EINFÜHRUNG.
Aktuell liegt der Schlüssel zu jedem strategischen Cybersicherheits- und Datenschutzplan in seiner Messbarkeit. Denn was nicht gemessen wird, ist unbekannt; was unbekannt ist, kann nicht gesteuert werden; und was nicht gesteuert wird, kann nicht verbessert werden. Laut Cisco Security Research stieg der weltweite verschlüsselte Webverkehr (HTTPS) zwischen November 2016 und Oktober 2017 um zwölf Prozentpunkte. Laut Gartners „Market Guide for Mobile Threat Defense – 2017“ werden mobile Bedrohungen bis 2019 ein Drittel aller Sicherheitsereignisse ausmachen, verglichen mit nur 7,5 % im Jahr 2016. Cybersicherheit wirkt sich auf alle Arten von Ökosystemen und alle Arten von Entitäten aus (Menschen, Objekte, Hardware, Software, Firmware, verwaltete Prozesse, Organisationsprozesse, Geschäftsmodelle, Avatare usw.) und ermöglicht Zugänglichkeit. Cybersicherheit schützt die Umwelt, Menschen, Dinge (IoT), Lebewesen, VR-Avatare, Hardware, Software, persönliche Assistenten und vieles mehr. Sie fördert Produktivität und Fortschritt und ermöglicht so Nachhaltigkeit in unserer Gesellschaft. Sie schützt vor Chaos, verheerenden Angriffen, Bedrohungen, Schwachstellen, lateraler Bewegung, Cyberwaffen, polymorpher/metamorpher Malware und vielem mehr. Sie bietet Garantien und ermöglicht eine ausgewogene globale Governance. Sie ist die treibende Kraft hinter Compliance-Anforderungen und -Verpflichtungen (SOX, PCI-DSS, DSGVO usw.). Sie sichert Qualität durch die Untersuchung (Erkennung, Analyse, Ursachenforschung, Analyse lateraler Bewegungen usw.), Vorhersage, Behebung und Wiederherstellung nach Cybersicherheits- und Datenschutzvorfällen, Einbruchsversuchen und allen Arten von Cyberangriffen. Sie filtert unautorisierte Ein- und Ausgaben, reguliert und kontrolliert potenzielle Destabilisierungen und warnt frühzeitig vor schädlichen, bösartigen oder gefährlichen Situationen. Cybersicherheit ist in Prozessen, Hardwaregeräten, Softwaretools und Firmware, Standards, Best Practices, Methoden, Richtlinien und vielem mehr verankert. Sie ermöglicht es Organisationen, verantwortungsbewusst, nachhaltig und gemeinsam verantwortlich zu handeln. Cybersicherheit schützt vor Unsicherheit und Risiken jeglicher Art (Auswirkungen, Schwachstellen und Bedrohungen). Sie ist die Grundlage jeder Transformation, Infrastruktur, jedes Ökosystems, jeder Organisation, Technologie, Einheit, Spezifikation, Entwicklung, jedes Designs, jeder Implementierung, jedes Geschäftsmodells, jeder Governance usw. Sie ist die wichtigste Voraussetzung für Vertrauen, Fortschritt, Nachhaltigkeit und vieles mehr. Cybersicherheit ist zentral für neue Konzepte wie Cyberresilienz in Unternehmen, Organisationen, Industrie 4.0, Entwicklungen im Bereich der künstlichen Intelligenz, Fahrzeuge aller Art, Infrastrukturen usw. Ein weit verbreiteter Irrglaube ist, dass der Schutz einer Einheit, Organisation, eines Systems, einer Struktur, eines Unternehmens, einer Infrastruktur, eines Ökosystems usw. das einzige Mittel zur Erreichung dieses Ziels ist. Dabei geht es um die Berücksichtigung oder Implementierung bestimmter zusätzlicher Cybersicherheitsfunktionen. Der richtige Ansatz ist jedoch, Cybersicherheitsschutz von Anfang an in die Planungsphase zu integrieren und eine umfassende Lösung zu schaffen – keine Sammlung von Add-ons, Patches oder Funktionen. Es umfasst alles: Menschen, Hardware, Software, Firmware, Prozesse, Verfahren, Compliance, Infrastruktur, Maschinen, Governance, Cyberresilienz, die Umwelt und so weiter.
BOTNET-LEBENSZYKLUS. FUNKTIONELLE ANATOMIE FORTGESCHRITTENER BEDROHUNGEN UND CYBERWAFFEN.
Der Lebenszyklus eines Botnetzes umfasst folgende Phasen: (1) Einschleusung und Bereitstellung. Beispiele hierfür sind die Verbreitung schädlicher E-Mails, die Ausnutzung von Software-Schwachstellen, Instant Messaging, P2P-Filesharing-Netzwerke und andere Botnetze. In dieser Phase kommen folgende Resilienztechniken zum Einsatz: Nutzung vertrauenswürdiger Prozesse, Verschleierung durch triviale Namen, Rootkit-Techniken, reduzierte Sicherheitsregeln, eingeschränkte Systemleistung, Installation von Antivirensoftware, integrierte Anti-Debugging- und Anti-Virtualisierungsmechanismen, Bereitstellungstechniken, Polymorphismus und Metamorphismus, kontinuierliche Bot-Updates usw. (2) C&C (Command & Control). Hierbei lassen sich folgende vier Unterphasen unterscheiden: (i) Modell und Topologie. Hierbei werden zentralisierte (Einzelstern-, Mehrserver-Stern- und hierarchische) und verteilte (zufällige) Modelle unterschieden. (ii) Anwendung und Protokoll. Folgende Kommunikationsarten werden hier identifiziert: P2P, IM, HTTP/HTTPS, IRC usw. (iii) Kommunikationsinitiierung. Folgende Kommunikationsarten werden hier identifiziert: Push- und Pull-Methoden. (iv) Kommunikationsrichtung. Folgende Kommunikationsarten werden hier identifiziert: bidirektional und eingehend. In dieser Phase werden verschiedene Resilienztechniken identifiziert: DNS/DNSSec-Techniken, Verschlüsselung/Steganografie/subliminale Kanäle, mehrere URLs, Dead Drop und C&C-Varianten. Das Spektrum der C&C-Organisationsoptionen ermöglicht die Identifizierung von fünf Typen: (a) Vollständig zentralisiert. Die Struktur ist baumartig, wobei der Kommandant an der Wurzel die direkte Kontrolle und Befehlsgewalt über die Zwischenkommandanten hat, die wiederum mit der gleichen direkten Kontrolle und Befehlsgewalt die Verbindung zu den Einheiten herstellen. (b) Zentralisierte Führung und dezentrale Ausführung. Die Struktur ist baumartig, wobei der Kommandant an der Wurzel die direkte Kontrolle und Befehlsgewalt über die Zwischenkommandanten hat, die mit den Einheiten verbunden sind, aber keine Kohäsion aufweisen. (c) Kollaborative C2. 
(a) Vollständig vernetzte Struktur mit Kommandant und Kommandeuren der mittleren Ebene mit direkter Kontrolle und Befehlsgewalt sowie Kommandeuren der mittleren Ebene mit schwachen Verbindungen zu den Einheiten. (d) Dezentrales C2 (Selbstsynchronisation). Die Struktur ist baumartig, mit dem Kommandanten an der Wurzel, der über direkte Kontrolle und Befehlsgewalt mit den Kommandeuren der mittleren Ebene verbunden ist, welche wiederum über schwache Kopplung mit den Einheiten verbunden sind. (e) Keine Organisation. Kommandant, Kommandeure der mittleren Ebene und Einheiten sind nicht schwach gekoppelt und stehen nicht unter direkter Kontrolle/Befehlsgewalt. (3) Botnet-Anwendung. Folgende Anwendungsfälle können identifiziert werden: DDoS/DoS-Angriffe, Spionage, Spamming und Malware-Verbreitung, Anwendungshosting und andere schädliche Aktivitäten. In dieser Phase werden Resilienztechniken identifiziert, wie z. B. Anonymisierungstechniken, verschleierte Nachrichten, Begrenzung der Gefährdung und Vergeltungstechniken. Die Hauptfunktionsbereiche jeder Angriffs-/Eindringeinheit (fortgeschrittene Bedrohungen und Cyberwaffen) sind:
1) Penetration. Dies umfasst: (a) Zugriff. Dies kann sein: (i) Technischer Zugriff, entweder aus der Ferne über das Internet oder aus nächster Nähe durch Chiptausch, USB-Gerät oder Token, Lieferkette, abgehörte Kabel, heimliches WLAN (selbst mit WPA3), Diebstahl, Raub, unbefugtes Surfen usw. (ii) Sozialer Zugriff, durch Überredung, Erpressung, Bestechung, Täuschung, Betrug und betrügerische Machenschaften. Zu den Zielen solcher Angriffe gehören Nutzer, Betreiber, Hersteller und Dienstanbieter. (b) Schwachstellen/Angriffsflächen. Dies sind Schwächen, Mängel, Fehler, Ungenauigkeiten, Bedürfnisse (z. B. „Ich muss eine App unbedingt ausführen, selbst wenn sie schädlich ist“), Fehler, Vertrauensprobleme, Mängel usw. in: (i) Software. Anwendungen, Apps oder Systemsoftware mit versehentlich oder absichtlich eingeführten Schwachstellen. (ii) Hardware. Schwachstellen in Mikroprozessoren, Grafikkarten, Netzteilen, Peripheriegeräten, Speichermedien, Netzwerkkarten und Hardware-Trojanern, die in jeder Phase des Design-, Test- oder Implementierungszyklus usw. eingeschleust werden und darauf warten, autonom zu agieren oder ein Funksignal von einem Angreifer zu empfangen usw. (iii) Kommunikationskanäle. Zum Beispiel das Anzapfen von Glasfaserleitungen, das elektromagnetische Abfangen von Funkkommunikation und EM-Emissionen von Computergeräten. (iv) Konfiguration. Unachtsam oder falsch geöffnete Ports, schwache Passwörter, Nichtbeachtung des Wiederholungslimits, fehlerhafte Verfahren, mangelhafte Protokolle, schlechte Organisation, unzureichende Governance usw. Häufig werden technische und soziale Elemente kombiniert, wie im Fall von Phishing.
2) Die Nutzlast. Diese legt die schädlichen Aktionen fest, die in einer oder mehreren Phasen ausgeführt werden, mit vorübergehendem Verschwinden, um Verwirrung zu stiften, und wiederholtem Wiederauftauchen, das zunehmend bösartiger, unerwarteter und chaotischer wird.
Bedrohungen durch Störungen drahtloser Verbindungen: physische Cyberwaffen. Arten von fortgeschrittenen Bedrohungen und Software-Cyberwaffen.
Das Stören drahtloser Verbindungen, beispielsweise mithilfe eines Mehrantennenstörsenders (ein einfaches Beispiel sind HF-Störsender), stellt eine ernsthafte Bedrohung für die Cybersicherheit dar, die auf der Interferenz mit künstlichen elektromagnetischen Signalen beruht. Beispiele hierfür sind das Stören von PMR-Systemen (Private Mobile Radio), die von Polizei und anderen Rettungsdiensten genutzt werden, das Stören und Spoofing von GPS/GLONASS-Empfängern, das Stören von Fernbedienungen in Parkhäusern, um Diebstahl zu erleichtern, und das Stören von drahtlosen Alarmanlagen in Wohnhäusern, um Einbrechern unbemerkten Zugang zu ermöglichen. Massive-MIMO-Technologie (die den Einsatz einer großen Anzahl von Antennen, Hunderten oder Tausenden, die phasengleich arbeiten) kann als physische Cyberwaffe oder Störgerät eingesetzt werden und zivile und militärische drahtlose Kommunikationssysteme durch DDoS/DoS-Angriffe schädigen. Fortgeschrittene Bedrohungen und Cyberwaffen lassen sich in verschiedene Kategorien einteilen: (1) Allgemeine Bedrohungen mit geringem Schadenspotenzial. (2) Malware mit hohem Schadenspotenzial. Diese Malware kann ein System von außen beeinflussen, ist aber technisch nicht in der Lage, in das System einzudringen und direkten Schaden anzurichten. Hierbei handelt es sich um Schadsoftware, die als intelligenter Agent agieren kann und in der Lage ist, in geschützte, sogar autonome und physisch isolierte Systeme einzudringen und Ausgabeprozesse zu beeinflussen, um direkten Schaden anzurichten, Inhalte auszuspionieren, Chaos zu stiften usw.
FORTGESCHRITTENE BEDROHUNGEN UND CYBERWAFFENGENERATIONEN.
Es lassen sich mehrere Generationen hochentwickelter Bedrohungen und Cyberwaffen unterscheiden:
1) Erste Generation: Cyberwaffen für die elektronische Kriegsführung, die Strahlung oder Signalstörungen nutzen, können durch traditionelle Methoden der elektronischen Kriegsführung, die auf Interferenz und Störsendern basieren, Systeme blenden, beschädigen, beeinträchtigen oder handlungsunfähig machen. Auch das Durchtrennen von Kupfer- oder Glasfaserleitungen für Telefonie, Daten, Internet usw. gehört zu dieser Generation. Die Folgen sind die Beeinträchtigung oder Unterbrechung der Kommunikation, ähnlich wie bei Cyberwaffen, die C&C/C2-Technologie (Command and Control) verwenden. Sie greifen die Verarbeitungselemente mit physikalischen Mitteln an (Störsender, elektromagnetische Störungen usw.). Zum Einsatz kommen Neutronenbomben, physische Durchtrennungen von Trägermedien, die Emulation von Sonnenfleckenstrahlung, HF-Störsender, Störgeneratoren usw.
2) Zweite Generation: Diese benötigen einen operativen Zugriff, gegen den ein Exploit-Code eingesetzt werden kann. Software/Firmware und Hardware werden verwendet, um Schwachstellen (aller Art, z. B. Multi-Zero-Day-Schwachstellen) in Systemen im Allgemeinen oder in spezifischen Zielen auszunutzen. Diese Bedrohungen zeichnen sich dadurch aus, dass jemand eine ausnutzbare Sicherheitslücke in Design, Konfiguration oder Implementierung der Systemsoftware, Firmware oder Hardware besitzen muss. Ein ähnlicher Ansatz in der Biologie ist die Genom- oder DNA-Bearbeitung durch das Schreiben und Löschen von Abschnitten, um neue Fähigkeiten in Lebewesen zu erzeugen. Auch psychische, parapsychologische und Biohacking-Cyberwaffen werden weiterentwickelt. Sie ermöglichen den Einsatz von Drogen zur DNA-Bearbeitung (ähnlich einer Datei, in der Änderungen, Schnitte, Einfügungen usw. vorgenommen werden) und zur Erweiterung unkonventioneller Fähigkeiten bei Menschen und Lebewesen im Allgemeinen.
3) Dritte Generation. Hier werden die fortgeschrittenen Bedrohungen und Cyberwaffen der vorherigen Generationen konsolidiert, verfeinert und interagieren miteinander. Sie ermöglichen die Zerstörung von Kommunikations- und Koordinationsstrukturen im Cyberraum; ebenso ermöglichen sie die Verbreitung von Verwirrung, Desinformation, Desorganisation, Chaos, Spionage, Diebstahl usw.
Technologien zur Abwehr hochentwickelter Bedrohungen und Cyberwaffen. Ziele von Cyberangriffen.
Das Spektrum an Gegenmaßnahmen und Schutzmechanismen wächst täglich. Selbst mit Unterstützung künstlicher Intelligenz lassen sich folgende Punkte identifizieren:
1) Blacklisting. Integriert in Antivirensoftware, NIPS/HIPS/AIPS usw. Diese sind gegen gezielte Angriffe nicht wirksam.
2) Whitelisting. Integriert in Computergeräte, aber auch in das interne Netzwerk. In bestimmten Fällen und in einigen Netzwerkbereichen (SCADA) wirksam, jedoch mit hohen Kosten verbunden.
3) Anomalieerkennung. Diese muss noch umfassend getestet werden, ist aber vielversprechend (insbesondere im Backoffice).
4) Betrieb in einer virtualisierten Umgebung. Wahrscheinlich wirksam gegen bestimmte Malware-Arten. Dies umfasst die Nutzung von Quarantänezonen, DMZs, Sandboxing, VLAN-Partitionierung, Isolation durch versiegelte VMs usw.
5) Techniken der künstlichen Intelligenz wie maschinelles Lernen und Erweiterungen wie Deep Learning. Zu den Techniken des maschinellen Lernens gehören Klassifizierung, Clustering (verwendet in SUBA- oder Security User Behavior Analysis-Lösungen), Regression usw. Einige Techniken des maschinellen Lernens umfassen statische, dynamische und Verhaltenssignaturen, übergeordnete Muster und unüberwachte Anomalien (anwendbar auf verschlüsselte Daten ohne Entschlüsselung).
Einige fortgeschrittene Bedrohungen/Malware und APT-artige Cyberwaffen sind: (i) Duqu. Es dient dem Sammeln von Informationen über PCs. Es enthält einen Tastatur- und Maus-Keylogger. Es handelt sich um Spyware. Es nutzt dieselbe Plattform wie Stuxnet, denselben Vektor, aber eine andere Nutzlast. Der Verbreitungsmechanismus besteht darin, ein MS-Word-Dokument mit einem Zero-Day-Exploit abzulegen, das wartet, bis der Computer zehn Minuten lang inaktiv ist, zuzüglich einer weiteren Bedingung. Im Netzwerk kopiert es sich in einen freigegebenen Ordner (mit einem vom Keylogger gestohlenen Passwort) und erstellt einen geplanten Prozess auf dem Zielrechner. (ii) Flame. Es dient der Cyberspionage und dem Informationsdiebstahl. (iii) Gauss. Es sammelt unbefugt Informationen und stiehlt Zugangsdaten von Bankensystemen und Social-Media-Konten, E-Mails, Instant-Messaging-Diensten usw. (iv) Stuxnet. Greifte Urananreicherungsanlagen im Irak an; basierte auf Siemens-SPSen. (v) Carbanak/Anunak. Zielte auf Geldautomaten ab und basierte auf der Banking-Malware Tyupkin.
Es gibt eine Vielzahl von Cyberangriffen mit unterschiedlichen Zielen, darunter:
1) Systeme der künstlichen Intelligenz, Roboter, virtuelle Realität, erweiterte Realität, eingeschränkte Realität, persönliche Assistenten, Ambient Intelligence (AmI), Post-Reality, Avionik, Drohnen, vernetzte Fahrzeuge usw.
2) Steuerungssysteme (z. B. Stuxnet). Dies birgt Risiken für Transportsysteme (vertikal und horizontal), kritische Infrastrukturen der Industrie 4.0 und öffentliche Versorgungsunternehmen (Wasser, Strom, Industrie, Pipelines, Gesundheitswesen, Landwirtschaft usw.).
3) Algorithmen. Dies birgt Risiken für Finanzsysteme (SWIFT, Society for Worldwide Interbank Financial Telecommunication, ein privates globales Telekommunikationsnetzwerk für den Finanzsektor zur Abwicklung seiner Geschäftstätigkeiten; die Bluenoroff-Angriffsgruppe hatte es 2015/16 auf SWIFT abgesehen), Geldtransfers, faire Märkte, Zahlungssysteme, Sozialversicherung, Blockchain, Kryptowährungen usw.
4) Datenbanken und Datenspeicher. Die Folge sind Vertrauensverlust, soziales Chaos und Anarchie.
5) Kommunikation. Das Ergebnis ist ein Verlust der Befehlsgewalt; es geht um ein schwindendes Vertrauen in Nachrichtenberichte und Regierungsbehörden angesichts von Falschmeldungen.
Eingabevektoren für Schadsoftware und bösartigen Code.
Rootkits sind Schadsoftware, die sich privilegierte Zugriffsrechte (Root- oder Administratorrechte) verschafft und aufrechterhält, um das System zu steuern (daher der Name Rootkit). Dabei verschleiert sie ihre Anwesenheit, indem sie das normale Verhalten des Betriebssystems manipuliert. Ein Rootkit verfolgt typischerweise drei Ziele: (1) Ausführung. Ein Rootkit möchte auf dem Computer des Opfers uneingeschränkt ausgeführt werden können. Die meisten Computersysteme (einschließlich Linux, Unix, Solaris, Android, iOS, Windows usw.) verfügen über Autorisierungsmechanismen wie Zugriffskontrolllisten (ACLs) und Berechtigungslisten, um zu verhindern, dass eine Anwendung auf geschützte Ressourcen zugreift. Rootkits nutzen Schwachstellen in diesen Mechanismen aus oder verwenden Social-Engineering-Angriffe, um sich zu installieren und somit uneingeschränkt agieren zu können. (2) Tarnung. Ein Rootkit möchte insbesondere verhindern, dass installierte Sicherheitsprodukte wie Antivirensoftware seine Ausführung erkennen und es entfernen. Am besten lässt sich dies verhindern, indem es für alle anderen auf dem System laufenden Anwendungen unsichtbar gemacht wird. (3) Aktion. Ein Rootkit führt bestimmte Aktionen aus (technisch als Payload bezeichnet). Neben der Ausführung und dem Verbleiben im Verborgenen kompromittiert es den Computer des Opfers, um Passwörter oder Bandbreite zu stehlen oder andere Schadsoftware zu installieren. Es gibt eine wachsende Anzahl von Malware-Eintrittspunkten, darunter: Disketten, CDs, DVDs, USB-Geräte, soziale Netzwerke, E-Mail, Instant Messaging, P2P (Musik, Bildschirmschoner, Videos usw.), Web-Downloads, Software (Malware), die ohne Zutun oder Wissen des Nutzers auf den Computer heruntergeladen wird, beispielsweise durch den Besuch einer Webseite (ohne explizit auf einen Link zu klicken), Ausnutzung von Sicherheitslücken im Webbrowser oder seinen Erweiterungen aufgrund von Schwachstellen in zugehöriger Software (Adobe Reader, Adobe Flash, QuickTime, RealPlayer, Skype, iTunes, Java, WinRAR, WinZIP, VLC, MediaPlayer, Instant-Messaging-Clients, E-Mail-Programme wie Outlook/Thunderbird, Browser wie Internet Explorer, Safari, Firefox, Chrome, MS Office wie Word, Excel, PowerPoint usw.), Client-Software, das Betriebssystem, Treiber, DLLs, Bibliotheken, Hypervisoren in virtuellen Maschinen usw. Zu den verwendeten Malware-Verbreitungsmethoden gehören Software-Schwachstellen (Entwicklung von Zero-Day-Exploits in bestimmter Software) und Watering-Hole-Angriffe (Ausspielen von Exploits auf kompromittierten Systemen). Websites zur Verteilung von Schadsoftware), Spear-Phishing-E-Mails (Anhängen von schädlichen Dokumenten an Spear-Phishing-E-Mails, um die Opfer zu infizieren), Nutzung von Pharming basierend auf DNS/DNSsec-Schwachstellen usw.
ARTEN VON AUSWIRKUNGEN AUF DER INFORMATIONSEBENE.
Ein Cyberangriff auf ein Zielsystem kann sensible Informationen auf vielfältige Weise beeinträchtigen. Ein kompromittiertes System muss sich gegen Strategien der Informationskriegsführung verteidigen können, um sich vor Bedrohungen, Störungen, Verzerrungen, Dienstverweigerungen oder der Zerstörung sensibler Datenbestände zu schützen. Angriffe haben verschiedene Auswirkungen auf Informationen. Zu den wichtigsten gehören:
1) Datenverfälschung. Diese tritt auf, wenn der Angriff eine Datei verändert hat (beispielsweise verschlüsselt die WannaCry-Malware eine Datei, einen Ordner oder eine Festplatte, um Lösegeld zu fordern). Eine Datenverfälschung bedeutet eine Änderung der Daten in einer Datei oder die Manipulation der Informationen des Opfers.
2) Dienstunterbrechung. Diese wird üblicherweise durch einen DoS-/DDoS-Angriff verursacht. Eine Dienstunterbrechung bedeutet eine Änderung des Zugriffs, eine Verlangsamung oder den vollständigen Verlust des Zugriffs auf das Opfer oder dessen Informationen.
3) Datenzerstörung. Diese tritt üblicherweise auf, wenn ein Angriff das Löschen von Dateien oder den Verlust des Zugriffs verursacht hat. Zerstörung ist die gravierendste schädliche Auswirkung, da sie das Löschen der Datei oder die Entfernung der Informationen des Opfers (Mensch, Maschine, Programm, KI-Agent usw.) beinhaltet.
4) Offenlegung von Informationen. Dies beinhaltet typischerweise die Bereitstellung von Zugriff für einen Angreifer auf Informationen, die ihm normalerweise nicht zugänglich wären, beispielsweise durch Sniffer, Videoüberwachung, Spyware, Keylogger oder die Analyse verschlüsselten Datenverkehrs, wodurch Informationen wie Nachrichtenvolumen und -häufigkeit abgeleitet werden können. Unbefugte Offenlegung von Informationen kann zu weiteren Arten von Cybersicherheitsverletzungen führen.
5) Informationsfindung. Dies beinhaltet das Auffinden von Informationen, die zuvor unbekannt waren. Wenn beispielsweise ein Scan-Tool (wie Nmap Port Scanning oder Nessus Schwachstellenscanning) nach Informationen sucht, können die gefundenen Informationen verwendet werden, um einen Angriff auf ein bestimmtes Ziel zu starten. Autonome mobile Agenten und Bots werden eingesetzt, um Netzwerke nach Personen, Profilen, Aktionen, Daten, Dateien usw. zu durchsuchen.
KATEGORIEN VON VERTEIDIGUNGSSTRATEGIEN.
Verteidigungsmaßnahmen können vor, während und nach Cyberangriffen implementiert werden. Zu den wichtigsten Verteidigungsstrategien gehören:
1) Schadensbegrenzung. Bevor Schwachstellen ausgenutzt werden oder während eines Cyberangriffs, kann ein Verteidiger verschiedene Maßnahmen ergreifen, um den entstandenen oder potenziellen Schaden zu begrenzen. Ein Beispiel hierfür wäre die Installation eines Wurms, der sich im Netzwerk verbreitet. Ein Wurm kann von einer Gruppe von Computern im Netzwerk entfernt und der Datenverkehr umgeleitet werden, während der Administrator die Entfernung des Wurms durchführt. Schadensbegrenzung zielt darauf ab, die Schwere des Cyberangriffs zu reduzieren. Mögliche Techniken sind: (i) Entfernung aus dem Netzwerk. Dies beinhaltet die Fähigkeit eines Administrators, infizierte Computer zu entfernen und weiteren Schaden zu verhindern, indem sie in isolierten Bereichen, Quarantänezonen, DMZs, Sandboxes, VLANs oder einer bestimmten virtuellen Maschine (VM) in einer virtualisierten Umgebung platziert werden. Ein bestimmter Wurm kann sich in einem Netzwerk einnisten und sich verbreiten. (ii) Whitelisting. Eine Liste zulässiger Verbindungen, die dem Verteidiger bekannt ist. Ein Angriff kann auf bestimmte Software abzielen, die sich auf einem festgelegten Port befindet. (iii) Referenzmitteilung. Hierbei handelt es sich um Hinweise des Verteidigers zur Abwehr eines Angriffs oder um eine Datenbank-/Herstellerreferenznummer für Schwachstellen, um eine Schwachstelle, einen Eindringversuch oder einen Angriff zu beheben oder zu beseitigen.
2) Abhilfemaßnahmen. Bei Vorliegen oder vor der Ausnutzung einer Schwachstelle stehen dem Verteidiger Abhilfemaßnahmen zur Verfügung, um einen Angriff zu verhindern. Die Abhilfestrategie umfasst die Ergreifung geeigneter Schritte zur Behebung der Situation vor oder während der Ausnutzung. Einige mögliche Techniken sind: (i) Patchen und Aktualisieren von Systemen. Einspielen von Patches, die vom Hersteller aufgrund von Schwachstellen in der verwendeten Software oder Firmware veröffentlicht werden. Wenn aus verschiedenen Gründen eine Schwachstelle oder ein Angriff vorliegt, verwendet der Verteidiger die vom Hersteller bereitgestellten Patches/Fixes. (ii) Korrekter Code. Abteilungen innerhalb einer Organisation veröffentlichen Code-Patches für bestimmte Anwendungen, um die Möglichkeit der Ausnutzung durch einen Angreifer zu schließen. (iii) Beenden des Systems durch Drücken von Strg+Alt+Entf, Trennen der Netzwerkverbindung, Ausschalten des Geräts, Entfernen der SIM-Karte, Begeben in einen Faraday-Käfig, Aktivieren von HF-Störsendern für WLAN usw.
Arten von Software-Schwachstellen. Kategorien von Zielen für Cyberangriffe.
Software-Schwachstellen lassen sich in zwei Hauptkategorien einteilen: (1) Vorsätzliche Schwachstellen. Diese können weiter unterteilt werden in: (i) Bösartige Schwachstellen, wie Trojaner (mit oder ohne Replikation, wie bei Viren), Backdoors, Zeitbomben oder Logikbomben. (ii) Nicht-bösartige Schwachstellen, wie verdeckte/subliminale Kanäle (Speicherung, Timing) usw. (2) Unbeabsichtigte Schwachstellen. Beispiele hierfür sind Validierungsfehler (unvollständig, inkonsistent), Domänenfehler (einschließlich der Wiederverwendung von Restobjekten usw.), Serialisierung/Aliasing (einschließlich Race Conditions, TOCTTOU-Fehler/Bugs/Schwachstellen (Time of Check to Time of Use)), unzureichende Identifizierung/Authentifizierung und Verletzungen von Randbedingungen (einschließlich Ressourcenerschöpfung usw.). Die Vielzahl der Angriffsziele kann die Verteidigung vor große Herausforderungen stellen und die Vorhersage des nächsten Angriffs erschweren. Folgende primäre Angriffsziele und ausnutzbare logische Fehler wurden identifiziert:
1) Benutzer. Ein Cyberangriff auf einen Nutzer zielt darauf ab, dessen persönliche Daten zu erlangen, seinen Ruf oder seine Finanzen zu schädigen oder ihm Schaden oder gar den Tod zuzufügen. Dabei werden Social-Engineering-Techniken wie Astroturfing eingesetzt, bei dem Falschinformationen verbreitet werden.
2) Anwendung/App: Hierbei handelt es sich um einen Angriff auf spezifische Software. Eine Anwendung oder App kann ein Client, ein Server oder ein P2P-Peer sein. Eine Client-Anwendung ist Software, die Nutzern bei der Ausführung gängiger Aufgaben hilft. Eine Server-Anwendung ist Software, die für die gleichzeitige Nutzung durch mehrere Nutzer ausgelegt ist.
3) Betriebssystem (Kernel, Benutzeroberfläche, Treiber, Hypervisor in virtuellen Maschinen, z. B. VMware): Das Betriebssystem koordiniert die Aktivitäten und teilt die Ressourcen eines Computers auf. Ein Angriff kann Schwachstellen in einem bestimmten Betriebssystem (Linux, Windows, Solaris, Unix usw.) ausnutzen. Auch Hypervisoren in virtualisierten Umgebungen wie VMware weisen Schwachstellen auf, die beispielsweise den Wechsel von einer virtuellen Maschine zu einer anderen, vermeintlich isolierten und abgeschotteten virtuellen Maschine ermöglichen.
4) Netzwerk Ziel ist ein bestimmtes Netzwerk, ein L3/IP-Subnetz oder ein L2-VLAN. Der Zugriff erfolgt durch Ausnutzung von Schwachstellen innerhalb eines Netzwerks, Subnetzes, eines Netzwerkprotokolls usw.
5) Lokal. Dies ist ein Angriff auf den lokalen Computer eines Benutzers (Tablet, Smartphone, PC, medizinische Prothese, IoT-Gerät, Smartphone-SIM-Karte usw.).
SCHLUSSBEMERKUNGEN.
Laut Radware nahmen DDoS-Angriffe (Distributed Denial of Service) im Jahr 2017 auf Anwendungsebene um 64 % zu (die Hauptangriffsvektoren waren HTTP mit 37 %, DNS mit 33 % und HTTPS mit 28 %) und auf Netzwerkebene um 51 % (die Hauptangriffsvektoren waren TCP-SYN-Flooding mit 35 %, UDP mit 23 %, IPv6 mit 10 % usw.). Die meisten Cyberangriffe folgen einer Struktur, die aus bestimmten Angriffsphasen besteht, der sogenannten Cyber Kill Chain (CKC): Jeder Angriff beginnt mit einer Aufklärungsphase, in der der Angreifer versucht, Schwachstellen im Zielsystem zu finden. Darauf folgt die Bewaffnungsphase, in der Schwachstellen entdeckt und zur Entwicklung gezielten Schadcodes genutzt werden. In der nächsten Phase, der Malware-Auslieferungsphase, wird die Malware an das potenzielle Ziel übertragen. Nach erfolgreicher Auslieferung beginnt die Ausnutzungsphase, in der die Malware die Installation von Schadcode auslöst. Sobald ein System kompromittiert ist, können C&C/C2-Kanäle eingerichtet werden, über die der Angreifer beliebige schädliche Aktionen ausführen kann. Der Integrierte Sicherheitsansatz (ISA) bietet wichtige Leitlinien für eine umfassende Cybersicherheitsstrategie. Hauptziel des ISA ist die Generierung von Frühwarnungen, idealerweise vor dem eigentlichen Angriff (vor der Ausnutzungsphase). Die Warnung soll eine relevante Meldung generieren, die die gesammelten Bedrohungsdaten in konkrete Handlungsanweisungen übersetzt. Diese Meldung unterstützt die Auswahl von Gegenmaßnahmen, um Organisationen vor einem Angriff zu schützen. Lässt sich ein Eindringen nicht verhindern, muss das Ausmaß des Angriffs ermittelt und eine Reaktion eingeleitet werden. Diese Gegenmaßnahmen sollten Aktionen zur Abwehr oder zum Gegenangriff des Angreifers sowie definierte Wiederherstellungsverfahren umfassen, um das angegriffene System schnellstmöglich in seinen Ausgangszustand zurückzuversetzen und den Normalbetrieb wiederaufzunehmen. Die NIST 800/ISO 27002-Standards definieren folgende Schlüsselbereiche für Best Practices: Identifizierung (Datentools, Benutzerrechte, Netzwerkanomalien, RATs in Diensten, infrastrukturweite Schwachstellen durch Audits), Prävention (Datenbewegung, Benutzermissbrauch, Netzwerkkommunikation, Diensterstellung, infrastrukturweite Ausnutzung durch Interpretation), Verteidigung (Datenzugriff, Benutzeranmeldeinformationen, Netzwerkdienste, Dienstnutzung, infrastrukturweite Änderungen durch Kontrollen), Reaktion (Datenuntersuchung, Benutzeridentitätsdiebstahl, Netzwerkbeschränkungen, Dienstkontrolle, Infrastruktur-Patching durch Behebung) und Wiederherstellung (Wiederherstellung von Daten aus Backups, Benutzer-ACLs, Netzwerkbereitstellung, Festlegung einer Dienstbasislinie, Infrastrukturrekonstruktion durch Implementierung einer umfassenden Richtlinie). Andere Standards umfassen auch Bereiche wie Erkennung und Schutz. Gute Cybersicherheitspraktiken sind auf verschiedenen Ebenen oder in verschiedenen Bereichen strukturiert: auf Netzwerkebene, Schutz von Netzwerken vor internen und externen Angriffen, Filterung unautorisierter Zugriffe und schädlicher Inhalte, Überwachung und Test von Sicherheitskontrollen und Verwaltung der Netzwerklast (QoS); Auf der Ebene des Malware-Schutzes werden Anti-Malware-Richtlinien und -Abwehrmaßnahmen für alle Bereiche der Organisation festgelegt, Malware-Scans durchgeführt und die Antivirensoftware unternehmensweit aktualisiert. Auf der Ebene der Überwachung wird eine Überwachungsstrategie entwickelt und Supportrichtlinien erstellt, alle Systeme und Netzwerke werden kontinuierlich überwacht und Protokolle auf ungewöhnliche Aktivitäten analysiert, die auf einen Eindringversuch oder Cyberangriff hindeuten könnten. Auf der Ebene des Vorfallmanagements werden Kapazitäten für die Reaktion auf Vorfälle und die Wiederherstellung nach einem Notfall eingerichtet, Vorfallmanagementpläne entwickelt und getestet, das Vorfallmanagementteam geschult und kriminelle Vorfälle gemeldet, um rechtliche Schritte zu gewährleisten. Auf der Ebene von Schulung und Sensibilisierung werden Benutzerrichtlinien erstellt, die die akzeptable und sichere Nutzung der Systeme der Organisation abdecken, ein evaluierbares Schulungsprogramm für alle Mitarbeiter eingerichtet und das Bewusstsein der Benutzer für Cyberrisiken aufrechterhalten. Auf der Ebene von Homeoffice und mobilem Arbeiten wird eine Richtlinie für mobiles Arbeiten entwickelt und die Mitarbeiter in deren Einhaltung geschult, eine sichere Basislinie für alle Geräte implementiert und Daten während der Übertragung und im Ruhezustand geschützt. Auf der Ebene des Benutzerberechtigungsmanagements werden Prozesse für die Kontoverwaltung eingerichtet und die Anzahl privilegierter Konten begrenzt, Berechtigungen eingeschränkt und die Benutzeraktivität überwacht sowie der Zugriff auf Aktivitäts- und Audit-Protokolle kontrolliert. Auf der Ebene des Informationsrisikomanagements ist eine effektive Governance-Struktur zu etablieren, Risiken zu ermitteln, Risikomanagementrichtlinien zu erstellen und zu unterstützen sowie die Nutzer für die Bedeutung der Risiken zu sensibilisieren. Auf der Ebene der sicheren Konfiguration sind Sicherheitspatches einzuspielen, die sichere Konfiguration aller Infrastruktursysteme zu gewährleisten und ein Inventar aller Infrastrukturgeräte zu erstellen sowie eine Baseline zu definieren. Auf der Ebene der Kontrolle von Wechseldatenträgern ist eine Richtlinie zu erstellen, die den Zugriff auf Wechseldatenträger wie USB-Sticks regelt, die Arten und Verwendungszwecke von Wechseldatenträgern einschränkt und alle Wechseldatenträger vor dem Import in die Infrastruktursysteme auf Malware überprüft.
LITERATURVERZEICHNIS.
- Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2018.
- Areitio, J. „Identification and analysis of pathological elements for cybersecurity and privacy in digital transformation: Business and Industry 4.0“. Conectrónica Magazine. Nr. 209. Oktober 2017.
- Areitio, J. „Impact of approaches, strategies, techniques, methods and technologies of protection in cybersecurity-privacy“. Conectrónica Magazine. Nr. 211. Januar 2018.
- Areitio, J. „Longitudinal and cross-sectional analysis of network protection in cybersecurity and privacy: a responsibility for all“. Conectrónica Magazine. Nr. 213. März 2018.
– URL für das Online-Tool nmap (scannt die 28 Hauptports nach einer bestimmten IP-Adresse oder einem Nameserver): http://netping.io/nmap
– URL für den Online-Nmap-Scanner: http://nmap.online-domain-tools.com/
– URL für das Tool VirusTotal (ein kostenloser Dienst, der verdächtige Dateien und URLs analysiert und die Erkennung von Viren, Würmern, Trojanern usw. erleichtert; die maximale Dateigröße für die Übermittlung beträgt 128 MB): https://www.virustotal.com/.
– Gupta, PK, Tyagi, V. und Singh, SK. „Predictive Computing and Information Security.“ Springer. 2017.
– Icon Group International. „The 2018–2023 World Outlook for Cyber Weapons.“ Icon Group International, Inc. 2017.
– Johnson, TA. „Cybersecurity: Protecting Critical Infrastructures From Cyber Attacks and Cyber Warfare.“ CRC Press. 2015.
– Ellis, R. und Mohan, V. „Rewired: The Past, Present and Future of Cybersecurity“. John Wiley & Sons Inc. 2019.
– Brooks, CJ, Craig, P. und Short, D. „Cybersecurity Essentials“. Sybex. 2017.
– URL für Virentests: http://www.eicar.org
– Sanger, DE „The Perfect Weapon: War, Sabotage and Fear in the Cyber Age“. Crown. 2018.
– Prunckun, H. „Cyber Weaponry: Issues and Implications of Digital Arms“. Springer. 2018.
– Gurevich, V. „Cyber and Electromagnetic Threats in Modern Relay Protection“. CRC Press. 2017.
– Brotherston, L. und Berlin, A. „Defensive Security Handbooks: Best Practices for Securing Infrastructures“. O’Reilly Media. 2017.
– Musa, SM: „Netzwerksicherheit und Kryptographie“. Mercury Learning and Information. 2017.
– Chang, CH und Potkonjak, M: „Sicheres Systemdesign und vertrauenswürdiges Rechnen“. Springer. 2015.
– Colbert, EJM und Kott, A: „Cybersicherheit von SCADA und anderen industriellen Steuerungssystemen“. Springer. 2016.
– Zetter, K: „Countdown zum Zero Day: Stuxnet und der Start der weltweit ersten digitalen Waffe“. Broadway Books. 2015.
– Westcott, S. und Riescher Westcott, J.: „Cybersicherheit: Eine Einführung“. Mercury Learning & Information. 2019.
Autor:
Prof. Dr. Javier Areitio Bertolín – E-Mail:
Professor an der Fakultät für Ingenieurwissenschaften der Universität Deusto.
Leiter der Forschungsgruppe Netzwerke und Systeme.
