Wettrüsten für die IT-Sicherheit

Report: Wie sieht die Bedrohungslage für Unternehmen derzeit aus?

Martin Resel, A1: Sie ist eigentlich erschreckend. Anfang April war ich in der Steiermark bei einer Konferenz für IT-Leiter eines produzierenden Unternehmenskunden, der global tätig ist. Der CIO meinte, sich 2016 im Summe »ein paar Wochen« mit den Themen IT-Sicherheit und Cybersecurity beschäftigt zu haben. Heuer hat dieser Bereich bereits ­30 % seiner Zeit verschlungen.

Früher war das Thema Sicherheit insgesamt geringer dimensioniert: Die Problemstellen in Unternehmen waren vielleicht ein Mitarbeiter, der etwas gestohlen hatte, und Werkspionage. Heute umfassen die Bedrohungszenarien Erpressungsversuche über Verschlüsselungstrojaner und Distributed-Denial-of-Service-Attacken auf Server, um diese lahmzulegen. Meist werden kommerziell wichtige Services angegriffen, wie etwa Webshops. Wer nicht zahlt, hat mit Ausfällen zu kämpfen.


Report: Sie bekommen das auch am eigenen Leib zu spüren, indem auch Ihr Netz ständig angegriffen wird.

Resel: Ja, im Februar 2016 kam es bei einer massiven DDos-Attacke sogar vereinzelt zu kurzen Netzausfällen. Der Angriff war aus China, Russland, der Ukraine, Thailand und den USA gleichzeitig erfolgt. Hier hatte nachweislich ein zentraler Player verschiedene Server auf mehreren Kontinenten im Einsatz. Deshalb investieren wir auch massiv für unsere eigene Sicherheit, und wir bemühen uns gemeinsam mit Herstellern und Partnern, die IT-Infrastruktur unserer Kunden abzusichern. Gerade kleinere Unternehmen werden nicht ständig in eigene IT-Hardware und Software dazu investieren können. Wir filtern Schadcodes und Bedrohungen aus der Datenleitung, noch bevor sie ein Firmennetz erreichen können. Dies betrifft den IP-Verkehr ebenso wie den Mail-Verkehr und wird von uns als Service erbracht.



Foto: Martin Resel: »Alle sprechen über das ›Internet der Dinge‹ und Digitalisierung. Leider vergessen dabei viele, dass vernetzte Dinge angreifbar sind und dass die Hacker meist besser ausgestattet sind als viele Unternehmen.«


Report: Kann ein Internetprovider überhaupt die Sicherheit bieten, sämtliche Schadcodes aus Datenverkehr zu filtern? 

Resel: Das meiste können wir gemeinsam mit Partnern wie Ikarus Security Software herausfiltern, indem wir auf deren Know-how zugreifen und unsere Systeme und Filter rund um die Uhr anpassen. Aber auch den Hackern und Cyberkriminellen fallen immer wieder neue Dinge ein. Dementsprechend müssen wir ständig reagieren. Hundertprozentige Sicherheit gibt es nicht.


Report: Wie haben sich die Erkennungsraten in den letzten Jahren verändert? Wo steht man heute in diesem Wettrüsten?

Joe Pichlmayr, Ikarus: Im Unterschied zu anderen Ländern beobachten wir in Österreich veränderte Angriffsvektoren. Bis Dezember 2016 haben wir extrem stark E-Mail-basierte Angriffe im Netz gesehen – das ist etwas, was man mit reputationsbasierten Filtern einigermaßen gut in den Griff bekommt. Gut 90 % des Mail-Verkehrs werden heute aussortiert, noch bevor es zu den Nutzerinnen und Nutzern kommen kann. Nötig für eine solche »Threat Intelligence« sind für die Unternehmen aber zentral abrufbare Services. Dies selbst zu errichten und zu warten wäre zu teuer.

Jetzt sehen wir eine Zunahme von Link-basierten Angriffen. Ein typischer Fall ist eine Bewerbung mit einem Link auf ein Dokument in einem Dropbox-Ordner. Der HR-Abteilung wird mit dem Hinweis, das Dokument sei zu groß fürs Mailen, ein Schadcode so über die Hintertür eingeschleust. Andere Angriffe zielen auf Server von KMU, indem ein Content-Management-System kompromittiert wird. Damit vermeiden die Angreifer den Weg über die meist besser geschützten Telekom-Gateways wie etwa einen Mailserver. Auch dort können wir uns noch verbessern. In einem von uns neu entwickelten »Multi-Sandbox-Approach« werden über klassische Spam-Filter hinaus mehrere Produkte von verschiedenen Security-Herstellern gleichzeitig genutzt. Wir schaffen damit eine Steigerung der Erkennungsrate um weitere 0,11 %. Das mag auf den ersten Blick nicht viel erscheinen, bedeutet aber bei einem Volumen von 36 Millionen Mails, die wir täglich scannen, zehntausende Mails zusätzlich, die aus dem Verkehr gezogen werden.



Foto: Joe Pichlmayr: »Das Bewusstsein für IT-Sicherheit ist bei den größeren Unternehmen da. Bei kleineren schaut es leider anders aus – da wird noch viel über die Bedrohungen geschrieben werden müssen.«


Report: Wie stark sind Angriffe auf Unternehmen personalisiert gestaltet? 

Pichlmayr: Das ist sehr unterschiedlich. Auf der einen Seite arbeiten auch die Bad Guys sehr ökonomisch. Angegriffen wird, wo es leicht und billig ist – sprich, wo die Chance, viele zu erwischen, groß ist. Andererseits gibt es tatsächlich Angreifer, die sehr genau etwa Jobausschreibungen in der Zeitung beobachten. Der Markt in der Region Deutschland, Österreich und Schweiz ist für Angreifer so attraktiv, dass sich Cyberkriminelle lokal agierende Komplizen suchen, die Angriffspunkte recherchieren. Aus dem Darkweb lässt sich eine Angriffslogistik dann sehr professionell vorbereiten. Die Welt ist ein Dorf geworden.


Report: Wie lässt sich eine DDos-Attacke auch von kleineren Unternehmen abwehren? 

Resel: Mit unserem Kernprodukt »Clean Pipe« können wir mit entsprechender Früherkennung verdächtigem Netzverkehr und unvorhergesehenem Datenvolumen in einer Leitung entgegensteuern. Das ist wie auf einer Autobahn: Wenn zu viele Fahrzeuge gleichzeitig die Straße nutzen wollen, sperren wir einfach die Zufahrten.

Report: Bis zu welcher Angriffsstärke kann man sich denn in Österreich schützen? Dies ist doch prinzipiell eine Frage der Leitungsinfrastruktur.

Resel: Der Angriff auf das A1-Netz ist mit 75 Gigabit pro Sekunde durchgeführt worden – das ist schon massiv. Kleinere Unternehmen halten solche Angriffe sicherlich nicht aus. Wir hatten den Fall eines Fünf-Sterne-Hotels in Westösterreich, dessen Buchungs- und Abrechnungssystem angegriffen wurde, um Geld zu erpressen. Das Unternehmen hat daraufhin seine IT-Systeme in unser Rechenzentrum verlegt und sich damit weniger angreifbar gemacht.

Pichlmayr: Bei einem Hotelbetreiber mit einer weniger leistungsfähigen IT-Infrastruktur kann schon eine weitaus geringer dimensionierte DDos-Attacke Folgen haben. Da ist es sinnvoll, sich unter einen großen Schirm zu stellen, wenn es regnet.


Report: Ende letzten Jahres hat man bei einer Attacke auf einen zentralen DNS-Dienst in den USA gesehen, dass auch Infrastrukturgröße alleine kein Garant für eine schnelle Abwehr ist.

Pichlmayr: Das war der erste große Angriff, bei dem ein Botnet aus Geräten des Internet of Things – vor allem Webcams – bestand. Spannend ist eigentlich der Hintergrund dieses Angriffs. Ausgelöst wurde er durch einen verärgerten Sony-Playstation-Spieler, der von Sony wegen Schummelns beim Online-Spielen ausgeschlossen wurde. Der wollte eigentlich nur den Gaming-Server stören. Er hat im Darkweb das Mirai-Botnet um vermutlich ein paar hundert Dollar gemietet, in seiner Ahnungslosigkeit aber dann den Dienst DynDNS abgeschossen. Damit waren auch andere Services wie Twitter, Spotify oder eBay mehrere Stunden nicht erreichbar. Den betroffenen Unternehmen hat das Millionenschäden verursacht.

Resel: Über Digitalisierung und das Internet der Dinge wird viel gesprochen. Die meisten aber vernachlässigen leider das Thema Security, das allem zugrunde liegen sollte. Wenn ein Gerät vernetzt ist, ist es automatisch auch angreifbar. Das betrifft auch das Smart Home, das gehackt werden kann. Und es betrifft natürlich auch Unternehmen. Es wird immer wichtiger, dass wir jeden Service, den wir am Markt anbieten, mit ­Security versehen.