Information und Bildungsarbeit von und für die SAP-Community
Die Meinung der SAP-Community, IT-Security Kolumne, MAG 17-05

Überwältigende Indizien sind trotzdem kein Beweis

Bei IT-Angriffen steht für Außenstehende die Frage nach dem Schuldigen an erster ­Stelle. Man möchte einen Angriff, zumindest gedanklich, einem Täter zuordnen.
Raimund Genes, Trend Micro
4. Mai 2017
Inhalt:
Security
avatar

In vielen Fällen lässt sich diese vermeintlich einfache Frage aber nicht so einfach beantworten. Schon gar nicht, wenn man sich ausschließlich auf die objektiven Fakten stützt und die subjektive Meinungsbildung durch die lokale/zeitliche Wahrnehmung des Opfers oder durch die Presse außen vorlässt.

Was bei zu viel Subjektivität passiert, lässt sich leicht am aktuellen Beispiel von EyePyramid zeigen – einem „Information-Stealer“, der in den vergangenen Wochen rund 87 GB an Daten entwendet hat. Darunter die von privaten Unternehmen, aber auch Regierungsbüros und anderen öffentlichen Organisationen.

EyePyramid zielte auf mehr als 100 Mail-Domänen mit mehr als 18.000 Mailkonten. Die z. T. hochrangigen Opfer kamen aus Italien und anderen europäischen Ländern, aber auch den USA und Japan.

Bei diesen überwältigenden Indizien war für viele die Schlussfolgerung klar: Hier handelt es sich um einen staatlich getriebenen oder gesponserten Angriff!

Diese Schlussfolgerung wurde dann auch dankbar von den Medien und der breiten Öffentlichkeit aufgegriffen. Leider gab es dabei nur ein Problem – sie stimmt nicht!

Wie sich im Nachhinein herausgestellt hat, handelt es sich bei den Hintermännern von EyePyramid um ein Geschwisterpaar mit rein monetären Interessen. Keine staatlich geförderte Organisation, die in den nächsten Cyberkrieg zieht.

Dieser Vorfall zeigt deutlich auf, was passiert, wenn Fakten nur im Kontext des eigenen „genehmen“ Kontexts interpretiert bzw. zu sehr vereinfacht werden. Seriöse Sicherheitsforscher beschränken sich bei der „Attribution“, also dem Zuweisen von Angriffen zu Akteuren, auf technisch nachprüfbare Informationen.

Natürlich gibt es auch „Hinweise“, die in eine bestimmte Richtung zeigen bzw. deren Kombination sich verstärkt. Aber den metaphorischen „rauchenden Colt“ in der Hand des Angreifers findet man selten.

Um bei EyePyramid zu bleiben: Faktisch wurden (auch) regierungsnahe Organisationen kompromittiert. Dies sind objektive Fakten. Die Vereinfachung, dass daher ein staatlicher Akteur dahinterstecken muss, ist subjektiv und zu sehr vereinfachend.

Leider ist die faktische Berichterstattung weit weniger spektakulär als die (nicht korrekte) Vereinfachung…

Auch wenn die ungerechtfertigte Vereinfachung von Tatsachen mich als technisch interessierten Menschen ärgert, könnte das Thema an dieser Stelle vorbei sein. Wenn nicht noch ganz andere Seiteneffekte auftreten würden:

Wenn in der Berichterstattung aus jeder Mücke ein Elefant und aus jeder cyberkriminellen Aktion ein Cyberkrieg staatlicher Akteure wird, hat das auch Einfluss auf die Sicherheitswahrnehmung bzw. das Sicherheitsverhalten von uns allen.

Wenn überall nur von Cyberkrieg und staatlichen Akteuren gesprochen wird, stellt sich bei vielen Firmen und Privatpersonen Resignation ein:

„Wie soll ich mich als Person/Firma schon gegen einen Staat schützen können?“

Alternativ auch:

„Wieso sollte ein Staat mich schon Visier haben?“

Der „Erfolg“ solcher marktschreierischen Kommunikation ist, dass viele die eigentliche Gefahr – nämlich gewöhnliche Cyberkriminelle – gar nicht wahrnehmen und dementsprechend auch keine passenden Schutzmaßnahmen ergreifen.

Um es ganz klar zu sagen: Ja, es gibt dort draußen staatliche Akteure, die mit großem Budget agieren. Aber für normale Firmen und Privatpersonen sind diese Akteure aus Sicht der Risikobewertung vernachlässigbar! Der „normale“, monetär getriebene Cyberkriminelle stellt das weitaus größere Risiko dar!

Daher meine Bitte an dieser Stelle: Lassen Sie sich nicht von Sensationsmeldungen zu Cyberattacken staatlicher Akteure verunsichern! Führen Sie eine Risikobewertung Ihrer Geschäftsprozesse durch, verifizieren Sie, welche Akteure dort ein echtes Risiko darstellen, und stellen Sie Ihre Sicherheitsstrategie entsprechend auf.

Als Letztes habe ich aber auch eine Bitte an die Presse, an Blogger usw.: Manche Dinge lassen sich nicht weiter vereinfachen! Dies gilt auch für Indizien bei IT-Angriffen. Auch wenn das Weglassen/Vereinfachen von Indizien vielleicht wunderbar zu „Beweisen“ führt, die dann als große Sensation platziert werden können.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

Raimund Genes starb am Freitag, dem 24. März, bei sich zu Hause unerwartet an den Folgen eines Herzinfarkts.

Der langjährige Chief Technology Officer von Trend Micro wurde 54 Jahre alt. Er baute den japanischen IT-Sicherheitsanbieter in Deutschland und Europa auf und verlieh ihm eine wichtige Stimme in der Öffentlichkeit.

Ab 2014 bereicherte Genes das E-3 Magazin mit seinen aktuellen und scharfsinnigen Kommentaren im Rahmen der monatlichen IT-Security-Kolumne. Auch hier leistete er wertvolle Bildungsarbeit für die SAP-Community.

Seinen letzten Kommentar veröffentlichen wir auf dieser Seite posthum. Unsere Anteilnahme gilt seiner Familie und seinen Freunden.

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Alle Artikel des Autors

Schreibe einen Kommentar

KI-Enabler und Automatisierer

Items entscheidet sich für Natuvion

Security: Wie sich SAP-Systeme effektiv schützen lassen

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.