Der Opa erzählt G’schichten aus’m Krieg

Dieses “Cyber” geht nicht weg und dann sind da überall noch so böse Gestalten. Eine kleine Sammlung mit ernstem Hintergrund. Nicht erst seit Russland angeblich die US-amerikanischen Wahlen durch “Propaganda” (oder Fake News oder Datenklau bei den Demokraten oder Clinton’s Stab oder was noch alles demnächst rauskommt) beeinflusst hat und jetzt dieser etwas dümmliche Mensch im Weissen Haus sitzt der jetzt dieses “Cyber” verteidigen (und wie immer gewinnen will) und den Terroristen das Internet verbieten will. Leider ist das mit der Cyber Security ein Thema dem sich immer mal wieder sehr laienhaft genähert wird und sobald es kompliziert wird dann doch wieder mal gelassen wird. Ist schon sicher das mit dem Internet – ist ja ein grünes Schloß dran. Aus leidvoller eigener Erfahrung wieviel Unsinn bei diesem Thema verzapft wird hier mal eine bunte und leider alles wahre G’schichten aus dem Cyber-Biergarten.
Cyber Security
Photo credit: perspec_photo88 via Visual Hunt
Wie naiv sich selbst heutzutage noch Menschen dem Thema Cyber Security nähern, hier ein Tweet vom Anfang dieses Jahres wo tatsächlich jemand behauptete Banken würden pro Monat hunderten Cyber-Angriffen ausgesetzt sein. Hunderten?? Pro Monat?? Wenn diese Zahl mal pro Sekunde ausreichen würde, wäre ich sehr überrascht. Damals – in den 90ern – mein erster Berührungspunkt mit dem Thema. Der Chef der Netzwerksicherheit von Siemens fragt das Publikum wie lange es wohl dauert, wenn ein neuer Rechner im Siemens Netzwerk ans Internet angeschlossen wird, bis der erste Angriff erfolgt – weniger als 30 Sekunden. In den 90ern!! Mehrere hundert Angriffe pro Monat – is klar! Dies ist aber kein Einzelfall sondern leider die Norm. Bei dem Thema herrscht eine unglaubliche Fahrlässigkeit nicht nur in der öffentlichen Wahrnehmung sondern leider auch in Unternehmen und nicht nur bei den Startups. Was sind nun aber übliche Angriffe gegen die ich mich schützen muss? Der Klassiker der vielleicht jedem noch einfällt sind Viren, Trojaner, wenns kompliziert wird dann halt noch der nigerianische Prinz der mir unbedingt fix eine Milliarde überweisen will. Dann gibt es ja noch diese DDoS Attacken und das böse Verschlüsseln der Festplatte was – gegen die Zahlung von Bitcoins – natürlich gern wieder rückgängig gemacht wird. Alles soweit richtig und auch alles lustig. Aber über 90% der “Cyber” Angriffe kommen aus dem eigenen Netzwerk. Sie wollen das Passwort eines Nutzers wissen – schicken Sie ihm eine Mail als System-Administrator oder als sein Chef und schwups haben Sie das Passwort. Glauben Sie nicht? Es gibt da so einen Spezi in Berlin, bei einem gaaanz bekannten Raketen Unternehmen. Dessen Passwörter waren so sicher, dass er immer das gleiche hatte und die Security Abteilung Monate damit verbracht hat alle Accounts von ihm zu finden und sein super duper sicheres Passwort zu ändern. Mindestens genauso lange hat es gedauert jedem in der Organisation zu verbieten, diesem Menschen jemals wieder einen Account mit seinem Lieblingspasswort anzulegen. Sehr spannend und auch immer wieder ein lustiger Spaß ist auch ein paar USB Sticks auf Konferenzen “liegen zu lassen”. Am nächsten Tag gucken Sie dann mal bei wem plötzlich kalter Angstschweiß ausbricht wenn Sie die lustige Schadsoftware darauf “scharf” machen und der Laptop plötzlich laut piept und bunte Bilder zeigt. Cyber Security ist mitnichten der Schutz von aussen. Nehmen Sie das nächste Mal mal ihren System Administrator mit zum Termin und lassen ihn im Netzwerk schnüffeln. Ah WLAN Gast Netzwerk – immerhin. Dann mal Kabel in die Ethernet Dose – und? Drin. Dachte ich mir. Wir hatten bei uns im Hause mal ein – sagen wir befreundetes – Unternehmen zu Gast wo der Herr System-Administrator des Gastes meinte er müsse mal ein wenig im Netzwerk schnüffeln. Keine 5 Minuten danach steht mein SysAdmin neben mir mit der Bitte, dass entweder ich oder er dem Menschen mal per körperlichem Verweis mitteilt, dass sich so etwas nicht gehört. Der nette Besucher hatte bis dahin aber auch nicht gemerkt, dass er in unseren Honeypot gelaufen war und wunderte sich sicherlich wieviele tolle Rechner wir da so hatten. Er kam zwar ohne körperlichen Verweis davon, aber die Nachricht hat er wohl verstanden. Hier kannte man keinen Spaß mit rumschnüffelei. Wie viele Startups kennen Sie die solchen Paranoia-Mode fahren? Wieviele Corporates?
Cyber Security
Photo credit: CeBIT Australia via Visual hunt

Nehmen wir das Thema App Sicherheit.

Wir schreiben das Jahr 2012 diese App-Economy ist mitten im Boom und wir mitten drin. Weil wir nunmal ein FinTech sind und meine Entwickler auch mal was zu spielen haben sollen, spielen wir das Spiel “hack mir eine App”. Wir fangen bei den Top50 Apps im deutschen AppStore im Bereich Finanzen an. Und? Nach ein paar Stunden kommt das verwunderte Raunen und Staunen – “Nee die auch”, “boah ich kann ja alle Daten sehen”, “Kannich die auch ändern?” “Nicht Dein Ernst das geht bei denen auch?”. Jap Wild Wild West. Man nehme einfach mal an, dass ein unsicheres Endgerät (wie ein Smartphone) den gleichen angenommenen Schutz haben soll wie ein Server. Mittels simpelster man-in-the-middle-Attacke konnten wir ALLEN Top50 Apps vorgaukeln, dass unsere Rechner deren HTTPS Endpunkte sind und schön alle Daten mitlesen, zum Teil verändern und dann an den echten HTTPS-Server des Unternehmens senden. Es gab in dem Jahr so einen Spezi – nein nicht der von oben – sondern den Compliance Officer / Legal counsel von einer Bank mit der wir eigentlich zusammen arbeiten wollten. Dieser Mensch hatte die unrühmliche Eigenart immer auf einem Freitag nachmittag seinen “Bedenkenträger Hut aufzusetzen” und Gründe zu finden, warum wir als kleines Startup doch gar nicht würdig wären mit der Bank zusammen zu arbeiten. Es ging mal um Vertrauen, dann um Sicherheiten, dann um die Finanzlage und dann – böser Fehler – um das Thema IT-Sicherheit. Dumm gelaufen, dass deren Bank App eine derjenigen war die wir gerade aufgemacht hatten. Das war vielleicht ein nettes Telefonat. Die Gesichtsröte des Herrn konnte ich am Montag noch spüren als er erneut anrief und darum bat ob wir dem Bank IT-Team nochmal erklären könnten, wie wir nochmal an deren Daten gekommen seien. Ähhh nö. Damals – da hatten wir auch noch einen Kaiser denkt jetzt jeder. Nope. Das war nachdem Apple und Google deutlich darauf hinwiesen wie man eine App absichert. Vorspulen 2016 – da war doch diese Challenger Bank wie war der Angriff doch gleich? Ach ja genau der aus 2012. Oder weiter vorspulen nach 2017. Telefonat mit einem potentiellen Kunden aus dem offline retail. “Neeee bist Du bei uns an die API kommst dauert das ewig – wir sind super sicher” Ok. 5 Minuten später, “Äh ich bin da so in Eurem Backend, schon spannend ich seh eure Marketing Aktionen der nächsten 4 Wochen inkl Mengenangaben, Rabatten und allem drum und dran”. Wie jetzt? Ach ja Statement der IT – das wäre ja gar kein Angriff… Nee ist klar – es dauerte genau 5! Minuten und ich wollte nur gucken und hab monströse Probleme beim Gucken entdeckt. Hat irgendjemand draus gelernt? Liebe Fintechs – fragt Euch nicht nur selbst ob ihr das alles wisst und könnt, sondern fragt Euch auch mal ob einer Eurer VC’s mal bei der technischen due diligence dort nachfragt oder überhaupt mal eine macht. Wen ruft ihr an wenn die Hütte brennt? Bitte nicht mich!
Cyber Security
Photo credit: Visual Content via Visualhunt

Kommen wir zum Thema DDoS Attacken.

Für jeden der nur Bahnhof versteht. Das ist das wenn man unheimlich viele Rechner dazu bringt Anfragen an eine Webseite / Dienst zu stellen, so dass diese nicht mehr hinterher kommt und irgendwann aufgibt und vor allem “normale” Nutzer die Seite nicht mehr erreichen können. Die beste DDoS Attacke war eine zeitlang – Groupon (i.e DailyDeal, Citydeal), dicht gefolgt von Pro7Sat1 TV Werbung. Kein Witz wie oft mich jemand anrief nachdem wieder ein Schlauberger einen Deal bei Groupon eingestellt hatte und dann das Licht ausging kann ich nicht mehr aufzählen. Soviel zu skaliert unendlich. Dann gab es noch echte DDoS Attacken. Gerne zeitlich auch in enger Korrelation mit einem tollen Artikel auf Techcrunch zum neuen Funding. 21, 22, 23 – Licht aus. Dann die Panik, dann die Email dass man gegen Zahlung kleiner Münzen auch mit dem Beschuss aufhören würde. Gruselig wurde es jedoch bei einem bösen DDoS-Angriff gegen ein bekanntes Startup in Berlin. Da war nicht nur das Startup am Ende sondern auch deren Hoster. Erst klingelt also das Telefon mit dem Startup-Gründer dran und 5 Minuten später – ich dachte ich spinne – der GF des Hosters der mich allen ernstes fragt, wie er sich denn gegen DDoS Attacken schützen kann. Leider gehört DDoS Schutz bis zum heutigen Tag NICHT – nochmal – NICHT zum Standard Repertoire der meisten Hoster. Es wird immer wieder versucht noch weitere Dienstleistungen (sog DDoS Schützer) zu verkaufen statt die eigene Infrastruktur abzusichern. Unfassbar.

Aber es gibt doch die Cloud

Oh ja. Jetzt kommt die “ich hab das alles an Amazon, Google, IBM, wen auch immer” ausgelagert Fraktion. Beispiel aus meiner Zeit bei der 1&1 – laaange her. Wenn dort im Hosting auf einer Maschine jemand mehr als 60% Strom verbraucht hat (Stromverbrauch korreliert hervorragend mit CPU Last, CPU Last mit Last, Last mit Netzwerkverkehr) wurde die Maschine automatisch neu gestartet. Schluß im Bus. Schalter aus, Schalter an. Wenn auf der Maschine – weil sie geshared wurde – noch 30 andere Kunden drauf waren, dann waren die auch aus. So einfach schützt man seine eigene Infrastruktur. Aber aber aber Amazon – ja einmal das Kleingedruckte lesen bitte. Wenn eine DDoS Attacke gegen einen bei AWS (Amazon cloud) gehosteten Dienst erkannt wird, wird der Dienst terminiert. Schalter aus, nix Schalter an. Bevor es überhaupt zu einem Problem kommen könnte, schaltet JEDER Cloud Provider das Ziel ab und macht es erst wieder an, nachdem der Angriff weg ist – egal wie wichtig man ist und wieviel man jammert.
Cyber Security
Photo credit: CREST Research via Visualhunt.com

Zurück ins eigene Haus

Wie oft werden Passwörter gewechselt. Werden Passwörter intern per Brute force geknackt und Accounts mit schwachen Passwörter disabled und die Mitarbeiter ermahnt? Gibt es “standard” Passwörter (gleiches WLAN Passwort in der Gruppe and unterschiedlichen Standorten)? Werden Passwort-Safes a la 1Passwort oder KeyPassX verwendet? Gibt es Listen wer Zugriff auf welche Dienste hat? Insbesondere bei Entwicklern und im SysAdmin Bereich? Werden Passwörter und Accounts geändert / disabled wenn Mitarbeiter das Unternehmen verlassen? Wer guckt regelmässig durch die Accounts und vergleicht ob die Mitarbeiter diese Zugänge noch brauchen? Wer überprüft regelmäßig das interne Netzwerk u.a. nach Filesharing oder Netzwerkfreigaben? Wie sieht es aus mit VPN’s? Nicht nur von aussen in die Firma, sondern auch in das Firmennetzwerk hinein? Leider machen Unternehmen es den Cyber-Kriminellen nur allzu leicht sie anzugreifen. Da braucht es weder nordkoreanische, chinesische, israelische oder russische Hacker. Cyber Security fängt beim Mindset im Unternehmen an und wie immer stinkt der Fisch vom Kopf, d.h. wenn das Management diese Gefahr nicht versteht und nicht ernst nimmt, kann man niemanden weiter unten in der Hierarchie einen Fehler verübeln. Cyber Security ist KEIN IT Thema sondern insbesondere ein Organisations- und ein HR-Thema. Denn am Ende ist der Mensch das schwächste Glied in der Kette.
Newsletter
open close

Der beste Newsletter ever.

Wir versorgen dich täglich mit News, ausgewählten Artikeln und Kommentaren zu aktuellen Themen, die die Finanz-Branche bewegen. Jetzt anmelden!