«Viele Hacker sind für mich Mad Scientists»

Die Cyber-Security-Landschaft wird gerade umgepflügt. Kriminelle finden über IoT (Internet of Things; Internet der Dinge) und OT (operationelle Technik) neue Einfallstore in Unternehmensnetze. Daneben perfektionieren sie ihre Botnetze mit Schwarmintelligenz. Computerworld hatte vor Kurzem Gelegenheit, mit Derek Manky eine Tour d'Horizon der derzeitigen Cyber-Security-Lage zu unternehmen. Manky ist als Global Security Strategist Leiter der Bereiche Security Insights und Global Threat Alliances beim IT-Sicherheitsunternehmen Fortinet. In dieser Funktion ist er am hauseigenen Forschungslabor FortiGuard Labs in der Nähe von Vancouver, Kanada, tätig.

Derek Manky: Ich bin bereits 15 Jahre bei Fortinet und seit gut 20 Jahren im IT-Security-Umfeld tätig. Interessanterweise haben aktuelle Phänomene im cyberkriminellen Umfeld bereits eine gewisse Tradition. Nicht nur stammt der erste Wurm aus den 1970er Jahren, auch aktuelle Bedrohungen wie Ransomware sind nicht erst seit gestern bekannt. Das Konzept stammt von anno 1998. Damals forderten die Erpresser noch, dass die Opfer ihnen Bargeld in einem Couvert an ein Postfach in Panama City schicken sollen.

Was ich festhalten kann: Damals waren die Bedrohungen in einem gewissen Sinne etwas «kopflos», sie hatten kein wirkliches Hirn und bestanden nur aus einfachen Algorithmen sowie einzelnen Codezeilen. Damals brauchten sie auch noch nicht sonderlich «innovativ» zu sein, um grossen Schaden anzurichten, weil die Ziele sehr einfach zu knacken waren.

Das hat sich radikal geändert. Vor allem Windows ist bedeutend sicherer geworden. Zwischen Windows XP mit Service Pack 2 und einem aktuellen Windows 10 liegen was die Absicherung anbelangt Welten. Das kann ich aus der Warte der White Hats also der Penetration Tester bestätigen. Denn zu unserem täglichen Job gehört es, in komplett gepatchten Windows-10-Systemen nach Sicherheitslücken zu fahnden. In der Regel brauchen wir 30 bis 35 Tage, um eine Lücke ausfindig zu machen.

Manky: Das auch, aber nicht nur. Viel einfacher ist es für die Cyberkriminellen, nach neuen Zugangswegen in die Systeme und Netze ihrer Opfer zu suchen. Die haben sie auch gefunden, und zwar über die vielen IoT-Geräte. Vor gut zwei Jahren tauchte der Angriffsvektor via IoT in der Top 10 unserer Bedrohungsstatistik  auf. Davor wurden Firmen hauptsächlich über PCs, später via mobile Android-Geräte angegriffen.

Das Problem mit den IoT-Geräten, also vom Drucker über das NAS bis hin zur Webcam, ist, dass sie viele Sicherheitslücken aufweisen, die von den Herstellern nicht einmal gepatcht werden. Zum Teil sind Software-Updates geschweige denn Security-Updates seitens der Hersteller gar nicht vorgesehen. Vorhin habe ich davon gesprochen wie lange wir brauchen, um eine Schwachstelle in Windows zu identifizieren. Bei IoT-Geräten finden wir vier bis fünf Sicherheitslöcher pro Tag versus eine Verwundbarkeit bei Windows pro Monat. Für mich ist IoT gleichbedeutend mit dem Vergiften des Internets.

Manky: Nicht wirklich. Zunächst einmal kennen die IoT-Entwickler keine Security-Standards. Dann sind viele IoT-Geräte nicht einmal updatebar. Und wenn sie es sind, reagieren die Hersteller kaum auf unsere Hinweise. Informieren wir sie über Lücken, können sie mit der Information meist gar nichts anfangen, weil ihre Entwickler in Security-Fragen gar nicht geschult sind. Manchmal reagieren die IoT-Firmen sogar sehr ablehnend und feindlich auf unsere Meldungen.