Information et éducation par et pour la communauté SAP

Des indices accablants ne sont pas pour autant des preuves

En cas d'attaque informatique, les personnes extérieures se demandent en premier lieu qui est le coupable. On veut attribuer une attaque à un coupable, du moins en pensée.
Raimund Genes, Trend Micro
4 mai 2017
Sécurité
avatar
Ce texte a été automatiquement traduit en français de l'allemand

In vielen Fällen lässt sich diese vermeintlich einfache Frage aber nicht so einfach beantworten. Schon gar nicht, wenn man sich ausschließlich auf die objektiven Fakten stützt und die subjektive Meinungsbildung durch die lokale/zeitliche Wahrnehmung des Opfers oder durch die Presse außen vorlässt.

Was bei zu viel Subjektivität passiert, lässt sich leicht am aktuellen Beispiel von EyePyramid zeigen – einem „Information-Stealer“, der in den vergangenen Wochen rund 87 GB an Daten entwendet hat. Darunter die von privaten Unternehmen, aber auch Regierungsbüros und anderen öffentlichen Organisationen.

EyePyramid zielte auf mehr als 100 Mail-Domänen mit mehr als 18.000 Mailkonten. Die z. T. hochrangigen Opfer kamen aus Italien und anderen europäischen Ländern, aber auch den USA und Japan.

Bei diesen überwältigenden Indizien war für viele die Schlussfolgerung klar: Hier handelt es sich um einen staatlich getriebenen oder gesponserten Angriff!

Diese Schlussfolgerung wurde dann auch dankbar von den Medien und der breiten Öffentlichkeit aufgegriffen. Leider gab es dabei nur ein Problem – sie stimmt nicht!

Wie sich im Nachhinein herausgestellt hat, handelt es sich bei den Hintermännern von EyePyramid um ein Geschwisterpaar mit rein monetären Interessen. Keine staatlich geförderte Organisation, die in den nächsten Cyberkrieg zieht.

Dieser Vorfall zeigt deutlich auf, was passiert, wenn Fakten nur im Kontext des eigenen „genehmen“ Kontexts interpretiert bzw. zu sehr vereinfacht werden. Seriöse Sicherheitsforscher beschränken sich bei der „Attribution“, also dem Zuweisen von Angriffen zu Akteuren, auf technisch nachprüfbare Informationen.

Natürlich gibt es auch „Hinweise“, die in eine bestimmte Richtung zeigen bzw. deren Kombination sich verstärkt. Aber den metaphorischen „rauchenden Colt“ in der Hand des Angreifers findet man selten.

Um bei EyePyramid zu bleiben: Faktisch wurden (auch) regierungsnahe Organisationen kompromittiert. Dies sind objektive Fakten. Die Vereinfachung, dass daher ein staatlicher Akteur dahinterstecken muss, ist subjektiv und zu sehr vereinfachend.

Leider ist die faktische Berichterstattung weit weniger spektakulär als die (nicht korrekte) Vereinfachung…

Auch wenn die ungerechtfertigte Vereinfachung von Tatsachen mich als technisch interessierten Menschen ärgert, könnte das Thema an dieser Stelle vorbei sein. Wenn nicht noch ganz andere Seiteneffekte auftreten würden:

Wenn in der Berichterstattung aus jeder Mücke ein Elefant und aus jeder cyberkriminellen Aktion ein Cyberkrieg staatlicher Akteure wird, hat das auch Einfluss auf die Sicherheitswahrnehmung bzw. das Sicherheitsverhalten von uns allen.

Wenn überall nur von Cyberkrieg und staatlichen Akteuren gesprochen wird, stellt sich bei vielen Firmen und Privatpersonen Resignation ein:

„Wie soll ich mich als Person/Firma schon gegen einen Staat schützen können?“

Alternativ auch:

„Wieso sollte ein Staat mich schon Visier haben?“

Der „Erfolg“ solcher marktschreierischen Kommunikation ist, dass viele die eigentliche Gefahr – nämlich gewöhnliche Cyberkriminelle – gar nicht wahrnehmen und dementsprechend auch keine passenden Schutzmaßnahmen ergreifen.

Um es ganz klar zu sagen: Ja, es gibt dort draußen staatliche Akteure, die mit großem Budget agieren. Aber für normale Firmen und Privatpersonen sind diese Akteure aus Sicht der Risikobewertung vernachlässigbar! Der „normale“, monetär getriebene Cyberkriminelle stellt das weitaus größere Risiko dar!

Daher meine Bitte an dieser Stelle: Lassen Sie sich nicht von Sensationsmeldungen zu Cyberattacken staatlicher Akteure verunsichern! Führen Sie eine Risikobewertung Ihrer Geschäftsprozesse durch, verifizieren Sie, welche Akteure dort ein echtes Risiko darstellen, und stellen Sie Ihre Sicherheitsstrategie entsprechend auf.

Als Letztes habe ich aber auch eine Bitte an die Presse, an Blogger usw.: Manche Dinge lassen sich nicht weiter vereinfachen! Dies gilt auch für Indizien bei IT-Angriffen. Auch wenn das Weglassen/Vereinfachen von Indizien vielleicht wunderbar zu „Beweisen“ führt, die dann als große Sensation platziert werden können.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

Raimund Genes starb am Freitag, dem 24. März, bei sich zu Hause unerwartet an den Folgen eines Herzinfarkts.

Der langjährige Chief Technology Officer von Trend Micro wurde 54 Jahre alt. Er baute den japanischen IT-Sicherheitsanbieter in Deutschland und Europa auf und verlieh ihm eine wichtige Stimme in der Öffentlichkeit.

Ab 2014 bereicherte Genes das E-3 Magazin mit seinen aktuellen und scharfsinnigen Kommentaren im Rahmen der monatlichen IT-Security-Kolumne. Auch hier leistete er wertvolle Bildungsarbeit für die SAP-Community.

Seinen letzten Kommentar veröffentlichen wir auf dieser Seite posthum. Unsere Anteilnahme gilt seiner Familie und seinen Freunden.

avatar
Raimund Genes, Trend Micro

Raimund Genes a été directeur de la technologie chez Trend Micro.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.