kriminellen.»