Drei Fragen an Corey Nachreiner

Corey Nachreiner ist Chief Technology Officer (CTO) beim amerikanischen Firewall-Spezialisten WatchGuard. Das Unternehmen stellt Security-Appliances für große und kleine Kunden her. So hat WatchGuard etwa im Sommer dieses Jahres drei neue Tabletop-Appliances für KMUs auf den Markt gebracht. Ebenfalls Mitte 2020 schluckten die Amerikaner den spanischen Antiviren-Hersteller Panda Security. Vor kurzem hat der Anbieter nun seine IT-Security-Prognosen für das kommende Jahr veröffentlicht. Ich habe das zum Anlass genommen, mit Corey Nachreiner über das Thema Automatisierung in der IT-Security zu sprechen und die Frage zu vertiefen, wem die Technik denn nun mehr nutzt, den Unternehmen oder den Cyber-Kriminellen?

Corey, wer wird Ihrer Ansicht nach mehr von der zunehmenden Automatisierung profitieren? Unternehmen, die sich vor Cyber-Angreifern schützen wollen oder ihre Gegenspieler, die mit der Automatisierung eine „Welle an Spear-Phishing auslösen“ können, wie Sie prognostizieren?

Wie bei jeder Technologie lassen sich die Möglichkeiten der Automatisierung in unterschiedlicher Richtung ausspielen. Ich glaube allerdings, dass diese im IT-Security-Umfeld mehr Gutes als Schlechtes bewirken wird. Wir sprechen von einem Werkzeug, das unser Leben durch die Mechanisierung allgemeiner Aufgaben erleichtert. Davon kann ein Krimineller genauso profitieren wie ein „normaler Mensch“.

So stellt Spear-Phishing im Hinblick auf Wirksamkeit und Ergebnis beispielsweise eine effektive Technik dar – der Prozess dahinter erfordert jedoch hohen manuellen Aufwand. Wenn ein Angreifer dies automatisieren kann, ohne dabei die „persönliche“ Note gegenüber dem Opfer zu verlieren, hat dies entscheidenden Einfluss auf die Menge und den Erfolg entsprechender Phishing-Mails. Das Gute daran: Wenn sich die Erstellung von etwas „automatisieren“ lässt, dann gilt dies auch für die Erkennung solcher Prozesse. Ich gehe davon aus, dass die zunehmend automatisiert generierten E-Mails durch Sicherheitslösungen, die ebenfalls auf Automatisierung basieren, leichter erkannt werden können.

Maschinelles Lernen wird meist eingesetzt, um bestimmte Dinge zu „automatisieren“. Durch sogenanntes „Adversarial Machine Learning“ kann der Spieß aber auch umgedreht werden. Auf diese Weise ist es beispielsweise möglich herauszufinden, wie das erste System seine Automatisierung vornimmt.

Die Zukunft der Cyber-Sicherheit könnte darin bestehen, dass KI- oder ML-Algorithmen sich gegenseitig bekämpfen.

Kurz gesagt: Automatisierung bietet sowohl Angreifern als auch der Verteidigung Mehrwert. Ich vermute aber, wir werden sie eher in der Verteidigung sehen. Aber letztendlich wird derjenige die Nase vorn haben, der die meiste Zeit in die Entwicklung besserer Automatisierungstechnologien investiert. Übrigens ist die Frage, wer bei der Automatisierung gewinnt, nicht neu. Auf der Sicherheitskonferenz DEF CON im Jahr 2016 veranstaltete die DARPA die Cyber Grand Challenge, bei der einzelne Teams unter Zuhilfenahme von KI sowohl für Angriff als auch Verteidigung gegeneinander antreten mussten. Die Zukunft der Cyber-Sicherheit könnte also darin bestehen, dass KI- oder ML-Algorithmen sich gegenseitig bekämpfen.

Warum ausgerechnet Spear-Phishing? Welche besondere Bedrohung geht von diesem Angriffsvektor aus?

Spear-Phishing bietet aus der Sicht von Cyber-Kriminellen eine perfekte Spielfläche für die Automatisierung. Zum einen gehört Spear-Phishing zu den erfolgreichsten Angriffsarten. 65 Prozent aller Angriffe lassen sich darauf zurückführen, viele davon sind von Erfolg gekrönt. Im Gegensatz zum allgemeinen Phishing, das sich durch die ungezielte Verbreitung von wenig spezifischem, bösartigen Spam auszeichnet, sind Spear-Phishing-Angriffe persönlich zugeschnitten und dadurch umso wirksamer. Es ist meist nicht nur der Name des potenziellen Opfers bekannt, sondern auch, wo dieses arbeitet. E-Mails können an der jeweiligen Position im Unternehmen ausgerichtet sein, mit Bezug zu direkten Kollegen. All diese spezifischen Details erschweren die Unterscheidung zwischen Spear-Phishing und legitimen E-Mails.

Spear-Phishing bietet aus der Sicht von Cyber-Kriminellen eine perfekte Spielfläche für die Automatisierung.

Dieser Grad der Anpassung erfordert jedoch viel händische Arbeit auf Seiten der Kriminellen. Um zielgerichtete E-Mails zu erstellen, müssen die Informationen aus Online-Quellen recherchiert werden. Obwohl Spear-Phishing heutzutage zu den gefährlichsten und häufigsten Angriffsmethoden zählt, bestand ein rettender Umstand stets darin, dass dem Umfang und dem Ausmaß von Spear-Phishing aufgrund der manuellen Vorbereitung Grenzen gesetzt waren. Diese könnten sich jetzt allerdings auflösen. So lassen sich bereits einfache Automatisierung-Tools und Skripte nutzen, um soziale Medien und alle Websites, mit denen eine bestimmte E-Mail-Adresse und der Name verknüpft sind, „abzugrasen“. So kommt man an weitere Informationen. Es gibt bereits heute Phishing-Kits, die bei der Erstellung von E-Mail-Vorlagen und dem Versand von (Massen-)Mails helfen. Wenn diese jetzt in Kombination mit den Möglichkeiten der Automatisierung zum Zuge kommen und E-Mails zunehmend ohne weiteres Zutun mit persönlichen Details gefüttert werden können, erhöht sich die Chance, dass immer mehr Opfer darauf hereinfallen.

Die gute Nachricht ist, dass die Spear-Phishing-Angriffe, hinter denen wir Automatisierung vermuten, qualitativ immer noch schlechter daherkommen als die besten Beispiele für manuelles Spear-Phishing. Sie enthalten in der Tat eine Form von Personalisierung, durch die sie in die Kategorie „Spear-Phish“ fallen, aber dank des geringen Reifegrads der Automatisierung gibt es immer noch Hinweise darauf, dass die entsprechenden E-Mails maschinell generiert wurden.

Im Zuge der Weiterentwicklung der Automatisierungstechniken auf Seiten der Angreifer wird es jedoch künftig immer schwieriger werden, automatisierte Spear-Phish-Mails von normalen zu unterscheiden. Zudem wird es in Summe viel mehr davon geben. Da Spear-Phishing häufig die Ausgangsbasis für Sicherheitsvorfälle ist, könnte dies also auch insgesamt eine Zunahme erfolgreicher Übergriffe auf Unternehmen bewirken.

Welche Rolle spielt die weltweite COVID-19-Pandemie, wie wird sie von Cyber-Kriminellen für ihre Zwecke missbraucht?

COVID-19 wirkt sich in dreierlei Hinsicht auf die Bedrohungslandschaft aus:

1. Direkt deutlich wird die Rolle der Pandemie im Zuge der Themenwahl bei Phishing-Angriffen. COVID-19 liefert Angreifern einen perfekten Köder, was nicht überrascht. Schon immer wurden größere gesellschaftliche Ereignisse oder Krisen für kriminelle Zwecke instrumentalisiert. Beim Phishing – oder Social Engineering im Allgemeinen – geht es ja darum, einen Weg zu finden, andere zu Handlungen zu bewegen, die der Intention des Angreifers entsprechen. Wenn diese wissen, dass die Welt an irgendeinem Thema extrem interessiert ist, wird es leicht, Menschen damit zu locken. Phisher haben das Thema COVID auf zahlreiche Arten gespielt. So waren beispielsweise Phishing-Mails im Umlauf, in denen sich der Absender als Vertreter der Weltgesundheitsorganisation WHO ausgab und behauptete, wichtige Gesundheitsinformationen mitteilen zu wollen. Es gab sogar welche mit angeblichen Informationen zu staatlichen Finanzhilfen und Unterstützungsprogrammen im Zuge von COVID-19.
2. Der zweite, eher indirekte Effekt hat damit zu tun, dass die Gesellschaft ganz generell in einen Angstzustand versetzt wird. Social Engineering zielt darauf ab, Opfer so zu emotionalisieren, dass diese jede Logik vergessen und etwas tun, was sie normalerweise nicht tun würden. Die zugrundeliegende Emotion kann Freude, Aufregung oder einfach nur Angst sein. Ist ein Opfer entsprechend aufgewühlt, wird es leichter, die Falle zum Zuschnappen zu bringen. COVID-19 hat einen Großteil der Gesellschaft ganz von allein in einen ständigen Zustand der Unsicherheit versetzt. Eine Situation wie die aktuelle ist komplett neu für unsere Gesellschaft, so dass viele Menschen natürlich besorgt darüber sind, was vor sich geht. Vor dem Hintergrund des Social Engineerings ist dies ein gefundenes Fressen. Normalerweise müssen entsprechende E-Mails absolut überzeugend sein, damit sie Wirkung entfalten können. Da viele Menschen jetzt jedoch bereits in Sorge sind, liegt die Messlatte zur weiteren Emotionalisierung viel niedriger.
3. COVID-19 hat nicht zuletzt beeinflusst, wo und wie Cyber-Kriminelle ihre Opfer ins Visier nehmen. Der Weg in eine Firma führte früher in der Regel über klassische Unternehmensstrukturen. Durch die Pandemie wurden jedoch Homeoffice-Szenarien zur neuen Realität. Mitarbeiter, die von Zuhause aus agieren, rücken somit an die vorderste Front. Die dortigen Endgeräte und Netzwerkstrukturen sind in der Regel aber weitaus weniger gut gesichert als das eigentliche Unternehmensnetzwerk. Das machen sich Cyber-Kriminelle natürlich zunutze. Daher sollten Unternehmen hinsichtlich der Absicherung von Endgeräten und Mitarbeitern im Homeoffice gezielt nachrüsten.

[Dieser Beitrag wurde ursprünglich im IT Security Newsletter (RIP) veröffentlicht.]