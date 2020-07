Interview Immer mehr Hacker greifen Fintech-Unternehmen an – auch in der Ostschweiz: Ein Experte erklärt, wie sich diese schützen Cyberattacken treffen richten sich vermehrt auch gegen sogenannte Fintech-Unternehmen, Firmen, die sich auf Finanztechnologie spezialisiert haben. Mathias Hügli ist Leiter der Cyberabwehr bei Inventx, das auch in St.Gallen eine grosse Niederlassung betreibt. Attacken würden zunehmen, sagt er im Interview. Interview: Stefan Borkert 21.07.2020, 05.00 Uhr

Für Hackerangriffe braucht es sind nicht immer hohe Wissenschaft. Es werden noch immer auch altbekannte Lücken genutzt. Bild: Getty

Cyberkriminelle haben Fintech-Unternehmen ins Visier genommen. Hochprofessionell werden selbst erfahrene IT-Fachleute getäuscht. Eines der Schadprogramme nennt sich Evilnum und treibt, laut dem Cyber-Security-Unternehmen Eset, bereits seit 2018 sein Unwesen. Mit Lockvogelprogrammen werden vertrauliche Informationen gesammelt. Es werden aber auch IT-Informationen wie etwa VPN-Konfigurationen, die zum Beispiel für Homeoffice-Verbindungen gebraucht werden, abgegriffen. Mathias Hügli ist Leiter der Cyberabwehr bei Inventx, ein Fintech, IT-Unternehmen für führende Finanz- und Versicherungsdienstleister, das auch in St.Gallen eine grosse Niederlassung betreibt.

Mussten Sie schon einen solchen Angriff bei Inventx abwehren?

Mathias Hügli: Speziell auf die Gruppierung Evilnum und der Evilnum-Malware nicht.

Und einen Angriff mit anderen Hackerprogrammen?

Wir sind täglich dran, uns und unsere Kunden vor Angreifern und ihren eingesetzten Instrumenten zu verteidigen. Auf Details zu einzelnen Fällen darf ich leider zum Schutz unserer Kunden nicht eingehen.

Wie geht das?

«Cyber Defence» wie wir es nennen, ist unser täglicher Job. Wir betreiben mit der Inventx AG ein «Cyber Resilience Center» mit dem Ziel kriminelle Aktivitäten aufzuspüren und abzuwehren. Die Hacker haben es besonders auf Finanzinformationen abgesehen.

Mussten Sie Kunden, Banken und Finanzunternehmen helfen, Eindringlinge zu beseitigen?

Ja, auch das gehört zum Repertoire der Cyber-Defence-Disziplin. Auf Details zu einzelnen Fällen darf ich leider auch hier aus datenschutzrechtlichen Gründen nicht eingehen.

Gab es Attacken in der Ostschweiz?

In Bezug auf die Gruppierung Evilnum ist mir nichts bekannt. Das ist aber ziemlich schwer zu beurteilen. Die betroffenen Firmen sind nicht dazu verpflichtet, eine Attacke publik zu machen. Grundsätzlich lässt sich sagen, dass Cyberangriffe keine Grenzen kennen, weder regional noch international. Markante und publik gemacht Angriffe sind jedoch an der Tagesordnung und werden meiner Meinung nach stetig zunehmen. Betroffen waren jüngst etwa Stadler, Meier Tobler und das Fintech Unternehmen Crealogix.

Mathias Hügli,

Leiter Cyberabwehr bei der Inventx AG sagt: «Viele Unternehmen investieren erst, wenn sie tatsächlich von einem Hackerangriff

betroffen waren.»

Die Hacker, sagen wir Blackhats, gehen subtil vor indem sie E-Mails mit einem Anhang schicken aus dem sich dann ein Schadprogramm im System einnistet. Wie kann man solche E-Mails abfangen?

Unter anderem braucht es ein fundiertes Set-up an Präventivmassnahmen, sodass solche E-Mails erst gar nicht im Postfach der User landen. Oft sind solche E-Mails jedoch kaum vom «normalen» E-Mail-Verkehr zu unterscheiden, auch technisch nicht. Des Weiteren muss bei den Benutzern ein solides Warnsystem in Bezug auf Gefahren durch E-Mails geschaffen werden. 95 Prozent der eingefangenen Infektionen werden leider immer noch von den Benutzern selbst initiiert. Dies meistens durch Klick auf einen Link in der E-Mail-Nachricht. Es ist jedoch wirklich nicht sehr einfach, ein potenziell schadhaftes E-Mail von einem legitimen zu unterscheiden. Die Cyberkriminellen geben sich hier alle Mühe und sind dementsprechend auch erfolgreich.

Was kann man tun?

Wurde mal auf einen schadhaften Link im E-Mail geklickt, gibt es noch weitere Präventivmassnahmen, welche den Schadcode stoppen können. Zum ersten eine Anti-Virus-Lösung, welche die Ausführung des Schadcodes erkennt und blockiert, dann der Einsatz eines Webproxys, welcher den Internetverkehr nach sicherheitsrelevanten Kriterien filtert. Wurden sämtliche Sicherheitsbarrieren durchbrochen, kommt eine etwas neuere Disziplin zum Zuge. Das nennt sich Incident Detection und Response. Wenn es ein Angreifer geschafft hat sich im System einzunisten, braucht es fundierte Mechanismen zur Erkennung von Angreifern und Anomalien im eigenen Netzwerk.

Haben Sie ein Programm oder Algorithmus, der vor solchen Spähprogrammen schützt?

Wir setzen ein selbst entwickeltes Cyber-Security-Framework ein, mit dem Ziel Angreifer aufzuspüren und von ihrem Ziel abzubringen. Dabei legen wir den Fokus auf die Erkennung von Anomalien und verdächtigem Verhalten im eigenen Netzwerk.

Auch Homeoffice ist betroffen, da Evilnum auch Daten zu VPN-Verbindungen abgreift. Wie gross schätzen Sie die Gefahr wegen der aktuellen Coronalage ein?

Mit der rasanten Ausbreitung des Homeoffice wurde definitiv die Angriffsfläche der Unternehmen ausgedehnt. Nebst der teils fehlenden Infrastruktur mussten auch IT-Betriebsansätze überdacht werden. Einer grösseren Gefahr sind vor allem Unternehmen ausgesetzt, welche auf das Homeoffice nicht oder nicht in diesem Masse vorbereitet waren. Die benötigte Infrastruktur musste quasi über Nacht zur Verfügung gestellt werden. Ob bei der Anpassung das Sicherheitskonzept auch miteinbezogen worden ist, wird sich in Zukunft zeigen.

Wie ist das bei der Inventx?

In unserem Umfeld waren die Anpassungen nicht so markant, da wir unsere Systeme so ausgelegt haben, dass es keine Rolle spielt, ob sich ein Mitarbeiter zu Hause oder im Büro befindet.

Wie viele solcher Art Malware ist aktiv? Manche sagen 200 000?

Zu der genauen Zahl kann ich keine Aussage machen. Täglich werden neue Schadprogramme entwickelt, angepasst oder verschwinden. Es gibt Malware, welche erst Jahrzehnte später oder gar nie erkannt wird. Wir haben hier eine sehr grosse Dunkelziffer. Ich denke, das spielt auch nicht so eine Rolle. Wichtig ist, dass man ein entsprechendes Regelwerk an Präventiv- und Erkennungsmassnahmen parat hat.

Was kann man also tun?

Es ist ein Paradigmenwechsel notwendig und zwar branchenunabhängig. Wir leben in der Cyberabwehr den Grundsatz «assume breach». Wir gehen also von der Hypothese aus, dass wir bereits kompromittiert worden sind. Unternehmen müssen sich heute nicht mehr fragen, ob ihre Systeme infiziert werden, sondern wann. Dieser neue Denkansatz verändert die Sicht, wie wir Informationssicherheit leben.

Das bedeutet?

Weil wir mit dem Ansatz leben, dass sich die Angreifer bereits im internen Netz befinden, genügen herkömmliche präventive Massnahmen allein nicht mehr. Prävention ist und bleibt enorm wichtig. Aber die frühzeitige Erkennung ist ein Muss. Man platziert Erkennungsmassnahmen verteilt über alle Systeme und an neuralgischen Punkten, mit dem Ziel, den Angreifer an mindestens einer Stelle aufzuspüren. Dazu untersucht man unter anderem den gesamten Netzwerkverkehr nach verdächtigen Mustern, Anomalien. Dies mit Hilfe von statistischen Werten, statischen Faktoren und auch mit Einsatz von künstlicher Intelligenz.

Sind die Unternehmen auf den Paradigmenwechsel vorbereitet?

Finanzunternehmen wie zum Beispiel Banken weisen ein solides Sicherheitsdispositiv auf und investieren schon länger in die Erkennung von Cyberangriffen. Zahlreiche Unternehmen sind jedoch noch weit davon entfernt. Viele Unternehmen investieren erst, wenn sie von einem Hackerangriff betroffen waren. Das hat leider oft irreparable Schäden zur Folge, sei es finanziell oder auch in Bezug auf die Reputation.

Entscheidend für die Sicherheit ist, wieviel man als Firma bereit ist, zu investieren. Bild: Sascha Steinbach / EPA

Anscheinend wird mit veralteten Servern gearbeitet, die noch unter XP laufen. Kaum vorstellbar, oder?

Leider sehr gut vorstellbar und auch Praxis. Ich arbeite mittlerweile seit 20 Jahren in der IT und kenne die Problematik. Es spielen dabei mehrere Faktoren eine Rolle. Zum einen besteht eine Abhängigkeit zu den Software-Lieferanten. Weiter steigt die Komplexität in der IT. Die Systeme sind untereinander stark vernetzt und haben damit das Potenzial den Update-Zyklus zu erschweren. Weiter kommt hinzu, dass nicht allen Verantwortlichen bewusst ist, dass sie mit veralteten Systemen grob fahrlässig handeln. Hackerangriffe sind nicht immer «Raketenwissenschaft». Oft werden einfach genau solch veraltete Systeme durch altbekannte Lücken ausgenutzt.

Sind eher kleinere Finanzdienstleister betroffen oder grössere?

Die Grösse eines Finanzdienstleisters ist nicht zwingend massgebender Faktor. Vielmehr spielt es eine Rolle, wie viel man bereit ist, im Bereich Cyber Security zu investieren. Ein adäquates Sicherheitsdispositiv zu unterhalten ist sehr kostspielig und ein «return on investment» schwer zu kalkulieren.