Dreißig Jahre digitale Entwicklung – aus Sicht von jemandem, der dabei war

Eines Tages in den frühen 90er Jahren blätterte ich durch das Handbuch „Implementing UUCP over X.21“. Ich war fest entschlossen, herauszufinden, wie man E-Mails von der Außenwelt sendet und empfängt – etwas, das damals keineswegs üblich war.

Das Wörtchen „ Security “ sprang mir von einer der Seiten entgegen. Ich schaltete sofort einen Gang zurück und kaufte mir noch am selben Nachmittag „Das Kuckucksei“ von Clifford Stoll – einem Astronomen, der zum Cyberdetektiv wird und ein Netzwerk von Spionen aufdeckt, das die nationale Sicherheit bedroht. Die Geschichte beginnt mit einem scheinbar unbedeutenden Buchungsfehler, der Stoll auf die Spur eines Hackers führt, der in die Computer des Lawrence Berkeley National Laboratory eingedrungen war.

Ich verschlang das Buch in kürzester Zeit, und ohne es zu merken, hatte ich gerade meine ersten Schritte auf dem Weg zu einer langen und aufregenden Karriere gemacht.

Die ersten Hacker Dänemarks

Später im selben Jahr nahm ich an einem Seminar über IT-Sicherheit teil, das von Jørgen Bo Madsen geleitet wurde, der damals Leiter des dänischen CERT bei UNI-C war. Er fesselte die Zuhörer mit der Geschichte von Dänemarks ersten Hackern: Jub Jub Bird and Sprocket.

Zurück im Büro konnte ich nicht widerstehen, einige der Techniken, die ich gelernt hatte, an meinem Chef auszuprobieren. Bis heute bin ich ihm dankbar, dass er meine Neugierde gefördert und mich dazu ermutigt hat, tiefer in die Welt der IT-Sicherheit einzutauchen. Damals war „IT-Sicherheit“ noch kein wirklich etablierter Bereich. Es war mehr eine Gruppe schrulliger ITler, die sich nicht an das Handbuch hielten, sondern immer über den Tellerrand hinausschauten: „Was wäre, wenn wir stattdessen Folgendes versuchen würden …?“

Der erste Internetwurm

A teenager girl playing with a 90s retro game in a personal computer in her bedroom.

Wie bereits erwähnt, war der Internetzugang am Arbeitsplatz damals keine Selbstverständlichkeit und spielte eine entscheidende Rolle bei der Wahl meines neuen Jobs. Unsere Kunden interessierten sich zunehmend für das Internet und wollten wissen, wie man es sinnvoll nutzen kann.

Dabei stieß ich auf eine interessante Geschichte: 1988 machte sich ein Mann namens Robert Tappan Morris daran, die Größe des Internets zu erkunden. Nach etwas Programmierung und einem einzigen Befehl entstand der erste Internet-Wurm – und damit der erste DDoS-Angriff. Wahrscheinlich war dies nicht seine Absicht, aber es markierte den Beginn einer der am schnellsten wachsenden Branchen unserer Zeit: der Cybersicherheit.

Wenn ich mich recht erinnere, war man damals der Meinung, dass man mit einer Antiviren-Software und einer Firewall gut geschützt sei. Antivirenprogramme haben mich nicht sonderlich fasziniert, aber ich habe mich intensiv mit der Frage beschäftigt, welche Firewall-Technologie die bessere ist, und habe sie intensiv verfolgt.

Misstrauen kommt auf

Zur Wahl standen die Stateful Inspection-Technologie von Checkpoint, Ciscos PIX – im Grunde nur eine Box, die NAT betreibt – und schließlich die Proxy-Technologie von Raptor Eagle. Es war ein erbitterter Kampf zwischen diesen Herstellern, angeheizt durch mehr oder weniger glaubwürdige Beiträge von Anbietern in verschiedenen Newsgroups.

Viele Menschen wie ich waren tief in die Technologie und ihre Möglichkeiten eingetaucht. Mit meiner Firewall konnte ich entscheiden, dass jeder, der nach innen angeschlossen war, gut und jeder, der nach außen ging, schlecht war. So funktionierte es, und ich war der „Sheriff“, der für Recht und Ordnung in der Stadt sorgte.

Die Begeisterung, mit Menschen auf der ganzen Welt kommunizieren zu können, war immens, und genau das war die treibende Kraft. Nur wenige dachten über die „Schattenseiten“ dieser plötzlichen technologischen Globalisierung nach, und wir alle mussten unsere Lektionen lernen.

Ich erinnere mich noch gut an meinen eigenen „ Aha-Moment“, nachdem ich für einen Kunden eine Internetverbindung samt Firewall installiert hatte. Ich war ein wenig selbstzufrieden und zeigte ihm stolz das Ergebnis. Sie konnten nun ihren Netscape-Browser auf http://info.cern.ch leiten, während das Firewall-Protokoll mit den bekannten grünen (akzeptieren) und roten (ablehnen) Linien über den Bildschirm lief.

Der Kunde warf einen kurzen Blick auf den Bildschirm, bevor er den Raum verließ, nur um kurz darauf mit seinem Chef zurückzukehren und zu erklären: „Sehen Sie sich das an – diese roten Linien sind Leute, die versuchen, uns zu hacken. Gut, dass wir eine Firewall haben!“

Es dauerte ein paar Stunden, um den Chef zu beruhigen und ihm zu versichern, dass es nicht nötig sei, das FBI zu kontaktieren, die Polizei zu rufen oder das Internet zu sperren. Aber als ich später allein in meinem Auto saß und über die Ereignisse des Tages nachdachte, wurde mir klar, dass der Mann im Prinzip recht hatte. Wir hatten die nächste Stufe der Internetrevolution erreicht: Misstrauen.

Zur gleichen Zeit begann die Kommerzialisierung des Internets. Jetzt brauchte man keinen Wolkenkratzer mit einer Reklametafel auf dem Dach mehr zu bauen, um seine Größe und seinen Einfluss zu signalisieren. Jeder konnte eine nette Website erstellen und die gleiche Botschaft über sein Unternehmen und seine Leistungen senden. Einige Unternehmen begannen sogar, mit Selbstbedienung und Online-Handel zu experimentieren.

Ein weiterer entscheidender Moment war für mich, als meine Bank mein Konto online stellte. Ich weiß noch genau, wie entsetzt ich war: Wie konnten sie den „bösen Jungs“ direkten Zugang zu meinen Finanzen gewähren?

OK – vielleicht steckte mehr dahinter als nur Virenschutz und Firewalls, und ich musste anfangen, mich mit Technologien wie Verschlüsselung, Authentifizierung und Autorisierung zu beschäftigen.

Die Entstehung von Compliance, Risk und Governance

Ich glaube, es war ungefähr zu jener Zeit, als mir – und vielen anderen – klar wurde, dass diese neue, eng vernetzte Welt sehr verwundbar war. Damals erkannte man auch die Notwendigkeit eines systematischeren Ansatzes. Es entstand eine breitere, ganzheitlichere Sichtweise des Problems, und es wurden neue Fachrichtungen eingeführt, um es anzugehen.

Ganzheitlich“ und „systematisch“ waren keine Worte, die man gemeinhin mit mir in Verbindung brachte, und so mussten andere die Welt retten. So entstand der GRC-Bereich (Governance, Risk und Compliance), und es dauerte nicht lange, bis diese Fachleute mit hoch erhobenem Kopf und nur einer Hand an den Zügeln auf ihren Papiertigern durch “Security Town“ ritten.

Die Wahrheit ist, dass sie wahrscheinlich die ganze Zeit da waren. Ich war nur zu sehr in die technischen Details vertieft, um von meinem 14″-EGA-Bildschirm aufzuschauen. Aber es wurde klar, dass wir die Welt anders sehen und die Herausforderungen tatsächlich frontal angehen mussten.

Sogar ich musste einsehen, dass Sicherheit jetzt im Interesse des Unternehmens erfolgen musste – nicht nur, weil es interessant war. Ich musste eine Formel lernen, die nicht in meinem alten Spielbuch stand und die die Grundlage für alle künftigen Sicherheitsmaßnahmen bilden würde:

Risiko = Wahrscheinlichkeit x Folgen

Das Internet verbreitete sich schnell und wurde zur bevorzugten Plattform für alle möglichen dubiosen Experimente.

Viren, Defacement und andere zwielichtige Aktivitäten sind im Internet auf dem Vormarsch

2001 war das Jahr, in dem wir mit Phänomenen wie dem ILOVEYOU-Virus, Code Red und Nimda vertraut wurden – letzteres wurde dank des kreativen Wortspiels eines Kollegen mit meinen Initialen für eine Weile mein Spitzname.

Nach und nach schränkten die meisten Unternehmen den Zugriff effektiv ein, so dass es unmöglich war, anfällige Server vom Internet aus zu erreichen. In der Regel waren nur ein Webserver und ein E-Mail-Gateway von außen zugänglich. Das tat der Kreativität bestimmter Personen jedoch keinen Abbruch.

Defacement wurde zum neuen Gesprächsthema, und auf vielen Websites wurden die Inhalte durch mehr oder weniger unterhaltsame Botschaften ersetzt, oft mit politischen oder propagandistischen Motiven. So wurde beispielsweise die New York Times gezwungen, pro-syrische Propaganda anzuzeigen, und über 50 Websites der US-Regierung wurden von zwei Iranern als Vergeltung für die Ermordung des iranischen Militärgenerals Qasem Soleimani verunstaltet.
Die Unschuld des Hackens war verschwunden; man tat es nicht mehr einfach, „weil man es konnte“. Jetzt steckte ein klarer Zweck dahinter.

Stuxnet: politisches Hacking

Das Hacken hatte sich zu einem Instrument des Aktivismus, der Geopolitik und sogar zu einem direkten Geschäftsmodell entwickelt. Ein Beispiel für diese Entwicklung ist Stuxnet, ein hochkomplexer Computerwurm, der 2010 im Internet entdeckt wurde und vermutlich seit mindestens 2005 in Entwicklung war. Stuxnet wurde speziell entwickelt, um das iranische Atomprogramm zu sabotieren, indem er die zur Urananreicherung verwendeten Zentrifugen manipulierte. Er nutzte mehrere bisher unbekannte Schwachstellen im Windows-Betriebssystem und in der Siemens-Software Step7 aus.

Es ist allgemein anerkannt, dass die USA und Israel Stuxnet als Teil einer verdeckten Operation namens „Operation Olympic Games“ entwickelt haben. Dieser Cyber-Ansatz war eine Alternative zum Angriff auf die Anlagen mit Bomben – eine Option, die unvorhersehbarere und weitreichendere Folgen gehabt hätte. Noch heute wird darüber diskutiert, wie der Code in ein Netzwerk geschmuggelt wurde, das angeblich nie mit dem Internet verbunden war.

Phishing und Ransomware: Der User als Werkzeug

Worried Businessman Looking At Computer With Ransomware Word On The Screen At The Workplace

Das Problem des Eindringens von bösartigem Code – oder anderer betrügerischer Informationen – in Unternehmen hat an Aufmerksamkeit gewonnen. Viele von uns haben E-Mails von „nigerianischen Prinzen“ erhalten, in denen hohe Geldsummen angeboten wurden, oder von Lieferdiensten, die Pakete aufgrund von Zollgebühren zurückhielten.

Diesen Angriffen ist gemeinsam, dass sie versuchen, den Benutzer zu einem Fehler zu verleiten. Ganz gleich, ob es sich um die Beantwortung einer E-Mail, die Ausführung eines Programms oder das Anklicken eines Links zum „Einloggen“ handelt, das Ziel ist es, die Privilegien des Benutzers auszunutzen, um Zugang zu internen Ressourcen oder Informationen zu erhalten.

Phishing, wie diese Art von Angriffen genannt wird, ist oft der erste Schritt eines Ransomware-Angriffs, der sich zu einer eigenen Branche entwickelt hat. Die Ransomware-Industrie ist mittlerweile eine der profitabelsten und schädlichsten Formen der Cyberkriminalität, bei der Malware die Daten eines Opfers verschlüsselt und ein Lösegeld für die Wiederherstellung des Zugangs fordert.

Diese Angriffe können Unternehmen Millionen an Lösegeldzahlungen kosten. So haben Ransomware-Angriffe auf große Unternehmen zu Lösegeldforderungen von bis zu 75 Millionen US-Dollar geführt, zuzüglich der Kosten für die Wiederherstellung, den Produktivitätsverlust und die negativen Auswirkungen auf den Ruf des Unternehmens.

Diese Art von Angriffen hat in den letzten Jahren erheblich an Häufigkeit und Raffinesse zugenommen, da sie kostengünstig durchgeführt werden können. Obwohl die Erfolgsquote gering ist, ist der potenzielle Gewinn im Erfolgsfall enorm. Ransomware ist eine globale Bedrohung, die sich auf Organisationen auf der ganzen Welt auswirkt und durch die bereits zahlreiche Unternehmen zerstört wurden.

Das dänische Hosting-Unternehmen CloudNordic war ein solches Beispiel. Alle ihre Daten – und die ihrer Kunden – wurden verschlüsselt, und Berichten zufolge konnte oder wollte das Unternehmen das Lösegeld nicht zahlen. Kurz darauf veröffentlichte CloudNordic eine kurze Erklärung auf seiner Website und entschuldigte sich an prominenter Stelle bei seinen Kunden, die natürlich in unterschiedlichem Maße betroffen waren. Ihre Telefonleitungen wurden abgeschaltet, und das Unternehmen ging in Konkurs.

Nationale und internationale Behörden arbeiten zusammen, um diese Form der Cyberkriminalität zu bekämpfen, aber es ist ein mühsamer Prozess. Viele Organisationen profitieren stark davon, und sogar staatliche Akteure nutzen diese Methoden, um andere, anspruchsvollere Aktivitäten zu finanzieren.

NotPetya – ein Beispiel

Eine dieser Methoden besteht darin, alternative Wege zu finden, um bösartigen Code in Unternehmen einzuschleusen, und genau das ist dem renommierten dänischen Unternehmen Maersk passiert. Eine russische Gruppe kompromittierte einen Server bei einem Unternehmen, das die beliebte ukrainische Buchhaltungssoftware MeDoc entwickelt hat. Sie infiltrierten ein Software-Update, das an Kunden verschickt wurde, und betteten darin die NotPetya-Malware ein. Als die Nutzer das Update herunterluden und installierten, wurden ihre Systeme mit NotPetya infiziert.

Dieser Angriff richtete sich direkt gegen die ukrainische Bevölkerung, da viele Unternehmen, Banken und Geschäfte für längere Zeit zum Stillstand gebracht wurden. Es war ein Versuch, das Land zu destabilisieren und eine weitreichende Störung zu verursachen.

Maersk, das diese Buchhaltungssoftware auch in seinen regionalen Betrieben einsetzte, war ebenfalls betroffen. Leider verbreitete sich die Malware im gesamten globalen Netzwerk des Unternehmens. NotPetya nutzte eine Schwachstelle im Windows Server Message Block (SMB)-Protokoll aus, die als EternalBlue bekannt ist und auch beim WannaCry-Angriff Anfang 2017 verwendet wurde. Diese Schwachstelle ermöglichte es der Malware, sich schnell und automatisch von einem infizierten Computer auf andere im selben Netzwerk zu verbreiten.

Bevor irgendjemand merkte, was geschah, war der Betrieb von Maersk weltweit lahmgelegt. Schiffe lagen in Häfen auf der ganzen Welt vor Anker, Lastwagen wurden angehalten und der Zugang zu vielen Großstädten blockiert. Der Vorfall geriet schnell in die Schlagzeilen und traf auf ganz normale Menschen, die plötzlich über IT-Sicherheit diskutierten und sich damit beschäftigten.

Maersk schaffte es, sich zu erholen (was an sich schon eine beeindruckende Leistung ist), und sie taten der Welt einen großen Gefallen, indem sie den Vorfall transparent darstellten. Dies war zweifellos ein weiterer entscheidender Moment in meiner Karriere.

Aus den Finanzberichten von Maersk ging hervor, dass der Vorfall das Unternehmen zwischen 1,3 und 1,9 Milliarden Dänische Kronen an entgangenen Einnahmen gekostet hatte. Über Nacht verlagerte sich das Gespräch über IT-Sicherheit von den Serverräumen im Keller in die Vorstandsetagen. Plötzlich ging es nicht mehr nur um Firewalls und Virenschutz – es ging um das Überleben von Unternehmen.

In den ersten 25 Jahren meiner Karriere hatte ich das Gefühl, ständig zu schreien: „Der Wolf kommt!“ Aber seit diesem Tag im Jahr 2017 kann ich behaupten: „Ich hab’s ja gesagt!“

Wem können wir noch vertrauen?

Die Kehrseite der Medaille ist: Wem können wir vertrauen? Uns wurde immer gesagt, wir sollten unsere Systeme aktualisieren, aber was passiert, wenn unsere Sicherheitssoftware kompromittiert wird?

Ich denke, viele Menschen werden sich an den SolarWinds-Hack im Jahr 2020 erinnern. Es war genau die Software, die zur Überwachung des Status all unserer Geräte verwendet wurde, die am Ende wichtige Informationen über ganze Infrastrukturen preisgab – und darüber, wie diese potenziell gefährdet werden könnten. Es handelte sich um einen weiteren Angriff auf die Lieferkette, und viele hatten das Gefühl, dass der Kampf gegen die Bösewichte zu anstrengend wurde, um ihn weiterzuführen.

Ich könnte mit Vorfällen wie Log4J weitermachen — wo die meisten Menschen nicht einmal wussten, ob sie gefährdet waren oder in welchem Ausmaß. Wie viele unserer Systeme sind schließlich auf diese Bibliothek angewiesen? Und dann ist da noch die Datenpanne bei Facebook, deren Folgen wir immer noch nicht ganz verstehen. Ganz zu schweigen von dem jüngsten Crowdstrike-Vorfall, bei dem sogar Sicherheitssoftware zahlreiche Server zum Absturz brachte – einige davon in der Cloud, wo man eigentlich erwarten würde, dass die Top-Experten die Kontrolle haben. Diese Art von Beispielen werden immer häufiger.

Ich habe über 30 aufregende Jahre in der so genannten „Cybersicherheitsbranche“ verbracht, und die Realität hat stets selbst die kühnsten Vorstellungen übertroffen, und das mit einer Geschwindigkeit, die nur wenige vorhergesehen haben. Ich denke, man kann mit Sicherheit sagen, dass dieses „Problem“ in absehbarer Zeit nicht verschwinden wird.

Aber denken Sie daran: Risiko = Wahrscheinlichkeit x Folgen, das sind zwei Faktoren, mit denen wir arbeiten können. Mit einem systematischen Ansatz können wir unser Risiko erheblich verringern und wissen zumindest, wo wir stehen.

Ich wünsche Ihnen allen einen sicheren Cybersecurity Month!