Abwehr Cybersecurity, CSIRT
Mr. Red vs. Mr. Blue – Swisscom im Stresstest
Dualität beinhaltet beides: Gut und Böse. Und weil Abwehr Angriff voraussetzt, lässt das Telekommunikationsunternehmen seine IT-Systeme regelmässig und gezielt von den eigenen Leuten attackieren, jedoch in gesichertem Rahmen. Ein Blick hinter die Kulissen des Computer Security Incident Response Teams, kurz CSIRT.
Text: Flavian Cajacob, Bilder: Michele Limina, Erschienen in der NZZ Verlagsbeilage vom 8. November 2018
Eigentlich ist Mr. Red im Alltag ja Mr. Blue. Doch heute, da steht ihm der Sinn mehr nach Verschlagenheit denn nach Aufrichtigkeit. Also schlüpft der grundanständige Mr. Blue in die Rolle des niederträchtigen Mr. Red. So will es das firmeninterne Drehbuch. Dergestalt wird er seine Arbeitgeberin Swisscom mit gezielten Attacken auf deren IT-Systeme eindecken. Das Aussergewöhnliche daran? Mr. Red geniesst in seinem Tun die Absolution von ganz oben. Genauer gesagt: Ohne Konzernleitung gäbe es keinen Mr. Red.
Feuerwehr punkto Sicherheit
Ein Hacker? Logisch, der trägt Kapuzenpullover, trinkt Energy-Drinks in rauen Mengen und gehört der Spezies der Einzelgänger und Soziopathen an. So jedenfalls vermitteln es uns Hollywood-Blockbuster und Netflix-Serien. Thomas Röthlisberger, Turnschuhe an den Füssen und Wasserflasche in der Hand, nickt in Richtung eines Grossraumbüros, in dem ein Dutzend Männer und Frauen unterschiedlichen Alters an ihren Rechnern sitzt. Kapuzenpullover und Energy-Drinks? Fehlanzeige! «Fiktion und Realität decken sich bekanntlich nicht immer», meint der 37-Jährige und schmunzelt.
Röthlisberger hat Informatik studiert und anschliessend während Jahren für ein Schweizer KMU die IT-Sicherheit diverser Firmen getestet sowie bei der Behebung der Schwachstellen beraten. Heute ist er Senior CSIRT Manager bei Swisscom. CSIRT steht für Computer Security Incident Response Team – oder zu gut Deutsch «Computersicherheits-Ereignis- und Reaktionsteam». Was kryptisch klingt, ist in Wirklichkeit so kompliziert wiederum nicht. «Wir sind die Feuerwehr und treten immer dann auf den Plan, wenn die IT-Infrastruktur von Swisscom und diejenige ihrer Kunden gezielt attackiert wird», erklärt Röthlisberger. Kommen die CSIRT-Spezialisten zum Einsatz, brennt es wirklich; dann fallen sowohl Angriff als auch Verteidigung äusserst komplex aus.
Das Telekommunikationsunternehmen hat CSIRT 2014 etabliert. Intern agieren die Cracks der schnellen Eingreiftruppe ebenfalls unter dem Namen «Blue Team». Wer hier mittut, versteht etwas von seinem Hand- und Hirnwerk, hat in der Regel eine höhere Ausbildung im Bereich Informatik und verfügt über einen einwandfreien Leumund. So wie etwa Claudio Pilotti (26), der sich jetzt zu Thomas Röthlisberger gesellt. «Ausbildung, Erfahrung und Zertifikate sind das eine in diesem Job», betont der erfahrene Security Analyst. Darüber hinaus sei aber auch wichtig, dass man ein Grübler-Typ ist und sich niemals damit zufriedengibt, wenn etwas funktioniert, sondern ganz genau wissen will, weshalb und warum es überhaupt funktioniert. Gut oder Böse, Hacker gegen oder in Diensten eines Unternehmens – «unser aller Antrieb hier ist es wohl, das eigene Können sinnvoll einzusetzen, das hat viel mit persönlicher Einstellung, Loyalität und ethischen Grundwerten zu tun», davon ist Pilotti überzeugt.
Bodenlange Vorhänge schirmen das Zürcher Büro, in dem die beiden sich an diesem Nachmittag treffen, vor allzu neugierigen Blicken ab. Es gilt, die Rollen zu definieren für die nächsten Tage und Wochen. Wieder einmal sollen Mitarbeitende und IT-Systeme einem Stresstest unterzogen werden. Während Thomas Röthlisberger zusammen mit zwei «Red Team»-Kollegen in die Rolle des von vermeintlich kriminellen Absichten geleiteten Hackers schlüpft, werden Claudio Pilotti und seine «Blue Team»-Kollegen die Angriffe von Mr. Red und dessen Leuten abzuwehren haben. Dies im Rahmen des normalen Alltagsbetriebs; denn wie die Attacken aussehen werden, wo und wann sie erfolgen, das bleibt selbstredend das Geheimnis des «Red Team».
Real, aber ohne Kundendaten
Dieses existiert seit gut drei Jahren. Swisscom war das erste grosse Unternehmen in der Schweiz, das sich freiwillig und explizit von sogenannten Ethical-Hackern aus den eigenen Reihen einem Stresstest unterziehen liess. Primäre Ziele sind, Schwachstellen in Systemen und Prozessen aufzuspüren und zu eliminieren – bevor diese von kriminellen Kreisen entdeckt und ausgenützt werden. Selbstredend soll die Erkennung und Abwehr solcher Angriffe laufend verbessert werden. Die fingierten Angriffe finden in gesichertem Rahmen statt und werden abgebrochen, bevor Daten von Endkunden ins Spiel kommen. «Zudem wird vor jeder Aktion unser Operation Control Center (OCC) informiert, damit die Situation nicht eskaliert», erklärt Röthlisberger. «Kundendaten sind also zu keinem Zeitpunkt in die Geschehnisse involviert.»
In der Realität unterscheiden die IT-Sicherheitsprofis zwischen fünf verschiedenen Hacker-Gruppierungen. Da sind zum einen die sogenannten Script Kiddies und die politisch motivierten Aktivisten, die sich eher auf niederschwellige Attacken konzentrieren, wie etwa das Knacken von Passwörtern oder das Lahmlegen von Webseiten. Eine Stufe höher operiert das organisierte Verbrechen, spezialisiert beispielsweise auf Datenklau und Erpressung im Internet. «Die gefährlichsten Hacker sind sicherlich jene aus terroristischen Kreisen und staatliche Akteure wie Geheimdienst-Angehörige», meint Röthlisberger.
Mensch als schwächstes Glied
Ob wirtschaftlich, idealistisch oder politisch getrieben – so unterschiedlich die Beweggründe der einzelnen Gruppierungen sind, genauso divers zeigt sich die Cyber-Kriminalität im Alltag. «Wenn wir unser eigenes System einem Stresstest unterziehen, orientieren wir uns stets an den gängigen Angriffstechniken aus der Realität», erklärt Thomas Röthlisberger alias Mr. Red. Was das für die von ihm geplanten aktuellen Angriffe bedeutet, will er im Beisein von Claudio Pilotti alias Mr. Blue, seinem vermeintlichen Opfer, nicht verraten. In der Vergangenheit habe man beispielsweise Phishing-Angriffe gestartet oder Malware einzuschleusen versucht. «Es mag ein bisschen abgedroschen klingen, aber wichtig ist uns vor allem, unter den Mitarbeitenden das Bewusstsein für die im Netz lauernden Gefahren zu fördern und Prävention zu betreiben», erklärt Pilotti. «Denn der Mensch ist nach wie vor das schwächste Glied, wenn es um gezielte Angriffe auf IT-Systeme geht.»
Real seit Monaten im System
Den beiden IT-Sicherheitsprofis und ihren Teammitgliedern stehen aufregende Wochen bevor. Röthlisberger stellt seinem Kollegen die eine oder andere Herausforderung in Aussicht. Resultate der fingierten Angriffe und daraus abgeleitete Lösungsvorschläge gehen Ende Jahr an die Konzernleitung. Pilotti nimmt’s sportlich – er baut auf seine und die Erfahrung seiner Kollegen. «Man darf sich nichts vormachen», betont der Security Analyst. «Das Böse ist dem Guten meist einen Schritt voraus. Aber genau deswegen machen wir ja diese Übungen und versetzen uns in die Rolle des Angreifers.»
In der Realität bedeutet dies, dass sich Hacker zum Zeitpunkt ihres Auffliegens oft bereits seit Monaten im IT-System eines Unternehmens ausgetobt haben. «Wenn wir von der Gegenseite es schaffen, diese Zeitspanne dank Übungen wie dieser weiter zu verkürzen und Aufwand sowie Kosten für Cyber-Attacken dadurch steigen, haben wir schon sehr viel erreicht», sagt Thomas Röthlisberger und verspricht seinem Kollegen Pilotti im Falle einer erfolgreichen Abwehr einen Umtrunk. «Aber kein Energy-Drink, klar? Schon lieber ein Bier», quittiert Claudio Pilotti trocken und wünscht «Hacker» Röthlisberger mit einem Schmunzeln im Gesicht ein möglichst baldiges Auffliegen.
Von der langjährigen Expertise des eigenen Computer Security Incident Response Team (CSIRT) profitieren auch Sie als Unternehmenskunde. Swisscom bietet Ihnen mit CSIRT as a Service Unterstützung bei der Analyse und Bewältigung von kritischen Sicherheitsvorfällen. Erfahrene Swisscom Security Experten übernehmen die Führung bei Security Incidents. Sie leiten den Prozess Remote oder bei Ihnen vor Ort und unterstützen Sie bei der Beweissicherung sowie der Kommunikation zu Kunden und Partnern.
Security-Glossar
APT
Advanced Persistent Threat, zu Deutsch «fortgeschrittene, andauernde Bedrohung», ist ein komplexer, zielgerichteter und effektiver Angriff auf kritische IT-Infrastrukturen und vertrauliche Daten von Unternehmen, die aufgrund ihres technischen Vorsprungs potenzielle Opfer sind. Alternativ werden auch Firmen angegriffen, die bloss als Sprungbrett zu den tatsächlichen Opfern dienen.
Backdoor
Software-Hintertüre, um unter Umgehung des Zugriffsschutzes auf ein Computer-System zuzugreifen.
Botnet
Netzwerk einer grossen Anzahl kompromittierter Computer, die zentral durch einen Botmaster kontrolliert werden.
CSIRT
Computer Security Incident Response Team bezeichnet eine Gruppe von Sicherheitsfachleuten, die bei konkreten IT-Sicherheitsvorfällen als Koordinatoren mitwirken beziehungsweise sich ganz allgemein mit Computersicherheit befassen, vor Sicherheitslücken warnen und Lösungsansätze anbieten sowie Schadsoftware analysieren.
Defacement
Einbringen von unerwünschten Inhalten in eine gehackte Website.
DOS
Denial of Service (DOS) – ein System wird durch eine grosse Anzahl an Anfragen lahmgelegt.
DDOS
Distributed Denial of Service (DDOS) – der DOS-Angriff geht gleichzeitig von einer grossen Zahl verteilter Systeme aus (zum Beispiel ein Botnet). Ein einfaches Blockieren des Angreifers ist nicht mehr möglich.
Honey Net
Das ist ein gezielt attraktiv gestaltetes System oder Netz, um Angreifer anzulocken und deren Verhalten studieren zu können. Die damit gewonnenen Erkenntnisse werden dann zum Schutz der realen Netze verwendet.
Kill-Switch
Versteckte Software, die auch auf Befehl von aussen reagieren kann, die Funktionsweise eines Systems stört oder das System unbrauchbar macht.
Malware
Software, die schädliche, nicht gewollte Funktionen ausführt.
Money Mule
Kriminelle verleiten Personen dazu, Geld von «Kunden» entgegenzunehmen und nach Abzug einer Kommission mit einem Überweisungsdienst weiterzuleiten. Die Person (Money Mule) glaubt, für eine legitime Organisation zu arbeiten.
Phishing
Damit werden Benutzer durch Tricks (meistens E-Mails mit gefälschten Aufforderungen, etwas zu tun) dazu verleitet, sensible Daten preiszugeben.
Ransomware
Eine Form von Trojanern, mit deren Hilfe bestimmte Daten oder das ganze Computer-System verschlüsselt werden, um für die Freigabe ein Lösegeld zu erpressen.
Spoofing
Täuschungsversuche in Netzwerken zur Verschleierung der eigenen Identität.
Newsletter
Möchten Sie regelmässig spannende Artikel und Whitepaper zu aktuellen ICT-Themen erhalten?
