Cyberangriff-Simulation auf Rädern: Training für den Ernstfall

Plötzlich schrillen mehrere Telefone gleichzeitig. Journalisten verlangen ein Statement, an einer Bankfiliale sind die Bankomaten ausgefallen, Bankkunden werden ärgerlich und in einem Lift stecken Personen fest, darunter eine Schwangere. Chaos, Stress. Wo liegen die Prioritäten? Wie begrenzt man den Schaden?

All dies gehört zu einem Szenario, dass Unternehmenskunden von IBM im «Cyber Tactical Operations Center» (CTOC) durchspielen können. CTOC ist gleichzeitig Einsatzzentrale und Simulator in einem schwarz glänzenden Truck, dessen Innenraum sich nach beiden Seiten vergrössern lässt. Tischreihen mit Telefonen und Computern, grosse Bildschirme an zwei Wänden. High-Tech.

Am Dienstag waren es hauptsächlich Medienvertreter, die das Szenario im Truck auf dem Parkplatz von IBM in Rüschlikon ZH zumindest in Teilen durchspielten. Sie schlüpften in die Rolle von Mitarbeitenden einer global agierenden Bank, die gehackt wurde. Die Bestandteile des Szenarios beruhen auf tatsächlichen Cyberattacken aus der Vergangenheit, was das Training sehr realistisch macht, wie das CTOC-Team betont.

Notfallplan im Simulator testen

Die Simulation soll Unternehmenskunden, die das Training buchen, die Möglichkeit geben, ihren Notfallplan für den Ernstfall durchzuspielen und Lücken darin zu erkennen. Auf vieles könne man sich sehr gut vorbereiten, so das CTOC-Team. Die Schritte des Notfallplans sollten bestenfalls ins «Muskelgedächtnis» übergehen. Daneben existieren weitere Simulations-Szenarien, in denen Teilnehmenden beispielsweise auch in die Rolle des Hackers schlüpfen können.

Im Zuge des Bank-Szenarios taucht auch ein Trick auf, der schon zu den Klassikern der Cyberkriminalität zählt und immer noch sehr wirkungsvoll ist. Gefälschte E-Mails, die von einem Absender aus dem eigenen Unternehmen zu stammen scheinen und mit Dringlichkeit zu einer Überweisung oder zur Bestätigung eines Passworts auffordern.

Solche «Phishing»-Mails sind raffiniert geworden und so fallen viele darauf herein. Denn oft nehmen sich Hacker Zeit, die Kommunikation und die Agenda ihrer Opfer über lange Zeit auszuspionieren, bevor sie zu einem passenden Zeitpunkt ein gefälschtes E-Mail platzieren. Solche gefälschten Unternehmens-E-Mails machten 45 Prozent der Phishing-Attacken aus, die IBM im Jahr 2018 beobachtet hat, wie dem kürzlich veröffentlichten IBM X-Force Bericht zu entnehmen ist.

Weniger Erpressung, mehr Kryptojacking

Neben diesem Klassiker verschiebt sich die Bedrohungslandschaft demnach jedoch laufend. War vor einigen Jahren noch «Ransomware» (Erpresser-Software) noch ein lukratives Geschäft für Hacker, ist diese Strategie offenbar schon wieder passé: Unternehmen haben sich inzwischen gewappnet und zahlen kein Lösegeld mehr, wenn ein Virus ihre Daten verschlüsselt hat und ein Cyberkrimineller für die Entschlüsselung grosse Summen fordert. Sie greifen einfach auf Backups zurück. So gingen die Angriffe mit Ransomware laut dem Bericht deutlich zurück.

Angreifer setzten hingegen mehr auf das sogenannte «Kryptojacking»: Sie kaperten Rechenleistung von Unternehmen und Privatpersonen, um Kryptowährungen wie Bitcoin zu «minen» und sich auf diese Weise zu bereichern. Mit dem Wertverlust von Bitcoin und Konsorten könnte jedoch auch diese Strategie bald wieder abgelöst werden.

Die sich ständig ändernde Bedrohungslage erzeugt eine hohe Nachfrage nach Dienstleistungen im Bereich Cybersicherheit, hiess es seitens IBM. Der 23 Tonnen CTOC-Truck sei Teil der Strategie des Unternehmens, auf diese Nachfrage zu reagieren.

Öffentliches Bewusstsein schärfen

Bis jetzt ist der Truck der einzige seiner Art. Er soll dabei nicht nur Trainingsarena sein, sondern auch Unterstützung bieten, wenn temporär mehr Cybersicherheit nötig ist. Beispielsweise bei grossen Sportevents wie einer WM oder Olympiade. Hacker könnten dabei beispielsweise die Liveübertragung zusammenbrechen lassen und so Reputations- und finanziellen Schaden verursachen.

Ein drittes Ziel, das IBM mit dem Truck verfolgt, ist das öffentliche Bewusstsein für Cybersicherheit zu schärfen und insbesondere auch den Nachwuchs für Berufe in diesem Bereich zu begeistern. Bei einer seiner vorherigen Stationen auf seiner Europa-Tour machte CTOC auch bei einer Schule in Amsterdam Halt. Für die Schweiz gebe es allerdings bisher noch keine konkreten Pläne für Einsätze an Schulen, hiess es auf Anfrage der Nachrichtenagentur Keystone-SDA.