bericht: manipulation des spielfelds: wie falsche anreize ... · kriminalität – kompetitiv,...
TRANSCRIPT
BERICHT
Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeitenCenter for Strategic and International Studies
BERICHT
2 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Inhalt
6
8
Cyber-Sicherheit erhält jetzt höchste Priorität
„Eine Steuer, die wir alle nicht bezahlen möchten“
9
11
Diskrepanz zwischen Strategie und Umsetzung
Erfassung der Effektivität
12
17
Motivationen für Sicherheitsverbesserungen
Suche nach Lösungen
22 Das Black Hat-Ökosystem
23
24
Spezialisierungen auf dem kriminellen Markt
Der Markt für CyberKriminalität – kompetitiv, dezentralisiert, innovativ
26
27
Große Budgets fördern Innovationen auf dem grauen Markt
Black Hat oder White Hat?
29
31
Teilzeitkriminalität in der russisch sprachigen Welt stärker verbreitet
Neuausrichtung der Anreize zur Stärkung der Cyber-Sicherheit
BERICHT
3 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
In einigen Ländern wird Cyber-Kriminalität toleriert, geschützt oder sogar unterstützt. Regierungsbehörden und Unternehmen wissen, dass sie im Nachteil sind, holen aber nach Kräften auf.
1. SANS Institute: „IT Security Spending Trends“ (Trends bei Ausgaben für IT-Sicherheit), Februar 2016.
Cyber-Kriminelle stehen im ständigen Wettbewerb um Geld und Ruhm, sodass sie sich schneller anpassen sowie innovativer sind als Sicherheitsverantwortliche.Cyber-Kriminelle haben die Vorteile auf ihrer Seite – und das schon seit 20 Jahren, also seit der Kommerzialisierung des Internets. Die Cyber-Kriminalität ist aufgrund ihrer Anreize zu einer gewinnträchtigen Angelegenheit und einem dynamischen Markt geworden. Die Verteidiger haben große Schwierigkeiten, damit Schritt zu halten.
Teilweise erklärt sich das durch unterschiedlich definierte Anreize – sowohl innerhalb von Unternehmen als auch zwischen Angreifern und Verteidigern im Cyberspace: Während der dezentralisierte Markt, in dem sich die Cyber-Kriminellen bewegen, zu schnellen sowie effizienten Anpassungen und Innovationen zwingt, werden die Anreize der Verteidiger vor allem durch Bürokratie sowie Entscheidungen von oben beeinflusst.
Einige der Vorteile von Cyber-Kriminellen sind in der Technologie begründet – bei der Konzeption des Internets spielte die Cyber-Sicherheit bekanntlich keine Rolle. Einige sind durch Richtlinien begründet. In einigen Ländern wird Cyber-Kriminalität toleriert, geschützt oder sogar unterstützt. Regierungsbehörden und Unternehmen wissen, dass sie im Nachteil sind, holen aber nach Kräften auf. Die Kontrolle der Risiken durch Cyber-Bedrohungen gehört mittlerweile zu den wichtigsten Aufgaben, und doch behalten die besten Kriminellen selbst dann ihren Vorsprung, wenn Unternehmen ihrer Cyber-Sicherheit mehr Ressourcen zuweisen1. Das bedeutet jedoch nicht, dass Cyber-Kriminalität stets gewinnt, sondern dass Unternehmen und Regierungen neu definieren müssen, wie Schutzmaßnahmen gemessen, belohnt und gefördert werden sollen.
Märkte senden Signale aus, indem sie Preise sowie Belohnungen und damit Anreize für Aktionen schaffen. Der Markt für Cyber-Kriminalität ist effizient, und die Anreize für Cyber-Kriminelle sind klar und überzeugend. Das gilt jedoch nicht für die Verteidiger. Kriminelle gedeihen in diesem Markt, während die meisten Verteidiger im Bürokratiesumpf stecken bleiben. In den meisten Unternehmen sind unterschiedliche Gruppen und Personen für die Cyber-Sicherheit verantwortlich und nutzen dazu unterschiedliche (und manchmal einander widersprechende) Kennzahlen zur Ermittlung des Erfolgs.
Die Diskrepanz bei Anreizen gibt es nicht nur zwischen Angreifern und Verteidigern, sondern auch innerhalb von Unternehmen. Um dieses Missverhältnis zu untersuchen, führten wir eine Umfrage unter 800 Teilnehmern aus Unternehmen mit 500 bis 5.000 Mitarbeitern durch. Die Unternehmen sind in den fünf größten Branchen tätig, darunter Finanzen und Gesundheitswesen sowie öffentlicher Sektor. Für unsere Umfrage sprachen wir Führungskräfte im Cyber-Sicherheitsbereich sowie Operatoren an, die für die Technik und Implementierung der Cyber-Sicherheit verantwortlich sind. Die Ergebnisse bieten Einblicke darin, welche Cyber-Risiken die jeweilige Gruppe beim Treffen von Entscheidungen über die Cyber-Risikoverwaltungsstrategie des Unternehmens berücksichtigt. Wenn die von uns aufgedeckten falschen Anreize korrigiert werden, kann das eine einheitlichere und effektivere Cyber-Sicherheitslage für Unternehmen auf der ganzen Welt ermöglichen.
BERICHT
4 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Unsere Umfrage stellte drei nicht abgestimmte Anreize bei der Cyber-Sicherheit heraus. Innerhalb der Unternehmen sind die Anreize zwischen Strategie und Implementierung sowie zwischen leitenden Führungskräften und den Verantwortlichen für betriebliche Abläufe nicht aufeinander abgestimmt.2 Wichtiger noch ist, dass die auf die Cyber-Sicherheit bezogenen, streng hierarchisch strukturierten Governance-Prozesse, Risikoverwaltungsstrategien und Workflows der Verteidiger im krassen Kontrast zu den dynamischen, flexiblen Strukturen und Ad-hoc-Netzwerken ihrer Gegner stehen. Hochrangige Führungskräfte in Unternehmen entwickeln Strategien zur Verringerung der Cyber-Risiken und Minimierung der potenziellen Auswirkungen auf kritische Aktivitäten in ihrem Unternehmen. Anschließend sind Operatoren und IT-Leiter dafür verantwortlich, eine Reihe von Verfahren sowie Technologien zur Implementierung dieser Strategien zu identifizieren und bereitzustellen. Unsere Umfrage zeigte, dass die Anreize der Führungskräfte und Operatoren in Bezug auf ihre jeweiligen Ansätze bei der Verwaltung von Cyber-Risiken voneinander abweichen.
Für die Angreifer im Cyberspace, die so genannten „Black Hats“, sind die Risiken und Belohnungen dagegen erheblich offensichtlicher. Der Begriff Black Hats wurde den Italowestern entnommen und bezieht sich auf alle Hacker, die ohne Einverständnis der Eigentümer in Systeme einbrechen – unabhängig davon, ob es sich um staatliche Spionage, Kriminelle mit finanziellen Motiven
oder ideologisierte Hacktivisten handelt. Black Hats sind Teil eines Untergrund-Ökosystems, das kriminelle Operationen mit Tools, Fachwissen und Infrastruktur versorgt, um durch Datendiebstahl, Erpressung und Betrug Profite in Milliardenhöhe zu erzielen. Dieses Ökosystem besteht hauptsächlich aus standardisierten Märkten mit spezialisierten Freiberuflern, die unterschiedliche Fachrichtungen und Kompetenzen anbieten. Diese lose und informelle Struktur bietet geringe Einstiegshürden, Transparenz sowie Wettbewerb und ermöglicht die effiziente Zuweisung von Ressourcen, sodass Black Hats auf einen großen Experten-Pool zugreifen, Innovationen zügig umsetzen und sich schnell an Veränderungen bei Schutzmaßnahmen oder Technologien anpassen können.
Führungskräfte sehen Cyber-Risiken als weitere Kosten, die verwaltet werden müssen. Operatoren definieren den Erfolg anders.
2. Zu den Führungskräften gehören Umfrageteilnehmer, die sich als Unternehmensbesitzer, Direktor, CEO, CIO, CISO, CTO oder CISO bezeichnen, während Operatoren als Leiter der IT oder des Datenschutzes, Verantwortlicher der IT-Abteilung oder IT-Teamleiter tätig sind.
Drei Ebenen der Diskrepanz bei Anreizen bedingen Nachteile für die Verteidiger.
Angreifer gegen Verteidiger
Die Anreize für die Angreifer entstehen aus einem fließenden, dezentralisierten Markt, wodurch sie flexibler und anpassungsfähiger sind. Im Gegensatz dazu werden die Verteidiger von Bürokratie und Entscheidungen übergeordneter Stellen eingeschränkt.
Strategie gegen Umsetzung
Obwohl 90 % aller Unternehmen über eine Cyber-Sicherheitsstrategie verfügen, setzt nur die Hälfte diese Strategie vollständig um.
Führungsetage gegen Implementierer
Hochrangige Führungskräfte, die Cyber-Sicherheitsstrategien entwickeln, messen deren Erfolg anders als die Implementierer, die diese Strategien umsetzen, wodurch die Effektivität leidet.
BERICHT
5 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Die Anreizstruktur für Black Hats auf dem Markt für Cyber-Kriminalität treibt die Angreifer zu schneller Zusammenarbeit, Innovation sowie Spezialisierung, durch die der Markt wiederum relativ effizient und flexibel wird. Die Black Hat-Community greift auf einen großen Experten-Pool zurück und nutzt ein Freiberufler-Modell, um hochspezialisierte Produkte und Exploits für ganz spezifische Angriffszwecke zu entwickeln. Dieser Markt ist auch erheblich effizienter sowie flexibler und kann sich schneller sowie einfacher an die Vorgaben des Angreifers anpassen. Diese Schattenwirtschaft schafft vollkommen neue, starke Anreize für Angreifer, um in dem Markt erfolgreich zu sein und zu bleiben.
Das Black Hat-Ökosystem besteht aus zwei Märkten: Einer hohen Stufe, auf der höchst raffinierte und gut ausgestattete Akteure spezifische Ziele mittels hochentwickelten Techniken ausnutzen, sowie einer niedrigen Stufe, auf der Kriminelle und Hacktivisten opportunistische Angriffe auf jedes verfügbare verwundbare System starten.3 Diese Märkte überschneiden sich teilweise, und viele der ursprünglich im hochstufigen Markt gehandelten, bekannteren Tools finden nach einer Weile ihren Weg in den niedrigstufigen Markt.4
3. Lillian Ablon, Martin Libicki und Andrea Golay: „Markets for Cybercrime Tools and Stolen Information: Hackers’ Bazaar“ (Märkte für Cyber-Kriminalitäts-Tools und gestohlene Informationen: Der Hacker-Basar), RAND, 2014.
4. Jaziar Radianti und Jose J. Gonzalez: „Dynamic Modeling of the Cyber Security Threat Problem: The Black Market for Vulnerabilities“ (Dynamische Modellierung des Bedrohungsproblems für die Cyber-Sicherheit), Cyber-Security and Global Information Assurance: Threat Analysis And Response Solutions, 2009.
BERICHT
6 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Cyber-Sicherheit erhält jetzt höchste PrioritätInternetnutzer reagierten bisher nur langsam auf den Vormarsch der Black Hats. Vor sechs Jahren lag Cyber-Sicherheit in den Augen von Unternehmensführungen noch nicht einmal in den Top 10 der größten Risiken.5 Es gab nur wenig Klarheit darüber, wie Cyber-Sicherheit und Risiko verwaltung zusammenhängen. Viele Unternehmens führungen stellten keine Ressourcen für Maßnahmen bereit, die heute als unverzichtbar gelten, z. B. für Analysen von Sicherheitsprogrammen, die Ernennung von Datenschutz- und Sicherheits-verantwortlichen sowie die Erstellung regelmäßiger Berichte zu Cyber-Sicherheitsrisiken.
Cyber-Angriffe mit Schäden in Höhe von über 400 Milliarden US-Dollar pro Jahr stellten für Unternehmen und Regierungen auf der ganzen Welt schmerzhafte Lektionen dar. Die Teilnehmer unserer Umfrage zählen Cyber-Sicherheitsrisiken mehrheitlich zu den drei größten Risiken für ihr Unternehmen und bestätigen, dass Cyber-Sicherheit heute zu den größten Sorgen von Unternehmen zählt.6
Unsere Umfrage zeigt, dass Unternehmensführungen heute einen deutlich anderen Blick auf die Cyber-Sicherheit haben: Eine Mehrheit der Umfrageteilnehmer gab an, dass ihre Führungsetage Cyber-Risiken versteht und mit höherer Priorität behandelt. Desweiteren gaben fast drei Viertel (72 %) der Befragten an, dass ihre Unternehmensführungen bei allen oder fast allen Meetings über Cyber-Sicherheitsrisiken informiert werden.
Cyber-Sicherheit steht in Unternehmen an erster Stelle
60 %
70 %
80 %
50 %
40 %
30 %
20 %
10 %
0 % Cyber-Sicherheitsrisiko
Compliance- oder
Haftungsrisiko
Reputationsrisiko
Finanzielles Risiko(Zinsen, W
echselkurse)
Politisches Risiko
Technisches Risiko
Risiko bei Fertigungoder Lieferkette
Naturkatastrophen,
weltw
eite Wirtschaftskrisen
5. Lloyds: „Lloyd’s Risk Index“ (Lloyds-Risikoindex), 2011.
6. Osterman Research: „What’s Driving
Boards of Directors to Make Cyber Security a Top Priority?“ (Warum spielt Cyber-Sicherheit für Unternehmensführungen eine Hauptrolle?), September 2016.
Eine Mehrheit der Umfrageteilnehmer zählt Cyber-Sicherheitsrisiken zu den drei größten Risiken für ihr Unternehmen.
BERICHT
7 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Größte Risiken, die Unternehmen mit unzureichenden Cyber-Sicherheitsmaßnahmen verbinden
60 %
70 %
80 %
50 %
40 %
30 %
20 %
10 %
0 % Verlust von geistigemEigentum
und vertraulichenU
nternehmensinform
ationen
Unterbrechung von
Geschäftsabläufen
Schaden für die Reputationund U
nternehmensm
arke
Um
satz- und Gew
innverluste
Compliance- oder
Haftungsrisiko
Politisches RisikoUmfrageteilnehmer aus allen Branchen sehen eine erhebliche Cyber-Bedrohung für kritische Aspekte ihres Unternehmens, wobei als größte damit zusammenhängende Risiken der Verlust von geistigem Eigentum und vertraulichen geschäftlichen Informationen, unterbrochene Geschäftsabläufe sowie Schaden für die Reputation von Unternehmen und Marke gelten.
Die von den Befragten erlebten Auswirkungen eines Cyber-Sicherheitsvorfalls stimmen weitgehend mit den oben genannten wahrgenommenen Risiken überein. Mehr als vier Fünftel (83 %) aller Umfrageteilnehmer gaben an, dass ihre Unternehmen einen Vorfall durch Cyber-Sicherheitskompromittierungen erlebt hatten, wobei die Unterbrechung von Geschäftsabläufen, Verlust von geistigem Eigentum sowie Schäden für Unternehmensreputation und Marke wieder zu den am stärksten betroffenen Bereichen gehören.
BERICHT
8 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
7. „Business warned not to be complacent about cyber security“ (Unternehmen gewarnt, Cyber-Sicherheit nicht schleifen zu lassen), Computer Weekly, 20. September 2016.
8. Bill Murphy, CTO der Blackstone Group LP: „Cybersecurity Spending Reflects Limited Shift in Priority“ (Ausgaben für Cyber-Sicherheit verweisen auf veränderte Prioritäten), Wall Street Journal, 1. Juli 2014.
Erlebte Auswirkungen von Kompromittierungen in Unternehmen
Mehr als die Hälfte (54 %) der befragten Führungskräfte gibt an, dass sich ihre Unternehmen größere Sorgen um Auswirkungen auf den Ruf als um tatsächliche Kompromittierungen machen.
60 %
50 %
40 %
30 %
20 %
10 %
0 % Unterbrechung von
Geschäftsabläufen
Verlust von geistigemEigentum
und vertraulichenU
nternehmensinform
ationen
Schaden für die Reputationund U
nternehmensm
arke
Um
satz- undG
ewinnverluste
Compliance- oder
Haftungsrisiko
Politisches Risiko
Wir haben keine
Cyber-Sicherheits-verletzungen festgestellt
Wir haben keine
Folgen festgestellt
„Eine Steuer, die wir alle nicht bezahlen möchten“Trotz der mehrheitlichen Rückmeldung unserer Umfrageteilnehmer, dass Cyber-Kompromittierungen zu Unterbrechungen, Verlust von geistigem Eigentum und Schäden für die Unternehmensreputation geführt haben, gab weniger als ein Drittel (32 %) der Befragten Umsatz- oder Gewinnverluste als Auswirkungen eines Cyber-Sicherheitszwischenfalls an. Die Wahrnehmung, dass Cyber-Kompromittierungen nicht direkt zu Umsatz- oder Gewinnverlusten führen, könnte Unternehmen ein falsches Gefühl der Sicherheit vermitteln.
Interessant sind auch die unterschiedlichen Meinungen der Befragten in Führungspositionen im Vergleich zu denen mit technischen und operativen Aufgaben. Unsere Umfrage zeigt, dass Führungskräfte Kompromittierungen als Preis für geschäftliche Aktivitäten betrachten. Diese Meinung wird von 63 % der befragten Führungskräfte vertreten, während sich die für sie arbeitenden Operatoren auf die Verringerung der Häufigkeit und des Umfangs von Kompromittierungen konzentrieren. Für die Führungskräfte steht Cyber-Sicherheit im Wettbewerb mit verschiedenen anderen Unternehmenszielen, die zum Teil in direktem Widerspruch zu Investitionen im Sicherheitsbereich stehen. Führungskräfte eines großen Unternehmens bezeichneten Cyber-Sicherheit als „eine Steuer, die wir alle nicht bezahlen möchten“.8
Manchen Unternehmen fehlen auch die notwendigen Kennzahlen zur Erfassung der indirekten Kosten von Kompromittierungen, z. B. zur Berechnung des Zeitaufwands für die Benachrichtigung der Kunden, zu den Schäden für die Markentreue oder zum Zeitaufwand für die Untersuchung eines Zwischenfalls. Unvollständige Daten zu den realen Kosten können bei Führungskräften zu einer zu großen Toleranz gegenüber ungenügender Cyber-Sicherheit führen. Tatsächlich gab eine Mehrheit (54 %) der befragten Führungskräfte an, dass sich ihre Unternehmen größere Sorgen um den Ruf als um Cyber-Sicherheit machen.
„Es ist klar, dass viel zu viele Firmen nicht daran glauben, dass eine Kompromittierung sie schwer treffen kann.“7
– Inga Beale, CEO, Lloyd’s of London
BERICHT
9 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Diskrepanz zwischen Strategie und UmsetzungUnternehmen aller Branchen und Regierungen aller bei der Umfrage abgedeckten Länder entwickeln mit rasantem Tempo neue Cyber-Sicherheitsstrategien. So gaben 93 % der Umfrageteilnehmer an, dass ihre Unternehmen jetzt eine Cyber-Sicherheitsstrategie implementiert haben, die bestehende und neue Bedrohungen abwehren soll.
Führungskräfte überschätzen möglicherweise die Fähigkeiten ihres Unternehmens beim Umgang mit neuen Bedrohungen. Die unmittelbar für die Cyber-Sicherheit verantwortlichen Operatoren gehen häufiger davon aus, dass sich die Unternehmen weniger auf die Zukunft, sondern mehr auf aktuelle Cyber-Sicherheitsherausforderungen konzentrieren.
Gewichtung bei der Ausarbeitung einer Cyber-Sicherheitsstrategie
60 %
50 %
40 %
30 %
100 %
90 %
80 %
70 %
20 %
10 %
0 %
Führungskräfte Bestehende Bedrohungen
Operatoren Neue Bedrohungen
60 %
50 %
40 %
30 %
100 %
90 %
80 %
70 %
20 %
10 %
0 % FinanceBestehende
BedrohungenFinanz-sektor
Regierungs-behörden
ÖffentlicheBildungs-
einrichtungen
Gesund-heitswesen(öffentlichund privat)
IT- und Tele-kommunikation
NeueBedrohungen
Führungskräfte im Vergleich mit Operatoren und Branchenvertretern zur Frage, ob die Cyber-Sicherheitsstrategie ihres Unternehmens eher auf vorhandene
oder neue Bedrohungen ausgerichtet ist.
BERICHT
10 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Die Unterschiede zwischen den Branchen verdienen ebenfalls Beachtung, da die Finanz- sowie die IT- bzw. Telekommunikations-Branchen bei der Kontrolle aktueller und künftiger Bedrohungen einen ausgeglicheneren Ansatz verfolgen. Im Gegensatz dazu konzentrieren sich die Cyber-Sicherheits strategien im öffentlichen Sektor (einschließlich Regierungsbehörden und Bildungs einrichtungen) weniger auf zukünftige, sondern mehr auf vorhandene Bedrohungen. Da die meisten Regierungen und Organisationen im öffentlichen Sektor nicht für ihre hervorragenden Cyber-Sicherheits kompetenzen bekannt sind, kommt das wenig überraschend.9
Obwohl die überwiegende Mehrheit der Befragten angibt, dass eine Cyber-Sicherheitsstrategie vorhanden ist, bleibt die Implementierung eine große Herausforderung: Weniger als die Hälfte der Umfrageteilnehmer (49 %) betrachtet ihre Cyber-Sicherheitsstrategie als vollständig im gesamten Unternehmen implementiert. Unsere Umfrage zeigte auch, dass sich Führungskräfte und Operatoren in Bezug auf den Implementierungsgrad ihrer Cyber-Sicherheitsstrategie sowie über die Kennzahlen zur Bewertung des Implementierungsfortschritts uneins sind.
Führungskräfte betrachten die Cyber-Sicherheitsstrategien ihres Unternehmens tendenziell eher als vollständig implementiert als die Operatoren. Sie bewerten die Effektivität ihrer Cyber-Sicherheitsstrategien auch eher im Hinblick auf allgemeinere Unternehmensziele, wie Kosten-kontrolle und Reputationsschutz, als die Operatoren, die sich auf technischere Kennzahlen konzentrieren.
Wahrnehmung der Implementierung der Cyber-Sicherheitsstrategie
„Unsere Annahmen und Analysen der Art der Bedrohung erwiesen sich rückblickend als zu ungenau.“
– Frank Blake, CEO Home Depot10
9. CSIS: „The Role of Shared Services and the Cloud in Enhancing Cybersecurity“ (Die Rolle gemeinsam genutzter Services und die Rolle der Cloud bei der Verbesserung der Cyber-Sicherheit), Cyber Policy Task Force Working Group Discussion Papers, 2016.
10. http://fortune.com/2014/10/29/home-depot-cybersecurity-reputation-frank-blake/
60 %
50 %
40 %
30 %
20 %
10 %
0 %FührungskräfteOperatoren
Ja, aber innerhalb desUnternehmens nurteilweise implementiert
Ja, und im gesamtenUnternehmen vollständigimplementiert
Führungskräfte sind eher der Meinung, dass die Cyber-Sicherheitsstrategie ihres Unternehmens
vollständig implementiert ist.
BERICHT
11 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Ermittlung der Effektivität der Cyber-Sicherheit
Erfassung der EffektivitätDie Diskrepanz zwischen Strategie und Implementierung ist teilweise dadurch begründet, dass die Führungskräfte, die die Strategie festlegen, und die Operatoren, die die Strategie implementieren, Effektivität sowie Ergebnisse mit unterschiedlichen Kennzahlen messen.
Allgemein gesprochen setzen Operatoren zur Ermittlung der Effektivität der Cyber-Sicherheit im Unternehmen auf Kennzahlen wie die Anzahl von Kompromittierungen, Penetrationstests, Schwachstellen-Scans sowie Analysen der Wiederherstellungskosten. Führungskräfte hingegen verlassen sich dazu meist auf allgemeine Performance- und Kostenkennzahlen.
Für Führungskräfte und Operatoren ist die Gesamtzahl der Kompromittierungen die bevorzugte Methode zur Ermittlung der Effektivität ihrer Cyber-Sicherheits-strategie. Führungskräfte konzentrieren sich jedoch eher auf die Kosten für die Wiederherstellung nach einer Kompromittierung, negative Publicity oder die Zahl der Cyber-Sicherheitsmitarbeiter.
60 %
70 %
50 %
40 %
30 %
20 %
10 %
0 % Negative Publicity
Schwachstellen-Scans
Penetrationstests
Anteil der Komprom
ittierungen
Anzahl der für Cyber-Sicherheit zuständigenM
itarbeiter
Kosten für die Wiederherstellung
nach einer Komprom
ittierung
Proprietäre Kennzahlen zurErfassung der Kapitalrenditevon Cyber-Sicherheitsausgaben
Wir m
essen die Effektivität
unserer Cyber-Sicherheits-m
aßnahmen nicht
FührungskräfteOperatoren
Führungskräfte, die die Cyber-Sicherheitsstrategie festlegen, und Operatoren, die diese Strategien implementieren, messen Effektivität und Ergebnisse
mit unterschiedlichen Kennzahlen.
BERICHT
12 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
11. SANS Institute: „IT Security Spending Trends“ (Trends bei Ausgaben für IT-Sicherheit), Februar 2016. Barkly: „2016 Cybersecurity Confidence Report“ (Bericht zum Vertrauen in die Cyber-Sicherheit), 2016.
Kennzahlen zur Ermittlung, ob die Cyber-Sicherheits-strategien ihre Ziele erfüllen
Bei der Ermittlung der Effektivität der Cyber-Sicherheits-strategie ihres Unternehmens bewerteten die befragten Führungskräfte „proprietäre Kennzahlen zur Erfassung der Kapitalrendite von Cyber-Sicherheits-ausgaben“ erheblich höher als Operatoren. Obwohl Kennzahlen unverzichtbar sind, um qualitative Kriterien zur Bewertung der Effektivität von Risiko-verwaltungsstrategien zu definieren, gibt es keinen Konsens darüber, ob die „Rendite“ eine zulässige Kennzahl zur zuverlässigen risikobasierten Bewertung der Cyber-Sicherheit darstellt.11 Im Vergleich dazu bewerteten Operatoren technische Kennzahlen höher als die Führungskräfte, wobei Schwachstellen-Scans auf Rang 2 und Penetrationstests auf Rang 3 bei der Ermittlung der Effektivität der Cyber-Sicherheits-strategie ihres Unternehmens kamen. Motivationen für Sicherheitsverbesserungen
Anreize bestimmen das Verhalten von Menschen und Unternehmen. Unsere Umfrage zeigt, dass Cyber-Sicherheitsexperten die richtigen Anreize fehlen. Die meisten Umfrageteilnehmer gaben an, dass zwar einige Anreize bestehen, ihnen aber die Cyber-Sicherheits experten fehlen. Die befragten Führungskräfte haben größeres Vertrauen in die vorhandenen Anreize für Cyber-Sicherheitsexperten als die Operatoren – scheinbar gehen sie eher davon aus, dass den Sicherheitsexperten in ihrem Unternehmen alle Anreizkategorien zur Verfügung stehen.
60 %
70 %
50 %
40 %
30 %
20 %
10 %
0 %
OperatorenFührungskräfte
Ressourcen mitPrioritätsdatenwerden nicht
oder nurminimalexfiltriert
DurchschnittlicheZeit bis zur
Problemlösung
Keinenegative Publicityüber die Cyber-Sicherheit desUnternehmens
Wir könnennicht
feststellen,ob wir
Ziele erfüllen
Weiß nichtAllgemeinePerformance desUnternehmens
zeigt, dassdie Risiken
mit akzeptablenToleranzen
verwaltet werden
BERICHT
13 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Operatoren gaben mit einer 5-mal höheren Wahrscheinlichkeit an, dass keine Anreize für Cyber-Sicherheits experten in ihrem Unternehmen existieren. Fast die Hälfte der Operatoren gab an, dass in ihrem Unternehmen keine Anreize vorhanden sind. Es ist gut möglich, dass Anreize zwar vorhanden, den Mitarbeitern in den unteren Unternehmensebenen jedoch nicht bekannt sind.
Obwohl unsere Umfrageergebnisse zeigen, dass viele Teilnehmer der Meinung sind, Anreize für Cyber-Sicherheits experten würden fehlen, fühlen sich 65 % der Befragten „persönlich motiviert“, die Cyber-Sicherheit ihres Unternehmens zu stärken. Das erste Ergebnis (dass die Anreize fehlen) ist wahrscheinlich zutreffender. Antwortmöglichkeiten im Zusammenhang mit Unternehmenserfolgen (z. B. die Verhinderung von Daten kompromittierungen, Abwehr von Hackern, Verringerung von Reputationsschäden sowie finanzieller Auswirkungen für das Unternehmen) wurden von den Umfrageteilnehmern höher bewertet als Kategorien, die sich auf persönlichen Erfolg beziehen (z. B. die Beeinträchtigung des eignen Rufs oder der Arbeits-platzsicherheit). Diese Ergebnisse spiegeln die Zwiespalt der Befragten wieder, die den Erfolg ihres Unternehmens vor ihre eigenen Interessen stellen.
Bestehende Anreize für Cyber-Sicherheitsexperten
Führungskräfte im Vergleich zu anderen Umfrageteilnehmern über Anreize für Cyber-Sicherheitsexperten
60 %
50 %
40 %
30 %
20 %
10 %
0 %
OperatorenFührungskräfte
KeineAnreize
vorhanden
Auszeichnungen FinanzielleVergütung
(Bonus)
Freizeitausgleich Beförderung
BERICHT
14 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Wie sieht es also wirklich aus? Verantwortliche für Cyber-Sicherheit definieren den Erfolg unterschiedlich und werden von verschiedenen Leistungsanreizen motiviert. Sowohl Führungskräfte als auch Operatoren schätzen finanzielle Vergütung und Anerkennung oder Auszeichnungen höher als Freizeitausgleich und Beförderungen. Unsere Umfrage zeigte jedoch, dass die Operatoren von Anerkennung und Auszeichnungen fast ebenso motiviert werden wie von finanzieller Vergütung. In einer früheren Umfrage dazu, wie Unternehmen kompetente Sicherheitsexperten anwerben und halten, bewerteten Sicherheitsexperten vom Arbeitgeber bezahlte Schulungen, flexible Arbeitszeiten sowie berufliche Herausforderungen höher als finanzielle Vergütung.12 Im Gegensatz dazu bewerteten Führungs-kräfte die finanzielle Vergütung erheblich höher als jeden anderen Anreiz.
Cyber-Sicherheitsexperten berichten von fehlenden bestehenden Anreizen
Experten im Cyber-Sicherheitsbereich geben an, dass in ihrem Unternehmen Anreize fehlen.
12. CSIS: „Recruiting and Retaining Cybersecurity Ninjas“ (Anwerben und Halten von Cyber-Sicherheitsprofis), Oktober 2016.
60 %
50 %
40 %
30 %
20 %
10 %
0 %
Verantwortungauf Seiten derEntscheidungsträger
Verantwortungauf Seiten derFührungskräfte
KeineAnreize
vorhanden
Auszeichnungen FinanzielleVergütung
(Bonus)
Freizeitausgleich Beförderung
Beitrag zu Entscheidungen,die von anderen getroffen wurden
BERICHT
15 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
60 %
70 %
50 %
40 %
30 %
20 %
10 %
0 % Verhinderung vonD
atenkomprom
ittierungen
Unterstützung bei der
Schulung anderer Mitarbeiter
Job-Sicherheit
Keine Motive vorhanden
Stärkung derCyber-Sicherheit
Senkung des Risikoserfolgreicher H
acker-Angriffe
Senkung des Risikosfinanzieller Folgen
Senkung desRisikos persönlicherReputationsschäden
Senkung des Risikos vonReputationsschäden fürdas U
nternehmen
Persönliche MotiveMotive des Unternehmens
Persönliche Motivationen der Befragten in Bezug auf die Aufrechterhaltung der Cyber-Sicherheit in ihrem Unternehmen.
Umfrageteilnehmer engagieren sich für die Cyber-Sicherheit ihres Unternehmens
Anreize, die von Cyber-Sicherheits-experten hoch geschätzt werden
60 %
50 %
80 %
70 %
40 %
30 %
20 %
10 %
0 %
OperatorenFührungskräfte
FreizeitausgleichFinanzielleVergütung
(Bonus)
Auszeichnungen Beförderung
BERICHT
16
Anreize, die von Befragten aus den jeweiligen Ländern hoch geschätzt werden
Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
60 %
50 %
80 %
90 %
70 %
40 %
30 %
20 %
10 %
0 %
AuszeichnungenFinanzielle Vergütung(Bonus)
JapanBrasilien Mexiko USA Deutschland Frankreich Groß-britannien
Paid timeoff
Beförderung Freizeit-ausgleich
Umfrageteilnehmer aus verschiedenen Ländern vertraten verschiedene Ansichten zu Anreizen, was an unterschiedlichen kulturellen Prägungen liegen kann. In Japan und Großbritannien wurden Anerkennung oder Auszeichnungen höher geschätzt, während diese Anreize in Mexiko und Deutschland die geringste Rolle spielten. Teilnehmer aus Brasilien, Mexiko und den USA legten dagegen am häufigsten auf finanzielle Vergütung Wert, während Befragte aus Japan, Mexiko und Deutschland Freizeitausgleich höher schätzten als ihre Kollegen in den anderen Ländern.
BERICHT
17 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Unternehmen zu der Frage, ob freiwillige Modelle nützliche Anreize für Cyber-Sicherheit darstellen.
Suche nach Lösungen
Bei der Suche nach Möglichkeiten zur Risikokontrolle und Anpassung an neue Cyber-Bedrohungen arbeiten Unternehmen bereitwillig mit der jeweiligen Regierung zusammen. Die Mehrheit der Umfrageteilnehmer aus den meisten Branchen tauscht Bedrohungsdaten mit Partnerunternehmen sowie mit Regierungsbehörden und externen Beratern aus.
Eine erhebliche Mehrheit der befragten Unternehmen vertritt die Meinung, dass freiwillige Kooperationsmodelle mit Regierungsbehörden für die Implementierung von Cyber-Sicherheitsinitiativen im Unternehmen hilfreich sind. Führungskräfte legen anscheinend mehr Wert auf öffentlich-private Partnerschaften als Operatoren, was zeigt, dass diese Modelle besser an die IT-Operatoren angepasst werden sollten, um ihnen bei alltäglichen technischen Aufgaben einen Mehrwert zu bieten.
Unternehmen betrachten die Zusammenarbeit mit Behörden als wichtigen Teil ihrer Cyber-Sicherheits-strategie sowie als eine der wichtigsten Methoden zur Verbesserung ihrer Cyber-Sicherheit. Gleichzeitig gab weniger als die Hälfte der befragten Unternehmen an, dass sie frei zugängliche Regierungs-Briefings als Informationsquelle für Entscheidungen im Cyber-Sicherheits bereich nutzen. Mehr als drei Viertel der Unternehmen stufen einen schnelleren Zugang zu Sicherheits freigaben als effektivste Methode zur Verbesserung ihrer Cyber-Sicherheitslage ein, und 66 % wünschen sich besseren Zugang zu amtlichen Bedrohungsdaten.
Bewertung von öffentlich-privaten Partnerschaften in Unternehmen
41 %
46 %
9 %4 %
Ja, sie sind etwas nützlich
Ja, sie sind sehr nützlich
Nein, sie sind nicht nützlich
Weiß nicht
BERICHT
18 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Dies könnte einer der Fälle sein, in denen eher den Worten als den Taten gefolgt wird. Einer der wichtigsten Gründe für Unternehmen zur Zusammenarbeit mit Regierungs behörden scheint die Erwartung zu sein, Zugang zu Informationen zur Verbesserung der Cyber-Sicherheit zu erhalten.
Unternehmen schätzen die Interaktionen mit Regierungs-behörden als Informationsquelle, doch in vielen Fällen stellten wir fest, dass dieser Sektor im Vergleich zu den anderen untersuchten Branchen die geringste Cyber-Sicherheitskompetenz aufweist. Laut unserer Umfrage sind Behörden auf ein reaktives Cyber-Sicherheits-modell festgelegt, das bestehende Bedrohungen stärker gewichtet als neue. Sie gaben auch am seltensten an, über eine vollständig implementierte Cyber-Sicherheits-strategie zu verfügen oder Anreize für Cyber-Sicherheits-experten zu bieten.
Nützlichkeit von öffentlich-privaten Partnerschaften nach Branche
60 %
50 %
40 %
30 %
100 %
90 %
80 %
70 %
20 %
10 %
0 %
Nein, sie sind nicht nützlichJa, sie sind sehr nützlich
Regierungs-behörden
IT- und Tele-kommunikation
Finanzsektor Gesundheitswesen(öffentlich und privat)
ÖffentlicheBildungs-
einrichtungen
BERICHT
19 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Taktiken zur Verbesserung der Cyber-Sicherheit und Informationen für Cyber-Sicherheitsentscheidungen
60 %
50 %
40 %
30 %
80 %
70 %
20 %
10 %
0 %Anteil der Befragten,
die schnellerenZugang zu Sicherheits-freigaben wünschen
Anteil der Befragten,die Zugang zu den
Cyber-Bedrohungs-informationen der
Behörden wünschen
Anteil der Befragten,die Briefings derBehörden in ihreEntscheidungs-
findung einbeziehen
Aufgeschlüsselt nach Land rechnen die Teilnehmer unserer Umfrage in den USA, Brasilien und Deutschland den öffentlich-privaten Partnerschaften den größten Wert zu. Zudem wünschen sich die Befragten in Mexiko, Brasilien, Deutschland und den USA schnelleren Zugang zu Sicherheitsfreigaben, während die Teilnehmer in
Großbritannien mehr Wert auf Zugang zu staatlichen Bedrohungsinformationen als auf Sicherheitsfreigaben legen. Für alle Länder gilt, dass die Nutzung amtlicher Briefings als Informationsquelle für Cyber-Sicherheits-entscheidungen erst an dritter oder vierter Stelle steht.
Nützlichkeit von öffentlich-privaten Partnerschaften nach Land
60 %
70 %
50 %
90 %
100 %
80 %
40 %
30 %
20 %
10 %
0 %
Nein, sie sind nicht nützlichJa, sie sind nützlich
Groß-britannien
USA Brasilien Deutschland Mexiko Frankreich Japan
BERICHT
20 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
In einem früheren Bericht („Der Weg aus dem Fachkräftemangel“) zeigten wir, dass 9 von 10 Befragten der Meinung sind, dass technische Fortschritte den Fachkräftemangel bei der Cyber-Sicherheit kompensieren können.13 Diese Zuversicht lässt sich den Ergebnissen dieser Umfrage nicht entnehmen: Bei der Risiko-minimierung durch neue Cyber-Sicherheitsmaßnahmen wurden verwaltete Drittanbieter-Services und automatisierte Workflows zur Verwaltung nachrangiger Bedrohungen lediglich an vierter bzw. fünfter Stelle genannt. Stattdessen deuten die Umfrage ergebnisse darauf hin, dass die im Wandel befindliche Bedrohungslage nicht nur den Bedarf nach kompetenten Fachkräften im Cyber-Sicherheits bereich verändert, sondern auch neue und innovative Tools sowie Verfahren erfordern wird.
Innovationen in der Cyber-Sicherheit können kompliziert sein, da neue Cyber-Abwehrtechniken umfangreiche Analysen erfordern, damit sichergestellt ist, dass sie keine Schwachstellen aufweisen, die zusätzliche Risiken für Benutzer bedeuten. In aktuellen Interviews mit hochrangigen Experten für Cyber-Sicherheit, Technologie und Risikoverwaltung aus der Finanzbranche zeigte sich, dass CISOs aufgrund der schnellen Weiterentwicklung sowie kurzen Veröffentlichungszyklen häufig Schwierigkeiten bei der Bewertung und Integration neuer Sicherheits-Tools haben. Gleichzeitig müssen die Experten ihre Cyber-Sicherheitsrichtlinien besser an die geschäftlichen, operativen und technologischen Strategien ihrer Unternehmen anpassen.14
13. McAfee: „Der Weg aus dem Fachkräfte mangel: Eine Umfrage zum weltweiten Mangel an Fachkräften für Cyber-Sicherheit“.
14. „Taking cyber risk management to the next level“ (Die nächste Stufe der Cyber-Risikoverwaltung), Deloitte, 22. Juli 2016.
Maßnahmen zur Beschränkung von Risiken bei der Verwendung neuer Cyber-Sicherheits-Tools
60 %
70 %
80 %
50 %
40 %
30 %
20 %
10 %
0 %Nutzung einer
Sicherheitsplattform,die bestehende und neueTechnologien verbindet
Nutzung automatisierterWorkflows für
Bedrohungen mitniedrigster Priorität
Investition in mehrMitarbeiter zurVerwaltung der
Sicherheitsereignisse
InterneSchulungen der
bestehendenMitarbeiter
Anschaffungverschiedenster sichüberschneidender
Sicherheitstechnologien
Partnerschaftmit externemAnbieter von
Sicherheits-Services
BERICHT
21 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
In einer Umfrage aus dem Jahr 2015 zu Risiken und Innovationen gab ein Großteil der Teilnehmer an, dass ihre Unternehmen in Sicherheitstechnologien investiert hatten, die schon bald nach der Implementierung „letztendlich abgeschafft“ wurden.15 Der Mangel an kompetenten Cyber-Sicherheitsfachkräften und internen Experten verstärkt die Schwierigkeiten, die Unternehmen bei der Einführung innovativer Ansätze im Cyber-Sicherheits bereich haben.
Zur Vermeidung neuer Risiken betreiben die meisten befragten Unternehmen eine Sicherheitsplattform zur Integration vorhandener und neuer Technologien, oder sie kaufen sich überschneidende Sicherheits-technologien. Mehr als die Hälfte aller Unternehmen betrachtet die Investition in Mitarbeiter zur Verwaltung von Cyber-Sicherheitsereignissen als Möglichkeit, Risiken im Zusammenhang mit Cyber-Sicherheitsmaßnahme zu vermeiden.16
„Wenn Sie glauben, dass Technologie Ihre Sicherheits probleme lösen kann, dann verstehen Sie weder die Probleme noch die Technologie.“
– Bruce Schneier17
15. „Risk and Innovation Drive Cyber Technology Investment“ (Risiken und Innovationen treiben Investitionen in Cyber-Sicherheitstechnologien voran), Ponemon Institute, 27. April 2015.
16. McAfee: „Der Weg aus dem Fachkräfte mangel: Eine Umfrage zum weltweiten Mangel an Fachkräften für Cyber-Sicherheit“.
17. Bruce Schneier: Vorwort zu Secrets and Lies: Digital Security in a Networked World (Geheimnisse und Lügen: Digitale Sicherheit in einer vernetzten Welt), 15th Anniversary edition, New York: Wiley, 2015.
BERICHT
22 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Das Black Hat-ÖkosystemIm Gegensatz zu Unternehmen fehlen den angreifenden Black Hats weder Fachkräfte noch innovative Technologien. Die Black Hats werden von Anreizen motiviert, die vom Markt und nicht von Unternehmensvorschriften definiert werden. Die Marktwirtschaft des kriminellen Hacker-Ökosystems fördert Innovation sowie schnelle Anpassung und führt die Ressourcen bei geringsten Kosten den profitabelsten kriminellen Unternehmungen zu. Im Gegensatz zum Markt der Verteidiger, bei dem Unternehmens hierarchien Prioritäten sowie Entscheidungen bestimmen und (selbst im besten Fall) zu langsamen, bürokratischen Prozessen führen, ist der kriminelle Markt kompetitiv und dezentralisiert.
Dieser offene, dezentrale kriminelle Markt wird vom Angebot-Nachfrage-Prinzip bestimmt und schafft starke Anreize für Kriminelle, zu den Besten zu gehören, eine große Kundenbasis aufzubauen und Höchstpreise zu verlangen. Angesichts niedriger Einstiegshürden für neue Produkte sowie Dienstleistungen müssen Kriminelle innovativ bleiben und einen guten Ruf pflegen, um sich von den Mitbewerbern abzusetzen. Wenig überraschend ist es uns nicht gelungen, Mitglieder der Black Hat-Community zu befragen, sodass wir stattdessen auf Interviews mit Technik- sowie Cyber-Sicherheitsexperten und der Polizei verlassen müssen. Ihre Erfahrungen und Beobachtungen beschreiben ein schnelllebiges, gut ausgestattetes und dynamisches Cyber-kriminelles Ökosystem, bei dem die Anreize klar an den Zielen ausgerichtet sind.
Die höchsten Stufen des Schwarzmarkts bilden fast ausschließlich hervorragende technische Spezialisten, die heißbegehrte Zero-Day-Schwachstellen verkaufen, Zwischenhändler für lukrative Exploits, die als Vermittler zwischen Käufern und Anbietern agieren, sowie Regierungen, die Tools auf dem legalen oder grauen Markt kaufen, um sie für verschiedenste Zwecke einzusetzen – von Überwachung im Inland bis zur Cyber-Spionage.18 Der graue Markt besteht aus vielen Black Hats, aber wenigen wirklich Kriminellen. Obwohl die Black Hats heimlich auf Systeme zugreifen, behaupten die meisten Teilnehmer auf dem grauen Markt, dass sie ausschließlich mit Regierungsbehörden zusammenarbeiten, die sich eine gute Bezahlung leisten können. Gleichzeitig vermeiden sie es auf diese Weise, verhaftet zu werden sowie mit Kriminellen und Betrügern auf den unteren Marktstufen Geschäfte machen zu müssen.19 Zero-Day-Schwachstellen und hochspezialisierte Tools werden in diesem Markt fast ausschließlich aus demselben Grund verkauft.
Die unteren Stufen werden von Kriminellen sowie den hinter ihnen stehenden Netzwerken dominiert und handeln vor allem mit Produkten wie Finanzinformationen sowie gefälschten Waren sowie „Exploits-as-a-Service“ und Spam-Services. Dies steht im Gegensatz zu den raffinierten Tools und Exploit-Kits, die vor allem in den höheren Stufen zum Einsatz kommen.20 In den unteren Marktstufen angebotene Exploit-Kits und Crimeware-Services nutzen keine teuren Zero-Day-Schwachstellen, sondern häufig ältere und ungepatchte Systeme oder Schwachstellen aus, die nicht von Anbietern geschlossen wurden.21 Während sich hochstufige Akteure auf Spionage, den Diebstahl von geistigem Eigentum und die Durchführung zerstörerischer Angriffe verlegt haben, suchen niedrigstufige Kriminelle vor allem finanzielle Vorteile.22
18. Ablon, Libicki und Golay: ebd.
19. Andy Greenberg: „Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees)“ (Lernen Sie die Hacker kennen, die Spionen die Tools verkaufen, um Ihren PC aufzubrechen – und dafür sechsstellige Summen kassieren), Forbes, 21. März 2012.
20. Lillian Ablon, Martin Libicki und Andrea Golay: „Markets for Cybercrime Tools and Stolen Data: Hackers’ Bazaar“ (Märkte für Cyber-Kriminalitäts-Tools und gestohlene Daten: Der Hacker-Basar), RAND, 2014.
21. Jennifer L. Bayuk u. a.: „BITS Malware Risks and Mitigation Report“ (BITS-Bericht zu Malware-Risiken und Behebungen), BITS, eine Abteilung des Financial Services Roundtable (Runder Tisch der Finanzdienstleister), Juni 2011.
22. Kurt Thomas u. a.: „Framing Dependencies Introduced by Underground Commoditization“ (Aufzeigen der Abhängigkeiten durch standardisierten Untergrund), Bericht zum Workshop zur Wirtschaft der Informationssicherheit, 2015.
BERICHT
23 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Spezialisierungen auf dem kriminellen Markt
Praktisch jeder mit Computer-Grundkenntnissen kann am kriminellen Markt teilhaben.23 Dieser kriminelle Markt besteht aus einem Netzwerk aus Spezialisten – von Anbietern für kompromittierte Hosts und menschliche Services bis hin zu Exploit-Kits und kompromittierten Konten. Dabei werden verschiedenste kriminelle Unternehmungen oder Strategien zur Monetarisierung dieser Tools und Services durch Spam, Betrug, Datendiebstahl und Erpressung unterstützt.24
Jeder dieser Akteure besetzt seine eigene spezialisierte Nische, die entweder andere weiter unten in der Kette dabei unterstützt, Geld von den Opfern zu erlangen, oder Anreize für andere Akteure weiter oben in der Kette darstellt, neue Tools und Services zu entwickeln. Die häufigsten Spezialisierungen in diesen Ketten sind:25
■ Programmierer – entwickeln Malware ■ Web-Designer – erstellen böswillige Webseiten ■ Technikexperten – betreiben die kriminelle
Infrastruktur (Server, Datenbanken) ■ Hacker – nutzen Systemschwachstellen aus und
brechen in Computernetzwerke ein ■ Betrüger – klassische Trickbetrüger, die Social-
Engineering-Methoden entwickeln (Phishing, Spam) ■ Zwischenhändler – meist Kriminelle, die gestohlene
Daten sammeln, sie anderen Kriminellen anbieten, verkaufen oder für Geld bzw. andere illegale Aktivitäten eintauschen
Karte der weißen, grauen und schwarzen Hacker
23. Ablon, Libicki und Golay: ebd.
24. Kurt Thomas u. a.: „Framing Dependencies Introduced by Underground Commoditization“ (Aufzeigen der Abhängigkeiten durch standardisierten Untergrund), Bericht zum Workshop zur Wirtschaft der Informationssicherheit, 2015.
25. Bull Guard: „The Online Black Market—
How it Works (Part I)“ (Die Funktionsweise des Online-Schwarzmarkts, Teil 1), abgerufen am 26. August 2016.
Zwischenhändler fürSchwachstellen-informationen(Hacker One)
Zwischenhändlerauf dem
Schwarzmarkt(Zerodium, Endgame)
Anbieter(Google, Apple) Staatliche Stellen
Schwachstellen-forscher
Malware-Entwickler Kuriere
Infrastrukturanbieter(Anbieter böswilliger
Hosts, Webseiten)
Benutzer/dieÖffentlichkeit (öffentliche
Bekanntmachung)
Cyber-Kriminelle (Ransomware,Kartenbetrug, Betrug, DDoS-Erpressung)
SocialEngineers
BERICHT
24 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Die Profite aus kriminellen Unternehmungen werden anschließend unter diesen Spezialisten aufgeteilt. Laut einem Strafverfolgungsexperten werden 80 – 90 % der Einnahmen an die unterstützenden technischen Spezialisten und Handlanger und nicht an die Kriminellen ausgeschüttet, die für die Planung der Vorgehensweise zuständig sind.
Der Markt für CyberKriminalität – kompetitiv, dezentralisiert, innovativDer Markt für Cyber-Kriminalität ist dynamisch und reagiert auf „Preissignale“ mit Innovation und neuen Produkten sowie Services, die rund um die Uhr angeboten werden. Wenn alte Funktionen unwirksam geworden sind, werden schon kurz darauf neue angeboten. Beispielsweise gab einer der befragten Experten an, dass die Entwickler nach der „Stilllegung“ der CryptoWall 3.0-Familie innerhalb weniger Tage Version 4.0 veröffentlichten. Ein anderes Beispiel: Als die Entwickler des einst dominierenden Exploit-Kits Angler (das laut einer Schätzung 82 % aller Exploit-Kit-Aktivitäten ausmachte) verhaftet wurden26, wechselten dessen Nutzer innerhalb weniger Wochen zum Exploit-Kit Neutrino, um damit ihre Schaddaten zu verteilen27.
Das schnelle Innovationstempo auf dem kriminellen Markt ist das Ergebnis verschiedener Faktoren. Zuallererst agieren Kriminelle opportunistisch, und die freie Verfügbarkeit von Support-Services auf dem Schwarzmarkt macht sie flexibler und reaktionsschneller – zum Nachteil der Verteidiger.
Wenn beispielsweise neue Schwachstellen und Exploits bekannt werden, finden Kriminelle schnell Möglichkeiten, davon zu profitieren: Laut einer Studie werden 42 % der veröffentlichten Schwachstellen innerhalb von 30 Tagen nach ihrer Bekanntgabe von Kriminellen ausgenutzt.28 Diese Schwachstellen werden also sehr schnell nach ihrer öffentlichen Bekanntgabe vom kriminellen Untergrund für neue Angriffe missbraucht. Kriminelle sind zudem opportunistisch und konzentrieren sich auf die leichtesten Ziele. Anstatt also in teure Schwachstellenforschung und Exploit-Entwicklung zu investieren, nutzen sie veröffentlichte Schwachstellen aus, um ungepatchte Systeme zu missbrauchen.
Die Verwendung öffentlich bekannt gegebener Schwachstellen und Exploits beseitigt den kosten- sowie zeitintensivsten Teil des Entwicklungszyklus: die Schwachstellenforschung und Exploit-Entwicklung. Die meisten der auf dem kriminellen Markt angebotenen Exploit-Kits nutzen bekannte Schwachstellen aus, und einige unserer Experten berichten davon, dass Kriminelle die CVE-Nummern der Schwachstellen in ihren Produkten bewerben. Während die kostspielige Funktions entwicklung im hochstufigen Markt mit Millionen beträgen unterstützt wird, kann der niedrigstufige Markt aufgrund der freien Verfügbarkeit öffentlich bekannt gegebener Schwachstellen sowie unzähliger ungepatchter Systeme, die nach einer Veröffentlichung ausgenutzt werden, nur deutlich geringere Preise verlangen.
26. Ruslan Stoyanov: „The Hunt for Lurk“ (Die Jagd auf Lurk), Secure List, 30. August 2016.
27. Kevin Townsend: „Did Angler Exploit Kit Die with Russian Lurk Arrests?“ (Ist das Exploit-Kit Angler nach den russischen Lurk-Verhaftungen am Ende?), Security Week, 13. Juni 2016.
28. Leyla Bilge und Tudor Dumitras: „Before We Knew It: An Empirical Study of Zero-Day Attacks in the Real World“ (Bevor wir uns versahen: Eine empirische Studie von Zero-Day-Angriffen im Alltag), Bericht zur ACM-Konferenz 2012 zu Computer- und Kommunikationssicherheit, Oktober 2012.
„Für CyberKriminelle stellen ungepatchte Schwachstellen in beliebter Software, zum Beispiel in Microsoft Office oder Adobe Flash, einen kostenlosen Zugang zu jedem beliebigen Ziel dar.“
BERICHT
25 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Auf einem kompetitiven und offenen Markt sind nur die besten erfolgreichCyber-Kriminalität ist ein kompetitiver Markt, der auf Reputation und gründlichen Produktprüfungen beruht. Deshalb ist die Entwicklung neuer Funktionen oder die Bereitstellung von erstklassigem Service unverzichtbar für Cyber-Kriminelle, die ihre Mitbewerber übertreffen möchten. Gleichzeitig schafft dieser offene Markt starke Anreize, zu den besten zu gehören. Einer der befragten Experten drücke das so aus: „Für die Angreifer ist Innovation kein Selbstzweck“, vielmehr dient sie der Beibehaltung des Wettbewerbsvorteils oder der Ausnutzung neuerer und lukrativerer Gelegenheiten.
Im Untergrund „verdrängen gute Produkte die schlechten, und hochwertige Marken können Höchst-preise verlangen. Je nachdem, wie neue Produkte auf dem Markt angenommen werden, werden sie erfolgreich oder verschwinden wieder.“29 Wenn Kriminelle neue Vorgehensweisen entwickeln, werden diese vom Markt getestet, und während erfolgreiche Akteure ihre
Ressourcen und den Support verbessern können, indem sie auf dem offenen Markt Services einkaufen, wenden sich erfolglose Akteure schnell neuen Projekten zu.
Um in diesem schnelllebigen und kompetitiven Markt erfolgreich zu sein, müssen die Kriminellen stets danach streben, besser als ihre Mitbewerber zu sein. Dadurch entsteht ein Wettlauf um die Spitzenplätze, den nur die innovativsten und effizientesten Akteure gewinnen können.
Innovation ist nicht auf neue Malware beschränkt. Manchmal finden Kriminelle Profitmöglichkeiten durch neue Marketing-Methoden oder umverpackte Produkte. Der Bedrohungsdaten-Anbieter SecureWorks beobachtete, wie russische Hacker vor dem Leasing ihres DDoS-Services kostenlose fünf- bis zehnminütige „Tests“ anboten.30 Raffinierte Untergrundakteure verdienen auch an weniger kompetenten Cyber-Kriminellen, indem sie ihnen Malware-as-a-Service, Social-Engineering-Tutorials und Carding-„Bibeln“ (für den Diebstahl von Kreditkarteninformationen) oder Anleitungen für angehende Kriminelle verkaufen.
Lebenszyklus einer Schwachstelle in weißen, grauen und schwarzen Märkten
29. Lilian Ablon, Martin C. Libicki, Andrea A. Golay: „Markets for Cybercrime Tools and Stolen Data“ (Märkte für Cyber-kriminelle Tools und gestohlene Daten), RAND Corporation, 24. März 2014.
30. „Underground Hacker Markets Annual Report“ (Jährlicher Bericht zu Untergrund-Hacker-Märkten), SecureWorks, April 2016.
Erkennung derSchwachstelle
Exploit-Entwicklung
Zero-Day-Angriffe Zero-Day„verbrannt“
Tool fürPenetrationstestszweckentfremdet
Offenlegunggegenüber
Öffentlichkeit
Patch-Entwicklung
Patch-Implementierung
Angriffe vonKriminellen
Offenlegunggegenüber Anbieter
BERICHT
26 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Dank der relativen Transparenz des kriminellen Untergrunds, wo viele Angreifer in gemeinsamen Foren zusammenkommen und über ihre Erfolge prahlen, können sich diese Innovationen schnell in großem Maßstab verbreiten. Wenn einer der Kriminellen sieht, dass Kunden am neuen Service eines Mitbewerbers (z. B. rund um die Uhr verfügbarer Kunden-Support, Tests vor dem Kauf oder Produktdemos, Arbeit mit Vertrauensleuten zur beiderseitigen Absicherung von Käufern und Verkäufern) interessiert sind, übernehmen sie diese Methoden sehr schnell, um wettbewerbsfähig zu bleiben.
Ebenso stürzen sich die Angreifer auf Ziele und Angriffs-methoden, die sich für ihre Mitbewerber als lukrativ herausgestellt haben. Als im Jahr 2015 beispielsweise einige raffinierte Angreifer erhebliche Profite durch Angriffe auf Krankenhäuser einfuhren, die es sich nicht leisten konnten, das Leben ihrer Patienten durch den Ausfall ihrer Systeme zu riskieren, folgten andere Akteure schnell ihrem Beispiel. Die Ransomware-Community stürzte sich mit einer derartigen Begeisterung auf diese weichen Ziele, dass zur Mitte des Jahres 2016 ein Bericht feststellte, dass 88 % aller erkannten Ransomware-Angriffe gegen Unternehmen im Gesundheitswesen gerichtet waren.31
Große Budgets fördern Innovationen auf dem grauen Markt
Unternehmen in den exklusiveren „grauen“ Märkten sind schnell dabei, auf Wunsch ihrer Kunden Funktionen auszutauschen oder umzuwidmen. Da es sich bei ihren Kunden in erster Linie um Regierungsbehörden und große Unternehmen handelt, deren Hauptaufgabe die Überwachung und Informationserfassung ist, pflegen sie häufig einen Bestand an Schwachstellen und Exploits, mit denen sie „verbrannte“ Funktionen ersetzen. In einigen Fällen möchten die Kunden mehrere Exploits für die gleichen Systeme einsetzen, um ihre Angriffsmethoden zu variieren und so die Wahrscheinlichkeit einer Entdeckung sowie Attribution zu verringern. Andere möchten sicherstellen, dass ihre Informationserfassung nicht unterbrochen wird, d. h. sie möchten neue Tools verfügbar haben, wenn die alten unbrauchbar geworden sind.
Diese Kunden verfügen über enorme Budgets und sind bereit, für diese Funktionen hohe Summen zu bezahlen – in einigen Fällen hunderttausende US-Dollar oder mehr32. Dadurch können die Hacker-Unternehmen viel Zeit sowie Geld in die Entwicklung und Pflege hervorragender Tools investieren. Zudem können sie es sich leisten, alle von anderen Hackern entdeckten Zero-Day-Schwachstellen aufzukaufen – unabhängig davon, ob es sich um Amateure, White Hats oder Kriminelle handelt. Auch wenn es schwierig ist, zuverlässige Informationen zu den Preisen für Zero-Day-Malware und Exploits zu erhalten, zahlen Zwischenhändler wie Zerodium bereitwillig hohe Preise für exklusiven Zugang zu diesen Tools.
31. Max Green: „Hospitals are hit with 88% of ransomware attacks“ (88 % aller Ransomware-Angriffe richten sich gegen Krankenhäuser), Becker’s Health IT & CIO Review, 27. Juli 2016. Security Research Engineering Team: „Q3 2016 Threat Intelligence Report“ (Bericht zu Bedrohungsdaten für 3. Q. 2016), NTT Security.
32. Zerodium: „Our Exploit Acquisition Program“ (Unser Programm zum Aufkauf von Exploits), abgerufen am 20. Januar 2017.
BERICHT
27 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Firmen auf dem grauen Markt können Funktionen auch für andere Zwecke einsetzen. Auch wenn viele dieser Unternehmen in erster Linie offensive Fähigkeiten für Überwachung und Informationserfassung bereitstellen, bieten sie auch Fuzzing-Services, Penetrationstests und White Hat-Sicherheits-Services an. Wenn eine Zero-Day-Schwachstelle für offensive Operationen „verbrannt“ wurde, kann sie in ein Penetrationstest-Tool integriert oder für die Entwicklung von Kompromittierungs-indikatoren genutzt werden, die den Verteidigern angeboten werden.
Black Hat oder White Hat?Angreifer und Verteidiger im Cyberspace haben häufig ähnliche Fähigkeiten und Hintergründe. Menschen mit technischen Kompetenzen haben die Wahl, sich für legitime ICT (Information & Communication Technology) bzw. die Cyber-Sicherheitsbranche zu entscheiden oder sich einer kriminellen Karriere zuzuwenden. Während viele frühere Black Hat-Hacker noch Studenten oder junge Menschen mit Faszination für Computer (so genannte „Skript-Kiddies“) waren, wird der heutige Untergrundmarkt von professionellen Kriminellen dominiert. Während sich einige ihr Handwerk selbst beigebracht haben, sind andere im Hauptberuf IT-Experten oder Sicherheitsforscher, die sich nebenbei etwas dazuverdienen, oder frühere staatliche Hacker bzw. arbeitslose Informatiker.
Preise für Zero-Day-Tools nach Graumarkt-Zwischenhändler
Bis zu1.500.000 $
1.001
RJB
Apple iOS
Bis zu200.000 $
1.002
RJB
Android
Bis zu100.000 $
2.001
RCE + SBX
Flash Playermit SBXX
1.003
RJB
WindowsPhone
Bis zu80.000 $
3.001
RCE + SBX
Adobe PDFReader
2.002
RCE + SBX
Chromemit SBX
2.003
RCE + SBX
IE + Edgemit SBX
2.004
RCE + SBX
Safarimit SBX
Bis zu50.000 $
4.001
VME
VM-Ausbruch
3.003
RCE
WindowsReader App
2.005
RCE
Flash Playerohne SBX
6.001
RCE
OpenSSL
6.002
RCE
PHP
Bis zu40.000 $
5.001
MTB
ASLR-Umgehung
5.002
RCE + LPE
Virenschutz
3.002
RCE
OfficeWord/Excel
7.001
RCE
Sendmail
7.002
RCE
Postfix
7.003
RCE
ExchangeServer
7.004
RCE
Dovecot
Bis zu30.000 $
4.002
LPE + SBX
Windows
4.003
LPE + SBX
Mac OS X
4.004
LPE
Linux
2.006
RCE
Chromeohne SBX
2.007
RCE
IIE + Edgeohne SBX
2.008
RCE
Tor-Browser
2.009
RCE
Firefox
2.010
RCE
Safariohne SBX
Bis zu10.000 $
8.001
RCE
IP.Suite
8.002
RCE
IP.Board
8.003
RCE
phpBB
8.004
RCE
vBulletin
8.005
RCE
MyBB
8.006
RCE
WordPress
8.007
RCE
Joomla
8.008
RCE
Drupal
8.009
RCE
Roundcube
8.010
RCE
Horde
LPE: Local Privilege Escalation(Ausweitung lokaler Rechte)
MTB: Mitigation Bypass(Umgehung von Fehlerbehebungen)
RCE: Remote Code Execution(Remote-Code-Ausführung)
RJB: Remote Jailbreak SBX: Sandbox Escape(Sandbox-Ausbruch)
VME: Virtual Machine Escape(Ausbruch aus virtuellen Maschinen)
Quelle: Zerodium: „Our Exploit Acquisition Program“ (Unser Programm zum Aufkauf von Exploits), abgerufen am 20. Januar 2017, https://www.zerodium.com/program.html.
BERICHT
28 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Viele ältere Black Hats haben sich der legitimen Cyber-Sicherheitsbranche zugewandt, seitdem diese mehr Möglichkeiten bietet und Strafverfolgungsbehörden sich verstärkt auf Cyber-Kriminalität konzentrieren. Diese früheren Hacker, die selbst vielfach von dem Wunsch angetrieben waren, Exploits zu entdecken und sich einen Namen zu machen, wurden schließlich vom größeren und besser bezahlten Verteidigermarkt angelockt. Ein früherer Black Hat sagte uns beispielsweise: „Ich wechselte die Seiten, um Zugang zu neuer und cooler Technik sowie größeren Umgebungen zu erlangen. [...] Als White Hat kann ich jetzt supercoole Systeme hacken!“
Hochkompetente Programmierer und Schwachstellen-forscher sind vor allem in den weißen und grauen Märkten der höchsten Stufe aktiv. Ihre Gehälter in legitimen Unternehmen liegen im sechsstelligen Bereich, sie müssen sich keine Sorgen wegen Strafverfolgung machen und haben Gelegenheit, die komplexesten und „coolsten“ Systeme zu hacken – mehr als genug Motivation, von kriminellen Aktivitäten die Finger zu lassen. Dies gilt insbesondere für die besten Hacker, die Zero-Day-Schwachstellen finden und ausnutzen. Ein Benutzer erklärte in einem Online-Hacker-Forum mit deutlichen Worten, welche Möglichkeiten Hackern nach dem Fund einer Zero-Day-Schwachstelle bleiben:
„Es gibt mittlerweile fast keinen Grund mehr, Zero-Day-Schwachstellen auf dem Schwarzmarkt zu verkaufen, wenn man sie auch Sicherheitsfirmen anbieten kann. Auf dem Schwarzmarkt ist das Risiko enorm, und die Wahrscheinlichkeit betrogen zu werden viel zu hoch. Außerdem können an respektable Sicherheitsfirmen verkaufte Zero-Day-Schwachstellen zu einem lukrativen Job mit sechsstelligem Gehalt führen.“33
Zudem kann ein krimineller Hintergrund hinderlich sein, wenn es darum geht, im weißen und grauen Markt Fuß zu fassen. Die hier tätigen Unternehmen sind abhängig von Reputation und Verbindungen, um sich lukrative Verträge mit Regierungsbehörden und großen Unternehmen zu sichern. Diese Verträge umfassen häufig Administratorzugriff auf höchst vertrauliche oder geheime Daten sowie Systeme, und die meisten Kunden zeigen kein Interesse, (ehemaligen) Kriminellen ungehinderten Zugang zu ihren Systemen zu gewähren.
Es gibt jedoch auch Ausnahmen. Im Jahr 2015 wurde ein Student an der Carnegie Mellon University verhaftet, der die Malware-Familie „Dendroid“ entwickelt und verbreitet hatte. Diese Malware kompromittierte Android-Apps und gewährte Angreifern vollständigen Zugriff auf Android-Geräte.34 Der Student verkaufte die Malware auf Dark0de, dem größten englischsprachigen Cyber-kriminellen Forum35 für 300 US-Dollar an jeden interessierten Kunden und bot sogar Kunden-Support rund um die Uhr36.
33. bitcointalk: „Where Can I Sell a 0 Day?“ (Wo kann ich eine Zero-Day-Schwachstelle verkaufen), bitcointalk.org, 16. September 2013, abgerufen am 4. Februar 2014.
34. Jose Pagliery: „Cybersecurity intern accused in huge hacking bust“ (Cyber-Sicherheitspraktikant als Verdächtiger in riesigem Hacker-Skandal), CNN Tech, 15. Juli 2015.
35. Europol: „CYBERCRIMINAL DARKODE FORUM TAKEN DOWN THROUGH GLOBAL ACTION“ (Cyber-kriminelles Forum Darkode dank weltweiter Aktion stillgelegt), 15. Juli 2015.
36. Jose Pagliery: „Cybersecurity intern accused in huge hacking bust“ (Cyber-Sicherheitspraktikant als Verdächtiger in riesigem Hacker-Skandal), CNN Tech, 15. Juli 2015.
BERICHT
29 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Teilzeitkriminalität in der russischsprachigen Welt stärker verbreitet
Während hervorragend ausgebildete Hacker in westlichen Ländern selten an kriminellen Aktivitäten beteiligt sind, überschneiden sich die weißen/grauen Märkte und der Cyber-kriminelle Markt in einigen Regionen stärker. Insbesondere auf dem russisch-sprachigen Markt ist der Übergang in der Hacker-Community äußerst fließend. Sie bringt viele der weltweit raffiniertesten Cyber-Kriminellen hervor, und legitime ICT, die Cyber-Sicherheitsbranche sowie das kriminelle Ökosystem überschneiden sich stärker als anderswo.
Ein für diesen Bericht befragter Experte wies darauf hin, dass viele der ihm bekannten erfolgreichen russisch-sprachigen Hacker für ICT-Unternehmen arbeiten und nebenberuflich als Kriminelle unterwegs sind. Bei den Unternehmen handelt es sich meist um russische oder osteuropäische IT- und Telekommunikations-unternehmen, aber auch um legitime Cyber-Sicherheits-unternehmen. In einigen Fällen geben die Hacker sogar ihre kriminellen Identitäten und Dark Web-IDs auf ihren offenen Facebook-Seiten an – direkt parallel zu ihrem legitimen Job.
Ein Teil der am besten ausgebildeten russischen Cyber-Kriminellen entstammen zudem Russlands modernen Mathematik- und Informatikstudiengängen und wurden von den Geheimdiensten geschult. In einem Interview verglich ein Experte den russischen Ansatz zum Hacking mit dem olympischer Athleten: Die Regierung investiert erhebliche Mittel in die Entwicklung eines Elite-Athleten, der für das eigene Land antritt. Doch dann macht sich dieser Athlet selbständig und verdient als unabhängiger Sportler Millionen.
Einige Experten sind der Meinung, dass diese größere Überschneidung mit der legitimen ICT-Branche eine Folge der toleranten Haltung gegenüber grenz überschreitender Cyber-Kriminalität ist. Im russischen Untergrund existiert die allgemein bekannte Regel, dass russische Mitbürger oder andere russisch sprechende Benutzer nicht angegriffen werden. Nach Aussagen von Strafverfolgungsbehörden sind russische und osteuropäische Behörden so lange gegenüber Cyber-Kriminalität tolerant wie ausschließlich Ziele in Westeuropa, Asien oder in den USA angegriffen werden. Doch sobald die Ziele im eigenen Hoheitsgebiet liegen, können sie sehr schnell aktiv werden.
Ein Mitarbeiter einer Strafverfolgungsbehörde berichtete, dass einige der größten Gerichtsprozesse gegen russische und osteuropäische Cyber-Kriminelle durch US-Behörden mit einem Anruf des FSB begannen37: „Wir haben einen Cyber-Kriminellen identifiziert, der für schwerwiegende Straftaten in Ihrem Land verantwortlich ist. Wir arbeiten gern mit Ihnen zusammen, um ihn vor Gericht zu bringen.“ Natürlich haben diese Kriminellen seit Jahren offen im eigenen Land agiert, und der FSB hat sie nur deshalb „identifiziert“, weil sie den Fehler begingen, ihre Fähigkeiten gegen Ziele in Russland einzusetzen.
Die Kriminellen wissen das und verwenden verschiedene Techniken, um ihre Angriffe auf ausländische Computer zu beschränken. So zeigt die Malware des Citadel-Botnets eine interessante Eigenart: Sie infizierte nur Computer, die das romanische Alphabet verwenden, und keine Computer, auf denen ein Betriebssystem mit einer kyrillischen Schriftart ausgeführt wird. Auf diese Weise wurde gewährleistet, dass die russischen und ukrainischen Behörden sich wenig für sie interessieren.38 Wie in der Heatmap unten gezeigt war das Botnet in Westeuropa und den USA weit verbreitet, infizierte jedoch nur wenige Computer in der russischsprachigen Welt. Ein Infektionscluster in Moskau war der Tatsache geschuldet, dass in diesem Teil der russischen Hauptstadt besonders viele Ausländer leben.
37. Der Federalnaja Sluschba Besopasnosti (FSB) ist der Inlandsgeheimdienst der Russischen Föderation.
38. Enigma Software: „Citadel Trojan“ (Citadel-Trojaner).
BERICHT
30 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Der Mangel an legitimen ICT-Jobs in Russland und Osteuropa treibt ebenfalls viele gut ausgebildete ICT-Experten in die Kriminalität. Viele Hacker im russischen Untergrund sind arbeitslose IT-Experten und Informatik absolventen, die keine legitime Anstellung gefunden haben. Eine Umfrage der Recruiting-Webseite HeadHunter aus dem Jahr 2013 ergab, dass nur 51 % der befragten IT-Experten in Russland im legalen IT-Sektor Arbeit gefunden haben. In Anbetracht ihrer Fähigkeiten, die an hochangesehenen Universitäten ausgebildet wurden, und der schwachen Strafverfolgung sowie niedrigen Gehälter denken viele: „Warum nicht nebenbei was dazuverdienen?“40
Durch die Überwindung der geografischen und institutionellen Grenzen mit der russischsprachigen Cyber-Community könnten mehr Fachkräfte und Ressourcen dieser Region in die legitime Cyber-Sicherheits branche geleitet werden. Russische Universitäten bringen hervorragende Programmierer und Mathematiker hervor, doch der Mangel an Jobs im Cyber-Sicherheits- und ICT-Bereich in der russischsprachigen Welt sowie die fehlenden Konsequenzen für kriminelle Aktivitäten lässt viele dieser Experten in die Kriminalität wechseln.
Im Gegensatz dazu besteht in der legitimen ICT- und Cyber-Sicherheitsbranche in den USA und Europa ein Fachkräftemangel, sodass Informatikkenntnisse stark gefragt sind.41 Da legitime Unternehmen hervorragende Gehälter für Sicherheitsexperten bieten, besteht kaum ein Anreiz für gut ausgebildete Experten, sich auf kriminelle Aktivitäten einzulassen. Die Nutzung des unterbeschäftigten Fachkräfte-Pools aus Russland und Osteuropa könnte nicht nur die bestehenden Lücken schließen, sondern auch die Anzahl der Experten verringern, die hinter einigen der raffiniertesten Cyber-kriminellen Operationen stehen.
„Die Menschen denken sich: 'Ich habe kein Geld, eine hervorragende Ausbildung und die Straf-verfolgung ist schwach. „Warum nicht nebenher etwas dazuverdienen?'“
– Alexei Borodin, Hacker, 21 Jahre alt39
39. Alissa de Carbonnel: „Hackers for Hire: Ex-Soviet Tech Geeks Play Outsized Role in Global Cyber Crime“ (Hacker zur Miete: Technik-Experten aus der ehemaligen Sowjetunion in der weltweiten Cyber-Kriminalität aktiv), NBCNews.com/Technology, 22. August 2013.
40. ebd.
41. CSIS und McAfee: „Der Weg aus dem Fachkräftemangel“, 27. Juli 2016.
Von der Microsoft Digital Crimes Unit erstellte
Heatmap des Citadel-Botnets
Quelle: Jennifer Warnick: „Digital Detectives: Inside Microsoft’s New Headquarters for the Fight Against Cybercrime“ (Digitale Detektive: Innenansicht der Microsoft-Zentrale für die Abwehr von Cyber-Kriminalität), Microsoft News Center, 2015, http://news.microsoft.com/stories/cybercrime/.
BERICHT
31 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Für Menschen mit technischen Kompetenzen besteht in Anbetracht gut bezahlter Job-Angebote mit geringen Verhaftungsrisiken und der Chance, mit absoluten Top-Profis und modernsten Technologien zu arbeiten, praktisch kein Anreiz, sich an Cyber-Kriminalität zu beteiligen. Diese Anreize sind weltweit allerdings ungleichmäßig verteilt. Ohne legitime Job-Angebote und klare Konsequenzen für kriminelles Verhalten (wie das in Russland und Osteuropa der Fall ist) stellt die Aussicht auf Geld und eine starke Reputation einen erheblich Anreiz für Experten dar, in die Cyber-Kriminalität zu wechseln. Neuausrichtung der Anreize zur Stärkung der CyberSicherheit
Die Herausforderung für die Cyber-Sicherheit ist so komplex und kompliziert, dass auf internationaler, nationaler sowie Unternehmensebene mehrere Maßnahmen erforderlich sind. In diesem Bericht wird ein Aspekt des Problems betrachtet: die Governance-Herausforderungen, durch die Unternehmen gegenüber den Angreifern im Nachteil sind.
Es werden verschiedene wichtige Bereiche auf Verteidiger-seite aufgezeigt, an denen sich die Meinungen bezüglich der Cyber-Sicherheit eines Unternehmens häufig zwischen technischen und nichttechnischen Rollen spalten. Diese Standpunkte in Bezug auf die Gestaltung der Cyber-Sicherheitsstrategie, den Implementierungs grad sowie die allgemeine Effektivität sind von zentraler Bedeutung dafür, wie Einzelpersonen die Cyber-Sicherheitslage ihres Unternehmens einschätzen. Die daraus entstehenden unterschiedlichen Wahrnehmungen schaffen ein ungenaues, nicht zusammenhängendes Bild von der Situation der Verteidiger, erschweren die Entwicklung einer effektiven Cyber-Sicherheits strategie und vergrößern die Nachteile gegenüber Black Hat-Angreifern.
Die gute Nachricht: Die meisten Unternehmen sind sich der Bedeutung des Cyber-Sicherheitsproblems bewusst und bemühen sich, es anzugehen. Wir konzentrieren uns auf Governance, die Prozesse, Regeln und Strukturen, mit denen Unternehmen ihre Ressourcen verwalten, Entscheidungen zu Ressourcen sowie Technologien treffen und sich am Markt behaupten, denn diese Prozesse sind normalerweise langsamer und weniger flexibel als die Marktkräfte auf Angreiferseite. Dieser Effekt lässt sich nicht völlig vermeiden, aber durch Innovation minimieren. Jedes Unternehmen muss Innovationen finden, die optimal zum eigenen Geschäftsmodell und zur Unternehmensstruktur passen.
Es überrascht kaum, dass die Unternehmensführung bei der Cyber-Sicherheit vor allem die Kosten im Blick hat. Doch die unterschiedlichen Ansätze der Führungs-kräfte und Operatoren bei der Risikobewertung führen in Kombination mit der Diskrepanz der Anreize zu suboptimaler Sicherheit. Die Festlegung für beide Seiten gültiger Kennzahlen, die Kosten und Effektivität gleichermaßen berücksichtigen, ermöglicht hingegen einen einheitlicheren Ansatz zur Minimierung der Cyber-Sicherheitsrisiken.
Von Cyber-Kriminellen lernenVerteidiger können von der Black Hat-Community lernen. Security-as-a-Service kann das Plus an Flexibilität bieten, um dem Crime-as-a-Service-Modell des kriminellen Markts entgegentreten zu können, da hierfür Marktkräfte genutzt werden, die den Wettbewerb fördern und die Anreize für die Verteidiger verbessern. Sofern Unternehmen diese Kosten tragen können, kombiniert der effektivste Schutz interne Maßnahmen und externe Dienste sowie Technologien.
BERICHT
32 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Lektionen aus dem kriminellen Markt
Krimineller Markt IT-Abteilungen
Marktkräfte nutzen CrimeasaServiceDer offene und dezentrale kriminelle Markt nutzt den Wettbewerb und die Marktpreise, um Einstiegshürden zu minimieren, Innovation zu fördern und erfolgreiche Projekte schnell zu skalieren.
SecurityasaServiceDurch die intensivere Nutzung von Outsourcing und Open Contracting können die Kosten gesenkt, der Wettbewerb erhöht und die Einführung effektiver Sicherheitstechnologien sowie Vorgehensweisen gefördert werden.
Offenlegung nutzen Konzentration auf veröffentlichte SchwachstellenDurch die Ausnutzung veröffentlichter Schwachstellen lassen sich kostenintensive Schwachstellenforschung und Exploit-Entwicklungen vermeiden. Wenn diese neu veröffentlichten Schwachstellen schnell in Angriffe integriert werden, können Angreifer ihre Gewinne maximieren, bis die gefährdeten Systeme gepatcht werden.
PatchVerfahren verbessernWenn Unternehmen nach der Offenlegung von Schwachstellen schneller reagieren (z. B. bessere Patch-Verfahren anwenden sowie veraltete Systeme zügig austauschen), können die Sicherheitslage verbessert und die Kosten für die Angreifer erhöht werden.
Transparenz erhöhen
Offene Foren und OnlineWerbungOffene Foren und öffentliche Werbung erleichtern die Verbreitung erfolgreicher neuer Angriffe und krimineller Geschäftsmodelle sowie die breite Umsetzung empfohlener Vorgehensweisen.
Informationsaustausch und ZusammenarbeitDurch stärkeren Informationsaustausch und die damit verbundene Reduzierung doppelter Informationen lassen sich die Kosten für die Verteidiger senken. Zudem werden neue Technologien und Verfahren bekannt gemacht, mit deren Hilfe die Sicherheitslage erheblich verbessert wird.
Eintrittsbarrieren senken
„Jeder mit ComputerGrundkenntnissen“Da formale Qualifikationen oder geografische Beschränkungen fehlen, können unterschätzte Fachkräfte aus der legitimen Wirtschaft vom kriminellen Ökosystem profitieren.
Den weltweiten Fachkräftepool anzapfenDurch die Nutzung eines breiteren Fachkräftepools – einschließlich junger und ausländischer ICT-Experten, die oft von Cyber-Kriminalität angezogen werden – können Unternehmen ihren Fachkräftemangel ausgleichen und Fachkräfte vom kriminellen Markt abziehen.
Anreize anpassen Freiberuflermärkte belohnen LeistungAuf dem kriminellen Freiberuflermarkt werden Beteiligte auf allen Ebenen und in allen Phasen der Angriffskette für hervorragende Leistung vom Markt belohnt und für schlechte Leistung bestraft.
LeistungsanreizeUm Anreize von der Führungsetage bis hin zur Mitarbeiterebene anzupassen, müssen zum Beispiel Auszeichnungen und Boni für Mitarbeiter sowie Manager geschaffen werden, die gute Sicherheitsergebnisse erzielen.
BERICHT
33 Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten
Angreifer reagieren schnell auf öffentliche Bekanntmachungen über Schwachstellen und nutzen die Transparenz von Online-Foren, um empfohlene Vorgehensweisen sowie Angriffe zu verbreiten. Damit die Verteidiger mit den Cyber-Kriminellen Schritt halten können, müssen sie versuchen, Schwachstellen schneller zu patchen und veraltete Systeme früher auszutauschen. Schnellere Patch-Installationen und kürzere Aktualisierungszyklen können den Aufwand auf Angreiferseite erhöhen und sie dazu zwingen, in teure und zeitaufwändige Schwachstellenforschung sowie Exploit-Entwicklung zu investieren – oder sie dazu motivieren, andere Ziele mit weniger aktuellem Schutz anzugreifen.
Unsere Untersuchung hat gezeigt, dass Black Hats von höherer Geschwindigkeit und Fokussierung profitieren. Dank direkter Belohnungen werden sie dazu motiviert, ihre Angriffe schneller, neuer und flexibler zu gestalten. Für die Verteidiger spielen Geschwindigkeit und Fokussierung als Anreize keine Rolle. Doch Anreize können geändert werden. Unternehmen waren bereits erfolgreich darin, ihre Geschäftsmodelle und Strukturen dynamischer sowie innovativer und somit wettbewerbsfähig zu gestalten.
Das gleiche Engagement ist auch zur Verbesserung der Cyber-Sicherheit erforderlich, um mit den Angreifern Schritt halten zu können. Dazu müssen geeignete Kennzahlen identifiziert und die Unternehmensstruktur so umgestaltet werden, dass die Abwehrmaßnahmen flexibler sowie schneller agieren können. Bei den Überlegungen zur Umsetzung dieses Ziels ist es wahrscheinlich sinnvoll, die effektiven Anreize der Black Hats als Vorbild zu nehmen.
34
Ohmstr. 185716 UnterschleißheimDeutschlandwww.mcafee.com/de
McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, LLC oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Copyright © 2017 McAfee, LLC. 2443_0217FEBRUAR 2017
Informationen zu McAfeeMcAfee ist eines der weltweit führenden unabhängigen Cyber-Sicherheitsunternehmen. Inspiriert durch die Stärke, die aus Zusammenarbeit resultiert, entwickelt McAfee Lösungen für Unternehmen und Privatanwender, mit denen die Welt etwas sicherer wird. Mit unseren Lösungen, die mit den Produkten anderer Unternehmen zusammenarbeiten, können Unternehmen Cyber-Umgebungen koordinieren, die wirklich integriert sind und in denen der Schutz vor sowie die Erkennung und Behebung von Bedrohungen nicht nur gleichzeitig, sondern auch gemeinsam erfolgen. McAfee bietet Schutz für alle Geräte von Privatanwendern und sichert dadurch das digitale Leben zu Hause und unterwegs. Durch die Zusammenarbeit mit anderen Sicherheitsakteuren fördert McAfee zudem den gemeinsamen Kampf gegen Cyber-Kriminelle. Davon profitieren alle.
www.mcafee.com/de
Informationen zu CSISSeit 50 Jahren entwickelt das CSIS (Center for Strategic and International Studies, Zentrum für strategische und internationale Studien) praktische Lösungen für die weltweit größten Herausforderungen. Wir ruhen uns jedoch nicht auf diesem Meilenstein aus, sondern bieten auch weiterhin strategische Analysen und parteiübergreifende Empfehlungen, die Entscheidungsträgern dabei helfen, die Welt von morgen lebenswerter zu machen.
CSIS ist eine unabhängige gemeinnützige Organisation mit Sitz in Washington, DC. Die 220 festangestellten Mitarbeiter und das große Netzwerk verbundener Forscher führen Studien sowie Analysen durch und entwickeln zukunftsweisende Empfehlungen, die auf zukünftige Veränderungen Bezug nehmen.
www.csis.org
Manipulation des Spielfelds: Wie falsche Anreize gegen die Cyber-Sicherheit arbeiten