Locale

Schliessen

Unverbindliche Anfrage

*=Pflichtfelder

Wie Protforce Ihre Daten verarbeitet und welche Rechte Sie in diesem Zusammenhang haben, erfahren Sie hier

Schliessen

Rufen Sie uns an.

Wir beraten Sie gerne!

portrait

Jeremy James Hakelberg

Business Development Manager

Icon Phone 0800 473 0000
Zum Kontakt
Logo

Threat Actors

Scriptkiddies & Innentäter

Threat Actors - Wer greift da eigentlich an?

20.12.2019

Nur sehr selten kommen wir dazu nicht nur das Tun der Angreifer und die Auswirkungen ihres Handelns zu beleuchten, sondern einen Blick auf den Menschen hinter dem Begriff Threat Actor zu werfen.

Protforce IT Security Darius Ghassemieh

Darius Ghassemieh

Geschäftsführer

Ein zentraler Teil unserer Arbeit als IT-Security Dienstleister besteht in der Erstellung von Bedrohungsmodellen, sogenannter Threat Models, um potenzielle Bedrohungsszenarien zu identifizieren und zu bewerten, uns auf diese adäquat vorzubereiten oder als unrealistisch abzutun. Wir beleuchten die mögliche Motivation für Angriffe, den vermeintlichen Wert von IT und unsere Abhängigkeit von ihr, die Chance in das Visier von gezielten Angriffen zu geraten und wie man solche Situationen möglichst unbeschadet übersteht.

In der Kriminologie gibt es seit Ende der Siebziger den, durch das FBI geprägte, Begriff des Profilings. Den Ursprung hat das Profiling in der Typologie, womit die Menschen bereits hunderte Jahre vor Christus versuchten Verbrechen zu erklären oder diese vorherzusagen. In dieser mehrteiligen Blogserie möchte ich Ihnen unterschiedliche Typen von Angreifern vorstellen, deren Motivation beleuchten, die von ihnen ausgehende Gefahr einschätzen und die Frage beantworten, wie wir heute und in Zukunft darauf reagieren sollten.

Im Gegensatz zu anderen Branchen finden sich innerhalb der Informationstechnologie noch viele Stellen um die gestritten wird. Sei es bei Terminologien, Standards oder Klassifizierungen unterschiedlichster Dinge. Ebenso ergeht es uns bei dem Thema Thread Actors - einige Quellen teilen diese in drei, andere in vier oder mehr Typen ein. Der Einfachheit halber und aus der Tatsache heraus, dass eine feinere Granularität nicht unbedingt mehr Klarheit bedeutet, teilen auch wir unsere Threat Actors in drei Gruppen auf:

• Unorganisiert: Scriptkiddies, Insider
• Organisiert: Banden, Organisierte Kriminalität, Hacktivisten
• Staatlich: Geheimdienste, Militär, Sicherheitsfirmen

Unter die Kategorie Unorganisiert fällt der quantitative Großteil aller durchgeführten Cyberangriffe. Sie ist aber auch gleichzeitig die Kategorie, in der das wenigste bzw. oberflächlichste Fachwissen vorhanden ist. Das macht diese Gruppe von Angreifern allerdings nicht zwangsläufig ungefährlicher als die teils deutlich komplexer operierenden Teilnehmer. Mit dieser Gruppe beschäftigen wir uns in diesem Beitrag.

Scriptkiddies - Jung, naiv und mit Potenzial

Der Begriff Scriptkiddie hat in den letzten Jahren vermehrt Verbreitung in den allgemeinen Medien gefunden und ist vor allen Dingen mit DDoS (Distributed Denial of Service) Attacken auf weithin genutzte Infrastrukturen in den Fokus der Berichterstattung gerückt. Vor allen Dinge Angriffe mit gekaperten IoT-Geräten, das Mirai-Botnetz und in dem Zusammenhang angebotene Webportale, die es jedermann ermöglichen DDoS-Dienste - sogenannte Booter oder Stresser - mit wenigen Klicks zu kaufen, treiben die Zahl der Angehörigen der unorganisierten Gruppe in die Höhe.

Eine DDoS-Attacke vereint die Leistung vieler Rechner, um Systeme zu überlasten und unbenutzbar zu machen. Daher spricht man von einer verteilten Verweigerung des Dienstes.

Das Wort Scriptkiddie entspricht in den meisten Fällen tatsächlich dem, was sich die meisten Leute darunter vorstellen: Meist junge oder jugendliche Menschen, die Tools und Scripts nutzen, von denen sie nichts oder nur sehr wenig verstehen, um Systeme und Applikationen anzugreifen. Dabei endet die Unwissenheit nicht bei der Funktionsweise und tiefer liegenden Logik der verwendeten Programme, sondern auch im Verkennen möglicher Konsequenzen für alle Beteiligten.

So sind die von Europols Cybercrime Center (EC3) identifizierten und festgenommenen Nutzer von DDoS-Diensten immer überwiegend männlich und unter 20 Jahre alt.

Interessant: Im September 2019 wurde die gestiegene Anzahl von DDoS-Attacken unter anderem auf den Beginn des neuen Semesters und Schuljahres zurückgeführt.

Und: Die Quantität der Angriffe steigt aktuell nicht nur wieder aufgrund der Weihnachtszeit, sondern auch wegen der Tatsache, dass eine Vielzahl von Entwicklungsländern in den letzten Jahren den Ausbau von Mobilfunk und Internetanschlüssen vorangetrieben haben - damit steigt nicht nur die Zahl potenzieller Täter, sondern auch die Zahl verbundener und damit Geräte, die für Angriffe missbraucht werden können. Zeitgleich holen die Industrienationen bei dem Thema IT-Sicherheit auf, sodass Angreifer dazu übergehen in anderen Regionen nach einfacheren Zielen zu suchen. Dadurch kam Südafrika 2019 zum ersten Mal auf Platz 4 der Liste mit Ländern, in denen die meisten DDoS-Attacken stattfanden.

Die Motivation von Scriptkiddies ist schwer präzise herauszustellen, da wir es mit einer sehr heterogenen Gruppe mit unterschiedlichen kulturellen und politischen Hintergründen zutun haben. So bleibt uns initial nur die Komponente des überwiegend männlichen jungen Menschen mit wenig Fachwissen.

Wenn ich an meine Zeit als Jugendlicher zurückdenke und dies mit meinem heutigen Fachwissen kombiniere, erkenne ich folgende Motivationsgründe, die auch mich persönlich damals dazu gebracht haben, mich mit dem Thema Hacking zu beschäftigen - zu Beginn auf eine sehr naive Art und Weise.

• Neugier
• Langeweile
• Rebellische Phase
• Profilierung vor anderen
• Verlangen nach Aufmerksamkeit

Die Gefahr geht nicht nur vom wahllosen Einsatz wenig oder gar nicht verstandener Schadprogramme aus, sondern auch von einer oftmals maßlosen Selbstüberschätzung der eigenen Fähigkeiten. Dies führt dazu, dass sich die Angreifer über die Dimension der möglichen angerichteten Schäden nicht bewusst sind und entsprechend rücksichtslos Systeme aller Art angreifen. Gleichwohl sind den Tätern die möglichen Konsequenzen, denen sie sich selbst stellen müssen, für gewöhnlich unzureichend bekannt.

Die Gründe vom Abrutschen in die klassische Kriminalität sind neben den oben genannten Motivationen natürlich ebenso präsent. Präventionskampagnen auf nationaler und internationaler Ebene werden deswegen in den letzten Jahren verstärkt durchgeführt, um junge Menschen aufzuklären und vor den Gefahren solch krimineller Verstrickungen zu warnen.

Die Angriffe von dieser Gruppe sind also insgesamt in ihrer Quantität und möglichen Auswirkung groß. Doch auch in der Nutzung von aktuellen Technologien sind sie mit der schneller werdenden Veröffentlichung von Hacking-Tools nicht zu unterschätzen. Mit diesem Wissen lässt sich die gängige Verhaltensweise des Angreifertyps weiter abgrenzen, indem wir uns fragen was Scriptkiddies in der Regel nicht tun:

• Keine lange, detaillierte Planung von Angriffen
• Kein Fokus darauf unbemerkt zu bleiben
• Keine mehrstufigen, aufeinander aufbauende Angriffsphasen

Wie zu jeder anderen Art von Threat Actor, kann man auch für Scriptkiddies ganze Bücher mit Wissen füllen, um Hintergründe zu beleuchten. Schlussendlich müssen wir jedoch akzeptieren, dass es sich um einen Querschnitt von Mitgliedern unserer Gesellschaft handelt, die überwiegend jung und in ihrem Tun naiv sind.
Wenn Sie mich danach fragen würden, wie ich diesen Angreifertyp in einem konstruktiv-positiven Licht betrachten würde, so würde ich Ihnen wohl antworten, dass ich in dieser Gruppe ein großes zukünftiges Potenzial für die Branche der IT-Sicherheit sehe. Denn aus Neugier und Wissensdurst entsteht Kreativität und Einfallsreichtum - Grundzutaten eines erfolgreichen IT-Security Spezialisten. Ebenso kann man den Vorteil einer gewissen (und kontrollierten) kriminellen Energie in unserem Bereich nicht absprechen - wer in der Lage ist sich in die Sicht von Angreifern zu versetzen, weiß wo Gefahr droht und wie man sich dagegen schützen kann.

Entscheidend wird sein wie wir in Zukunft mit den Menschen dieser Gruppe umgehen werden. Führen wir einen Kampf gegen Scriptkiddies und DDoS-Dienste mit Hilfe langer Gefängnisstrafen zur Abschreckung, oder klären wir auf und zeigen wie man lernen kann, um die vorhandene Energie in eine konstruktive Richtung zu lenken?

Insider - Der Täter im eigenen Haus

Der Begriff des Insiders ist uns in der Regel aus dem Themengebiet des illegalen Aktienhandels bekannt - als jemand der interne Unternehmensinformationen für Profit an der Börse nutzt. In unserem Fall sprechen wir allerdings von einem Innentäter im Kontext der Informationssicherheit. Es handelt sich also grundsätzlich um jemanden der als interner oder externer Mitarbeiter einer Firma Zugriff auf interne Informationen und Ressourcen besitzt und diese aus unterschiedlichen Gründen für kriminelle oder destruktive Zwecke vorsätzlich missbraucht.

Ein öffentlich bekanntes Beispiel ist die kanadische Eisenbahngesellschaft Canadian Pacific Railway, welche sich von einem ihrer Systemadministratoren trennte, woraufhin dieser absichtlich Schäden in den Systemen seines ehemaligen Arbeitgebers anrichtete, indem er administrative Konten löschte und Passwörter änderte. Der entstandene Schaden betrug 30.000 US-Dollar, hätte aber noch weitaus größer ausfallen können.

Diese Erkenntnis stellt uns vor zwei Herausforderungen:

• Unser Off-Boarding Prozess von ausscheidenden Mitarbeitern muss konsequent durchgeführt und zeitlich präzise erfolgen - insbesondere für privilegierte Benutzer.

• Die theoretische Heterogenität der Innentäter-Gruppe ist so hoch, dass wir den Typ selbst kaum klar definieren können - potenziell kann jeder Mitarbeiter ein Innentäter sein.

Der erste Punkt sollte in jedem noch so rudimentären IT-Sicherheitskonzept behandelt werden und gilt als Standard. Der kontrollierte Entzug von Autorisierungen, die Nutzung des Vier-Augen Prinzips und eine Liste mit herausgegebenen Assets sind das Minimum, was Sie im Rahmen eines Off-Boardings vorhalten sollten.

Der zweite Punkt fordert eine andere Perspektive auf das Thema des Innentäters und bedingt, dass wir uns nach dem „Warum“ fragen. Wieso werden Menschen zu Innentätern? Was treibt sie an und gibt es eine Möglichkeit diese Motivation zu entschärfen? Wenn man vergangene Straftaten aus dem Bereich beleuchtet, stellt man häufig fest, dass wir uns nach dem "Warum" fragen.

• der Täter frustriert oder rachsüchtig ist
• ein möglichst großer Schaden für die Firma das Ziel ist
• viele Taten im Affekt erfolgen, aber einige akribisch geplant werden
• der mögliche Schaden schnell existenzbedrohende Ausmaße annehmen kann

Sich mit den tiefenpsychologischen Ursachen für Frustration oder Rachsucht zu beschäftigen mag sicherlich spannend sein, jedoch halte ich es an dieser Stelle nicht für zielführend. Ganz ähnlich könnte man Gewalt im Straßenverkehr sezieren - die menschliche, unberechenbare Komponente bleibt die gleiche.

An dieser Stelle empfehle ich die Rückbesinnung auf den präventiven Ansatz. Allerdings handelt es sich bei der Prävention an dieser Stelle um die Ergreifung von Schutzmaßnahmen, um die Auswirkungen und Reichweite von möglichen Innentätern zu minimieren. Folgende Fragen sollten Sie sich im Rahmen dessen stellen:

• Existieren in meiner Firma Benutzerkonten, die allein mit ihren eigenen Berechtigungen signifikanten und nachhaltigen Schaden anrichten können?
• Sind meine zentralen Systeme so konfiguriert, dass kritische Operationen zusätzliche Maßnahmen wie das Vier-Augen-Prinzip beinhalten?
• Bestehen Prozesse zur Wiederherstellung von Systemen und Daten und werden diese Prozesse regelmäßig getestet?

Aus meiner Erfahrung schneidet die letzte Frage einen Bereich an, den viele Unternehmen ausklammern: Das Testen der Wiederherstellung. Konträr dazu besitzen die allermeisten Firmen Backups von ihren wichtigsten Daten - eine positive Entwicklung.

Wenn diese Daten allerdings mehrere Tage benötigen, um wieder auf produktive Systeme zurückgespielt zu werden, weil beispielsweise die Datenleitung für das Disaster Recovery unterdimensioniert ist, führt dies unter Umständen zu heiklen Situationen und einem langen Ausfall der IT.

In diesem Sinne: Better safe than sorry.


Sorgen Sie dafür, dass die Auswirkungen von potenziellen Innentätern nicht nur realistisch abgeschätzt und priorisiert werden, sondern beleuchten Sie auch diese tangierten Themen:

• Beweise müssen gesammelt und gerichtssicher dokumentiert werden.
• Forensische Spuren müssen gesichert, der Tathergang rekonstruiert, werden.
• Offizielle Stellen müssen benachrichtigt werden, ggf. muss eine Anzeige erfolgen.

Umso mehr Sie und ihr Unternehmen in diesem Zusammenhang an Vorarbeit und vorbereitenden Maßnahmen getroffen haben, desto konzentrierter und souveräner werden Sie mit der Lage umgehen - übrigens ist das eines der Kernziele von Protforce: Wir machen unsere Kunden bei dem Thema IT-Security souverän.

Ich wünsche Ihnen eine erholsame Weihnachtszeit und einen sicheren Rutsch ins neue Jahr!

Ihr Darius Ghassemieh