Ablenkungsmanöver DDoS vs. FSI: Warum die Bedrohungs­lage stärker als je zuvor bleibt

Die Finanzwirtschaft und Krypto-Börsen werden Opfer von Hackerangriffen, meist durch sogenannte Distributed Denial-of-Service (DDoS)-Attacken. Was können die IT-Verantwortlichen in Unternehmen tun, um solche Hacks (genauer die Maskierung von Hacks durch DDoS) erfolgreich abzuwehren?

von Marc Wilczek, Geschäftsführer Link11

Die deutschen Ermittlungsbehörden haben kürzlich den illegalen Darknet-Marktplatz „Hydra Market“ aus dem Spiel genommen. Ein Coup, bei dem Bitcoins im Wert von 23 Mio. Euro beschlagnahmt wurden. Andererseits ist Cyberkriminalität ein Milliardenmarkt, in dessen Fokus der Finanzsektor steht. Deshalb sind neben den Ermittlungsbehörden vor allem die in den Unternehmen für die IT-Sicherheit Verantwortlichen in der Pflicht.

Zweigeteilte Aufgabe zwischen Ermittlungsbehörden und CIOs/CISOs

Für IT- und Security-Verantwortliche ist es eine bekannte Tatsache, dass keine andere Branche so stark von Cyberangriffen betroffen ist wie der Finanzsektor. Obwohl hier mit extrem komplexen Firewalls, starken und mithilfe von eigenen Passwort-Management-Systemen kreierten Passwörtern sowie speziellen Zugangsberechtigungen gearbeitet wird, gelingt es professionellen Hackern, die IT-Peripherie zu überlisten. Die Konsequenz: Sind Hacker unter Einsatz von DDoS-Angriffen als Ablenkungsmanöver erstmal in die  IT-Infrastruktur eingedrungen, ist der Schaden bereits angerichtet.

Ursachen und Wirkung von Cyberangriffen auf Krypto-Börsen

Die Cyberangriffe auf Plattformen innerhalb des Finanzsektors zeigen die Nachteile des Ökosystems, in dem z.B. mit Kryptowährungen gehandelt wird. Ursache hierfür ist die Tatsache, dass Börsen und Plattformen bei einem sich abzeichnenden Trend in kürzester Zeit entwickelt und sogenannte Smart Contracts unter Zeitdruck geschrieben werden. Für den Aufbau der nötigen Sicherheitsstrukturen sind häufig weder Zeit noch Ressourcen vorhanden. Zudem spielen rationale Entscheidungen eine Rolle.

Es herrscht das Denken vor, dass der Schaden durch ein zu spätes Einsteigen in einen sich schnell entwickelnden Markt größer ist, als die Verluste, die durch erfolgreiche Cyberattacken entstehen.”

Die Auswirkungen von Hackerangriffen auf Krypto-Börsen sind zunächst horrende finanzielle Verluste. BitMart beispielsweise verlor bei einem Hack 150 Millionen US-Dollar in RTH und BSC. Möglich wurde der Hack durch das Stehlen eines Admin-Schlüssels, über den der Hacker Zugang zu zwei Hot Wallets erhielt. Eine nicht zu unterschätzende Auswirkung solcher Angriffe ist der Verlust an Reputation für die Plattformen, die zu Opfern von Cyberattacken werden.

Die aktuelle IT-Bedrohungslage für die Kryptowelt durch Cyberangriffe

Die Methoden, Netzwerk- oder Anwendungsschwachstellen auszunutzen, werden ausgefeilter. Neben DDoS-Attacken kommen häufig Ransomware, Trojaner oder Phishing-Angriffe zum Einsatz. Kryptowährungen gelten nicht nur als Möglichkeit für anonymen Zahlungsverkehr, sondern als extrem sicher. Ein Diebstahl mithilfe von Social-Engineering oder Zero-Day-Exploits wirft kein gutes Licht auf die Cybersecurity der betroffenen Handelsplattformen. Eine noch recht neue Angriffsvariante sind Cryptojacking-Angriffe. Um als Hacker während der Attacke unentdeckt zu bleiben, nutzt man beispielsweise Botnets, um unbemerkt Bitcoin abbauen zu können.

Andere Hacker verwenden Bots wie den Mirai-Bot oder den Satori-Bot, um Malware mit einem Code zu aktualisieren, mit dessen Hilfe sie dann Schwachstellen in Geräten ausnutzen. Das können intelligente Whiteboards, Router oder NAS-Geräte sein. Sie kommen dann zum Einsatz, um die erwähnten DDoS-Angriffe auszuführen und lassen sich leicht kontrollieren, um Mining-Codes für Kryptowährungen zu starten.

Notwendige Schutzmechanismen für Unternehmen

Die wichtigste Aufgabe für die Cybersecurity-Verantwortlichen besteht darin, eine IT-Sicherheitsarchitektur zu entwickeln und stetig zu optimieren.

Nur durch eine optimal geschützte IT-Infrastruktur lassen sich Cyberangriffe effizient abwehren.”

Zum Standard sollten hier sogenannte Pentests (Penetrationstests) zur Identifizierung von Schwachstellen gehören.

Auch ein Informationssicherheits-Management-System, auf Englisch „Information Security Management System“ (ISMS) ist eine wesentliche Komponente für ein IT-Sicherheitskonzept. Beim ISMS handelt es sich nicht um ein technisches System. Es definiert vielmehr Regeln und Methoden, um die Informationssicherheit zu gewährleisten, sie stetig zu überprüfen und kontinuierlich zu optimieren. Dies beinhaltet die Identifikation und Bewertung von Risiken (etwa durch einen Pentest). Darüber hinaus ist es die Aufgabe des ISMS, die Festlegung von Sicherheitszielen zu gewährleisten, eine klare Definition und Dokumentation zu Verantwortlichkeiten, Abläufen sowie Kommunikationswegen zu erarbeiten. In der ISO27001-Norm sind die entsprechenden Anforderungen an ein ISMS fixiert.

Neben einem ISMS ist für Unternehmen der Finanzwirtschaft eine möglichst hohe Cyber-Resilienz notwendig. Darunter versteht man die Fähigkeit, die Geschäftsabläufe und Prozesse im Unternehmen auch dann aufrecht zu erhalten, wenn Cyberbedrohungen oder andere Krisensituationen auftauchen, etwa misslungene Software-Updates oder durch menschliches Versagen erzeugte Probleme. Bei der Cyber-Resilienz handelt es sich um ein komplexes Konzept, das Begriffe wie Informationssicherheit, organisatorische Resilienz und Business-Kontinuität vereint und so über die IT-Sicherheit noch hinausgeht.

Ein wichtiges Stichwort im Bereich der DDoS-Abwehr ist die Kombination aus künstlicher Intelligenz sowie strikter Automatisierung. Nicht alle Aufgaben, aber diejenigen welche zum großen Teil auf der Erkennung von Mustern basieren, sollten maschinell ausgeführt werden.”

In Zeiten knapper Ressourcen sollten solche Systeme dort zum Einsatz kommen, wo Präzision und Geschwindigkeit Geld bedeuten und gleichzeitig menschliche Ressourcen an anderer Stelle effektiver eingesetzt werden können.Marc Wilczek, Link11