CSIRT Header
© Getty Images/iStockphoto

Sicherheitsexperten CSIRT

Wenig Chancen für Cyber-Kriminelle

05/2017 - Sie legen Websites lahm, schleusen Schadsoftware ein, verschlüsseln Daten und machen vielen Unternehmen das Leben schwer: Cyber-Kriminelle. Mit der Spezialeinheit CSIRT wappnet DB Systel Konzernanwendungen gegen diese professionellen Angriffe.

Das Zimmer ist nicht aufgeräumt. Auf dem vollen Schreibtisch steht ein Modem, in das das Kabel eines Telefons gesteckt werden muss, um den klobigen Computer mit dem Schulrechner zu verbinden. Es ist eine Szene aus dem Film „Wargames“. Matthew Broderick nutzt als David diese heute vorsintflutlich wirkende Technik und sein Computerwissen, um Schulnoten zu manipulieren – und später im Film versehentlich fast einen Krieg auszulösen. 1983 war das, vor mehr als 30 Jahren. Inzwischen nutzen wir Smartphones, von denen jedes für sich tausendmal leistungsstärker ist als der Filmcomputer. Dennoch haben nicht wenige immer noch solche jungen Nerds in ihren Kinderzimmern vor Augen, wenn sie an Computerkriminalität und Hacker denken. Ein Irrglaube, der die reale Situation verharmlost.

Je mehr die Digitalisierung voranschreitet, desto größer ist die Gefahr, Opfer von Cyber-Kriminellen zu werden. Die Bandbreite möglicher Angreifer dabei ist groß: Sicher, es gibt die jungen Menschen, denen es gelingt, in andere Computernetze einzudringen. Deren Aktionen sind zwar meistens ärgerlich, aber oft nicht gefährlich. Anders dagegen die Angriffe von professionellen Hackern: Sie sabotieren Systeme, um Geld zu verdienen – es ist ein Milliardengeschäft. Um an das Geld der Opfer zu gelangen, agieren die skrupellosen Angreifer nicht wie in einem Hollywood-Film, sondern setzen auf ausgeklügelte Methoden.

Das Eingreifteam gegen Cyber-Kriminalität

Um die Deutsche Bahn vor solchen Angriffen zu schützen, wurde das Cyber Security Incident Response Team (CSIRT) gegründet. Es ist so etwas wie die Sondereinsatztruppe von DB Systel, die aktiv wird, sobald Hacker versuchen, das System zu überlisten. Es sind Spezialisten, die Taktiken und Methoden der IT-Gangster kennen. Ihr Fokus liegt darauf, Sicherheitsvorfälle durch professionelle und zielgerichtete Angriffe zu erkennen und entsprechend zu reagieren. Außerdem ist das Team beteiligt, wenn es um die Optimierung der bestehenden Systeme geht. Es überprüft beispielsweise die Infrastruktur regelmäßig auf bekannte Schwachstellen – und gibt eine Empfehlung, wie diese schnellstmöglich behoben werden können.

© DB Systel GmbH

Doch Anfang Mai zeigte die „WannaCry“-Attacke deutlich, dass selbst vermeintlich sichere Computersysteme gefährdet sind. Bei dem Cyber-Angriff wurden rund 200.000 Computersysteme in 150 Ländern empfindlich gestört – darunter auch einige Computersysteme der Deutschen Bahn: Sowohl Anzeigetafeln als auch Fahrkartenautomaten und –verkaufssysteme funktionierten durch die Attacke eine Zeitlang nicht vollständig. Auch wenn zu keinem Zeitpunkt die Betriebssicherheit, der Zugverkehr und die Kundendaten gefährdet waren, zeigte die Attacke auf, wo es noch Schwachstellen in der IT-Infrastruktur gibt. So ärgerlich der Angriff also war, hatte er also am Ende etwas Gutes: „WannaCry“ machte sehr plastisch, wo Gefahren liegen und gab den Ansporn, sich jetzt an allen Stellen und dauerhaft bestmöglich aufzustellen.

Denn nicht immer liegt es wie beim „WannaCry“-Angriff an der nicht aktuellen Software einzelner Rechner, zum Beispiel, wenn Sicherheitspatches nicht rechtzeitig eingespielt werden. Sehr häufig schleusen Cyber-Kriminelle per E-Mail Schadsoftware ein. Dafür ist die Interaktion des Empfängers erforderlich. Sobald dieser auf einen in der Nachricht enthaltenen Link klickt oder den Anhang öffnet, ist das Tor für Angriffe geöffnet. Doch inzwischen sind die meisten Sicherheitsprogramme in der Lage, solche E-Mails zu erkennen. Breit gestreute Massenangriffe lohnen sich daher kaum noch, weshalb sich die Kriminellen ihre Opfer gezielt aussuchen und sich nicht auf den Zufall verlassen. Sie gehen dabei wie Detektive vor, die ihre Ziele genau auskundschaften: Wie lebt das Opfer, wie sind dessen Routinen und mit wem ist er vernetzt? Dafür werden alle Daten genutzt, die frei verfügbar sind: Social-Media-Profile, Einträge im öffentlichen Personenregister oder Suchmaschinen. Erfahren die Kriminellen zum Beispiel etwas über das Hobby, können sie so ganz individuelle E-Mails mit passenden Angeboten verfassen, die auf den ersten Blick unverdächtig wirken.

Die Methoden der Angreifer

CSIRT Artikel
© fotolia.com (Elnur)

Ein nächster Schritt der Angreifer wäre nun, den Rechner zu kapern und den Nutzer zu erpressen. Erst wenn eine bestimmte Summe an ein anonymes Konto überwiesen wird, lässt sich der Rechner wieder bedienen. Viel häufiger bekommt das Opfer vorerst gar nicht mit, dass es einen Eindringling gibt. Die Verbrecher zeichnen aus der Ferne Tastaturanschläge auf und protokollieren alle Aktivitäten. So haben sie Zugriff auf sensible Daten, können Überweisungen tätigen oder bekommen die Informationen über alle Kontakte. Die gesammelten Informationen können beispielsweise für die „Chefmasche“ genutzt werden: Der Kriminelle schreibt eine E-Mail an das Opfer und gibt sich als Vorgesetzter aus – und veranlasst eine dringende Überweisung.

Die Ziele der Kriminellen sind also vielfältig. Sie reichen von reiner Sabotage über Erpressung bis zur Industriespionage. Und auch wenn es DB Systel dank einer umfassenden Absicherung Angreifern schwer macht, in die Computersysteme und Netzwerke des DB-Konzerns einzudringen, darf man sich keiner Illusion hingeben: Wie im echten Leben schrecken Verbrecher nicht vor guten Schlössern und Alarmanlagen zurück, sie versuchen auf immer neuen Wegen einzudringen. Und ganz egal, ob digital oder analog: Oft ist der Mensch dann die größte Schwachstelle im System.

Sensibilisierung steht an erster Stelle

Es gilt also, mit den Cyber-Kriminellen Schritt zu halten, deren Methoden zu kennen und rechtzeitig die nötigen Gegenmaßnahmen einzuleiten. CSIRT schafft genau dafür die operativen Voraussetzungen. Die Schulung von Konzernmitarbeitern soll dabei helfen, dass noch frühzeitiger Gefahren erkannt werden – bevor den Kriminellen das Eindringen in die Systeme gelingt. Es geht bei der digitalen Kommunikation also auch um die Sensibilisierung des eigenen Verhaltens bei der Arbeit mit Computern und Mobiltelefonen.

So ist es auch dem Einsatz von DB Systel zu verdanken, dass der jüngste Angriff auf das System der Deutschen Bahn so glimpflich ablief. Mit ihrer Arbeit sorgen die CSIRT-Mitarbeiter auch weiterhin dafür, dass Kunden und Kollegen den Begriff Sicherheit mit der Deutschen Bahn verbinden können. Aber eines ist klar: Es wird immer Kriminelle geben, die versuchen werden, in Computersysteme einzudringen, wie die „WannaCry“-Attacke zeigt. Doch mit dem CSIRT haben die Cyber-Verbrecher eine Einsatztruppe als Gegner, die ihr Handwerk versteht.