Cyber Security Teil 2 – Wie agieren Hacker?

Thomas Sinnwell: Herzlich Willkommen zur zweiten Folge in unserer Dreierreihe zum Thema Cybersecurity. In Folge eins da stand ja der Faktor Mensch im Fokus. Wir haben darüber gesprochen, wie es ist, wenn man Opfer einer Cyberattacke wird. Wir haben über die Emotionen gesprochen, der handelnden Personen. Und ja, egal wie man sich vorbereitet, es kann einen immer treffen. Aber auch ganz klar herausgearbeitet, ist es wahnsinnig wichtig, dass man sich vorbereitet. Heute machen wir einen sehr krassen Perspektivenwechsel. Wir gehen auf die dunkle Seite dieses Themas und im Rahmen unserer aktuellen Folge werden wir auch der Frage nachgehen: Sind alle Hacker Kriminelle? Um das Thema möglichst kompetent besprechen zu können, konnte ich einen fantastischen Gast gewinnen. Heute ist bei mir Herr Professor Dr. Thorsten Holz vom CISPA Helmholtz Zentrum. Und wenn man es noch nicht kennen sollte, dass CISPA Helmholtz Zentrum ist weltweit eines der führenden Forschungszentren für die Themen Cybersecurity und Privacy. Herzlich Willkommen, Herr Professor Holz.

Thorsten Holz: Vielen Dank.

Thomas Sinnwell: Ja, ich freue mich sehr, dass wir heute über dieses Thema sprechen können, damit unsere Zuhörer ein besseres Gefühl entwickeln können, mit wem ich spreche und wie es denn sein kann, dass ein ordentlicher deutscher Professor sich auch mit der dunklen Seite des Themas auskennt. Ich würde Sie bitten, sich kurz vorzustellen.

Thorsten Holz: Ja, hallo, mein Name ist Thorsten Holtz. Ich bin ausgebildeter Informatiker und habe mich auch schon im Rahmen meiner damals Diplomarbeit mit dem Thema IT Sicherheit beschäftigt. Sogenannten Honeypots. Ich denke, da kommen wir bestimmt später noch mal drauf zurück. Ich arbeite am CISPA und beschäftige mich dort vor allem mit dem Bereich Software Sicherheit. Es geht also darum, entweder Schwachstellen im System zu finden oder zu schauen, wie können wir Defensivmechanismen umsetzen, um unsere Systeme robuster zu machen?

Thomas Sinnwell: Ja, vielen Dank für den kurzen Einblick. Ich habe mir für den Einstieg zugegebenermaßen eine etwas eingefärbte Frage überlegt. Würden Sie sich selbst als Hacker bezeichnen?

Thorsten Holz: Ich denke es kommt darauf an. Vielleicht mehr oder weniger, ja.

Thomas Sinnwell: Das heißt also, Sie sind ein Krimineller?

Thorsten Holz: Das natürlich nicht, sondern wir schauen eher wie kann ein Angreifer vorgehen und versetzen uns in Angreifer rein.

Thomas Sinnwell: Das Thema, wer ist ein Hacker? Das müssen wir noch definieren.

Thorsten Holz: Genau. Hacking ist für mich ein positiv besetzter Begriff. Es geht ja vor allem darum, wie man kreativ mit Technik umgeht, Probleme löst und so auch den technologischen Fortschritt weiter vorantreibt. Also 'Hacker' finde ich ist in den Medien manchmal falsch benutzt. Ich finde das immer noch einen sehr positiv geprägten Begriff und wir sprechen dann eher von Angreifern, wenn wir über die dunkle Seite der Macht sprechen.

Thomas Sinnwell: Ja, da pflichte ich Ihnen bei. Das ist definitiv die die treffendere Formulierung. Ich muss zugeben, ich hatte das für mich gar nicht so hinterfragt. Ich meine, so eine Klassifizierung von Hackern, das war schon klar. Und dass es da auch Leute gibt, die durchaus Gutes tun beim Hacken, das war mir schon klar. Aber ich habe ein bisschen recherchiert und bin dann auf eine Definition vom BSI (Deutsche Sicherheitsbehörde) gestoßen. Und fand dann folgendes, Ich muss es ablesen. Ich kann es nicht auswendig. Das BSI sagt: Wer ist ein Hacker? Das sind Technikbegeisterte, die von anderen Menschen entwickelte Produkte und Software in ihre Bestandteile zerlegen, um zu verstehen, wie sie funktionieren. Also durchaus auch diese positive Sicht.

Thorsten Holz: Genau das will ich auch unterstützen. Oder auch die Sichtweise vielleicht historisch. Der Begriff kommt ja auch ein bisschen vom MIT. Die Hacker, bei denen der kreative Umgang mit Technik eine Rolle spielt oder auch im CC Umfeld, wo natürlich auch Angriffe auf Systeme immer eine Rolle spielen. Aber ich glaube vor allem dieser wie gesagt, kreative Umgang mit Technik ist das, was mich auch fasziniert an diesem ganzen Themengebiet.

Thomas Sinnwell: Bei meinen Recherchen bin ich dann noch auf eine ganz interessante Geschichte gestoßen für mich. Ich kannte sie nicht, die 'Hacker Ethik'. Und ich bin dann auf den Autor Steven Levy gestoßen. Und er beschreibt ja in seinem Buch letztendlich diese Geisteshaltung von amerikanischen Hackern, die es wohl so von den 50er bis Anfang der 80er Jahre gab. Aus meiner Sicht auch ganz, ganz spannende Themen, die da aufgelistet wurden. Ich greife mal ein paar Dinge raus. Das Erste, was ich da gefunden habe: Der Zugang zu Computern und allem, was einem zeigen kann, wie die Welt funktioniert, sollte unbegrenzt und vollständig sein. Und dann, zweiter Punkt: Alle Informationen müssen frei sein. Das war ja, wenn ich mich recht entsinne, damals ja auch ein Thema bei der Gründung von Apple oder bei der Gründung von Microsoft. Microsoft hat ja dann so dieses erste kommerzielle Computersystem dann an den Markt gebracht und da musste man ja dafür bezahlen. Das war ja jetzt erst mal nicht frei. Und dann sind wohl in der Szene schon so erste Diskussionen entstanden. Oder auch so was wie: Beurteile einen Hacker nach dem, was er tut und nicht nach seiner Herkunft, seinem Geschlecht oder seiner gesellschaftlichen Stellung. Das hat sich für mich jetzt alles so gelesen, dass das Thema Hacking in der Tat sehr breit ist. Stellt sich für mich die Frage, können wir denn Hacker klassifizieren?

Thorsten Holz: Diese Eckpunkte von gerade wurden ja auch vom Chaos Computer Club, also dem CCC in Deutschland auch größtenteils übernommen. Eben Punkte wie öffentliche Daten nutzen, private Daten schützen. Das ist eben etwas, was auch hier glaube ich, immer noch eine sehr große Rolle spielt. Und auch dort geht es vor allem darum, wie kann man sich eben mit Computern oder generell der Technik auseinandersetzen. Und in der Klassifizierung gibt es dann eben, würde ich sagen, diesen einen großen Teil. Und dann gibt es natürlich auf der Angreifer Seite eben ein breites Spektrum von sogenannten 'Scriptkiddies', die einfach nur Tools nutzen, vielleicht kein großes technische Verständnis haben. Dann natürlich die ganzen Cyberkriminellen, die eher finanzielle Anreize haben, also gerade Ransomware als ein sehr, sehr großes Thema aus der Praxis, bis hin vielleicht am Ende vom Spektrum die Nachrichtendienste oder staatlich gesteuerte Stellen, die dann eben versuchen gezielt Informationen zu stehlen und die dann eben für politische Zwecke zu nutzen. Also das Spektrum ist sehr breit von eben Leuten, die eher so aus Neugierde sich mit der Technik beschäftigen, bis hin eben dann zur Angreifer Seite. Finanzielle Anreize bis hin eben wirklich politisch motiviert das ganze durchzuführen.

Thomas Sinnwell: Ja, und was man ja auch typischerweise findet, sind diese Gruppierungen, die Whiteheads, die Blackheads und die Greyheads und Whiteheads wären ja dann letztendlich die von Ihnen angesprochenen technikbegeisterten Leute, die sich mit den Themen auseinandersetzen. Schwachstellen in Software, in Systemen. Das ist ja nicht nur Software, das können ja auch Hardware- lastige Systeme sein, finden und diese Informationen dann nutzen, um den Hersteller zu informieren, damit er eine Chance hat, die gefundenen Löcher zu schließen.

Thorsten Holz: Genau das ist so der typische Anwendungsfall. Das kann man natürlich dann auch im kommerziellen Umfeld nutzen, sogenannte "Penetrations- Tests", als Firma kann ich auch einer solchen Firma, also eine Penetrations- Testing- Firma einen Auftrag geben, dass er mal versuchen soll mein Netzwerk auf mögliche Schwachstellen zu untersuchen. Oder gewisse Systeme einfach mal aus Angreifer Sicht zu betrachten und um zu schauen, was sind überhaupt die Angriffspunkte, wo bin ich verwundbar, was muss ich noch tun in meinem Sicherheitskonzept und wie kann ich überhaupt auf solche Vorfälle reagieren und wo muss ich noch nachbessern? Also das ist eben auch eine ganze Industrie, die sich da auch entwickelt hat in den letzten Jahren rund um dieses ganze Thema. Also quasi eher einfach mal auf das Firmennetz draufschauen zu lassen, um zu schauen, wo bin ich denn anfällig für Angriffe, wo habe ich noch Nachbesserungsbedarf?

Thomas Sinnwell: Das Thema würde ich gerne aufgreifen an der Stelle und das noch mal im Kontrast zu dem stellen, was Leute oft wahrnehmen zum Thema Hacking. Wenn man das in Filmen sieht, dann gibt es Leute, die in dunklen Räumen sitzen, mit Pizzaschachteln bewaffnet und irre schnell auf der Tastatur rumhackern, wüste Zeichen auf dem Bildschirm und irgendwo brechen sie jetzt ein. Auf der anderen Seite merkt es einer, der hackt fast ebenso schnell in die Tasten, um das Ganze abzuwehren. Das ist ja nicht das klassische Szenario.

Thorsten Holz: Genau in der Praxis ist es dann leider dann doch nicht so wie in Hollywood, sondern meistens dann etwas trister. In dem Sinne, dass die Penetrations Tester dann in der Firma sitzen und versuchen dann zunächst auf der Netzwerkebene zu identifizieren, welche Systeme sind überhaupt erreichbar, welche sogenannten Ports sind offen, also welche Dienste werden nach außen angeboten? Und dann versucht man eben Schritt für Schritt erst mal einen Überblick zu bekommen über das Firmennetz. Welche Server sind irgendwie erreichbar, welche Dienste laufen darauf, welche vielleicht bekannten Schwachstellen gibt es darin und versuchen dann eben Schritt für Schritt die Systeme zu verstehen? Vielleicht auch durch eine Analyse von dem Sourcecode. Und das ist ein Prozess, der dauert dann nicht unbedingt Stunden, sondern eher Tage, vielleicht Wochen, je nachdem wie komplex auch der Auftrag ist. Und dann geht es vor allem darum, erst mal einen Überblick zu verschaffen, Schwachstellen zu identifizieren oder die Angriffspunkte zu finden. Und das ist dann eben auch ein interaktiver Prozess, häufig dann auch in Rücksprache mit dem Kunden. Was soll jetzt genau im Fokus stehen und dann am Ende wird eben auch ein Bericht geschrieben, das Ganze präsentiert, also auch formalisiert, damit die Firma eben auch etwas mitnehmen kann, dass die Admins dann auch wissen okay, was muss ich denn tun? Wie kann ich die Sicherheit verbessern in meinem System? Also insofern nicht wie im Film. Wobei manche Serien sind auch richtig gut gemacht, aus technischer Sicht, aber häufig dieses: Ja innerhalb von fünf Sekunden ein Passwort knacken und dann ist man direkt Ruht also Administrator auf dem System, ist in der Praxis meistens doch nicht ganz so einfach.

Thomas Sinnwell: Nicht ganz so. Ja, jetzt könnte man ja auf die Idee kommen, wenn solche Pentester das machen, dass die so ein Spezialwerkzeug haben oder dass man das vielleicht sogar im Darknet sich etwas besorgen muss, das ist ja auch nicht so. Können Sie da vielleicht noch ein bisschen was dazu sagen, welche Tools da eigentlich verwendet werden und wie man an diese Tools rankommt?

Thorsten Holz: Also in Praxis gibt es dann ja ein ganzes Arsenal an verschiedenen Tools, entweder kommerzielle Tools, die dann versuchen, das Ganze möglichst gut zu automatisieren, die dann auch eine Reporting Funktionalität haben, die einem auch bei der ganzen Arbeit deutlich eine Unterstützung liefern. Es gibt auch viele im Open Source Bereich, also zum Beispiel Nmap als Netzwerkscanner, der jetzt auch schon seit 25 Jahren entwickelt wird als Tool. Den kann man vielleicht im ersten Schritt benutzen, um mal zu schauen, welche Dienste sind verfügbar. Dann gibt es auch solche Open Source Tools wie Nessos und Co, die dann auch versuchen, Schwachstellen zu identifizieren. Also es gibt da ein sehr breites Spektrum, eben von Open Source, also kostenlos verfügbaren Tools bis hin zu Tools, die dann locker einen fünf oder sechsstelligen Betrag kosten, die dann natürlich eher nur im kommerziellen Umfeld benutzt werden. Und viele Firmen entwickeln dann auch noch ihre eigenen Tools intern, um eben auch so ein bisschen eine Abgrenzung zu haben von den anderen Firmen. Also ist auch so ein bisschen die Spreu vom Weizen, die sich da trennt, je nachdem, wie gut auch die Leute in der Firma sind.

Thomas Sinnwell: Ja, was macht denn ein handwerklich guten Hacker aus?

Thorsten Holz: Ich denke vor allem ein sehr gutes System Verständnis, dass er auf verschiedenen Ebenen des Systems, also Hardware, Betriebssystem, Software, ein gutes Verständnis hat, wie die einzelnen Komponenten miteinander interagieren, wo es da potenzielle Schwachstellen gibt und vor allem dieses Attacker- Mindset. Also quasi denken wie ein Angreifer, quasi wo gibt es denn Einstiegspunkte, die man ausnutzen kann? Wo kann man irgendwie eine Schwachstelle für seinen persönlichen Vorteil ausnutzen?

Thomas Sinnwell: Das heißt, ich kann mir das so vorstellen, dass aufgrund dieses Erfahrungswissens dann der gute Hacker auch sehr zielgerichtet vorgeht und mit den initial beschafften Informationen einfach so an der richtigen Stelle dann auch oft reinstechen kann.

Thorsten Holz: Genau.

Thomas Sinnwell: Und im Gegensatz zum Ungeübten, der dann mühsam alles ausprobiert, bis er vielleicht dann doch noch irgendwann die Stelle findet.

Thorsten Holz: Genau. Also in der ersten Phase geht es ja vor allem um Informationsbeschaffung und dass man dann eben schnell ein Gefühl dafür entwickelt, wo lohnt es sich eigentlich, genauer tiefer zu bohren, um dann entsprechend potenziell Schwachpunkte zu finden und dann darüber so einen Einstiegspunkt in das Netzwerk zu kommen.

Thomas Sinnwell: An der Stelle würde ich nochmal ganz kurz auf das Tooling bei Hackern zu sprechen kommen. Dann ist aber die Informationsbeschaffung, dann die primäre Stelle, wo die Tools zum Einsatz kommen, oder gibt es dann hier weitere? Wenn ich die Phase abgeschlossen habe, dann schlägt eigentlich erst so der Aspekt zu, dass ich entweder Schadcode irgendwo implementiert habe, der mir hilft oder dass ich halt einfach aufgrund meines Erfahrungswissen nochmal weiterkomme.

Thorsten Holz: Genau in der ersten Phase kann man viel denke ich mal auf Standard Tools setzen, um einfach mal so die Informationsbeschaffung zu haben. Und dann im zweiten Schritt, wenn man weiß, wo auch welche Systeme laufen oder vielleicht, wenn man vom Kunden auch Zugriff auf den Source Code bekommen hat, um sich die Systeme im Detail anzuschauen. Da können Tools auch helfen. Es gibt auch statische oder dynamische Analysetools, die da viel Unterstützung geben können. Aber viel ist dort auch so eine manuelle Analyse des Source Codes, um eben potenzielle Schwachstellen oder Programmierfehler zu finden. Und da muss ich sagen, die sehr guten Leute, haben da eine sehr gute Intuition. Wo muss man denn nachschauen, wo ist denn so der Punkt, wo häufig etwas schiefgeht, bei der Authentifizierung oder bei der Überprüfung von Eingaben oder bei der internen Weiterverarbeitung? Und ich glaube, das ist eben so der Punkt, wo man dann eben über die Zeit auch besser wird.

Thomas Sinnwell: Ja, da trennt sich dann die Spreu vom Weizen. Dann würde ich ganz gerne auf das Thema zu sprechen kommen, wie Cyberkriminelle denn eigentlich agieren. In meinen Gesprächen mit Sicherheitsbeauftragten in Unternehmen habe ich auch ab und an schon gehört. Na ja, also wer interessiert sich denn für uns als Unternehmen? Wir sind doch gar kein interessanter Kandidat. Was ja im Umkehrschluss bedeuten würde, dass der Hacker ein Unternehmen ganz gezielt aussucht, was natürlich auch  sein kann. Aber können Sie da vielleicht noch so ein bisschen einen Überblick für unsere Zuhörer geben, welche Gruppierung es gibt? Das Zielgerichtete ist ja ein Fall und oft ist es ja eher in der Breite und man wird zufällig ein Opfer.

Thorsten Holz: Genau. Also in der Praxis gibt es eigentlich beide Facetten oder vielleicht sogar noch mehr Facetten. Also einerseits natürlich gezielte Angriffe auf Firmen, weil vielleicht ist es auch ein Mittelständler, der nur 50 oder 100 Leute hat, aber wenn er dann eben Weltmarktführer in seiner kleinen Sparte ist, ist er natürlich auch interessant, weil er vielleicht eben interessante Serien entwickelt oder Vorserienentwicklungen macht. Oder vielleicht die Kundendaten oder anderes geistiges Eigentum hat. Es ist für die Angreifer interessant, meinetwegen auch für Rezepturen zu stehlen oder Baupläne oder etwas. Weil gerade wenn die Firma erfolgreich ist, dann ist sie auf jeden Fall irgendwie auf der Zielscheibe von gezielten Angreifern. Natürlich, je größer die Firma ist. Also wenn man jetzt über DAX Konzerne und Co. spricht, die sind natürlich allein aufgrund ihrer Größe und ihrem technischen Wissen einfach ein interessantes Ziel. Meistens dann eher von gezielten Angreifern, die sich Zugriff zum Beispiel auf die Forschungsabteilung oder vielleicht auch die Kundenabteilung oder auch die Produktionsteile der Firma verschaffen wollen, um dann dort entsprechend Informationen auszuspionieren oder vielleicht auch etwas zu manipulieren.

Thomas Sinnwell: Das heißt, an der Stelle könnte man dann festhalten, wenn es darum geht, sich das Wissen von einem Unternehmen anzueignen, dann sind es in der Regel die eher gezielten Angriffe.

Thorsten Holz: Genau, klassische Industriespionage, um einfach Informationen zu stehlen und dann eben zu nutzen. Die andere Facette ist dann eher so dieser sehr breite Angriff, dass die Angreifer einfach nur schauen, welche potenziellen Opfer finde ich denn überhaupt? Das ist eben jetzt gerade aktuell ein großes Thema, sogenannte Ransomware. Da ist die Grundidee, die Angreifer verschaffen sich Zugriff auf das Netzwerk des Opfers. Typischerweise haben sie erst einen Einstiegspunkt, also irgendein PC ist erstmal infiziert, dann innerhalb des Netzwerks, versuchen sie dann Schritt für Schritt weitere Systeme zu übernehmen, bis sie dann letztendlich Zugriff auf den sogenannten Domänencontroller haben, also quasi die zentrale Steuereinheit innerhalb des Netzwerks. Und dann fangen Sie an, Dateien zu verschlüsseln. Sie haben dann Koordinaten, also Lösegeld, das Sie fordern können, um einfach den Schlüssel zur Entschlüsselung aller Dateien wieder freigeben zu können. Natürlich sind Sie da in einer besseren Position, weil die Firma hat auf einmal keinen Zugriff mehr auf die Daten. Und ich denke, jede Art von Firma hat eben potenziell wichtige Daten, sei es über Kunden, sei es über Aufträge, sei es über die Lohnabrechnung, sei es über das eigene Personal usw.. Und wenn die Firma auf einmal nicht mehr Zugriff darauf hat, ist sie natürlich ein bisschen in die Ecke gezwungen. Im Idealfall hat sie noch Zugriff auf den Backup, dass sie noch Backups einspielen kann. In der Praxis funktioniert das leider nicht so gut, wie man eigentlich denkt.

Thomas Sinnwell: Wenn es nicht gut gemacht ist mit dem Backup erstellen, ist ja selbst der Backupserver nochmals für sich verschlüsselt. Das ist ja dann der Supergau.

Thorsten Holz: Das ist dann der Gau. Ja genau. Und gerade jetzt mit Ransomware, da sind die Kriminellen in dem Bereich sehr, sehr flexibel in Anführungszeichen in der Wahl ihrer Opfer. Also zum Beispiel viele Mittelständler waren betroffen, teilweise auch größere Firmen. Jetzt in Deutschland waren auch zum Beispiel die TU Berlin oder die Ruhr Universität Bochum betroffen oder die Uni in Maastricht, also auch Unis, teilweise auch Krankenhäuser oder medizinische Einrichtungen. Also die versuchen einfach nur in der Breite möglichst viele Opfer zu bekommen und dann eben Lösegeld freizupressen, eben weil die Firmen einfach nichts anderes tun können. Und das ist kein gezielter Angriff, sondern da wird man in Anführungszeichen Zufallsopfer, weil man entsprechend einfach auf so eine Art von Angriff reinfällt, weil vielleicht ein Mitarbeiter oder eine Mitarbeiterin auf ein Attachment klickt oder man irgendwie ungepatchte Server bei sich im Netzwerk hat. Und die nutzen einfach aus, was sie finden. Das ist eben eher ziellos und da kann man einfach immer irgendwie Opfer werden.

Thomas Sinnwell: Also wenn ich mich jetzt auf so eine ganz hohe Flughöhe begebe, gehen Sie dann mit mit der Aussage, dass es dann im Grunde genommen zwei Arten von Attacken gibt. Das eine, da geht es um das Ausweiten von Daten, um eine Datenexfiltration. Und das zweite ist eine wie auch immer gewollte Art von Sabotage, beispielsweise indem ich verschlüssle und dann anschließend das Unternehmen erpresse.

Thorsten Holz: Wobei, Sabotage geht natürlich noch einen Schritt weiter. Also jetzt meinetwegen Angriffe auf Industrieanlagen und Co. Da geht es ja auch darum, wirklich die Prozesse, die hinterher ablaufen, zu sabotieren und so auch wirklich Schaden in der Praxis auszuüben. Also insofern genau Daten stehlen oder Daten auf unautorisierte Art und Weise zu manipulieren. Das ist wahrscheinlich so die beiden Hauptkritik oder Haupt Angriffspunkte in der Praxis.

Thomas Sinnwell: Was kann ich denn machen, um solche Angriffe erkennen zu können?

Thorsten Holz: Genau. Also auf der Angriffserkennungsebene gibt es dann diverse Arten von Anomalieerkennung, wo man dann eben versucht, entweder auf der Netzwerkebene, also alle Pakete, die ins Firmennetz reingehen oder davon rausgehen, zu analysieren, zu schauen, findet man dort irgendwelche Anomalien, also irgendwelche Aspekte, die typischerweise nicht auftreten. Zum Beispiel, dass man an der Netzwerkgrenze beobachtet, welche Art von Objekten werden jetzt gerade in die Firma reingeschickt, also von irgend welchen Nutzern aus dem Firmennetz, heruntergeladen aus dem Internet, dass man dann schaut, entdeckt man dort irgendwelchen Schadcode. Oder irgendwelche Office Dateien, die schadhaften Inhalte beinhalten. Das gleiche kann man natürlich auf den Endgeräten machen, sei es auf dem Desktop. Es wird natürlich heutzutage immer komplizierter, weil eben viele Leute haben dann ihr Mobilfunkgerät mit dabei, einen Laptop oder vielleicht auch ein Tablet, sodass man eben viele verschiedene Arten von Betriebssystemen hat, die man vielleicht auch nicht unbedingt so einfach kontrollieren kann, weil sie eben dann nicht über das Firmennetz kommunizieren, sondern vielleicht über eine LTE Verbindung oder 5G Verbindungen, sodass man eben auch verschiedene Arten von Kommunikationskanälen auch überwachen muss, also entweder in Netzwerkebene oder auf der Endgeräte Ebene. Also meistens Anomalie Erkennung zu schauen, kann man etwas erkennen, was eben dort nicht vorhanden sein sollte.

Thomas Sinnwell: Es ist jetzt kein triviales Thema in großen IT Infrastrukturen, die ja durchaus sehr dynamisch sein können, das normal Verhalten möglichst sicher feststellen zu können, um davon wiederum Abweichungen dann mit geringen Fehlerquoten anzuzeigen. Das sind ja auch im Moment ja ganz aktuelle Forschungsthemen. Was macht da das CISPA in diesen Bereichen?

Thorsten Holz: Auf der Forschungssebene geht es vor allem auch darum, besser zu verstehen, wie ist jetzt der aktuelle Zustand des Netzes oder welche Art von Objekten werden gerade heruntergeladen oder irgendwo hochgeladen, sodass man dann eben auch über die Analyse dieser Objekte eben feststellen kann , ist das legitim? Also es ist einfach eine neue Webseite, auf die Nutzer geht, wo dann vielleicht ein bisschen JavaScriptcode heruntergeladen wird oder vielleicht auch irgendeine PDF Datei von irgendwo heruntergeladen wird oder eine Worddatei irgendwo hochgeladen wird. Im nächsten Schritt geht es dann darum, eben potenziellen Schadcode darin zu identifizieren, was auch immer schwieriger wird jetzt aktuell. Weil einfach die Cloud natürlich überall mehr an Bedeutung gewinnt. Die Daten liegen nicht immer unbedingt im Firmennetz, also nicht in der klassischen Burg, sondern die liegen jetzt irgendwo außerhalb, nicht auf den eigenen Servern, wo man dann auch schauen muss, wie bekomme ich überhaupt einen Überblick? Wer hat jetzt Zugriff auf diese Dateien? Was liegt dort überhaupt? Gibt es vielleicht irgendwelche anderen Arten von Zugriffen, die ich übersehen habe? Oder habe ich vielleicht die Zugriffs Passwörter vielleicht irgendwo unabsichtlich hinterlegt? Oder wurden die irgendwo kompromittiert, sodass eben jetzt nicht nur die Burg überwacht werden muss, sondern auch die Cloud. Also das sind alles so Herausforderungen, mit denen wir uns beschäftigen. Und ein wichtiger Punkt ist eben, wie kann man jetzt aktuelle Entwicklungen aus dem Bereich des maschinellen Lernens benutzen, um eben mithilfe von Algorithmen einfach effizienter potenzielle Anomalien zu identifizieren und vor allem das Ganze auch skalierbar hinzubekommen?

Thomas Sinnwell: Da möchte ich dann jetzt an der Stelle überleiten zum Thema, was wir am Anfang unseres Gespräches schon hatten. Wie kommt denn ein ordentlich deutscher Professor dazu, sich so mit dieser dunklen Seite dieses Themas auch beschäftigen zu müssen. Wenn man sich sagt ja, gerade maschinelles Lernen, dass das natürlich ein sehr legitimer Ansatz ist, um solche Anomalien erkennen zu können, vor allem auch in großen Infrastrukturen, wo ja auch ein gewisser Automatisierungsaspekt einfach eine Rolle spielt. Ich kann mir nicht jedes System einzeln angucken und überlegen, was könnte denn da unnormal sein. Dann werde ich nicht mehr fertig. Da muss die Maschine hin und über diese riesigen Daten letztendlich drüberschauen. Und beim Thema maschinelles Lernen ist es ja nach wie vor immer noch ganz wichtig, dass ich auf die richtigen Merkmale kenne, die richtigen Features, Scanner, um ein möglichst gutes Lernen zu ermöglichen. Wie kommt man denn jetzt so als Sicherheitsforscher auf diese Merkmale, die man sich anschauen muss für das Lernen?

Thorsten Holz: Genau. Also vielleicht ein guter Schwenk auch in Richtung mein Hintergrund an sich. Im Rahmen meiner Promotion habe ich mich vor allem damit beschäftigt, wie Angreifer eigentlich vorgehen. Und zwar verschiedene Aspekte davon. Einerseits sogenannte Honeypots, ein Honeypot kann man sich vorstellen wie eine Art elektronischen Köder. Man hat also quasi ein Computersystem, was man dann noch speziell präpariert, in dem man noch mehr Tools darauf installiert, um einen sehr detaillierten Überblick darüber zu bekommen, wie mit diesem System interagiert wird. Also quasi so eine Art Köder, den man dann in seinem Netz auslegt und dann wartet man einfach. Wie wird mit diesem System interagiert? Weil per Definition sollte eigentlich niemand mit diesem Honeypot interagieren. Er bietet keine normalen Dienste an. Wenn jetzt allerdings ein Angreifer jetzt in dieser Informationsbeschaffungsphase einfach das Netzwerk scannt, wird er früher oder später über diesen Honeypot drüber stolpern. So hat er dann quasi der Köder seine Aufgabe erfüllt. Der Angreifer hat den Honeypot gefunden, versucht dann vielleicht eine Schwachstelle da auszulösen und so quasi Kontrolle über den Honeypot zu bekommen. Und dann können wir eben beobachten, was passiert auf dem System. Von wo werden weitere Schadsoftware nachgeladen, welche Befehle werden ausgeführt, wie wird miteinander kommuniziert, so dass man eben Schritt für Schritt mehr darüber lernen kann, wie eigentlich Angreifer vorgehen. Heutzutage gibt es auch Firmen, die solche Honeypots als Lösungen direkt anbieten, typischerweise ziemlich gut automatisiert, so dass man eben diese elektronischen Köder in seinem Netzwerk verteilen kann. Die ganze Informationsauswertung ist auch automatisiert, sodass man eben auch einen Überblick dafür bekommt. Was passiert eigentlich in meinem Netz? Wie wird mit diesen Honeypots gerade interagiert, so dass man eben so eine Art Frühwarnsystem in seinem Netz hat, was eben potenziell Angriffe, die von dem Intrusion Detektion System nicht erkannt wurden, eben noch identifiziert und so quasi frühzeitig lernt, wenn im Netz etwas interessantes passiert ist.

Thomas Sinnwell: Und das ist vielleicht ein ganz spannender Punkt, das Stichwort Schadsoftware. Wie kommt man denn an Schadsoftware? Oder wie kommen dann die Cyberkriminellen an Schadsoftware?

Thorsten Holz: Da gibt es auch wieder so ein relativ breites Spektrum. Entweder implementieren die das nicht, selbst wenn sie eben die Fähigkeiten haben oder auch, wenn es eine größere Gruppe ist. Meistens ist dort auch mittlerweile sehr viel Spezialisierungen, dass die verschiedenen Aspekte eines Angriffs eben auch wieder die Informationsbeschaffung. Also wie vorher die Pentester machen, dass die Cyberkriminellen eben auch, dass sie eben Informationen erst mal sammeln. Dann eben schauen, welche Art von Schwachstelle können sie ausnutzen, Typischerweise auch Spezialisten, die dann genau diese Schritte ausführen. Und dann gibt es typischerweise auch so ein Team, die dann eben die eigentliche Schadsoftware implementieren. Das kann man mittlerweile auch als Dienst einkaufen. Man muss das also nicht selber machen, sondern hat auch quasi die Möglichkeit, das einfach als Service für einen gewissen Betrag einfach zu einzukaufen. Oder dass man sagt hier, ich habe hier eine gewisse Schadsoftware, ich möchte das auf 1000 oder auf 10.000 Maschinen installieren, kann man auch als Dienst mittlerweile kaufen. Oder auch der Versand von Spam E Mails oder von Phishing Mails ist auch so eine Dienstleistung, die man auf solchen Untergrundforen einkaufen kann. Also insofern viel Spezialisierung, Eigenentwicklungen oder eben, dass man auf Dienste zurückgreift. Oder teilweise gibt es auch den Source Code von einigen der populären Tools auch öffentlich verfügbar, sodass die Angreifer das einfach anpassen können an ihre Bedürfnisse.

Thomas Sinnwell: Speziellen Bedürfnisse.

Thorsten Holz: Ja, spezielle Bedürfnisse.

Thomas Sinnwell: Das ist vielleicht noch eine gute Gelegenheit, über das Stichwort Darknet zu sprechen, weil das hört man ja unheimlich oft und ich glaube, wenige Leute wissen wirklich, was jetzt das Darknet ist. Können Sie da vielleicht kurz noch was für unsere Zuhörer sagen?

Thorsten Holz: Genau, Darknet klingt jetzt erst mal böse und alles, aber eigentlich aus technischer Sicht vielleicht kurz zusammengefasst. Also Tor ist dort die bekannteste Software in dem Bereich und die wurde eigentlich entwickelt, um einen anonymen Zugriff auf das Internet zu ermöglichen.

Thomas Sinnwell: Also die sehr positive Geschichte erst mal.

Thorsten Holz: Genau, und von der Grundidee ist es dort so, dass ich mich bei meinem Webbrowser dann nicht direkt mit nem Webserver verbinde, sondern ich habe da noch drei Knoten in der Mitte und man kann sich so vorstellen wie man verbindet sich zuerst zu dem ersten Knoten von da zum Zweiten, dann zu einem dritten und dann erst zu dem Webserver am Ende. Und durch diese Zwischenknoten verschleiere ich dann eben, damit niemand weiß, wer ist denn jetzt der Browser, der dann auf die Website zugreift, dass selbst ein sehr starker Angreifer, der das ganze Netz beobachtet, selbst für den ist das verschleiert, dass nicht klar ist, wer nutzt das jetzt eigentlich? Interessanterweise Tor wurde eben unter anderem auch finanziert von dem DOD, also Department of Defense in den USA, allerdings auch von der EFF. Das ist das Äquivalent vom Chaos Computer Club in den USA. Also es hat ein sehr, sehr breites Spektrum an Personen, die das Ganze unterstützt haben. Die Anwendungsfälle von Tor in der Praxis sind sehr breit. Also auf der einen Seite Whistleblower, die einfach Informationen nach außen bringen können, ohne dass ihre Identität quasi festgestellt wird, sodass sie auch die Umgehung von Zensur so nutzen können. So ein anderer großer Anwendungsfall, dass man also auch auf Webseiten zugreift, die vielleicht in einem gewissen Land von der politischen Partei gesperrt sind, dass man eben auch Zensurmechanismen umgehen kann. An der anderen Seite des Spektrums ist natürlich auch viel Missbrauch, sei es jetzt für Cybercrime, allerdings auch für Kinderpornografie und Co. Also diese Technik, dass man anonym das Netz nutzen kann, kann sehr breit genutzt werden. Ohne jetzt auf die ganzen ethischen Aspekte davon eingehen zu wollen. Und ein interessanter Anwendungsfall davon ist, dass man eben mithilfe dieser Technik auch Webseiten anbieten kann, ohne dass klar ist, wo der Standort dieses Servers ist. Man hat also einen Webdienst. Es ist aber nicht klar, unter welcher IP Adresse wird der jetzt angeboten? Wo steht da jetzt eigentlich physisch auf der Welt?

Thomas Sinnwell: Ja.

Thorsten Holz: Und das ist so die Grundidee hinter dem Dark Web. Das man also Webserver, also gewisse Dienste hat, auf die man zugreifen kann, wo allerdings nicht ganz klar ist, wo stehen die überhaupt, um dann eben auch potenzielle Zensur oder Textdowns, also dass die Server heruntergenommen werden können zu verhindern, hat man eben diese Verschleierungsmechanismus. Und in der Praxis wird es dann für diverse Arten von Diensten genutzt und gerade in der Presse meistens die eher missbräuchliche Art, dass man dort eben auch Foren hat, wo man was weiß ich, Drogen einkaufen kann oder vielleicht auch Waffen oder gefälschte Kreditkarten oder eben verschiedene Arten von Schadsoftware.

Thomas Sinnwell: Es stellt sich natürlich die naheliegende Frage: Wie finde ich denn dann diese Systeme dieser Angebote?

Thorsten Holz: Es gibt dann auch im Dark Web also Suchmaschinen oder vor allem sind das meistens Linkssammlungen, wo es dann eben gewisse Links zu Foren gibt, wo man sich dann eben austauschen kann. Also über den Torbrowser kann man dann eben entsprechend Zugriff auf solche Webseiten bekommen und dann kann man eben schauen, quasi welche Art von Foren gibt es, was wird dort angeboten? Und aber prinzipiell funktioniert es genau wie normales Webbrowsing. Man hat Firefox als Browser, der dann auch ein gewisses Plugin hat, der Tor Browser. Aber vom Look and Feel ist es sehr ähnlich. Es ist nur deutlich langsamer durch diese Verschleierung in der Mitte, durch diese Mittelstationen. Aber ansonsten fühlt sich das eben an wie Surfen. Vielleicht in den 90er, weil es eben langsamer ist.

Thomas Sinnwell: Schönes Bild. Das heißt, es ist ja dann eine sehr geeignete Möglichkeit für Cyberkriminelle, an die Tools, an die Informationen, an die Gruppierungen heranzukommen. Ich versuche das jetzt mal so neutral zu formulieren.

Thorsten Holz: Ja, wobei die Kriminellen müssen nicht unbedingt in Dark Web Foren sein, die haben auch andere Arten von Austauschmechanismen, über diverse Chatplattformen oder andere Messenger Formate. Also die haben schon die Möglichkeit, einfach, sagen wir unter Gleichgesinnten in Anführungszeichen sich auszutauschen, um dann entsprechenden Zugriff auf solche Dienste zu bekommen. Die müssen schon eine Zahlungsabwicklung dahinter haben. Es muss gewisses Vertrauen geben, weil auch dort, ja fußt man natürlich auch Vertrauen, wenn man Dinge kauft und das eben eine gewisse Qualität hat in der Software und so...

Thomas Sinnwell: Ja, wir haben jetzt in unserem Gespräch wahnsinnig viele spannende Themen adressiert, sind auch auf das Thema Machine Learning gekommen. KI, die künstliche Intelligenz. Wir haben darüber gesprochen, wie man es einsetzen kann, um solche Anomalien erkennen zu können. Wie sieht es denn jetzt auf der dunklen Seite des Themas aus? Wird da auch mit künstlicher Intelligenz gearbeitet?

Thorsten Holz: Ich denke, generell wird maschinelles Lernen unsere Interaktion mit Computern in den nächsten Jahren oder Jahrzehnten deutlich verändern. Und wir sehen natürlich auch das Potenzial auf der Angreifer Seite. Also zum Beispiel gab es jetzt vor ein paar Jahren einen Wettbewerb von der DARPA in den USA, wo es genau darum ging, dass eben Maschinen gegeneinander gespielt haben, in Anführungszeichen. Und zwar war das Setup wie folgt. Es gab diverse Arten von Programmen, die irgendwelche Dienste angeboten haben und dann war die Aufgabe, dass man automatisch Schwachstellen in diesen Programmen findet, auch einen Exploit entwickelt, also quasi ein Mechanismus, um diese Schwachstelle auszunutzen und Schadcode auszuführen. Und im dritten Schritt natürlich auch das Patchen von diesen Lücken. Und bei diesem Wettbewerb haben dann wirklich nur die Maschinen gegeneinander gespielt. Also natürlich haben Menschen diese Systeme entwickelt, aber dann während der eigentlichen Wettbewerbsphase, haben wirklich nur die Algorithmen gegeneinander gespielt und dann in vielen Runden einfach sich gegenseitig angegriffen, Exploits entwickelt, Patches entwickelt und das ist glaube ich so ein Schritt in die Zukunft, weil diese Systeme waren noch ein bisschen einfach in dem Sinne, das war jetzt kein komplettes Linux oder Windows System, die Dienste auch ein bisschen einfacher. Aber es hat schon mal gezeigt, dass man eben die ganzen Schritte eigentlich vom Finden von Schwachstellen, vom Ausnutzen der Schwachstellen bis hin zum Patchen eigentlich automatisieren kann. Und da haben dann eben, glaube ich, so der erste Schritt und ich denke, das wird uns in Zukunft auch deutlich mehr beschäftigen. Also wie kann man eben Algorithmen nutzen, um ein paar der Aufgaben, die jetzt momentan noch Menschen übernehmen, noch mehr und mehr zu automatisieren.

Thomas Sinnwell: Das heißt, der Wettbewerb zwischen Verteidigern und Angreifern wird weitergehen, allerdings dann auf einer anderen Ebene. Die Maschinen des Angreifers gegen die Maschinen des Verteidigers.

Thorsten Holz: Genau. Es wird auf jeden Fall immer schneller.

Thomas Sinnwell: Hört sich erstmal bedrohlich oder beängstigend an.

Thorsten Holz: Genau. Ich denke auch, es wird eben schon in Zukunft wahrscheinlich schon dahin gehen. Wie kann man mehr und mehr Automatisierungen hinbekommen? Wie kann man es schaffen, eben auch effektiv und vor allem sehr effizient auf neue Bedrohungen zu reagieren, wenn natürlich gerade auch die Angreifer Seite mehr und mehr Richtung Automatisierung geht. Und vielleicht noch so ein anderer Aspekt im Bereich maschinelles Lernen, der ich denke auch in Zukunft immer mehr an Bedeutung gewinnt, ist eben der ganze Bereich so Deep Fakes und co. Das also mittlerweile Algorithmen einfach Bilder erzeugen können, wo wir als Mensch nicht mehr unterscheiden können. Ist das jetzt ein authentisches Bild oder nur vom Computer erzeugt? Ähnlich mit anderen Medien, dass man Texte erzeugen kann oder auch Audio erzeugen kann.

Thomas Sinnwell: Stimmen nachbilden kann. Das ist natürlich ein super Instrument, um einfach per Telefon letztendlich Überweisungen loszutreten, weil es sich einfach anhört wie der Chef oder der Abteilungsleiter.

Thorsten Holz: Genau, und gerade in dem Kontext gab es jetzt auch schon die ersten Angriffe, weil es gerade vielleicht hat der Chef irgendwo mal Vorträge gemacht. Also sprich der Angreifer hat Zugriff auf Audiomaterial, kann das eben nutzen, um eben neues Audio zu synthetisieren. Beliebige Sätze in der Tonlage oder in der Stimme des Chefs zu erzeugen und kann das dann eben benutzen, um dann solche Social Engineering Angriffe durchzuführen. Also ich glaube, das ist erst mal so ein erster Schritt. Und die andere große Bedrohung, die ich auch sehe, sind die ganzen Missinformationskampagnen. Das einfach jetzt, um jetzt eben eine Demokratie zu destabilisieren, dass einfach ein anderes Land eben versuchen kann, eben Desinformationskampagnen in einem gewissen Land zu starten, um Unsicherheit zu streuen oder falsche Information zu verteilen. Und da werden auch solche Fake Bilder oder Fake Profile viel benutzt, um eben eine gewisse Stimmung zu erzeugen. Und ich glaube, das ist etwas, was uns in den nächsten Jahren auch sehr, sehr viel beschäftigen wird, weil da die Machine Learning Methoden deutlich besser werden. Es wird eben immer schwieriger zu unterscheiden, ist jetzt etwas legitim oder nicht? Und dann eben dieses menschliche Wissen, ist das überhaupt authentisch oder ist das überhaupt legitim, was dort gesagt wird? Es wird immer mehr und mehr zur Herausforderung in den nächsten Jahren.

Thomas Sinnwell: Ja, da kommen spannende Zeiten auf uns zu. Recht herzlichen Dank, Herr Professor Holz. Hat mir sehr viel Freude gemacht, das Gespräch und ja, an unsere Zuhörer bis zur nächsten Folge. Tschüss!

Thorsten Holz: Vielen Dank für diese Einladung und bis bald. Tschüss.

So, das war's schon wieder von uns. Wir hoffen, die heutige Folge hat euch gefallen und dass wir euch das Thema Cybersecurity etwas näher bringen konnten. Weiterführende Links zur aktuellen Folge findet ihr in den Shownotes. Und wenn ihr euch für die wunderbare Welt der Technik und Softwareentwicklung interessiert, freuen wir uns natürlich, wenn ihr uns abonniert. In der nächsten Folge sind wir zurück mit dem dritten und finalen Teil in unserer Reihe zum Thema Cybersecurity. Host Dr. Thomas Sinnwell ist wieder für euch da und hat einen weiteren Experten im Gepäck. Bis zum nächsten Mal. Wir freuen uns auf euch.