So schützen Sie sich

Reale Gefahren für Security-Experten

Versuchen Cyber-Analysten Kriminelle auffliegen zu lassen, kann das gefährliche Konsequenzen für sie haben. Deshalb sollten sie sich online und physisch schützen.
Von 
CSO | 29. Juni 2022 05:47 Uhr
Damit Sicherheitsanalysten Schwachstellen in IT-Systemen oder anderen Produkten nicht stopfen, setzen Cyber-Kriminelle sie unter Druck oder bedrohen sie sogar.
Damit Sicherheitsanalysten Schwachstellen in IT-Systemen oder anderen Produkten nicht stopfen, setzen Cyber-Kriminelle sie unter Druck oder bedrohen sie sogar.
Foto: yamel photography - shutterstock.com

Cybersicherheitsforscher arbeiten täglich daran, die digitale Welt sicherer zu machen, aber von Zeit zu Zeit ist ihre eigene physische Sicherheit gefährdet. Jeder, der lange genug in dieser Branche tätig war, dürfte bereits über Geschichten von Security-Profis gestolpert sein, die Drohungen erhalten haben, oder sogar tatsächlich Vorfälle erlebt haben.

Ein Sicherheitsexperte, der anonym bleiben möchte, um seine Familie zu schützen, berichtet von Menschen, die sich auf Cyberkriminalität konzentrieren und in den vergangenen Jahren Morddrohungen erhalten haben. Einige von ihnen haben beschlossen sich aus der Öffentlichkeit zurückzuziehen oder sich einen neuen Job zu suchen. "Sie wollen ihre Lieben nicht in Gefahr bringen", berichtet der Experte.

Auf Twitter und auf Konferenzen tauschen sich Forscher über Vorfälle aus, die sie erlebt haben, und sprechen über Möglichkeiten, sich in diesen Situationen zu schützen. Die Polizei oder das FBI zu rufen würde allerdings kaum helfen. "Ich möchte Ihnen sagen, dass Sie sich an die Strafverfolgungsbehörden des Bundes oder an eine örtliche Polizeibehörde wenden sollen, aber meiner Erfahrung nach bringt das nichts", sagt der Sicherheitsexperte Matt Smith von Citadel Lock Tools. "Es kann Monate dauern, bis eine Verhaftung für einen einzigen Vorfall erfolgt. Die gefährliche Person ist also für eine ziemlich lange Zeit auf freiem Fuß."

Während einige wenige Forscher Drohungen gegen sie als eine Art Berufsehre ansehen, tun die meisten von ihnen alles in ihrer Macht stehende, um sicher zu bleiben. Sie minimieren ihren digitalen Fußabdruck, führen Hintergrundüberprüfungen bei jeder unbekannten Person durch, die sich ihnen über soziale Medien nähert, mieten Postfächer anstatt ihre Wohnadressen anzugeben und verzichten darauf, Informationen online zu veröffentlichen, die sie mit ihren Familien in Verbindung bringen könnten.

Mit dem jüngsten Anstieg der Ransomware-Attacken und der Eskalation der geopolitischen Spannungen zwischen Russland, China, Nordkorea und der Nato wird die Arbeit der Security-Profis tendenziell noch gefährlicher. "Ich weiß nicht, ob die Situation der Sicherheitsanalysten schlimmer geworden ist, aber ich kann sagen, dass sie in keinem Fall besser geworden ist", sagt Ronnie Tokazowski, Principal Threat Advisor bei Cofense.

Ransomware-Gruppen werden gefährlicher

Cyberkriminelle Gruppen haben bisher ein großartiges Jahr hinter sich. Die Anzahl der Ransomware-Angriffe ist auf einem Allzeithoch, und die durchschnittliche Lösegeldzahlung hat 900.000 Dollar überschritten. Darüber hinaus scheint die zaghafte Zusammenarbeit zwischen den USA und Russland, um die Angriffe einzudämmen, beendet zu sein, nachdem Russland in die Ukraine einmarschiert ist und der Westen mit Sanktionen reagiert. Vor einigen Wochen seien die Ermittlungen gegen mutmaßliche Mitglieder der Hackergruppe REvil "in eine Sackgasse geraten", so die russische Zeitung Kommersant.

"Viele dieser Ransomware-Gruppen leben mit einem Gefühl der Straflosigkeit", sagt Allan Liska, Geheimdienstanalyst bei Recorded Future. "Solange sie Russland nicht verlassen und die Deckung des Kremls haben, gibt es buchstäblich keine Konsequenzen für alles was sie tun. Das führt dazu, dass sie immer mutiger werden."

Wie Liska es ausdrückt, hat diese Art von Schutz es Banden ermöglicht, im Laufe der Jahre "einige bösartige Angriffe" auf Sicherheitsexperten zu verüben. Obwohl er persönlich keine direkten Drohungen erhalten hat, habe er von solchen Vorfällen gehört, insbesondere wenn Sicherheitsprofis auf persönlicher Ebene mit Kriminellen zu tun hatten. "Ich weiß, dass eine Ransomware-Gruppe in mindestens einem Fall das Kind eines Forschers bedroht hat", sagt er.

Darüber hinaus gab es Vorfälle in denen Cyberkriminelle herausfanden, den Wohnort von Sicherheitsexperten herausfanden und Informationen über deren Familienmitglieder sammelten. Dann veröffentlichten sie diese Informationen in Untergrund-Foren und mobilisierten auch weitere Personen aus ihrer Community, um diese ins Visier zu nehmen.

Liska merkt an, dass Banden mittlerweile enger zusammenarbeiten und Informationen austauschen als noch vor ein paar Jahren. "Auf speziellen Erpressungsseiten tauschen sie Informationen über ihre Opfer aus", fügt er hinzu.

In den vergangenen Monaten sind Cyberkriminelle auch aggressiver geworden, was sich auch auf die nationale Sicherheit eines ganzen Landes auswirken kann. Ein Beispiel ist die Conti-Gruppe, die Dutzende von Organisationen in Costa Rica ins Visier nahm und Präsident Rodrigo Chaves dazu veranlasste, den nationalen Notstand auszurufen. Die Hacker kündigten an, dass sie darauf abzielten, die Regierung zu stürzen, ein ungewöhnliches Ziel für eine Ransomware-Bande.

"Dieser beispiellose Angriff markiert eine neue Eskalation der Ransomware-Aktivitäten", sagt Lauren Zabierek, Executive Director des Cyber-Projekts am Belfer Center der Harvard Kennedy School. "Wenn die Hacker sehen, dass sie ein ganzes Land als Geisel nehmen und ungestraft ein Lösegeld erpressen können, werden sie es auch in anderen Ländern versuchen."

Für Liska beweisen Vorfälle wie diese, dass die Grenzen zwischen Ransomware-Gruppen und staatlichen Akteuren immer verschwommener werden. Dennoch sind staatliche Akteure viel einfallsreicher. Zum Beispiel gab es Fälle, in denen Experten, die zu Konferenzen reisten kleine "Geschenke" erhielten, die darauf hindeuteten, dass sie ihre Untersuchungen einstellen sollten.

Hacker hacken Hacker

Personen, die für staatliche Akteure arbeiten, nutzen auch LinkedIn, Twitter, Telegram, Keybase, Discord, E-Mail oder andere Kanäle, um an ihre Zielpersonen zu gelangen. Manchmal behaupten sie, dass sie Beratungsjobs anbieten oder mit den White Hat Hackern bei der Suche nach Schwachstellen zusammenarbeiten möchten.

Im Januar 2021 stellte die Threat Analysis Group von Google fest, dass nordkoreanische Hacker vorgaben, Cybersicherheitsblogger zu sein und echte Forscher dazu aufforderten, mit ihnen gemeinsam Schwachstellen auszutesten. Die Cyberkriminellen verschickten Visual-Studio-Projekte an die Sicherheitsexperten, die einen Quellcode zum Ausnutzen einer Schwachstelle enthielten. "Innerhalb des Projekts war eine zusätzliche DLL, die über Visual Studio Build Events ausgeführt wurde", schrieb Adam Weidemann im Blog von Google. "Die DLL ist eine benutzerdefinierte Malware, die sofort mit den C2-Domänen kommuniziert, die von den böswilligen Akteuren kontrolliert werden." Weidemann und seine Kollegen entdeckten auch, dass einige Forscher kompromittiert worden waren, nachdem sie einen Link besucht hatten, der von diesen nordkoreanischen Hackern gesendet wurde.

Eine weitere Angriffstaktik deckte Google im November 2021 auf. Ebenfalls nordkoreanische Hacker behaupteten, Personalvermittler bei Samsung zu sein, und verschickten PDFs mit detaillierten Stellenangeboten. Der eigentliche Zweck war es, einen Backdoor-Trojaner auf den Computern der Forscher zu installieren.

Weidemann empfiehlt Personen, die befürchten, gezielt angegriffen zu werden, die Forschungsaktivitäten aufzuteilen, indem Sie separate physische oder virtuelle Maschinen verwenden. Etwa für

  • das allgemeine Surfen im Internet

  • die Interaktion mit anderen in der Forschungsgemeinschaft

  • die Annahme von Dateien von Dritten

  • die eigene Sicherheitsforschung

Rechtliche Drohungen

Bedrohungen erhalten nicht nur Security-Experten, die staatlich geförderte Kriminelle oder Ransomware-Banden untersuchen. Bug-Jäger und Experten für physische Sicherheit werden ebenfalls ins Visier genommen, manchmal von den gleichen Organisationen, denen sie zu helfen versuchen. Dies ist Smith bereits mehrmals passiert, als er ohne einen Auftrag daran arbeitete, Lücken an einem Hochsicherheitsschloss zu finden: "Beim ersten Mal habe ich selbstständig an einem Schloss gearbeitet und versucht, mögliche Wege zu entdecken, um es zu öffnen. Der Hersteller hat davon erfahren und versucht, mich zu finden und zu verklagen, weil ich nach Schwachstellen gesucht habe. Das ging sogar soweit, dass das Unternehmen einem Online-Forum mit einer Vorladung vor Gericht gedroht hat, wenn es meine IP-Adresse nicht preisgeben."

Das zweite Mal kam es sogar noch schlimmer. "Ich arbeitete an einem Schloss von Assa Abloy, einem Hersteller von Schließzylindern und Schlüsselsystemen. Einer der amerikanischen Händler wurde sehr wütend darüber, dass eine von ihm vertriebene Sicherheitslösung möglicherweise angreifbar sein könnte", erinnert er sich. "Also fing er an, mir beleidigende E-Mails zu schicken, in denen er mich aufforderte, ihm genau darzulegen, was ich tat. Als ich nicht so antwortete, wie er wollte, drohte er mir, er würde 'mich aussortieren lassen' – egal wie viel Geld das kosten würde."

Einige der E-Mails, die Smith erhielt, waren besonders brutal. "Er schickte mir Screenshots meines Gesichts von Online-Gesprächen und Fotos von Google Earth von der Straße, von der er dachte, dass ich dort lebte. Es war nicht meine Straße, aber es war nah genug, um mir Sorge zu machen", berichtet Smith. Er antwortete dieser Person nie und änderte seine E-Mail-Adresse.

Es ist keine Seltenheit, dass Bug-Jäger von Organisationen eingeschüchtert werden, die drohen, sie zu verklagen. Eine Möglichkeit, dies zu umgehen, besteht darin, detaillierte Berichte zu erstellen. Wenn Forscher über die Auswirkungen der Schwachstelle schreiben, sollten sie mit dem technischen Risiko beginnen, dieses dann auf das Geschäftsrisiko übertragen und hinzufügen, welche Personengruppe betroffen sein könnte. Van de Wiele, Principal Technology and Threat Researcher bei WithSecure, ergänzt, dass Forscher auch zeigen sollten, dass sie bei ihren Analysen keine Gesetze gebrochen haben.

"Stellen Sie vor allem sicher, dass Sie verschiedene Sicherheitsmaßnahmen und Empfehlungen anbieten können, um die Schwachstellen zu korrigieren, die Sie entdeckt haben", fügt Van de Wiele hinzu. Es ist einfach, ein Whitepaper oder einen Bericht mit "fix it" zu beenden. Es ist besser, gemeinsam mit dem betroffenen Unternehmen darüber nachzudenken, wie es die Schwachstelle kurzfristig abmildern kann, während man über langfristige Lösungen nachdenkt, um das Risiko zu senken."

Schutz für Cyber-Analysten

Im Bereich Cybersicherheit zu arbeiten bedeutet oft, Risiken einzugehen. "Es ist die Natur dieser Arbeit", wie Tokazowski von Cofense es ausdrückt. Einige Sicherheitsexperten wandeln auf einem schmalen Grat zwischen dem Schutz ihrer Familien und der Veröffentlichung von Forschungsergebnissen unter ihrem Namen. Aus diesem Grund können Unternehmen, die terroristische Organisationen verfolgen, beschließen, die Namen der Forscher nicht in die von ihnen veröffentlichten Berichte aufzunehmen.

Sicherheitsforscher versuchen, voneinander zu lernen und ihre Verteidigung ständig zu verbessern. Realistisch gesehen gibt es jedoch nicht viel, was sie tun können, um die Kriminellen zu stellen. "Für Einzelpersonen gibt es kaum Möglichkeiten, außer zu den staatlichen Sicherheitsbehörden zu gehen, um das Verbrechen zu melden", sagt Zabierek von der Harvard Kennedy School. "Es gibt Gruppen wie das Cybercrime Support Network, die darauf ausgerichtet sind, einzelnen Opfern von Cyberkriminalität zu helfen, und es wäre großartig, wenn sie institutionelle Unterstützung erhalten könnten, um ihre Aktivitäten zu skalieren."

Um ihre Mitarbeiter zu schützen, sollten Unternehmen ständig sicherstellen, dass ihre internen Sicherheitspraktiken auf dem neuesten Stand sind. Außerdem sollten sie sich auf Worst-Case-Szenarien vorbereiten und Verfahren für Situationen entwickeln, in denen einer ihrer Mitarbeiter ins Visier genommen wird.

Diese sollten auf mehreren Bedrohungsmodellen basieren und die Arbeit jedes internen Teams berücksichtigen. Hilfreich können auch Checklisten für die Mitarbeiter sein, in denen Sofortmaßnahmen aufgelistet sind sowie Personen, die kontaktiert werden müssen. Natürlich müssen diese Verfahren von Zeit zu Zeit überarbeitet und wann immer möglich getestet werden.

Sicherheitsvorkehrungen treffen

Sicherheitsforscher sind versiert, wenn es um digitale Sicherheit und deren Ausrüstung geht. Einige gehen die extra Meile und vermeiden es, persönliche Informationen online zu teilen. Andere, wie Smith, veröffentlichen nur gefälschte Informationen auf ihren Social-Media-Profilen. "Sie müssen sicherstellen, dass Sie die richtigen Vorkehrungen treffen, um Ihre Familie und Ihr Eigentum zu schützen", mahnt Liska.

Neben der Online-Sicherheit müssen die Analysten auch auf die physische Sicherheit achten. Smith schlägt vor, mehrere Sicherheitsebenen aufzubauen: Zäune, Mauern und starke, von innen verschließbare Türen. "Ich benutze Schlösser, die man nicht aufbrechen kann, und Schlüssel, die schwer zu kopieren sind", sagt er. Zu den Schlössern, die der Geheimdienstanalyst empfiehlt, gehören ASSA Twin, EVVA MCS und Abloy Protec II. "Wenn Ihr Gegner in der Lage ist, diese Schlösser ohne den Schlüssel zu öffnen, dann sind Sie in großen Schwierigkeiten."

Auch die Tür selbst muss solide sein. Sie muss einen stabilen Rahmen ohne Lücken an der Unterseite oder runde Kanten haben, um zu verhindern, dass Gegenstände von dort aus in das Haus geschoben werden können. "Die Scharniere an einer Tür sind ein Schwachpunkt, daher ist es am besten, sie innen anzubringen", fügt Smith hinzu. Der Schlossknacker empfiehlt auch, einen externen Briefkasten anstelle eines Steckplatzes für Post zu verwenden, der in die Tür eingebettet ist, da dies einem Angreifer Zugang zur Rückseite der Tür verschaffen könnte.

Neben einer Mehrfachverriegelung sollten Wohnungen und Büros auch per Video überwacht werden. "Stellen Sie sicher, dass die Kamera verkabelt ist, nicht drahtlos. Denn mithilfe von Deauth-Paketen können böswillige Akteure die WLAN-Verbindung beenden und somit verhindern, dass die Kameras funktionieren", erklärt Smith. "Das Gleiche gilt für Alarmanlagen. Verkabelt, immer. Alarmsensoren müssen ordnungsgemäß installiert werden, da sonst tote Winkel bleiben."

Des Weiteren dürfen die Verkabelung für CCTV und Alarme von außen nicht zugänglich sein, und die Aufzeichnungsbox sollte alles in der Cloud sichern. "Wenn möglich, geben Sie den CCTV-Zugriff an mehr als eine Person, so dass Sie ein Backup haben", sagt Smith. Gute Systeme überprüfen die Kommunikation regelmäßig und geben einen Alarm aus, wenn die Verbindung abbricht.

Ein paar weitere Dinge sind zu beachten, wenn Sie Ihre Wohnung und Ihr Büro bestmöglich sichern wollen:

  • Achten Sie auf die Sicherheitsbeleuchtung, die sensorgesteuert sein sollte.

  • Verwenden Sie ein Postfach, damit Ihre Adresse schwerer zu verfolgen ist.

  • Variieren Sie die Uhrzeiten, wann Sie das Haus verlassen, um Ihre Bewegungen weniger vorhersehbar zu machen.

  • Seien Sie nett zu Ihren Nachbarn, damit sie Sie warnen, wenn jemand Ihr Haus betritt.

Wie weit ein Forscher gehen sollte, um sein Zuhause zu schützen, hängt von seiner Arbeit und dem Risikoniveau ab, mit dem er sich wohl fühlt. "Jeder muss sein eigenes Risiko einschätzen und die entsprechenden Vorkehrungen treffen", fasst Liska zusammen.

Dennoch sollte mehr getan werden, um IT-Sicherheitsprofis zu unterstützen und es ihnen zu ermöglichen, ihre Arbeit sicher fortzusetzen. Zabierek: "Sie müssen darauf vertrauen können, dass die Regierung helfen kann, sie zu schützen oder sich von Bedrohungen zu erholen." (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Andrada Fiscutean ist Technische Journalistin. Sie schreibt für unsere US-Kollegen von CSOonline.com über Hacker, Malware, Frauen in IT und osteuropäische Techologieunternehmen.