#9 Cyber Threat Intelligence – Snake Oil oder nicht?

Was ist Cyber Threat Intelligence? Nur Marketing-Buzz oder sinnvoll? Spätestens seit dem Angriffskrieg Russlands auf die Ukraine spielt Cyber Threat Intelligence Sharing im Cyber-Konflikt eine zentrale Rolle und viele Staaten bauen gerade Kapazitäten auf, um damit umzugehen. Zeit also, das mal genauer anzusehen. Zusammen mit Matthias von Percepticon gehen wir Fragen rund um Cyber Threat Intelligence nach. Was ist das? Wo kommt das her? Wer braucht das? Ist das Schlangenöl? Wir schauen uns verschiedene Threat Intelligence Produkttypen an und reden über einige bemerkenswerte Reports wie APT1 und GhostNet. Zudem geht es um Threat Intelligence Konzepte wie die Cyber Kill Chain und das MITRE ATT&CK Framework. Am Ende diskutieren wir noch die Frage, wie relevant das Thema für Deutschland ist, insbesondere beim Thema Ransomware und Kommunen. Kurzum, eine gute Sache!

Transkript anzeigen…

Armchair Investigators – ein Dialog über Malware, Cybercrime und Cyberspionage. Mit Lars Wallenborn und Christian Dietrich.

00:00:20 Christian Dietrich: Hallo, liebe Cyber Freunde. Mein Name ist Chris, und ich bin Professor für Cybersicherheit an der westfälischen Hochschule. 

00:00:28 Lars Wallenborn: Und hallo, ich bin Lars. Ich arbeite als Softwareentwickler und Reverse Engineer bei Crowdstrike.

0:00:34 Christian Dietrich: Wir sitzen hier heute zusammen mit Matthias, und Matthias, du machst ja auch einen eigenen Podcast.

00:00:39 Matthias Schulze: Ja, hallo, danke für die Einladung. Mein Name ist Matthias Schulze, ich betreibe den percepticon.de Podcast. Ein Blog-Podcast über die dunkle Seite der Digitalisierung. Also Spionage, Hacker, Sabotage, Desinformation, Cyberkonflikte und allerlei mehr. Vielen Dank für die Einladung. Das ist heute eine kollaborative Folge zwischen diesen beiden Podcasts. Wir dachten, wir tun unsere Köpfe zusammen und machen ein super Thema: Nämlich Cyber Threat Intelligence.

00:01:05 Christian Dietrich: Ja, das Thema Cyber Threat Intelligence befindet sich halt ganz schön so in dem Schnittbereich zwischen Informatik und Politik, beziehungsweise Sozialwissenschaften. Jetzt sind wir hier drei Leute versammelt, die eben genau aus verschiedenen Bereichen hier kommen. Nämlich einmal eher aus dem eher Technik-orientierten, informatischen Bereich, und zum anderen mit dir Matthias, jemand, der Spezialist aus den Sozialwissenschaften ist, wenn ich das so richtig wiedergegeben habe.

00:01:30 Matthias Schulze: Das Beste aus allen Welten und gewissermaßen auch noch die perfekte Trias aus Privatwirtschaft und öffentlichem Sektor, wenn man das so nennen will, oder?

00:01:39 Lars Wallenborn: Genau. Also, ich habe mich jetzt hier anscheinend mit zwei Akademikern in so einen Zoomcall gesetzt, und wir besprechen das jetzt so rein theoretisch. Und dadurch … ich hoffe halt, dass ich dann irgendwie so eine Hands-on Perspektive auf die Sache irgendwie liefern kann. Aber diese ganzen verschiedenen Modelle, die ihr schon in dieses Google Doc geschrieben habt, die sind mir teilweise nicht bekannt. Das sage ich direkt mal vorne weg.

00:01:58 Christian Dietrich: Vielleicht versuchen wir kurz mal zu beleuchten, warum macht es Sinn, sich jetzt mit Cyber Threat Intelligence zu beschäftigen?

00:02:05 Matthias Schulze: Ja, wir haben ja im Prinzip … seit dem Ukraine Krieg spielen Cyber Operationen ja eine gewisse Rolle. Also es wird zumindest viel drüber gesprochen. Und wenn man so schaut, was ist so die die Lehre aus diesem digitalen Konflikt, ist man ganz schnell dabei zu sagen: Okay, wir müssen Threat Intelligence Sharing machen unter den NATO-Staaten, mit der Ukraine zusammen. Wir müssen also irgendwie Informationen austauschen. Und was das eigentlich ist und was es damit auf sich hat und wie das funktioniert, das war im Prinzip die Frage, oder ist die Frage, mit der wir uns heute beschäftigen wollen.

00:02:38 Lars Wallenborn: Und wenn ich dazu irgendwie so gefragt werde, irgendwie so auf Konferenzen, was ist überhaupt Cyber Threat Intelligence und so, oder wenn ich mich irgendwie dazu hinreißen lasse und versuche, das zu definieren, dann steige ich gerne damit ein zu sagen, das ist nur ein Marketingbegriff. Also das entwaffnet das Gegenüber dann meistens schon mal sehr. Weil es das auf jeden Fall auch ist. Also ich denke mal, in den letzten – weiß ich nicht – eigentlich zehn Jahren, aber mindestens fünf oder so, haben sich viele Cyber Unternehmen das auch mit auf die Fahne geschrieben, dass sie jetzt Cyber Threat Intelligence machen und so. Und ja, das ist halt so, wie irgendwann mal wieder so ein neuer Marketingbegriff kommt. Wie – weiß ich nicht, Endpoint Protection, oder Advanced Incident Response oder was auch immer – ist halt irgendwann Cyber Threat Intelligence auch so ein Begriff gewesen. Also, das ist halt quasi die provokante These, mit der wir starten könnten.

00:03:23 Matthias Schulze: Ja, ich habe das auch in einem Artikel gelesen, so von wegen, die Cyber Sicherheitsindustrie ist voller Schlangenöl, Snake Oil. Und jetzt ist also die Frage, ist Cyber Threat Intelligence auch nur Schlangenöl oder der neueste Marketing Trick, den man jetzt unbedingt verkaufen oder haben muss? Oder ist vielleicht wirklich was dahinter? Vielleicht ist es für den Anfang aber erst mal sinnvoll – bevor wir über die Frage diskutieren, ob das Schlangenöl ist – mal kurz zu erklären, was das ist. Chris, magst du da vielleicht einsteigen?

00:03:48 Christian Dietrich: Ja, ich würde Cyber Threat Intelligence als Wissen über die Bedrohungs-Landschaft, insbesondere so in dieser Cyber Domäne, also maßgeblich vielleicht Internet, bezeichnen, aber auch Wissen über konkrete Angriffe und konkrete Akteure. Was meint ihr dazu?

00:04:05 Lars Wallenborn: Ja, also Wissen, finde ich, trifft es ganz gut. Ich würde vielleicht sogar ein Schritt weitergehen und sagen, es ist ein Wissensvorsprung. Also, wenn man so sagt, ich konsumiere irgendwie Cyber Threat Intelligence, was bringt mir das überhaupt? Man versucht dann halt einfach Sachen zu lesen über die Angreifer, und was die so machen und wie die das so machen, und idealerweise auch, was man dagegen tun kann, wenn man sich dagegen wehren möchte.

00:04:26 Matthias Schulze: Ich habe in der Vorbereitung so ein bisschen recherchiert und mir natürlich auch die ganzen Anbieter angeschaut, und bin da auf eine Definition von der Firma Dragos gekommen. Und die haben so schön geschrieben: Threat Intelligence ist Wissen – das habt ihr auch schon gesagt – und ein analytischer Prozess, der hypothesengeleitet und evidenzbasiert sozusagen Analyse von verschiedenen Datenquellen macht, um Erkenntnisse über schadhafte Akteure und den Gegner sozusagen zu bekommen. Um eben einen Vorsprung zu haben oder ihm ein bisschen voraus zu sein. Um sozusagen die Angreifer-Verteidiger-Dynamik ein bisschen umzudrehen. Weil normalerweise sagt man immer, die Angreifer haben viele Vorteile. Und Cyber Threat Intelligence versucht, die Verteidigungsseite zu befähigen, um Angriffe ein bisschen vorweg zu nehmen.

00:05:11 Lars Wallenborn: Ich könnte nicht mehr zustimmen. Sehr saubere Definition, finde ich.

00:05:16 Christian Dietrich: Ich glaube, um das mal so ein bisschen plastisch zu machen, das heißt, wenn man als Verteidiger für eine bestimmte Organisation tätig ist – was weiß ich,  nehmen wir da vielleicht jemanden im Finanzsektor – dann geht es halt um Wissen über konkrete Angriffe, vielleicht Angriffstechniken, vielleicht eben auch konkrete Akteure, die gerade diese Angriffstechniken einsetzen, um gegen bestimmte Ziele – zum Beispiel im Finanzsektor –  vorzugehen. Und dann wird es vielleicht ein bisschen plastischer, warum das für einen Verteidiger Sinn macht, so ein Wissen zu konsumieren. Weil man dann eben vielleicht an bestimmten Stellen mit Angriffen rechnet oder vielleicht bestimmte Datenquellen eher mal konsultiert.

00:05:57 Lars Wallenborn: Ich würde das vielleicht sogar noch ein bisschen, noch krass viel plastischer machen. Also weil ich fand das sehr gut, was du gesagt hast, weil das so allgemein ist, und ich glaube, in der Allgemeinheit stimmt es auch. Aber einige Leute denken halt: Na ja, das heißt ja eigentlich nur eine Liste von bösen Domains und bösen IP-Adressen. Und das gehört vielleicht auch dazu. Ich würde aber sagen, das ist ein relativ kleiner Teil. Aber wie auch immer, ich meine, das macht es noch plastischer. Also wenn ich von jemanden gesagt bekomme, das hier sind Adressen, IP-Adressen im Internet, die werden als Server benutzt von Angreifern, von Hackern und so, dann könnte ich ja als Verteidiger einfach hingehen und dafür sorgen, dass überhaupt kein Netzwerk Traffic mehr aus meinem Netzwerk zu diesen IP-Adressen hingeht. Und dann ist quasi der Angreifer nicht mehr in der Lage, mit seinen Servern zu kommunizieren. Das ist jetzt sehr plastisch und sehr stark vereinfacht. Aber das ist so, ich denke mal, wo es herkommt und wie es auch vermutlich angefangen hat. Aber ich glaube, inzwischen ist es echt schon sehr viel weiter und sehr viel allgemeiner. Sowie ihr das gerade auch hier irgendwie umrissen habt.

00:06:54 Matthias Schulze: Na ja klar, diese ganzen IoCs, Indicator of Compromises, IP-Adressen und so weiter, die spielen eine Rolle. Da werden wir sicherlich gleich auch nochmal darauf eingehen. Ich fand es ganz hilfreich, so darüber nachzudenken, dass Cyber Threat Intelligence drei Elemente hat. Das eine ist, ich versuche die Bedrohung zu beschreiben. Also: Was, wer, von wo, wann, wie und warum bin ich bedroht? Dann, die zweite Ebene ist, was passiert, wenn sich diese Bedrohung realisiert, also was mache ich dann? Und dann das dritte Element, was ja auch für die Verteidigung relevant ist: Was kann ich denn tun, um mich gegen diese konkrete Bedrohungen jetzt zu schützen? Also der Sinn der Übung ist ja nicht nur, dass wir was wissen über Angreifer, und die Kampagnen die diese Angreifer machen, sondern tatsächlich auch in die Praxis kommen. Was kann ich tun, um mich auf diesen Angriffsvolley oder was auch immer da jetzt kommen mag, gegebenenfalls einzustellen. Und insofern hat es natürlich auch eine rein praktische Dimension, das Thema.

00:07:45 Lars Wallenborn: Also auch die schwere Entscheidung zu treffen, gegen welche Angriffe möchte ich mich nicht notwendigerweise verteidigen. Vielleicht ist es mir als Bank einfach egal, wenn meine Mitarbeiter irgendwelche Werbe-Browser Toolbars installieren, weil das vielleicht jetzt keinen Schaden verursacht. Aber es ist mir als Bank nicht egal, wenn das Swift-Terminal kompromittiert wird und Überweisungen getätigt werden und solche Sachen. Also auch diese schwere Entscheidung zu treffen: Na ja, das sind jetzt Bedrohungen, die bedrohen mein Unternehmen, aber gegen die wehre ich mich nicht, weil meine Prioritäten woanders liegen. Um überhaupt in der Lage zu sein, solche Entscheidung zu treffen, muss man glaube ich, eine Menge von der Bedrohungslandschaft insgesamt schon verstanden haben.

00:08:20 Matthias Schulze: Da hast du auch gerade noch, Lars, eine gute Einschränkung gemacht. Weil Threat Intelligence soll ja auch ein bisschen dabei helfen, von der Vielzahl der Bedrohungen, die es da draußen gibt, die auszuwählen, die für mich, für meine Organisation, für mein Unternehmen, für meinen Sektor, in dem ich tätig bin, besonders relevant sind. Weil wir leben ja in der IT-Sicherheit in Zeiten von begrenzten Ressourcen. Das heißt, es gibt immer nur begrenzte Ressourcen, das ändert sich eigentlich nicht. Und man kann sich nicht gegen alles gleichermaßen verteidigen. Insofern hilft Threat Intelligence, so die Theorie, zumindest für die Verteidiger, sich zu spezialisieren und eben auch bestimmte Bedrohungen, die nicht akut sind, die nicht kritisch sind, erst mal am Rand liegen zu lassen, um sich auf das zu konzentrieren, was wirklich ein Problem ist.

00:09:02 Christian Dietrich: Also man könnte zusammenfassen: Es geht hier um gesammelte, verarbeitete, analysierte Daten, die nicht nur einzelne Incidence beschreiben, sondern versuchen, auch so ein bisschen wieder quasi auszuzoomen, trotzdem aber einzelne Akteure irgendwie im Blick zu haben oder eben zu attributieren. Es geht nicht unbedingt um Incidence, die irgendwie so in der Luft hängen, sondern es geht darum, dass man die zuordnen kann zu Akteuren. Und dann sprechen wir eigentlich von Intelligence. Nämlich die Muster mit einem bestimmten Abstraktionsgrad, aber trotzdem noch für Anwender, für Entscheider irgendwie konkretisierbar auf ihre Verteidigungssituation.

00:09:39 Matthias Schulze: Genau. Und Intelligence beschreibt ja in gewisser Weise auch die Handlungsnotwendigkeiten, die in Informationen drin sind. Also, es gibt diesen schönen Trias zwischen Daten, Information und Intelligence. Das kommt, glaube ich, tatsächlich auch von der CIA oder von irgendjemand, der da früh drüber nachgedacht hat. Daten sind die reinen Fakten und Statistiken, die haben nicht notwendigerweise eine intrinsische Bedeutung. Zum Beispiel eine IP Adresse, eine URL, ein Hashwert et cetera pp. Das Faktum allein, das Datenstück, sagt mir noch nicht viel. Information wird das Ganze, wenn ich verschiedene Datenpunkte zusammenfüge, um zum Beispiel eine bestimmte Frage zu beantworten. Also wenn ich Daten sammle, um eine Frage zu beantworten, dann kriege ich da Informationen raus. Zum Beispiel: Wird meine Organisation in Darknet Foren diskutiert? Und dann habe ich diese individuellen Datenpunkte – Leute reden über mich in Darknet Foren – und kann eventuell daraus die Frage beantworten: Kommt da vielleicht eine Gefahr aus der Untergrund-Ökonomie auf mich zu? Und Intelligence wird das Ganze dann, wenn ich Muster in diesen Informationen und in diesen Daten entdecke, und wenn ich das Ganze noch mit Kontext anreichere, um Entscheidungen treffen zu können. Also das Ziel von Intelligence ist ja tatsächlich, Entscheidungen zu motivieren und zu treffen, und Informationen nutzbar zu machen für eine Zielgruppe. Damit man eben tatsächlich damit was tun kann und nicht nur nett über die Welt Bescheid weiß. Das interessiert uns als Wissenschaftlerinnen und Wissenschaftler natürlich. Aber wenn man tatsächlich abwehren muss, dann reicht bloßes Wissen nicht, dann muss man auch was machen.

00:11:07 Lars Wallenborn: Ich würde vielleicht sogar noch einen Schritt weitergehen, dass ich zu Intelligence auch eine Bewertung in gewisser Weise dazu zählen würde. Also vielleicht hast du das gerade schon mit gesagt, aber vielleicht nicht so explizit. Aber wenn ich quasi nur Incidence … selbst wenn ich Incidence aufliste und dann die auch kontextualisiere und alles mögliche, dass ich dann aber auch darüber so Aussagen tätige, die über die reinen Fakten hinausgehen. Weil sie zum Beispiel – weiß ich nicht – mit in Betracht ziehen, was im letzten Fünf-Jahresplan von China stand. Und dann eventuell auch Aussagen über die Zukunft sind, die ja niemals sicher sein können. Also man kann immer nur sagen, ich glaube, das wird passieren. Ich meine, in der Non Cyber Threat Intelligence haben auch ganz viele Leute lange nicht gesagt, dass Russland in der Ukraine einmarschieren wird, und dann ist es einfach passiert. Und zu dieser Cyber Threat Intelligence gehören meiner Meinung nach auch in gewisser Weise Vorhersagen über Dinge, die passieren werden. Oder die man vielleicht nicht weiß, aber über die man dann trotzdem eine Aussage tätigen möchte, um all die Ziele zu erreichen, die wir gerade besprochen haben, um Leute in die Lage zu versetzen, sich besser zu verteidigen.

00:12:13 Matthias Schulze: Ja, ich würde dem zustimmen. Du hast Recht, dass ich da implizit schon sozusagen reingelegt habe, dass das eine – wie sagt man? – vorgeprägte, gebiasede, subjektive Geschichte ist. Weil Bedrohungen unterscheiden sich ja bisweilen zwischen verschiedenen Organisationen. Wenn ich die NSA bin, habe ich ein anderes Bedrohungsprofil, eine andere Risikoanalyse, als wenn ich ein Schuster in Unterfranken bin, ein kleiner mittelständischer Betrieb oder so. Das heißt, für diese unterschiedlichen Zielgruppen, Organisationen, brauche ich unterschiedliche Arten von Intelligence. Und viel hängt davon ab, was ich sozusagen brauche. Wir wollten jetzt nicht dezidiert drüber sprechen, aber es gibt ja in der Literatur den sogenannten Intelligence Cycle. Das ist so eine Heuristik, um zu verstehen, wie ich Informationen sammle. Und da steht ganz am Anfang immer die Frage: Was sind eigentlich meine Requirements? Was sind meine Anforderungen, nach denen ich Informationen sammle? Also das ist eine ganz individuelle Sache für eine Organisation, welche Anforderungen sie da hat. Und das kann sich sehr unterscheiden zwischen verschiedenen Akteuren, zwischen Staaten, zwischen großen Firmen, zwischen kleinen Firmen und so weiter und so fort.

00:13:18 Lars Wallenborn: Jetzt hast du natürlich auch schon ein ganz spannendes Thema angesprochen. Weil rein faktisch wird der Schuster in Unterfranken ja ganz schwer nur an gute Cyber Threat Intelligence rankommen. Also, ich weiß nicht, was sein Jahresbudget für Cyber Threat Intelligence vorgesehen hat, aber diese ganzen Unternehmen lassen sich das ja auch noch in Gold bezahlen, was sie da irgendwie so rauspumpen an Wissen.

00:13:41 Christian Dietrich: Ja, da muss man natürlich vielleicht unterscheiden. Also vielleicht beleuchten wir mal, wer macht eigentlich Cyber Threat Intelligence? Und ich glaube, vielleicht hast da jetzt primär so an den kommerziellen Sektor gedacht, Lars. Aber es gibt natürlich auch … also Nachrichtendienste machen ja auch Cyber Threat Intelligence, ganz, ganz massiv und vermutlich auch mindestens genauso lange, vermutlich deutlich länger, als das so im kommerziellen Bereich …

00:14:03 Lars Wallenborn: Und auf die hat der Schuster ja ganz einfachen Zugriff – auf die Nachrichtendienste.

00:14:07 Christian Dietrich: Na ja, aber es gibt ja durchaus Fälle, in denen aus Nachrichtendiensten heraus in bestimmten seltenen Fällen … ja gut okay, vielleicht keine Schuster gewarnt werden oder auf Dinge hingewiesen werden, aber in anderen Kontexten, gerade so im behördlichen Bereich, gibt es das ja schon. Die Frage ist nur – das können wir mal diskutieren – also ist das angemessen, ist das ein gesellschaftliches Verständnis davon, wie Cyber Threat Intelligence vielleicht passieren sollte?

00:14:33 Matthias Schulze: Na ja, aber die Frage, die ja da implizit dahinter steckt, ist die Frage: Wer braucht das? Also für wen ist das sinnvoll? Und das Beispiel des Schusters, was ich jetzt einfach so aus der Luft gegriffen habe, ist wahrscheinlich schon ein Hint darauf, dass ein Schusterunternehmen – unterstelle ich jetzt mal, ich will jetzt keinem zu nahe treten, der oder die Schuster, Schusterin ist – das wahrscheinlich nicht so akut braucht, wie ein großes Unternehmen, was, weiß ich nicht, 50.000 Mitarbeiter:innen hat, und einen gewissen Marktwert und geistiges Eigentum, und Personaldaten und Bankdaten und so weiter betreut. Für die ist die Bedrohungslage und das Risiko, dass was passiert bei einem Cyber Incidence, und Daten zum Beispiel geleakt werden, verschlüsselt werden, et cetera, viel erheblicher als für einen Handwerkerbetrieb in Deutschland. Insofern müssen wir, glaube ich, schon drüber sprechen was sind die verschiedenen Zielgruppen von diesem Bereich?

00:15:21 Christian Dietrich: Cyber Threat Intelligence macht dann Sinn genutzt zu werden, wenn man es eben auch umsetzen kann in einer Organisation, in einer Institution oder in einem Unternehmen. Also man spricht da ja auch einem gewissen Reifegrad, also Maturity auf englisch. Das heißt zum Beispiel, ich brauche eben jemanden, der solche Threat Intelligence Reports lesen kann. Ich brauche vielleicht jemanden, der auch Actionable Intelligence anwenden kann, also zum Beispiel eben so was wie Signaturen oder Indicator Feeds. Und ich brauche vermutlich etwas mehr als das, was die reine IT Abteilung im operativen Betrieb stemmt. Ich brauche vielleicht so was wie ein Security Operations Center. Das heißt, eine dedizierte Abteilung, die sich nur, oder primär um Sicherheitsfragen in der IT oder mit IT Bezug kümmern. Insbesondere wenn man so was hat, dann kann man sich sinnvoll, glaube ich, der Frage widmen: Wie wende ich Cyber Threat Intelligence in meiner Organisation an.

00:16:24 Lars Wallenborn: Vielleicht ist das auch einer der Gründe, warum das so einen schlechten Ruf hat. Dass das irgendwie Leuten verkauft wird, die das überhaupt nicht operationalisieren können. Also ich meine, nehmen wir mal an, man kriegt so ein Indicator Feed mit bösen, in Anführungszeichen, bösen Domains und IP’s. Und wenn ich zum Beispiel noch nicht mal die Netzwerk Infrastruktur in meinem Unternehmen habe, um danach zu filtern, dann kann ich damit schon nix anfangen. Und ich sage mal, Indicator und Domains sind schon das am einfachsten zu verarbeitende, also die am einfachsten zu verarbeiten Datenpunkte, die man erhält. Darüber sind halt noch abstraktere Dinge, wie – wie wir ja gerade schon besprochen haben – Beschreibungen von Incidence, Beschreibungen von ganzen Kampagnen oder ganzen Akteuren und so. Und das muss –  also eventuell ist das in natürlicher Sprache geschrieben, auf Englisch oder Deutsch oder so – und das muss dann auch jemand lesen. Und der oder die muss dann auch verstehen, was damit gemeint ist und so was alles. Und das braucht halt alles immens viel Zeit und damit auch Ressourcen. Und das haben, glaube ich, auch einfach viele nicht. Und vielleicht kommt der schlechte Ruf daher mit dem Schlangenöl und so, dass das einfach Leuten verkauft wurde, die eigentlich nur eine Liste von Domains in ihre Parameter Defence irgendwie reinstecken wollen, und dann kriegen sie da irgendwie diese ganzen Texte, die sie überhaupt nicht verstehen oder auch nur lesen können, weil es zu viel ist.

00:17:38 Matthias Schulze: Ich glaube, das ist eine ganz gute Annahme darüber, warum das bisweilen einen schlechten Ruf hat. Was auch in der Recherche dazu aufgetaucht ist, ist der Punkt, dass viel nicht automatisch gut ist. Also, wenn ich jetzt, nehmen wir mal an, zehn Data Feeds einspeise, dann kriege ich x-tausend Alerts pro Stunde oder pro Minute. Und das überfordert natürlich meine Abteilung, die sich mit um diese Alerts kümmern muss, massiv und gewaltig. Das heißt, es muss eine gewisse Passung dieses Tools, dieser Methodologie zu einer Organisation, zu einer IT Sicherheitseinheit, gewissermaßen zu einem Security Operations Center, wenn man denn eins hat, geben. Anderenfalls ist es wahrscheinlich vergebene Liebesmühe. Und ich brauche natürlich auch eine gewisse technische Infrastruktur, um auch diese Feeds verarbeiten zu können. Und ich brauche wahrscheinlich eine Art Security Incident Event Management System, in irgendeiner Art Intrusion Detection Prevention Lösung. Das wird einem natürlich auch alles verkauft, gerne auch im Bundle mit All Inclusiv Lösungen. Da ist sicherlich auch ein Teil der Kritik drin, dass das Schlangenöl ist. Weil muss es immer das große Bundle sein, mit Shiny Flash Bang Glitzer Etiketten oben drauf? Oder tun es nicht manchmal auch Open Source Lösungen, die es vielleicht auch gibt in diesem Bereich? Das ist sicherlich auch noch ein Teil der Erklärung, warum das Image manchmal als schlecht dargestellt wird. Wobei ich auch gar nicht sicher bin, ob das so ein schlechtes Image hat. Das wisst ihr vielleicht auch besser als ich.

00:18:56 Lars Wallenborn: Kommt, glaube ich, drauf an, wo man so ist. Also ich habe mal auf einer Open Source Konferenz gesprochen, da war das Image auf jeden Fall eher schlecht. Das ist auf jeden Fall ein Nebenschauplatz, und da sollten wir uns, glaube ich, nicht verlieren. Ich möchte aber das Hühnchen trotzdem gerade noch rupfen. Ich hab auch so einen Softwareentwicklungs-Hintergrund, und manchmal rede ich natürlich auch noch mit den Leuten, mit denen ich früher da  zusammengearbeitet habe. Und die haben, was zum Beispiel so Open Source Tooling angeht, so ganz andere Ansprüche, als man irgendwie so in der technischen Analyse hat. In der technischen Analyse, in der Cyber Threat Intelligence, releasen die Leute immer so Tools und so, und da geht es dann, glaube ich, mehr so darum, dass man die released hat, und gar nicht mehr so darum, dass man die dann noch langfristig maintained und so. Das will ich jetzt gar nicht über, weiß ich nicht, solche Tools wie Snort sagen oder so, weil da ist eine Community hinter, und das sind richtige Open Source Communities, die dahinter stehen. Aber diese kleinen Tools, die so von Individuen releast werden, das ist meistens also sehr, sehr schlecht maintained. Und ja, also da gibt’s irgendwie Open Source und Open Source. Wollte ich nur, wie gesagt, dieses Hühnchen wollte ich ganz kurz mal rupfen. Auch wenn das nichts mit irgendwas anderem, was wir hier diskutieren, zu tun hat. Also können wir gerne zurück zurück zum Thema kommen.

00:20:01 Christian Dietrich: Ich würde gerne noch mal zwei Punkte aufgreifen. Also der erste Punkt, der mir so ein bisschen nachhängt, wenn wir uns Gedanken darüber machen, wer braucht eigentlich Threat Intelligence, dann fällt mir das an folgender Stelle nochmal irgendwie auf. Denn wenn wir abgleichen damit, welche Organisationen so in jüngerer Zeit Opfer worden sind von Cyber Angriffen, dann sind das durchaus auch Organisationen, wo nicht ganz klar ist, warum werden die auf die Art und Weise angegriffen? Was ich meine? Wir sehen, dass Stadtverwaltungen angegriffen werden, wir sehen, dass Unis angegriffen werden, Hochschulen angegriffen werden. Wir sehen, dass Uni Kliniken angegriffen werden, und wir sehen, dass KMU’s angegriffen werden. So. Letzteres kann ich vielleicht so ein bisschen noch verstehen. Wenn wir uns im Kontext von Ransomware Angriffen befinden, dann kann ich da eine gewisse finanzielle Motivation vielleicht irgendwie noch verstehen. Aber gerade so für den Bereich der Stadtverwaltungen und Hochschulen sehe ich das eigentlich nicht mehr unbedingt. Und das heißt – für mich drängt sich da massiv die Frage nach Threat Intelligence auf – also quasi, wie können wir solche Organisationen schützen? Und spielt Cyber Threat Intelligence da nicht irgendwie doch auch eine Rolle? Natürlich ist mir klar, dass die meisten dieser Organisationen eben genau nicht diese Infrastruktur haben, die ich vorhin erwähnt habe. Also da gibt es eben keine SOC’s, also keine Security Operation Center, da gibt es kein IT Security Team. Da gibt es manchmal wirklich noch nicht mal eine Person, die irgendwie IT Sicherheit macht.

00:21:27 Lars Wallenborn: Ja. Da gibt es den Hausmeister, und der macht jetzt auch die IT.

00:21:31 Matthias Schulze: IT Sicherheitsbeauftragten, also Hausmeister.

00:21:34 Christian Dietrich: Die werden gerade eingeführt, und trotzdem touchiert das natürlich Bereiche unseres gesellschaftlichen Lebens, wo wir eigentlich nicht damit einverstanden sein können, dass die einfach so irgendwie kompromittiert werden. Das heißt, wir könnten uns da schon auch die Frage stellen: Kann man in dem Kontext sinnvoll Cyber Threat Intelligence machen? Wie sieht es aus, und wie würde das dann eben operationalisiert?

00:21:56 Matthias Schulze: Das ist jetzt natürlich eine schwierige Frage, wenn man so aus einer …  ich versuche jetzt mal die Sozialwissenschaftler Brille hochzuhalten, die du vorhin am Anfang angepriesen hast. Ich meine, insbesondere Stadtverwaltungen sind, glaube ich, ein ganz gutes Beispiel. Weil die zwar für sich rechtlich individuelle Akteure sind, also Stadtverwaltung Berlin oder wegen mir sogar die Bezirke in Berlin, die haben ja zum Teil noch eigene … sind juristisch betrachtet eigene Entitäten. Das heißt, sie haben eigene Rechtsvorschriften, denen sie folgen müssen, und so weiter. Aber für einen Angreifer ist es, glaube ich, wurscht, über welche Stadtverwaltung wir sprechen. Das heißt, so von außen betrachtet sind sie Like Minded Units, wie man das in der internationalen Beziehungstheorieschule sagt. Also sie sind Akteure, die in einer ähnlichen Bedrohungslandschaft sind, und dadurch eine gewisse Ähnlichkeit haben. Das heißt, um die zu schützen, müssten die sich entweder zusammentun und irgendwie gemeinsam eine Lösung entwickeln. Oder es muss jemand für sie machen. Und da würde dann in der bundesdeutschen, vom Föderalismus geplagten Logik wahrscheinlich dann das BSI am Ende stehen. Was wahrscheinlich aber gar nicht das darf, weil die Städte und so weiter eben autonome juristische Konstrukte sind. Und die Bundesländer sowieso nochmal. Und das ist, glaube ich, dann also einerseits eine juristische, rechtliche Frage: Wer hat da welche Befugnisse und darf was machen? Und dann andererseits ist es natürlich auch eine Marktfrage oder eine privatwirtschaftliche Frage dahingehend, nämlich wie entwickelt man eigentlich Lösungen für einen Bereich, wo ich nicht so zahlkräftige Kunden habe – ich meine, die Stadtverwaltungen haben auch nicht super viel Geld – und auch vielleicht gar nicht so viele Abnehmer habe. Aber das ist ja so dieses klassische Thema: Wie kriege ich ein Geschäftsmodell zum Beispiel auf Dörfer, wo ich einfach nicht so viele Leute habe, die da wohnen, die zum Beispiel Elektroscooter fahren könnten, aber genauso Mobilitätsprobleme haben wie Leute in Großstädten?

00:23:45 Christian Dietrich: Ja, ja, genau das finde ich nämlich auch. Da drängt sich einem also auch – selbst wenn man da noch nicht lang vielleicht drüber nachgedacht hat – so ein bisschen die Frage auf, gibt es da sinnvoll irgendwie eine Konsolidierung? Vielleicht einerseits von Infrastruktur, andererseits aber eben auch von Leuten, die so ein IT Security Betrieb stemmen können. Und dazu gehört dann eben auch das Konsumieren von Cyber Threat Intelligence, und das eben auch zu operationalisieren. Nur will man das vermutlich nicht. Oder was heißt, will man – funktioniert das vielleicht eben nicht immer in diesem privatwirtschaftlichen Kontext aufgrund der Constraints, die du gerade genannt hast, Matthias. Ich weiß nicht, ob man da vielleicht an so was wie Genossenschaftsmodelle oder so was denken kann. Ja, müsste man vielleicht nochmal irgendwie ein bisschen länger drüber nachdenken. Aber ich glaube, dass das auf jeden Fall für uns gerade so ein bisschen insofern ein Problem ist, gesellschaftlich, weil das löst sich gerade im Markt eben nicht, und wir sehen aber, dass reihenweise solche Organisationen gerade irgendwie kompromittiert werden.

00:24:48 Lars Wallenborn: Da möchte ich gerade auch noch mal kurz ganz konkret werden. Also, wenn wir hier über Angriffe auf den öffentlichen Sektor reden, dann denken wir wahrscheinlich sehr viel an so Big-Game-Hunting Ransomware Angriffe. Ich sag nochmal kurz, was ich damit meine. Damit meine ich, irgendein Akteur, ein Hacker, eine Hackergruppe verschafft sich Zugriff auf ein Netzwerk, bringt dann da so Verschlüsselungstrojaner raus, verschlüsselt alle Daten, die da vor Ort sind, und verlangt dann Lösegeld dafür, dass die Daten wieder entschlüsselt werden. Das ist natürlich nur so ein Teil der Medaille. Insbesondere weil das halt ausschließlich Akteure jetzt abdeckt, die finanziell motiviert sind, also die irgendwie Geld machen wollen da raus. Es gibt auch noch andere Akteure, die andere Motivationen haben. Aber vielleicht konzentrieren wir uns jetzt einmal ganz kurz auf diese Ransomware Sache. Weil ich habe mich gefragt … und vielleicht könnt ihr mir das beantworten, vielleicht Matthias du. Also nehmen wir mal an, so eine Stadtverwaltung Berlin, irgendeinen Bezirk, wird von einer Ransomware kompromittiert, aber die wollen ihre Daten ganz dringend wieder haben. Wären die überhaupt in der Lage, das Lösegeld zu bezahlen? So juristisch meine ich. Also, ich kann mir halt nicht vorstellen, dass irgendjemand sagt: Ja, mit dem Steuergeld, mit dem haben wir eine Gruppe von Kriminellen bezahlt, damit sie uns unsere Daten wiedergeben. Also ich kann mir vorstellen, dass da irgendwie so ein paar Probleme noch sind.

00:26:04 Christian Dietrich: Es ist immer gut, eine juristische Frage in so eine Runde zu werfen, wo kein Jurist anwesend ist.

00:26:08 Lars Wallenborn: Wo kein Jurist anwesend ist – auch wieder wahr. Aber vielleicht gibt es ja … ich weiß ja noch nicht mal, wie diese ganzen … du hast zum Beispiel gerade, Matthias, einfach so gedropt, dass die ja alle irgendwie unabhängig sind in Berlin, und das wusste ich auch alles nicht so, also, vielleicht hast du ja irgendwie …

00:26:22 Matthias Schulze: Also zu einem gewissen Grad unabhängig. Die sind natürlich dann schon in einem Bundesland und so. Aber wir hatten das ja in der Corona Pandemie. Als wir darüber diskutiert haben: Können die Gesundheitsämter eigentlich Daten austauschen? Und dann kam irgendwie raus, dass die zum Teil alle unterschiedliche Software benutzen, obwohl sie nur 20 Kilometer Luftlinie voneinander bisweilen weit entfernt sind. Und so ein bisschen ist es mit den Stadtverwaltungen und so weiter auch. Die benutzen ja auch nicht standardisierte Hard- und Software. Also wahrscheinlich doch Windows, aber alles, was Hardware Infrastruktur ist, werden die sich ja irgendwann mal selber zurecht geklöppelt haben. Und auch die die E-Government Services, die sie dann vielleicht dann doch schon haben in manchen fortschrittlicheren Bundesländern. Die sind ja dann auch alle custom und nicht: Wir machen es einmal für alle Bundesländer, und dann ist es einheitlich. Insofern, die Frage ist ein bisschen schwierig für mich – weil ich eben nicht Jurist bin – zu beantworten, ob die das bezahlen dürfen. Ich will nur auf das Dilemma hinweisen, was dabei entsteht. Sie werden es uns wahrscheinlich auch gar nicht sagen, weil es sieht nach außen natürlich sehr schlecht aus, wie du schon gesagt hast, wenn bekannt wird, dass Stadtverwaltung XY das Lösegeld bezahlt hat. Ich weiß es gerade gar nicht, ich habe gerade die Wissenslücke, wie das bei Anhalt Bitterfeld beispielsweise war. Ich weiß aber, dass zum Beispiel in anderen Ländern darüber diskutiert wird, ganz konkret in Großbritannien, dass man das Organisationen verbieten will, dass sie das Lösegeld bezahlen. Es macht natürlich das Dilemma auf: Riskierst du, dass ein Unternehmen oder irgendjemand Bankrott geht und nicht mehr weiter geschäftstätig sein kann, weil die Daten nicht mehr da sind? Oder zielst du auf das größere Ziel hin und versuchst, den Kriminellen das Geschäftsmodell durch ein Verbot von Bezahlungen wegzunehmen? Das ist glaube ich, ein ungelöstes Dilemma. Das war jetzt eine lange ausschweifende Antwort auf die Frage. Ich weiß es nicht, ob die das bezahlen dürfen oder nicht.

00:27:58 Christian Dietrich: Also ich kann mal eine Meinung abgeben. Darf man ja im Podcast.

00:28:02 Lars Wallenborn: Ob sie es bezahlen sollten, so normativ jetzt.

00:28:05 Christian Dietrich: Ich kann es mir eigentlich nicht vorstellen. Das sind öffentliche Gelder, und ich kann mir das eigentlich nicht vorstellen, dass man Lösegeld zahlen darf, um Daten wieder freizukaufen. Es ist ja anders vielleicht als mit materiellen Gütern in irgendeiner Form, wo Besitztümer einfacher geregelt werden können, also Eigentumsverhältnisse und so weiter. Also, ich habe die Kontrolle über eine Sache, in dem ich sie besitze oder nicht. Das habe ich halt bei den Daten nicht. Das heißt also, ich bekomme die Daten möglicherweise wieder, aber ich weiß nicht, was mit den Daten sonst noch passiert, und gleichzeitig habe ich wahrscheinlich ein kriminelles Geschäft befeuert. Ich kann mir das eigentlich nur sehr schwer vorstellen, dass dieses Dilemma, wie du es genannt hast, Matthias, zugunsten der Zahlung des Lösegelds aufgelöst wird.

00:28:53 Matthias Schulze: Wir leben ja immerhin in modernen Zeiten, und Doktor Google hat mir gerade  einen Artikel von Netzwelt.de ausgespuckt – das erste was aufgeploppt ist – aus dem Jahr 2020, wo auf Anfrage mitgeteilt wurde vom BSI, dass ihnen ein Fall bekannt sei, indem eine Kommune im Jahr 2016 für eine Entschlüsselung Geld bezahlt hat. Und das BSI rät, dass die Kommunen das nicht tun. Und wenn sie sagen, es rät, heißt das, sie dürfen ihnen nicht verbieten, das heißt, sie dürfen es wahrscheinlich, die Kommunen.

00:29:17 Christian Dietrich: Okay, krass, ja!

00:29:20 Lars Wallenborn: Ja, ich hätte ich auch nicht erwartet.

00:29:22 Matthias Schulze: Haben wir was gelernt hier im Podcast?

00:29:24 Lars Wallenborn: Kann ich mir auch gut vorstellen, wenn man am Anfang so ein Budget erstellt, dann irgendwie so fünf Prozent für Ransomeware Zahlungen, die man in den nächsten fünf Jahren irgendwie alle so abknapsen muss und so. Na ja.

00:29:33 Christian Dietrich: Es muss ein interessanter Beschaffungsantrag gewesen sein, den man da so ausgefüllt hat.

00:29:38 Matthias Schulze: Der Link kommt natürlich in die Shownotes.

00:29:40 Christian Dietrich: Perfekt. Gut, wollen wir mal ein bisschen springen, nämlich in die Geschichte. Wo kommt das Ganze eigentlich her, und warum ist das jetzt auf einmal ein heißes Ding? Und warum war das nicht vor einigen Jahren schon? Also Cyber Threat Intelligence, das haben wir ja eben schon gesagt, das gibt es schon relativ lange. Das kommt irgendwie natürlich so aus dem nachrichtendienstlichen Umfeld, aber es ist von da vielleicht lange Zeit nicht wirklich nach außen getragen worden. Und das änderte sich, glaube ich, so ein bisschen damit, dass es vielleicht irgendwie von Clifford Stoll 1989 in dem Buch Cuckoo’s Egg, also das Kuckucksei auf Deutsch, in dem mal dokumentiert wurde, wie man eigentlich versucht, einen Akteur zu tracken. Damals ging es eben um einen Cyberangriff gegen Lawrence …

00:30:24 Matthias Schulze: Das war eine Uni. Der Clifford Stoll hat an der Uni gearbeitet – ich weiß gerade nicht mehr genau, welche es war – und ist durch einen Buchhaltungsfehler auf einen Angreifer aufmerksam geworden. Irgendwie eine Abrechnung von 50 Cent oder so was, die zu viel drinne war. Und weil man ja damals noch für Services oder für Nutzungsdauer Geld bezahlt hat, war die Frage: Wer hat denn das verursacht? Und dann stellte er fest, da hat jemand von außen einen Nutzeraccount übernommen und hat auf dessen Kosten sozusagen hier unsere Ressourcen verwendet.

00:30:49 Lars Wallenborn: Und was bei dieser Uni damals der Fall war, ist, dass dieser Server quasi nur so als Jumphost verwendet wurde. Also da haben sich Leute eingewählt, um sich von da weiter zu verbinden zu anderen Zielen. Und ich glaube, der Chris recherchiert gerade, was nochmal das Ziel war. Währenddessen kann ich ja noch den, meiner Meinung nach, größten Treppenwitz an der ganzen Geschichte erzählen. Also, dieses Buch ist, ich glaube, einer der ersten gut dokumentierten, ich sag mal, Cyber Threat Intelligence Reports in gewisser Weise. Er hat sich quasi hingesetzt, dieses Buch geschrieben, und man könnte jetzt sagen, das ist ein Cyber Threat Intelligence Report. Klar, der ist ein bisschen outdatet – also 1989, ist schon eine Weile her, dass der veröffentlicht wurde – und damals haben die Akteure halt schon diesen Trick gemacht oder was heißt Trick, haben halt schon Server kompromittiert, um von da sich zu anderen Hosts weiter zu verbinden. Und heute liest man manchmal so in den Medien, ja, das hier ist ein Cyberangriff – irgendwie in schlechten Zeitungen und so – das ist ein Cyber Angriff, und das wurde zurückverfolgt auf eine IP Adresse, die aus Russland kommt. Deswegen war es Russland. Und das treppenwitzige daran ist, dass das schon in diesem ersten Cyber Threat Intelligence Report schon nicht mehr der Fall war, dass man auf Basis von IP-Adressen Attributierung machen konnte, und das triggert mich immer sehr, also wenn man diese Strohmann-Argumente irgendwie macht.

00:32:01 Matthias Schulze: Aber in der Episode ist natürlich eine ganze Menge Zeug drin, was auch heute noch relevant ist. Wen das näher interessiert, ich habe dazu mal eine Podcastfolge gemacht, vor einigen Jahren. Auch hier der Link in die Shownotes und … Shameless Self-Promotion. Aber das Interessante an dem Kuckucksei ist wirklich, dass man da viel für die heutige Zeit auch noch lernen kann. Also die Jump-off Points, die du genannt hast, die Rolle von trojanischen Pferden als Fake Login Screen, der Nutzerdaten abgreift, die Behörden Diffusion, die eingreift, sobald Clifford Stoll versucht, mit dem FBI zu telefonieren. Und dann Fragen wie: Ist das FBI eigentlich in charge oder die CIA oder die NSA? Und dann wird erst mal rumtelefoniert, die Arbeitszeiten von Hackerinnen und Hackern, die am Ende des Tages dabei helfen, als Indikator und Indiz eine Schlussfolgerung zu ziehen, dass der Angriff wahrscheinlich aus einer mitteleuropäischen Zeitzone kommt, die verwendeten Namen von Nutzer Accounts, die durch die Angreifer angelegt werden, die dann einen Hinweis darauf liefern, dass der Angreifer eventuell deutschsprachig ist, und allerlei solche Geschichten, die heute auch noch – also diese Indicators of Compromise – die heute auch noch eine Rolle spielen. Das ist ein ganz bemerkenswerter Aspekt dieses Buchs.

00:33:08 Lars Wallenborn: Auf jeden Fall, und ich meine er als Autor, ist auch einfach … so verrückter Professor Vipes irgendwie … und das ist auch super lustig geschrieben. Ich kann das Buch sehr empfehlen, auch zu lesen, und auch, was er sich dann ausgedacht hat. Ich meine, man könnte auch sagen, er hat eine der ersten Deception Plattformen oder Deception Operations durchgeführt, in diesem Cyberspace. Er hat quasi die so getan, als wäre er … also er hat eine Institution erfunden, von der er gerechnet hat, dass sie in den Zielanforderungen von den Hackern ist. Und dann hat er denen so falsche Dokumente, die er sich einfach ausgedacht hat, gefüttert. Und dann ja, also er war schon sehr kreativ, auch zu seiner Zeit. Also, wie gesagt, ist schon ewig her. Heute sagen Leute, wir haben eine Cyber Deception Plattform und machen damit einen Riesenhaufen Asche, und der hat es damals einfach nur, als, ich weiß es gar nicht, wissenschaftlicher Mitarbeiter an dieser Uni, so zum Spaß gemacht.

00:33:53 Christian Dietrich: Genau. Es war keine Uni, es war eine Forschungseinrichtung des US Department Of Energy, also des Energieministeriums. Aber genau, es ist nicht geheime Forschung die da passiert. Genau, das war das SDI Net. Also das Strategic Defence Initiative, muss man sagen, war zu der Zeit eigentlich ein relativ großer, wichtiger Begriff. Ein von Reagan, glaube ich, initiiertes Programm so in den USA, und das hat er halt irgendwie einfach aufgegriffen und hat halt einfach so getan, als ob dazu irgendwie Inhalte in der Forschung eine Rolle spielen würden. Um das vielleicht noch mal kurz zusammenzufassen. Da werden also viele Attributionsansätze letztlich auch eingesetzt, und damit sind wir vielleicht noch mal bei einem ganz wichtigen Punkt. In der Cyber Threat Intelligence spielt Attribution natürlich eine wichtige Rolle. Also eben die Frage nach dem, wer hat bestimmte Aktionen durchgeführt, wer hat bestimmte Angriffe irgendwie durchgeführt? Und die Folge Zwei von Persepticon, die hier das Buch von Clifford Stoll zum Thema hat, ist auf jeden Fall empfehlenswert. Und wir haben mal zum Thema Attribution eine Folge gemacht, die wir vielleicht auch noch mal kurz als Shameless Plug hier …

00:34:57 Lars Wallenborn: Shameless Self-Ppromotion as well.

00:35:00 Christian Dietrich: Also das ist die Folge Nummer Zwei, Hat-tribution, Attribution von Cyber Spionen.

00:35:01 Matthias Schulze: Verdient, kann ich jetzt von meiner Seite empfehlen.

00:35:06 Lars Wallenborn: Genau, in dem Kontext wollte ich noch gerade sagen, Chris, du hast gerade gesagt: Attribution ist, dass man herausfindet, wer dahintersteckt und so. Ich möchte nur der Vollständigkeit halber noch hinzufügen, dass ich auch sagen würde, dass schon das Zusammenfassen von Incidence, dass man das auch schon als Attribution bezeichnen kann. Nicht unbedingt muss, und vielleicht widersprechen mir auch irgendwelche offiziellen Definitionen da. Aber ich würde auch schon alleine sagen, dass man so Sachmuster wieder erkennt und dann irgendwie Dinge zusammenfasst, die erst unrelated zueinander aussahen. Das würde ich auch schon als Attribution bezeichnen. Also ist nicht immer nur das Ziel, am Ende zu sagen, wer es war, na ja.

00:35:35 Matthias Schulze: Dann biegen wir doch kurz jetzt auf diese Tangente ab, die Attributions-Tangente, die ihr aufgemacht habt. Wenn wir sozusagen jetzt auf der rein technischen Ebene bleiben, dann ist Attribution in erster Linie natürlich die Frage, welche Maschine hat was gemacht? Und dann kommt man häufig nicht weiter als IP-Adressen. Aber dahinter stehen ja noch zwei … ein paar nachgelagerte Fragen. Nämlich a) Wer bedient die Maschine, welcher Mensch? Und dann noch dahinter gelagert die Frage: In welchem Auftrag handelt dieser Mensch? Und da sind wir dann sozusagen bei den komplexeren Ebenen von Attribution, die weitaus schwieriger zu beantworten sind als die Frage, welche IP Adresse hat was gemacht. Nämlich welcher Staat, Fragezeichen? War es überhaupt ein Staat? War es ein privater Akteur? War es ein Rogue Actor? Es gibt ja dutzende cyberkriminelle Gruppen da draußen, die auf eigenen Geheiß agieren. Es soll auch Nachrichtendienste geben, die nicht das machen, was ihr ihr Herr oder ihre Herrscherin so befiehlt, die nach eigenem Gutdünken handeln. Also dann ohne staatlichen Auftrag, bisweilen aktiv sind. Und neben dieser, sagen wir mal, sozialen Attribution und der technischen Attribution gibt’s ja auch noch die ganze juristische Ebene, die rechtliche Attribution. Nämlich die Frage: Wer ist eigentlich zu  belangen juristisch? Wen kann ich anklagen, oder kann ich überhaupt jemanden anklagen? Und dann muss ich das Ganze auch noch gerichtsfest hinbekommen, wenn es zu einer Anklage kommt. Das heißt, wenn wir über rechtliche Attribution sprechen, dann haben wir ganz andere Grade von Informationen, die wir da brauchen, als wenn wir rein über diese technische oder aber auch schon ganz vorgelagert – so wie du Lars gesagt hast – dieses Clustering von Akteuren sprechen, was weniger voraussetzungsvoll ist, aber nicht desto trotz trotzdem schwierig ist.

00:37:13 Lars Wallenborn: Ich hab das nur erwähnt, weil für die meisten oder für viele Unternehmen zumindest ist es ja eigentlich egal, wer es war. Denen ist es völlig egal, ob es der Hans-Peter irgendwo war oder ob es irgendein anderer Krimineller war. Die wollen sich ja nur gegen den wehren. Das müssen schon sehr spezielle Konsumenten von Cyber Threat Intelligence sein, die das dann interessiert. Also in dem Fall halt jetzt irgendwie Strafverfolgungsorgane und Staaten und so was, die das dann noch eventuell strategisch einsetzen wollen. Und bei der Frage, die du auch super … mit den verschiedenen Ebenen … die Person, für welche Institution arbeitet die Person? Ich glaube zum Beispiel, wenn man so Spione irgendwie jagt, ist es gar nicht so wichtig, dass man die Person irgendwie kriegt, die es war, sondern da will man vielleicht als Staat eher nur wissen, welcher andere Staat war es. Egal, ob die Person, die dann da am Keyboard saß, jetzt der Hans oder der Karl war, da geht es eigentlich nur darum – irgendwie sind alle meine Hacker heute deutsch – da geht es irgendwie nur darum, dass man herausfindet, welcher andere Staat hat mich da irgendwie ausspioniert, angegriffen oder so was? Jetzt sind wir hier auf einer wirklich ziemlichen Tangente gelandet.

00:38:14 Matthias Schulze: Ja, wir können ja wieder zurück in die Vergangenheit reisen. Da sind wir ja hergekommen. Wir waren ja mit Clifford Stoll im Jahr 1989 als sozusagen historische Genese aus dem Ei gehoben, aus dem Ei gepellt, die Threat Intelligence, und dann passiert aber kurioserweise lange Zeit nichts. Beziehungsweise, ich habe nichts gefunden, was darauf hindeutet. Threat Intelligence selber taucht dann in meiner Recherche zumindest – ihr könnt mich gerne korrigieren – erst im Jahr 2011 wieder auf, als die sogenannte Lockheed Martin Kill Chain herausgegeben wird. Und die Kill Chain ist in gewisser Weise ein Daten-Ordnungsschema oder ein Analyseschema, um aus individuellen Daten eines Cyberangriffs, einer Cyberoperation, einen Sinn zu extrahieren. Und diese Kill Chain visualisiert mit einer militärischen Logik dahinter – deswegen heißt es Kill Chain, also Tötungskette – die Abfolge von, also ursprünglich von einem konventionellen Angriff. Das fängt dann mit so was an wie: Ich muss erst mal Reconnaissance machen, um zu wissen, was ich überhaupt angreifen will, dann muss ich Targeting machen, dann muss ich meine Waffen drauf einstellen, und dann muss ich irgendwann mal abfeuern, und dann muss ich ein Battle Damage Assessment machen hinterher, ob ich überhaupt getroffen habe. Das ist so eine traditionelle Kill Chain. Und Lockheed Martin, ein US-Verteidigungsunternehmen, hat das ganze Ding dann genommen, dieses Konzept, und hat gesagt, das gibt’s auch im Cyberspace mit einer Cyber Kill Chain. Das wird seitdem benutzt und weiterentwickelt als so eine Analogie, um Angriffe von komplexen Angriffsakteuren zu verstehen, weil diese Angriffe eine gewisse Phase durchlaufen. Und wenn man so Phasen hat, dann kann man sich sozusagen als Defender, als Verteidiger, drauf einstellen. Wenn ich weiß: Okay, jetzt sind wir in dieser Phase, in diesem Schritt, dann wird als nächstes höchstwahrscheinlich das und das oder das passieren.

00:39:50 Lars Wallenborn: Genau. Diese Kill Chain wird natürlich auch viel kritisiert und so was alles. Da möchte ich jetzt aber gar nicht so sehr drauf einsteigen. Also solche Sachen, wie, weiß ich nicht, ich kann mich überhaupt nicht dagegen wehren, dass ein Akteur Reconnaissance gegen mich durchführt oder so. Also, aber was ich eigentlich dazu sagen, noch ergänzen wollte, ist, dass diese Kill Chain auch so ein bisschen die … die war auch so eine Art Hoffnungsschimmer. Also das Versprechen dahinter war ja, das ist eine Kill Chain, also wirklich eine Kette, und ich als Verteidiger …. Man sagt ja klassischerweise immer, so ein Angreifer, der muss nur einmal erfolgreich sein, und ich als Verteidiger muss immer erfolgreich sein. Und diese Kill Chain hat das so umgedreht. Die hat quasi gesagt, na ja, der Angreifer muss so verschiedene Schritte durchlaufen – die hat irgendwie sieben Stück oder so – und ich als Verteidiger muss nur einen dieser sieben Schritte disrupten und verhindern, um den gesamten Angriff zu verhindern. Also fand ich ein ganz nettes Tool, um irgendwie dann doch mal, wie gesagt, einen Hoffnungsschimmer zu haben, dass dieses ganze Verteidigen dann doch was bringt.

00:40:48 Matthias Schulze: Ja, habe ich auch so wahrgenommen.

00:40:51 Christian Dietrich: Ich finde, parallel zu dieser Diskussion, die ja maßgeblich durch das Papier irgendwie hier zur Kill Chain entstanden ist, gab es, fand ich, auch so ein Trend, dass, und das würde ich jetzt mal so 2009 in etwa verorten, dass eben Reports, ich würde schon sagen, Threat Intelligence Reports, öffentlich gemacht wurden. Also zum Beispiel Operation Ghost Net ist was, was mir 2009 so über den Weg gelaufen ist, von dem Information Warfare Monitor, University Of Toronto. Ich glaube, damit begann so ein bisschen – in meinen Augen begann damit so ein bisschen  so ein Trend, dass man CTI Reports eben öffentlich gemacht hat. Etwas, was bis dahin jetzt also mit Ausnahme des Buchs von Clifford Stoll, nicht so häufig passierte. Vermutlich einer der mit am meisten betrachteten Reports in dem Bereich war dann der APT1 Report von Mandiant. Der kam 2013 raus, und der war jetzt, glaube ich, mehr oder weniger zum ersten Mal ein großer Report von so einer kommerziellen Einheit. Also, es gab vorher vielleicht auch schon den ein oder anderen Report in eine ähnliche Richtung – also zu anderen Akteuren – von Symantec und Dell SecureWorks, und McAfee. Aber Mandiant hat halt mit diesem APT1 Report schon einfach nochmal eine andere Größenordnung, kann man, glaube ich schon sagen, erreicht. Einerseits im Hinblick auf die Dokumentation, also es wurde relativ klar, dass hier sehr viel Sichtbarkeit vorliegt,  und dass eben auch in vielen verschiedenen Attributionsdimensionen gearbeitet wurde, um eben möglichst ein verlässliches Urteil nachher fällen zu können. Da kann man sagen, das ist eben ein weiterer Entwicklungsschritt, wenn wir uns diese Geschichte von CTI irgendwie anschauen. Und dass nämlich jetzt auf einmal, kommerzielle Player auftreten und ihre Threat Intelligence öffentlich machen.

00:42:42 Matthias Schulze: Du hast das gerade schon bemerkenswerterweise angesprochen, dass der Ghost Net Bericht, der ist ja von der Uni, vom Citizen Lab in Toronto, das ist ja ein Forschungsinstitut, was quasi den gleichen Slogan hat wie wir, eine technische Expertise und sozialwissenschaftliche Expertise zusammenzubringen. Ich erwähne das deshalb, weil die super Arbeit machen und ich da auch mal die Ehre hatte, mal einen Forschungsaufenthalt zu machen. Deswegen, die machen tolle Arbeit und Ghost Net ist auch eine witzige Operation. Weil da unter anderem auch der Dalai Lama, also das Büro vom Dalai Lama in Indien als Ziel galt, weil das vermutlich eine chinesische Operation war. Insofern ist das ein witziger Report und zeigt auch, dass natürlich aus der Uni-Perspektive, aus der Forschungsperspektive, diese Transparenz wichtig ist. Weil Wissenschaftlerinnen und Wissenschaftler wollen natürlich ihre Daten veröffentlichen und Peer Review aussetzen, also der Kritik der Masse. Und das ist ein interessanter Aspekt, wenn man jetzt den Mandiant APT1 Report nimmt, weil da gab es in der Infosec Community eine heftige Kontroverse darüber, ob das gut ist, was Mandiant da macht. Im Sinne von, die verraten ja die Tools of the Trade gewissermaßen, die verraten ja, wie Verteidiger funktionieren und wie Analysen funktionieren und geben damit ja vielleicht den Angreifern einen Vorsprung und machen das sowieso nur aus Publicitygründen und wollen damit Geld verdienen und FUD verbreiten, also Fear, Uncertainty and Doubt. Und das ist ganz witzig, weil einige von Mandiant dann heftige Blogposts dagegen geschrieben haben, und gesagt haben: Nein, das hilft uns allen, wenn wir diese Informationen teilen und wenn wir das eben nicht zurückhalten, weil wir da alle von lernen können. Also das ist eine interessante Rezeption dieses APT1 Reports, die mir im Zuge der Recherche aufgefallen ist.

00:44:20 Christian Dietrich: Ja.

00:44:22 Lars Wallenborn: Habe ich nichts zu ergänzen, super.

00:44:24 Matthias Schulze: Ich dachte, du sagst jetzt noch was vom Organisations …

00:44:28 Lars Wallenborn: Ich habe gerade gedacht, also, genau, also erst mal 100 Prozent, was du gesagt hast. Wenn so ein Report von so einer Firma öffentlich gemacht wird, ist das ein Marketing Tool. Das Marketing muss aber ja nicht unbedingt in Richtung potenziellen Kunden gerichtet sein. Das kann ja auch Richtung zum Beispiel potenziellen Mitarbeiter gerichtet sein. Guckt mal, was wir für einen coolen Scheiß machen, wollt ihr nicht bei uns arbeiten zum Beispiel. Und natürlich auch zu Werbezwecken. Aber das … da muss man halt so ein bisschen gucken. Wenn man zum Beispiel nur so öffentlich verfügbare CTI konsumiert, gerade von, na ja, von großen Firmen, sind die dann schon auch darauf zugeschnitten, marketingwirksam zu sein. Die sind dann immer besonders flashy, besonders unique, besonders … also halt in irgendeiner Weise besonders. Damit will man irgendetwas zeigen. Entweder möchte man als Firma sich selber besonders gut darstellen: Guckt mal, was wir alles sehen. Wenn ihr uns kauft, seid ihr besser geschützt. Oder, wie gerade gesagt, guckt mal, was wir für einen coolen Kram machen, wollt ihr nicht für uns arbeiten. Und das muss man halt immer, meiner Meinung nach nur so, als caveat halt immer im Kopf behalten. Das ist jetzt nicht ein breiter Überblick über die Bedrohungslandschaft oder so was. Ich glaube nicht, dass viele Firmen Blogposts über irgendwelche langweiligen, aber trotzdem sehr, sehr wirksamen Cyberangriffe schreiben, gegen die man sich verteidigen will, und das dann als Blogpost veröffentlichen. Ja, das noch so oben drauf. Und was dieses Information-Sharing angeht, von wegen, dass dann die Akteure besser werden. Ja, das ist halt so. Aber wenn man glaubt, dass man über Jahrzehnte hinweg die Tools of the Trade vor den bösen Hackern verstecken kann, das halte ich auch nicht für realistisch. Also ich meine, ich würde mal so grob sagen, das war schon ein guter Moment, um so was zu veröffentlichen, wenn ich das jetzt mal auf einen Satz runter brechen muss.

00:46:18 Matthias Schulze: Und es sind ja auch viele dann darauf angesprungen. Das war ja so ein bisschen dieser Wasserscheide Moment. Ich habe ein Zitat gefunden, so sinngemäß, der beschreibt die RSA Conference aus dem Jahr 2014, also große Security Expo in San Francisco, glaube ich, und das Jahr 2014 war voll mit Threat Intelligence Angeboten, die sozusagen da verkauft wurden. Und da haben es die ganzen Unternehmen aufgegriffen, und dann wurde es gewissermaßen massentauglich oder marktfähig mit dem Jahr 2014.

00:46:48 Christian Dietrich: Wenn wir mal nach Deutschland blicken, dann glaube ich, ist 2015 nämlich da der Bundestags-Hack, so ein Erwachensmoment gewesen. Das heißt also … klar war das vorher gerade so in der Infosec Community natürlich bekannt, Cyber Threat Intelligence, damit wusste dann jeder irgendwie was anzufangen. Aber 2015 ist es, glaube ich, in Deutschland so richtig angekommen und eben vielleicht auch so ein bisschen eben in der Gesellschaft, weil natürlich dieser Bundestags-Hack, der dann eben öffentlich auch diskutiert wurde, ja eine gewisse Breite erreicht hat. Und ich bin mir nicht sicher, aber ich glaube, dass sich seitdem vielleicht gar nicht mehr so viel getan hat. Also ich glaube, wenn man was beobachten möchte seitdem, dann ist es vielleicht, dass es weniger Ereignisse gibt, die öffentlich dokumentiert werden. Also ich glaube, dieser Trend, dieser APT1 Trend, sag ich mal, der hat abgenommen. Natürlich machen Companies immer noch Blogposts und hauen irgendwie Reports raus, aber nicht mehr, um zu zeigen: Guck mal, so cool ist unsere Threat Intel, oder so cool sind unsere Attributionsmöglichkeiten. Ich glaube, das hat abgenommen. Und die zweite Entwicklung, kann man vielleicht sagen, ist eben, dass wir mit der Ukraine Auseinandersetzung jetzt nochmal ein bisschen mehr auf potenzielle Cybergefahren gestoßen wurden. Aber das ist halt unheimlich schwer, das zu manifestieren in irgendeiner Form. Also, ich glaube, das ist im Moment noch nicht wirklich gut messbar, das wird noch ein bisschen dauern. Google und Microsoft haben da ja gerade so ein bisschen einen Versuch unternommen, da mal über das erste Jahr seit dem Beginn der Ukrainekrise so ein bisschen ein Fazit zu ziehen, über die unter anderem begleitenden Operationen im Cyberspace. Aber das wird sich noch zeigen, und meine Wahrnehmung ist auch, dass das in Deutschland jetzt nicht nochmal eine neue Entwicklung irgendwie angenommen hat.

00:48:36 Matthias Schulze: Das ist eine interessante Beobachtung. Also ich weiß gar nicht, ob das stimmt oder ob ich das auch so wahrnehme, dass es weniger wird, die Reports. Es kann natürlich sein. Müsste man mal messen, mal erheben. Vielleicht ist es aber auch einfach nur so, dass wir einen klassischen Produktzyklus haben. Das Thema ist hip und in, und 2014 dann ist es etabliert. Und dann muss man nicht mehr so viel Medienbuzz generieren, weil vielleicht auch viel dann schon in Lösungen und Produkte integriert wurde, sodass man diese qualitativen Reports am Ende des Tages vielleicht gar nicht mehr braucht. Ich spiele darauf ab, dass wir ja noch einen weiteren Mile Stone in der Entwicklung haben, und das ist eben, jetzt weiß ich immer nicht, wie man es auf englisch ausspricht, der Mitra ATT&CK Framework.

00:49:21 Lars Wallenborn: Mitra ATT&CK. Das ist die Cyber Kill Chain auf Koks.

00:49:25 Matthias Schulze: Nice. Genau. Also eine Art weitere Heuristik, eine viel ausgefeiltere Heuristik, um Angriffsverhalten zu klassifizieren, zu standardisieren und vergleichbar zu machen. Die heben stark auf Tactics, Technics und Procedures ab, also TTP und nicht mehr nur Indicators of Compromise. Ich weiß gar nicht, wie viele Kategorien haben die – 40 oder was, wie sie das einordnen?

00:49:48 Lars Wallenborn: Mindestens. Also, ich weiß nicht. Ich glaube, keiner kennt die irgendwie auswendig. Also die haben halt so eine riesengroße Tabelle, und ich glaube, was sie halt schon gemacht haben, dass also, so viel man die kritisieren will, was sie halt schon gemacht haben, ist, mal so eine Art Repository an Kram zu erstellen, das jetzt nicht unbedingt vollständig ist, aber das zumindest schon mal da ist, und das dann halt dann auch erweitern und so was.

00:50:10 Christian Dietrich: Also, sie versuchen einfach, alles zu katalogisieren, würde ich mal sagen,. Und das klappt in manchen Fällen gut, in manchen Fällen halt nicht. Aber das ist auch erwartungskonform. Es funktioniert halt nicht immer. Weil du immer die Frage hast, was ist das unterscheidende Kriterium, was du irgendwie anlegst. Du kannst irgendwie relativ gut argumentieren, dass du die Angriffstechnik Spear Phishing E-Mail von Exploitation of Internet Facing Webservers unterscheiden kannst. Das sind zwei irgendwie völlig verschiedene Dinge. Aber aber wie weit treibst du diese Unterscheidung der Techniken beispielsweise? Und genau … aber, wie gesagt, das ist glaube ich erwartungskonform. Damit muss man irgendwie umgehen können. Es ist schon nicht verkehrt, dass mal zu versuchen zu katalogisieren. Aber es hat eben auch seine Probleme.

00:50:56 Lars Wallenborn: Genau. Weil es halt auch zum Beispiel ermöglicht, dass man leichter drüber sprechen kann. Also wenn ich … wenn du das jetzt nennst Exploitation of Internet Facing Webserver, und jemand anders nennt das irgendwie Webserver Exploitation oder irgendwie ganz anders, dann könnte es ja zum Beispiel sein, dass zwei Leute das gleiche Akteurverhalten observieren, was ja interessant ist. Weil wenn man davon viele Overlaps hat, kann man dann vielleicht sagen, vielleicht haben diese beiden Incidence irgendwie ein Bezug zueinander, und das ist so ein bisschen so ein Vokabular, was da dann so vielleicht auch etabliert wird und so was alles genau. Ich glaube, die versuchen immer, vollständiger zu werden. Ich weiß ehrlich gesagt nicht, was da intern passiert. Und dann wird es halt vielleicht auch irgendwann absurd. Aber das geht auf jeden Fall jetzt zu weit. Mitra ATT&CK ist ein Ding, das …

00:51:38 Christian Dietrich: Ja, ich weiß gar nicht, ob ich das so hoch hängen würde. Also wie gesagt, ich glaube, das ist nicht verkehrt, das zu probieren, aber ein anderer Baustein, wo es super problematisch wird: Die versuchen ja auch eben auch, Gruppen und Akteure irgendwie zu katalogisieren. Und dann kommen wir ganz schnell in diese Diskussion, warum vereinheitlichen wir nicht die Akteursnamen über alle irgendwie Anbieter hinweg, und das – ich weiß nicht, ob wir das Feld jetzt hier aufmachen wollen , aber ja – haben wir, glaube ich, schon an verschiedenen Stellen mal diskutiert zumindest.

00:52:01 Lars Wallenborn: Also, ich möchte es aufmachen. Ich möchte dieses Feld aufmachen. Ganz dringend.

00:52:05 Christian Dietrich: Auf jeden Fall hat man eben auch da das Problem, dass unterschiedliche Bezeichner für möglicherweise die gleiche Gruppe oder verschiedene Ausprägungen der gleichen Gruppe, durchaus sinnvoll sein können. Weil sie auch eben die Sichtbarkeit auf die Gruppe abbilden. Allein das kann schon irgendwie ein Vorteil sein. Und wenn du dann katalogisieren willst …

00:52:24 Matthias Schulze: Jetzt hast du das Feld ja doch aufgemacht.

00:52:27 Christian Dietrich: Ich muss es ja irgendwie abholen, wenn ich es hier aufreiße. Ich kann es ja jetzt nicht hier aufreißen und dann irgendwie im Raum stehen lassen. Genau. Gut.

00:52:32 Lars Wallenborn: Genau. Also, Threat Actor Gruppennamen sind mehr ein Par aus der eigentlichen Gruppe und der Visibility, die man auf die Gruppe hat, die sich dadurch ergibt, wo man arbeitet, und so weiter.

00:52:46 Christian Dietrich: Wir haben ja gerade schon über eine ganze Reihe an Erzeugnissen im Kontext von Cyber Threat Intelligence gesprochen, zum Beispiel eben über Indicators of Compromise, aber auch über Reports, und vielleicht können wir uns mal so ein bisschen anschauen, was für Produkte gibt es denn eigentlich so? Also wie konsumiert man denn das? Oder nein, was gibt es denn zu konsumieren im CTI Kontext? Vielleicht kann man das am ehesten an den drei Ebenen von Cyber Threat Intelligence so ein bisschen festmachen, die, wie es sich für ein vernünftiges Modell gehört, natürlich auch nicht unumstritten sind. Also, was ich meine, ist eben die strategische, taktische und die operative Ebene von Cyber Threat Intelligence, die eben unterschiedlich abgebildet werden.

00:53:29 Matthias Schulze: Wir haben drei Ebenen. Fangen wir so an.

00:53:32 Christian Dietrich: Jetzt würden wir in der Informatik vermutlich eher von strategisch, taktisch und operativ sprechen. Die operative Ebene ist für uns so als Informatiker die Ebene, wo eben Indicators ausgetauscht werden, Indicator Feeds verbreitet werden und so weiter.

00:53:48 Lars Wallenborn: Die sind so richtig operativ, man sitzt so richtig am Keyborad und tippt so Tasten und schreibt so Code, der irgendwie so Indicator runterlädt und irgendwo hin kopiert und so weiter.

00:53:57 Christian Dietrich: Ja, genau, aber das sehen nicht alle so.

00:54:00 Matthias Schulze: Nee, da zeigt sich schön der Clash der verschiedenen Disziplinen, die wir hier am Tisch haben. Du sprichst über die Three Levels of Warfare oder Three Levels of War: Strategisch, operativ und taktisch. Das ist also aus dem Militärjargon, der versucht, verschiedene Ebenen von Kriegsführung zu konzeptionalisieren, und das ist so ein bisschen der geistige Ursprung dieser Einteilung. Ich finde immer die Erklärung ganz schön, um das Laien gewissermaßen verständlich zu machen: Strategisch ist die Frage, wie gewinne ich den Krieg? Wenn ich ein General bin oder eine Präsidentin oder ein Präsident, ist die strategische Ebene die Frage: Wie gewinne ich den Krieg? Da geht es um die Fragen wie mache ich meine Materialversorgung, woher kriege ich Öl für meine Kriegsschiffe? Welche Alliierten habe ich, die ich vielleicht mit reinehmen kann? Das ist also auf dieser hohen strategischen, manchmal auch politischen Ebene. Dann haben wir die operative Ebene, das ist gewissermaßen die Ebene der Operationen, der Kampagnen. Wenn wir den zweiten Weltkrieg mal als Beispiel nehmen, dann ist die operative Ebene so was wie die Invasion der Normandie. Operation Overlord ist die operative Ebene. Und die taktische Ebene, die ist dann da drunter, das ist die Ebene des einzelnen Gefechts, des Kampfes. Also, das ist das, was die Soldaten an den Stränden der Normandie für Manöver machen, um dem Maschinengewehrfeuer auszuweichen et cetera pp. Und das ist so eine leicht andere Heuristik als die operative Ebene, wie ihr sie verwendet, im Sinne von Development Operations und IT Operations und so weiter und so fort.

00:55:25 Christian Dietrich: Genau. Trotzdem lässt sich die grundsätzliche Idee, also auf verschiedenen Abstraktionsgraden zu arbeiten, ja übertragen auf CTI. Und da wäre sozusagen die strategische Ebene vielleicht eben so ein breiter Überblick über die Bedrohungslandschaft oder sich irgendwie mit Policy Dokumenten zu beschäftigen, China will die Seidenstraße ausbauen, und so was. Auf der taktischen Ebene würde man vielleicht eben versuchen, so was wie TTP’s zu beschreiben.

00:55:54 Lars Wallenborn: Auf der operativen Ebene.

00:55:57 Matthias Schulze: Es ist schon wieder passiert.

00:56:00 Christian Dietrich: Wir müssen mal bei Mitro ATT&CK nachgucken, wie die das eigentlich nennen. Also wiederkehrende Muster, Verhaltensmuster, die eben mehr Bestand haben als vielleicht eben nur für einen Incident. Und ich würde sagen, so eben auf der operativen – du musst jetzt sagen, taktisch – auf der operativen Ebene, da geht es halt um konkrete Indicators, also vielleicht direkt Operation …

00:56:28 Lars Wallenborn: Die Operationalisierung der Taktik. Bald versteht hier keiner mehr, wovon wir reden. Schön.

00:56:31 Matthias Schulze: Vielleicht hilft es auch nochmal kurz zu erklären, dass diese verschiedenen Ebenen – also es sind ja Heuristiken – um zu verstehen, wie detailliert Informationen sein müssen, und es geht auch darum zu erklären, dass verschiedene Stakes sozusagen existieren. Also die strategische Ebene ist zum Beispiel … wer ist auf der strategischen Ebene von Thread Intelligence? Das sind die CISO’s, die Chief Information Security Officer, das sind die oder der CO  reporten. Also Leadership Entscheidungen. Da geht’s um Management Entscheidungen. Da geht es um die Frage, welchen Business Impact hat der und der Angriff vielleicht, die Ransomware Kampagne? Ist das relevant für mein Business? Das ist so die strategische Ebene. Die operative Ebene, so wie ich sie jetzt verstehe, da geht es dann um die Ebene der Incident Responders, der Security Operations Teams, Verhaltensmusteranalyse, um Abwehrsysteme damit zu füttern. Das ist so das Operative. Welche Angriffsvektoren gibt es? Welche Schwachstellen werden benutzt, welche Command and Control Server werden benutzt et cetera pp. Und die taktische Ebene ist dann die der Indikatoren. Das ist dann die Ebene der Networkdefenders, der Security Operations. Das sind die, die die IOC’s dann blocken müssen, um sozusagen IP Adressen und so weiter auch zu sperren. Habe ich jetzt ganz doof erklärt, ihr wisst es besser als ich, vielleicht könnt ihr noch ergänzen.

00:57:47 Lars Wallenborn: Ganz im Gegenteil, das hast du ganz hervorragend erklärt. Ich hätte es auf keinen Fall so strukturiert über die Lippen gebracht, würde ich sagen.

00:57:53 Christian Dietrich: Und das bedingt natürlich auch, dass die resultierende Cyber Threat Intelligence unterschiedlich dokumentiert wird, nämlich auf einer strategischen Ebene eben genau nicht als Indicator Feed oder so was, sondern das sind eben genau diese geschriebenen Texte, das sind halt Reports. Und die müssen halt auch gelesen und irgendwie verstanden werden. Und jetzt können wir uns vielleicht nochmal so ein bisschen anschauen, was für Produkttypen kommen denn da so raus? Was ist denn … was sind so die Erzeugnisse von Cyber Threat Intelligence?

00:58:23 Matthias Schulze: Ja, da haben wir auf der auf der einen Seite natürlich schon mal die – du hast es ja gerade schon angesprochen – die, sagen wir mal, qualitativen Reports, also die Schriftprodukte, wie der APT1 Report von Mandiant, über die wir schon gesprochen haben. Die dienen also unter anderem auch der der Unterstützung der Entscheidungsträger:innen, von Unternehmen beispielsweise, oder von CISO’s. Und die sind also auf einer anderen Abstraktionsebene als zum Beispiel Indicator Feeds. Wollt ihr was zu Indicator Feeds sagen? Da kennt ihr euch definitiv besser aus als ich.

00:58:55 Christian Dietrich: Also da muss ich mal kurz …

00:58:56 Lars Wallenborn: Fürchterlich!

00:58:56 Christian Dietrich: Da muss ich mal kurz was anbringen,. Und zwar, ich habe mich natürlich gefragt, also jetzt, wenn man so ein Akademiker ist und so, da muss man natürlich mal gucken, was ist da so eigentlich wissenschaftlich publiziert?  Und es ist schon auffällig, dass finde ich zumindest, dass relativ wenig wissenschaftlich publiziert wird aus dem Bereich der Informatik, im Cyber Threat Intelligence Kontext. Natürlich ein paar Publikationen gibt es. Aber was machen die? Die versuchen, die Frage der Vergleichbarkeit von Threat Intel, dieser Frage nachzugehen, und was machen sie dann? Na ja, sie vergleichen im Prinzip resultierende Mengen an Indicators, die aus solchen Feeds irgendwie kommen. Das ist natürlich eine interessante Frage, aber das deckt ja eben bei weitem nicht jegliche Aspekte der Vergleichbarkeit von Threat Intelligence ab. Weil das ist jetzt wahrscheinlich spätestens klar geworden, wo wir diese klare Unterscheidung zwischen strategisch, operativ und taktisch gemacht haben.

00:59:55 Lars Wallenborn: Ganz klare Unterscheidung.

00:59:57 Christian Dietrich: Ich decke damit eben nur eine Ebene ab, anders geht’s halt nicht. Und natürlich ist es vielleicht eine ganz interessante Frage, wer hat mehr Indicators in seinem Feed? Aber so wirklich interessant ist die auch nicht. Denn je nachdem, was für eine Bedrohungsart ich mir anschaue, kann ich natürlich relativ leicht viele Indicators haben oder oder eben weniger. Also das ist halt unheimlich schwer und ist für mich so ein Ausdruck dessen, dass wir da möglicherweise in der Informatik auch nochmal viel überlegen müssen: Wie können wir so was messen, wie können wir vielleicht auch versuchen, Wissen aus diesen Reports irgendwie wieder raus zu ziehen? Das finde ich eigentlich, ist so technologisch vielleicht ganz interessant. So! Aber kommen wir mal zurück zu diesen Produkttypen. Was gibt’s denn da noch? Was wird denn noch so irgendwie auf den Markt geworfen und nennt sich Threat Intelligence?

01:00:45 Matthias Schulze: Oder Lars, wolltest du noch was zu Indicators sagen?

01:00:48 Lars Wallenborn: Ja, doch! Ich sage noch was zur Indicators. Das muss jetzt noch raus. Also, ich glaube, ein Problem, was da so ist: Manche Leute sagen, sie verkaufen Cyber Threat Intelligence oder sie kaufen jetzt auch Cyber Threat Intelligence ein, oder sie machen Cyber Threat Intelligence jetzt hausintern und so. Und alles, was da passiert, ist, IP’s blocken oder so. Und ich glaube, das ist eine Gefahr, wenn man quasi diesen Cyber Threat Intelligence Strohmann immer nur vor Augen hat, der nicht mehr kann als IP Adressen blocken oder Domains blocken oder so. Wobei das halt, wie wir jetzt gerade schon ziemlich gut ausgearbeitet haben, das adressiert immer nur die taktische Ebene. Und auch da ist es so …

01:01:24 Matthias Schulze: Also operativ.

01:01:24 Lars Wallenborn: Was? Ja, ja genau … da ist es auch so – ich glaube, es gibt kein gutes deutsches Wort dafür – Whac-A-Mole ist dieses Spiel, wo man mit so einem Hammer immer auf diesen Maulwurf draufschlagen muss, der aus einem Loch raus kommt. Und das ist das so mit Indicators. Also, man, man hat sich irgendwie überlegt, ich blocke jetzt diese IP Adresse. Dann stellt sich raus, so eine IP Adresse wird auch mal re-asigned an den anderen Server, dann kann man die nicht mehr blocken. Oder ich blocke jetzt diesen Domainnamen. Für einen Akteur ist super leicht, einfach einen anderen Domainnamen zu registrieren. Vorher war’s, wir blocken jede Datei, die exakt so aussieht. Das ist natürlich super leicht zu umgehen. Dann sagt man, wir schreiben irgendwie Signaturen für Dateien, die versuchen zu umschreiben, wie die Datei aussieht. Dann entwickeln Akteure halt Gegenmaßnahmen dagegen, um ihren Code zu obfuscaten und so, um so um Signaturen herumzukommen und so weiter. Und das ist nur, meiner Meinung nach, ein sehr simpler, sehr low hangig fruit Aspekt von Cyber Threat Intelligence, der aber natürlich sehr leicht zu verstehen ist, also relativ leicht. Also, man kann vielen Leuten schon sagen: Block diese IP Adresse, und dann blocken die diese IP-Adresse. Und diese Leute können dann vielleicht nicht so viel damit anfangen, wenn man denen sagt, ja, eine komplett flache Netzwerkinfrastruktur ist ungünstig, weil der Akteur dann sofort das gesamte Netzwerk kompromittiert, oder was weiß ich. Also, weil das vielleicht auch einfach dann Handlungsanweisungen impliziert, die sehr viel schwerer umzusetzen sind, als diese Liste von IP’s in meine Network Defence Produkte reinzukippen. So, jetzt bin ich fertig mit IOC’s.

01:02:55 Matthias Schulze: Hervorragend, da hast du noch ein gutes Stichwort gerade genannt. Also glaube, man kann diese CTI Produkte unterscheiden hinsichtlich der Quellen, die sie verwenden, also was die Grundlage ist. IOC Feeds, irgendwelche Darknet Market Analysen oder halt Auswertungen von Data Leaks beispielsweise, oder das Tracken von Cyberkriminellen Diskussionen im Darknet und in IOC Chanels, und was da sonst noch so benutzt wird. Telegramm, et cetera pp. Die Produkte unterscheiden sich hinsichtlich ihres Kontextreichtums. Also habe ich bloße Daten oder habe ich tatsächlich auch politische strategische Erwägungen mit drin? Und natürlich auch der Frage, ist das Handlungswissen? Also kann ich damit tatsächlich was machen, oder ist es einfach nur nice to know?

01:03:33 Lars Wallenborn: Genau. Das frage ich mich halt doch manchmal auch. Ich meine, ich weiß jetzt, über meine Firma wird im Darknet gesprochen. Ja, und jetzt? Was mache ich jetzt? Sage ich meinen Mitarbeitern jetzt, ihr werdet im Darknet besprochen, seid jetzt extra vorsichtig. Waren die vorher unvorsichtig? Dieses ganze Darknet Scraping Thema, da bin ich kein Fan von, sage ich mal. Sorry, aber ich hab dich unterbrochen, Matthias.

01:03:51 Matthias Schulze: Nee, ist ja ein absolut richtiger Einwand, das treibt ja wilde Blüten bisweilen. Also, ich habe hier eine Liste recherchiert von verschiedenen Intelligence Products. Das kommt, glaube ich, aus dem Recorded Future Handbuch, wenn ich mich richtig erinnere, und da gibt es einen ganzen bunten Blumenstrauß an verschiedenen Intelligence Produkten. Also ich liste mal auf: SecOps Intelligence, Vulnerability Intelligence, Threat Intelligence auf die Angreifer fokussiert, Threat Intelligence mit einem Risiko basierten Ansatz, Supply Chain und Third Party Intelligence, Geopolitical intelligence, Identity intelligence, also wenn es um Personendaten geht, Industrial Control System Threat Intelligence, et cetera, et cetera, et cetera. Also gibt es eine ganze Menge Zeug. Und dann stellst du konkret richtig die Frage: Brauche ich das wirklich alles? Oder ist da ist da auch einfach viel heiße Luft mit dabei?

01:04:39 Lars Wallenborn: Alles heiße Luft. Nein.

01:04:40 Matthias Schulze: Das ist natürlich auch so ein Marketing Handbuch, das geben sie frei verfügbar raus, das muss man, glaube ich, noch als Disclaimer mit dazu sagen. Das hat natürlich eine konkrete Werbefunktion für die CTI Plattform von Recorded Future. Ich habe aber noch einen schönen Spruch gelesen von Sans und – das ist ein Education Unternehmen in diesem Bereich – die haben gesagt, es geht gar nicht ums Produkt. Cyber Threat Intelligence is not a product, it’s a process. Also es ist am Ende des Tages ein Business Verarbeitungsprozess, und da ist es egal, welches Produkt ich dafür verwende. Ob das jetzt Open Source ist und frei verfügbar, oder irgend eine kommerzielle Lösung, ist am Ende des Tages egal, weil es um die Information und um die Handlungsfähigkeit dabei geht.

01:05:17 Lars Wallenborn: Ja, ich glaube, das bringt es schon so ein bisschen auf den Punkt. Ich meine, viele von den Begriffen sind wahrscheinlich auch einfach Marketingbegriffe, muss ja auch rein in so einen Marketing Pamphlet irgendwie, und das kann halt alles Mögliche heißen. Also, ich meine klar, Industrial Control Systems Threat Intelligence bezieht sich wahrscheinlich irgendwie auf Threat Intelligence für ICS, also für die Dinger, die unsere Trinkwasser Produktion steuern und so. Aber was das dann konkret heißt, ist natürlich eine andere Frage. Und auch, ob ich jetzt als Konsument davon damit was anfangen kann. Klar, wenn ich ein Trinkwasser Kraftwerk irgendwie betreibe, kann ich damit wahrscheinlich was anfangen, und dann ist das coverage hoffentlich auch gut. Aber wenn ich eine Bank bin, halt auf keinen Fall. Und wenn ich irgendwie noch ein kleineres Unternehmen bin, wahrscheinlich auch nicht. Ja, das sind halt alles sehr breite Begriffe, muss ich sagen. Also kann ich wirklich wenig mit anfangen, und ich kann mich überhaupt nicht in die Lage versetzen, wie schlimm das sein muss, wenn man noch nicht ich mal in der Branche arbeitet und entscheiden muss, ob man das kauft oder nicht. Da werden dann Entscheider irgendwie mit diesen Begriffen konfrontiert, und die müssen dann entscheiden, ja, das kaufen wir jetzt, und dafür geben wir signifikante Summen an Geld aus oder nicht. Und also, das muss eine sehr schwere Entscheidung sein, und da bin ich dankbar, dass ich die nicht treffen muss.

01:06:27 Matthias Schulze: Du hast ja jetzt eben schon beschrieben, dass wir also diesen ganzen Blumenstrauß an verschiedenen Produkten haben. Wir haben Feeds, wir haben Threat Intelligence Plattformen mit All Inclusive mit verschiedenen Features, und natürlich diese ganzen Genres, die auf bestimmte Branchen und Sektoren zugeschnitten sind, kritische Infrastrukturen, Industrial Control  Systems und so weiter und so fort. Wie geht man da jetzt wirklich ran, also wenn ich jetzt sagen würde, ich will oder ich brauche so was. Oder wie treffe ich denn die Entscheidung, brauche ich das? Und das bringt uns wieder zurück zur Frage: Ist das Ganze dann wirklich so sinnvoll? Und das ist die Frage, mit der wir eingestiegen sind. Vielleicht ist das auch ein ganz guter Weg, um da jetzt sozusagen langsam zum Schluss zu kommen. Brauchen wir das, oder hat sich das verändert, dass wir sagen: Nee, ist alles Quatsch?

01:07:10 Lars Wallenborn: Ich würde sagen, dass es bei diesem ganzen Computersicherheits … so ganz pragmatisch geht es bei der Computersicherheit ja gar nicht unbedingt darum, dass ich irgendwie perfekt sicher bin. Ich glaube, das wird man auch nicht erreichen. Also jeder Computer, der irgendwie mit dem Internet verbunden ist, und auch alle anderen sind allen möglichen Risiken ausgesetzt. Aber vielleicht geht es gar nicht so sehr darum, jetzt aus einer ganz pragmatischen Perspektive, dass man perfekt ist oder der in Anführungszeichen schnellste Büffel ist. Es geht nur darum, dass man nicht der langsamste Büffel ist. Weil die Büffel, die ganz hinten rennen in der Herde, die werden vom Löwen gefressen. Und vielleicht kann einem Cyber Threat Intelligence da so einen kleinen Boost geben, sodass man dann plötzlich doch nicht mehr der langsamste Büffel ist. Das wäre mein Fazit.

01:07:55 Matthias Schulze: Ja, also ich würde, glaube ich, das Argument kaufen, das in einem von diesen Broschüren gemacht wurde, dass es einer gut integrierten Organisation, die ein gut funktionierendes und finanziell ausgestattetes IT Team hat und Security Operations Center hat, dass es den Organisationen vielleicht in bestimmten kritischen Aspekten hilft, diesen kleinen zeitlichen Vorsprung von einem Angreifer zu haben. Das Argument kaufe ich. Aber da müssen natürlich viele Bedingungen erfüllt sein, damit das der Fall ist. Also, das Team muss effizient arbeiten, es muss genügend Ressourcen geben, damit auch wirklich dann ein Mehrwert draus generiert werden kann aus diesen Informationen. Für das jetzt auf ein kleines Unternehmen drauf zu werfen, die vielleicht gerade so die basalen IT-Sicherheitsfunktionen erfüllen können, für die ist es wahrscheinlich nicht sinnvoll. Was ich nicht weiß, und das ist wahrscheinlich die offene Frage, wie die Reise weitergeht. Ob das so diesen gängigen Markttrends folgt, dass man sagt: Okay, irgendwann wird das Zeug frei verfügbarer, es wird billiger, die Produkte werden diversifiziert, und am Ende des Tages können auch kleine und mittelständische Unternehmen diese Technologien nutzen, wie man es in allerlei anderen defensiven Technologien ja auch über die Jahre gesehen hat. Das mag ich, kann ich gerade noch nicht abschätzen. Vielleicht ist es so, vielleicht auch nicht.

01:09:11 Christian Dietrich: Für mich ist ein bisschen das, was ich aus der Folge heraus … ein Punkt, über den wir vorhin gesprochen haben, nämlich wie sieht es mit Threat Intel für, ich sag mal, kleine Organisationen aus? Also Organisationen, die eigentlich nicht groß genug sind, um selber Threat Intel verarbeiten zu können, weil sie einfach zu wenig Ressourcen haben, zu wenig Personal,  wie auch immer, und man das auch nicht aufbauen will, weil das irgendwie nicht wirtschaftlich ist? Was machen wir mit denen jetzt so aus so einer gesellschaftlichen Perspektive? Und da wird wahrscheinlich gerne mal der Ruf nach dem Staat irgendwie laut. Das ist vielleicht ja auch eine berechtigte Frage. Wie wird sich staatliche Threat Intel vielleicht verändern? Vielleicht, wie wird sie sich verändern müssen, wenn an manchen Stellen der Druck irgendwie mehr wird? Oder wird es andere Institutionen geben? Also wie gesagt, so was Genossenschaftliches oder irgendwie so Vereinigungen, Zusammenschlüsse, Vereine wie auch immer, die dann versuchen, vielleicht Threat Intel für bestimmte Bereiche, für bestimmte Arten von Organisationen wie Stadtverwaltungen irgendwie zu machen? Geht das überhaupt? Das ist für mich so eine offene Frage, die man vielleicht hier herausnehmen kann.

01:10:18 Matthias Schulze: Das ist der Call to Action. Wenn ihr dazu Ideen habt, dann dann lasst die uns bitte wissen, weil wir tappen hier im Dunkeln. Und das ist ja vielleicht auch eine schöne Frage für die Expertinnen und Experten da draußen, die da vielleicht auch ganz viele tolle Ideen oder vielleicht sogar ein Business Case für haben.

01:10:34 Christian Dietrich: Ja, wir hoffen, euch hat diese kollaborative Folge gefallen, und wir würden uns freuen, wenn ihr uns ein bisschen Feedback da lasst, vielleicht auf Twitter unter @armchairgators oder unter @perception mit  … das ist zu kompliziert. Wir machen es einfach in die Shownotes.

01:10:53 Lars Wallenborn: Irgendwo ist eine eins?

01:10:54 Matthias Schulze: Genau ja! Oder www.percepticon.de für die oldfashioned People unter euch, die gerne noch URL’s und Websites ansurfen.

01:11:03 Lars Wallenborn: Mir hat es jedenfalls Spaß gemacht. Es würde mich freuen, wenn ihr uns alle Folgen auf allen Plattformen, die ihr irgendwie habt, liked und subscribed und weiß ich nicht Sterne da lasst und Bewertung bei Apple … Ich weiß überhaupt nicht, wie dieser ganze Content Producer Kram geht, aber wäre cool, wenn ihr uns da was da lasst. Und ja, hat mir jedenfalls Spaß gemacht, und ich wünsche euch einen schönen Tag, oder Abend.

01:11:24 Matthias Schulze: Das Wichtigste ist, alle Armchair Investigators Folgen noch mal zu hören und am besten doppelt und dreifach auf allen verschiedenen Plattformen. Das wäre meine Empfehlung. Spaß beiseite. Mir hat es auch ganz viel Spaß gemacht. Ich glaube, das war eine ganz gute Mischung, die technische und die sozialwissenschaftliche Perspektive hier zusammenzubringen, war eine gute Sache. Vielen Dank dafür.

01:11:43 Lars Wallenborn: Danke dir auch.

01:11:44 Christian Dietrich: Danke auch von meiner Seite. Vielen Dank war echt lustig mit euch, hat Spaß gemacht, und bis bald.

#6 Evolution von Ransomware

Wie hat sich Ransomware entwickelt, dass heute eine signifikante Bedrohung von ihr ausgeht? Was sind Ransomware as a Service oder Double Extortion? Welche Belohnung gibt es für Hinweise, die zur Ermittlung eines Ransomware-Gang-Mitglieds führen? Diese Fragen beleuchten wir in der aktuellen Folge und ordnen vermutlich eines der ersten Urteile in Deutschland zu malwaregestützten Ransomware-Vorfällen ein.

Shownotes

Transkript anzeigen...

Folge 6 – Die Evolution von Ransomware

[00:24] Dedicated to prosecuting ransomware hackers to the full extent of the law.

[00:32] Hallo liebe Cyberfreunde. Mein Name ist Chris. Ich bin Professor für Cybersicherheit an der Westfälischen Hochschule.

[00:37] Und ich heiße Lars und ich arbeite für CrowdStrike als Softwareentwickler und Malware Reverse Engineer.

[00:43] Wir nehmen diese Folge auf am 11.11.2021, also Alaaf oder Helau, je nachdem, wo ihr euch gerade so aufhaltet.

Was wir eben gehört haben, war Joe Biden mit einer Aussage von Mai 2021 und die kam eben in Reaktion auf den Ransomware-Angriff auf Colonial Pipeline. Colonial Pipeline ist eine Öl-Pipeline in den USA über Land, die für die Ölverteilung im Osten der USA maßgeblich mitverantwortlich ist und die in Folge eines Ransomware-Angriffs abgeschaltet wurde. Das hatte dann so ein paar Effekte, wie zum Beispiel, dass einige Tankstellen wohl Engpässe in der Treibstoffversorgung erlebt haben.

[01:21] In dieser Folge soll’s darum gehen, was Ransomware ist. Ich meine, das wissen wahrscheinlich schon viele hier, aber auch, wo sie herkommt und was es für Entwicklungen gab in der ganzen Ransomware-Szene und vielleicht auch, wo die Reise hingeht. Denn Ransomware gibt es schon seit mittlerweile Jahrzehnten und hat einige Evolutionsschritte durchgemacht. Wir wollen also aufzeigen, was denn wichtige Schritte in dieser Entwicklung eigentlich waren.

Und dafür haben wir uns überlegt, dass wir die Folge in zwei Teile aufteilen und im ersten Teil konzentrieren wir uns auf die verwendete Malware, da werden wir erst über sogenannte Fake AV reden, dann über Screenlocker und dann über Cryptolocker. Und im zweiten Teil verdeutlichen wir dann die Evolution des Gesamtökosystems. Also werden solche Sachen eine Rolle spielen wie Ransomware as a Service und auch Kryptowährungen im Allgemeinen oder Dedicated Leak Sites, Double Extortion und, auch Auktionen werden wir da ansprechen.

[02:14] Was aber alle Entwicklungen, die wir hier betrachten, gemeinsam haben, ist eben der Bezug zu Ransomware und darunter verstehen wir eben, dass ein Akteur Lösegeld verlangt. Es geht also um Erpressung.
Und außerdem, um das auch noch ein bisschen weiter abzugrenzen, wollen wir uns konzentrieren auf Aktivität, die auch Malware verwendet. Also wir wollen’s explizit abgrenzen von DDoS Extortion und all diesen ganzen Kram den’s da auch noch gibt. Also wir wollen uns konzentrieren auf Fälle, in denen Malware zum Einsatz kommt. Wahrscheinlich hat Ransomware seine Ursprünge schon deutlich früher, aber ein signifikanter Entwicklungsschritt ist so 2009/2010 passiert.

Von Fake-AV über Screenlocker bis Ransomware as a Service

[02:53] Nämlich mit Fake-AV. Auf Deutsch so was wie gefälschte Antiviren-Software, ist eben Software, die vorgibt eine Antiviren-Software zu sein, aber in Wirklichkeit eben keine ist. Diese Software suggeriert, dass der Rechner infiziert sei und man eben gegen Geld desinfiziert werden könnte. Das Problem ist eben, selbst wenn man bezahlt, passiert in der Regel nichts.

[03:18] Das ist also mehr so eine Farce und es gab eigentlich in gewisser Weise gar keinen Virus, der auf dem Computer ist und diese Fake-AV-Software hat nur so getan, als wäre sie ein Virenscanner und eigentlich wird dann nur die Meldung ausgeblendet.

Fake-AV

[03:30] Und wir haben jetzt ein ziemlich fancy Feature von einigen Podcast-Playern mal versucht zu benutzen. Wir versuchen euch nämlich einen Screenshot einzublenden von einem solchen Befall, einer solchen Fake-AV-Familie, damit man vielleicht so ein Gefühl dafür bekommt, was denn die Benutzer an einem infizierten Rechner da so gesehen haben.

[03:49] Und von dieser Art und Weise gibt’s heute auch noch sehr Low-Tech-Varianten sage ich mal. Also es gibt manchmal so Werbebanner, das äh manchmal rufen ja so Verwandte an und sagen Hilfe, mein Computer ist infiziert, weil auf irgendeiner Webseite ein Werbebanner angezeigt wurde, das gesagt hat, der Computer ist infiziert und das ist halt, da ist noch nicht mal Malware im Einsatz. Es ist so einfach, wie es nur werden kann. Darauf basierend gibt’s dann meistens auch noch so einen Text-Support-Scam, also da kann man sich auf YouTube auch ganz lustige Videos angucken von Leuten, die nur so tun, als wären sie diesen diesem Scam anheimgefallen. Da werden Opfer dazu gebracht, eine Tech-Support-Hotline anzurufen und werden dann eigentlich erst dabei wirklich mit Viren infiziert und so weiter.

Screenlocker und eine Verurteilung in Deutschland

[04:30] Wahrscheinlich mit die nächste Evolutionsstufe war dann etwa 2012. Da betreten nämlich Screenlocker die Bühne. Das kennt man vielleicht noch, einige erinnern sich vielleicht an BKA-Trojaner. Damit meinen wir jetzt eben nicht sowas wie den Bundestrojaner, also im Prinzip Quellen-TKÜ, sondern es geht hier um eine Schadsoftware, die den Zugang zum Rechner sperrt und vorgibt zum Beispiel von einer Strafverfolgungsbehörde zu sein, wie eben dem Bundeskriminalamt.

Und das ist ein bisschen eine Weiterentwicklung zu dieser Fake-AV Sache, weil jetzt wirklich was passiert ist mit dem Computer, der infiziert wurde. Also vorher wurde nur eine Meldung angezeigt, du hast einen Virus und jetzt macht dieser Screenlocker, na ja, das was der Name schon sagt, der zeigt irgendwie, ja was im Vollbild an oder so, sodass man den Computer nicht mehr benutzen kann, wenn man jetzt technisch nicht versiert genug ist, den Autostaat auszuschalten oder sowas.

Diese Malware-Gruppe bezeichnen wir so eben als Screenlocker und was ganz interessant ist, dass wir relativ aktuell ein interessantes Ereignis dazu hatten, nämlich im Oktober diesen Jahres, also 2021, wurde ein Mitglied einer Akteursgruppe rechtskräftig verurteilt, und das für eine Operation, die schon vor neun Jahren begann. Also rechtskräftig verurteilt hier in Deutschland das ist der wichtige Punkt hier. Es gibt einen Akteur, dessen Kerngruppe seit Ende 2012 aktiv ist, eben in dieser Operation und aus dem Urteil ist klar, dass der Tatzeitraum des Beschuldigten hier im Zeitraum 20013 bis 2015 liegt. Was war da passiert? Da wurde eben Lösegeld gefordert, beziehungsweise eine Gebühr zur Freischaltung des Rechners in Höhe von 100 Euro.

[06:11] Die Zahlung sollte damals über PaySafeCard oder Ukash passieren. Das sind Zahlungsmittel, wo man gegen einen Betrag eine PIN erhält und diese PIN kann man dann eben verschicken oder versenden, auch eben digital. Und an einer anderen Stelle kann man eben diese PIN sozusagen eben wieder zu Geld machen oder das Geld irgendwie rausbekommen aus dem System unter der Voraussetzung, dass die PIN eben korrekt ist. Diese Malware hat vorgegeben oder vorgegaukelt, dass man illegale Downloads vorgenommen hätte oder auf dem Rechner Dateien mit verbotenem, teilweise eben kinder- oder tierpornografischem Inhalt gefunden wären.

[06:49] Die Sperrbildschirme dieser Malware sind in 44 Sprachen übersetzt worden. Dabei fiel auf, dass es eben keine Varianten für China, Russland oder die Ukraine gab.

Die Tatsache, dass es 44 Sprachen sind zeichnet auch schon ein Bild davon, was das für eine Operation ist. Das ist ein Riesending. Da haben sich wirklich Leute hingesetzt, das internationalisiert für verschiedene Sprachen und so, Wahrscheinlich involviert das viele Leute mit verschiedenen Zuständigkeiten und Spezialisierungen. Also das ist mehr als ein als nur so ein Einzeltäter, der so eine Kleinigkeit da irgendwie bei sich zu Hause im Keller macht. Genau.

Spulen wir vor in den Oktober 2021. Das Urteil ist mittlerweile rechtskräftig. Der Beschuldigt ist es zu mehr als vier Jahren Freiheitsstrafe verurteilt worden. Aber warum ist dieser Fall überhaupt erwähnenswert aus unserer Perspektive? Maßgeblich würde ich sagen aus mindestens zwei Gründen, nämlich erstens, es verdeutlicht sehr gut die Organisation und Aufgabenteilung in so einer Akteursgruppe, wie du gerade schon beleuchtet hast. Das eben auch schon seit damals, das heißt also mindestens seit 2012, also neun Jahre zurück.

Grob gesagt zu diesem Zeitpunkt hat das BKA oder wer auch immer da ermittelt hat, schon herausgefunden, wer es war um da ein Verfahren anzustreben, um dann da Leute anzuklagen und so. Da hat Attribution stattgefunden und das ist auch schon zehn Jahre her. Richtig, also das LKA Baden-Württemberg hat da, glaube ich, maßgeblich so die Strafermittlung durchgeführt, [08:12] hat den Fall, also damals so weit ermittelt, dass mutmaßlich eben ein Haftbefehl erging und wie du sagst, eben damals schon Attribution gemacht.

Das finde ich ist ein wichtiger Punkt, weil, das unterstreicht mal wieder, dass Attribution eine Rolle spielt und dass wir das quasi machen müssen, um überhaupt was gegen diese Kriminellen in der Hand zu haben.

Die Verhaftung erfolgte dann am Flughafen Wien im März 2020. Dann erfolgte eben eine Auslieferung an deutsche Behörden.

[08:40] Aus der Perspektive dieses Akteurs ist das natürlich auch irgendwie krass. Der hat dann seit fünf Jahren damit nix mehr zu tun gehabt. Der soll das irgendwie unterstützt haben von 2013 bis 2015. Fünf Jahre später fährt er nach Wien, hat vielleicht überhaupt nicht mehr dran gedacht, dass er vor fünf Jahren mal ein Verbrechen begangen hat und da gab’s dann wohl einen Auslieferungsvertrag und dann wurde er ausgeliefert an die deutschen Behörden. Wenn man jetzt nochmal versuchen möchte, einzuschätzen, „welche Rolle hatte diese Person?“, dann muss man sagen, das ist jetzt kein oder mutmaßlich eben kein Mitglied der Kerngruppe, sondern das war jemand, der hat ein festes Gehalt bekommen, also etwa tausend Dollar, glaube ich, pro Monat, hat Wartungsaufgaben von der Serverinfrastruktur und so weiter übernommen. Also der hatte da schon irgendwie einen signifikanten Anteil, aber man würde ihn wahrscheinlich nicht irgendwie so zur Kerngruppe zählen.

[09:25] Soweit ich weiß, fahndet man nach wie vor nach diesen Mitgliedern der Kerngruppe. So, das heißt, wir haben jetzt über Fake-AV geredet, 2010, Screenlocker 2012, so als kleine Seitennotiz, man könnte jetzt sagen Screenlocker, das habe ich ja noch nie gehört, das ist kein Ding mehr auf Computern, wegen der Entwicklung, die wir gleich sagen werden. Screenlocker spielen auf mobilen Endgeräten aber immer noch eine Rolle, also so auf Handys und Smartphones und so. Das liegt daran, dass wahrscheinlich das, was wir jetzt gleich erklären, auf Smartphones schwerer ist, und dass na ja, wenn so eine App immer wieder nach vorne geht, das trotzdem vielleicht Leute noch dazu bringt, das einfach zu bezahlen, damit dieses Problem gelöst ist und so weiter.

Cryptolocker und Ransomware as a Service

[10:00] Also das heißt Screenlocker sind jetzt grade auf Computergeräten ein bisschen aus der Mode gekommen, weil dann die sogenannten Cryptolocker sehr viel mehr in den Fokus gerückt sind und
damit meinen wir Malware, die ihre Erpressung dadurch ausführt, dass sie die Dateien auf dem Computer verschlüsselt mit irgendeinem Verschlüsselungsverfahren und
den Schlüssel nur dem Akteur zur Verfügung stellt und danach kann der Akteur den Schlüssel herausgeben, wenn das Opfer bezahlt und sonst nicht. Das ist dann quasi das Lösegeld, das da erpresst wird.
Wahrscheinlich die erste signifikante konkrete Malwarefamilie in dem Kontext hat man eben auch als Cryptolocker bezeichnet, so wie wir jetzt sozusagen diese ganze Gattung vielleicht auch bezeichnen würden,
die war 2013 aktiv, ist dann im Rahmen der Operation Tovar, vom FBI da maßgeblich geleitet, aber mit Ermittlungsbehörden in vielen Ländern irgendwie durchgeführt.

[10:55] Ehm, wie fing der Satz nochmal an? Oh wenn du’s selber nicht schaffst, dann ist er zu lang. Ja, ich glaube auch, genau. Ähm.

[11:08] Damals ist Evgeniy Bogachev als einer der Haupttäter identifiziert worden und in den USA auch angeklagt worden, aber er ist eben bis heute nicht gefasst.

[11:18] Das heißt, diese ganze Art nennen wir Cryptolocker. Verwirrenderweise hieß diese Familie, die wir jetzt gerade beleuchten hier von 2013 auch Cryptolocker, aber so ist es halt. Manchmal ist es halt verwirrend. Und das ist Ransomware, wie man sie heute kennt. Wenn man heute von einem Ransomware-Angriff redet, dann ist das die Methode, die da verwendet wird, um das Lösegeld oder eine der Hauptmethoden, die da verwendet wird, um das Lösegeld zu erhalten. Also 2013, das jetzt auch 8 Jahre her, also so lange gibt’s das schon und so lange entwickelt sich das schon.

Das heißt, der nächste Schritt, der nächste Evolutionsschritt, der passiert eigentlich eher aus so einer wirtschaftlichen Perspektive. Ja, man versucht nämlich, so eine Art Franchise-System da irgendwie einzuführen. Man unterscheidet jetzt zum einen die tatsächliche Software zu entwickeln und die Infrastruktur zu betreiben, und zum anderen, ja, die sogenannten Affiliates, die jetzt Ziele kompromittieren und diese Ransomware zum Einsatz bringen. Das ist eine ganz klassische Aufgabenteilung, wie man sie vielleicht in der Wirtschaft auch sehen würde. Ja, also diese zwei Gruppierungen, die du gerade erwähnt hast, die

[12:19] spezialisieren sich jetzt einfach auf das, was sie halt tun. Die einen können jetzt gut Software entwickeln und Infrastruktur betreiben und die anderen, die können gut Access kriegen und dann die ganzen Sachen machen, die man da so macht. Und das ist ein Trend, den ja gibt’s ungefähr seit 2016, das bezeichnet man als Ransomware as a Service, so ein bisschen wie Software as a Service und dieser Service, der da angeboten ist, das ist quasi diese erste Gruppierung, die die Ransomware zur Verfügung stellt, für andere Kriminelle, die sie dann verwenden, um ihre Ziele zu kompromittieren. Und eine der großen Familien sind und waren, da die Dharma und GandGrab und REvil oder Revil und Darkside zum Beispiel. Da übrigens ein kleiner Verweis auf unsere Folge Nummer 3, die Erpressung der Uniklinik Düsseldorf. Da kam nämlich die DoppelPaymer-Ransomware zum Einsatz und die wird auch betrieben in einem Ransomware as a Service Modell. Jetzt hast du ganz viele Namen da erwähnt, das hat ja auch zum Hintergrund, dass es da so einen Trend gibt, denn die Akteure betreiben ja so ein Re-Branding, ne? Das heißt also, es ist durchaus so, dass man neue Namen für die Malware vergibt.

[13:21] Aber es verbirgt sich der gleiche Akteur möglicherweise noch dahinter, ne? Also wir haben gesehen, GandCrab beispielsweise war so ein Malware-Familienname, der irgendwann verschwunden ist und stattdessen sehen wir jetzt REvil oder wie heißt das noch gleich, Sodinokibi oder so? Ja, keiner hat das so genannt, aber ja, eigentlich heißt es Sodinokibi.


Ja und das ist natürlich ein ganz verwickelter Prozess, wenn man sich überhaupt mal überlegt, wie Malware überhaupt benannt wird. Manchmal vergeben Malware-Analysten den Namen für Malware, manchmal vergeben die Malware-Autoren ’nen Namen. Jetzt gerade bei Ransomware as a Service gibt’s da ja auch eine Marke, die da vermarktet wird unter Kriminellen, also da ist dann der REvil Ransomware as a Service, der ist besonders leistungsstark, weil die Verschlüsselung sicher ist und weil das immer alles so gut funktioniert und Virenscanner die Malware nicht detecten und so weiter.
Das heißt, da gibt’s ein Label und eine Marke, um die es darum geht und manchmal, wie du gerade gesagt hast, gibt sich so eine Marke auf, aus welchen Gründen auch immer und dann gibt’s eine neue und das ist eine große Herausforderung natürlich dann für Malware-Analysten, dann kommt da so eine neue Malware und dann muss man sich überlegen, ist das jetzt eine andere oder hat da einfach nur jemand drei, vier Funktionen hin und her geschubst und das ist eigentlich noch die gleiche. Ja da spielt technische Analyse eine riesengroße Rolle, um da so ein bisschen Struktur reinzubringen.

[14:42] Da ist man wieder beim Clustering-Schritt der Attribution zum Beispiel, ne? Das haben wir auch schon in ein paar Folgen erwähnt. Haben wir noch weitere Beispiele für das Re-Branding? Ich glaube hier Darkside, ist so eine Marke, die verschwunden ist, wo man jetzt sagt, dass Blackmatter der Nachfolger ist und im Fall von Doppelpaymer, glaube ich, wird auch gemutmaßt das Grief der Nachfolger ist, ne?
Darkside und Blackmatter finde ich übrigens extrem verwirrend, weil es es gibt ja also ja, es gibt DarkMatter und jetzt gibt’s Darkside und Blackmatter, sie müssen sich jetzt nur noch, Blackside nennen, dann ist die Verwirrung komplett. Ist ein bisschen wie Fancy Lazarus.

Kryptowährungen und Bitcoin

[15:18] So und jetzt gibt es einen wichtigen Innovationsschritt, der den Finanzfluss für Ransomware-Akteure deutlich vereinfacht hat und das sind Kryptowährungen.
Wenn man sich das mal so anguckt, also angefangen hat das, wie wir gerade irgendwie gesagt haben bei diesem BKA-Trojanern und so mit so Paysafe-Karten oder Ukash oder Moneypak oder Amazon-Geschenkgutscheinen, sage ich mal. Das nehme ich auch einfach mal als Beispiel, weil sich das jeder gut vorstellen kann. Also so ein Amazon-Geschenkgutschein haben wahrscheinlich so einige von unseren Zuhörerinnen auch schon bekommen. Quasi man kriegt so einen Code und den kann man dann bei Amazon eingeben und dann kann man bei Amazon für diesen Betrag etwas kaufen. Das ist halt so ein ich sage mal so ein Finanzmittel, wo der Code selber das digitale Gut ist und da geht dann auch jede Möglichkeit verloren herauszufinden, wer den Code an wen geschickt hat. Das ist so ein bisschen die Bargeld, aber halt digital.
So und diese ganzen, diese ganzen Sachen, die ich gerade aufgezählt habe und auch die Amazon-Geschenkgutscheine haben natürlich ein Skalierungsproblem.

Man hört jetzt ja in den Medien über Millionen Euro Lösegeldzahlungen und so weiter und das wäre nicht möglich mit Amazon-Geschenkgutscheinen. Das wurde erst möglich durch Kryptowährungen, wie zum Beispiel Bitcoin. Also ich werde jetzt mich hier mal hier ein bisschen bei der Erklärung auf Bitcoin konzentrieren, aber eigentlich kann man sich immer im Kopf vorstellen, es geht um Kryptowährungen im Allgemeinen. Ich würde sagen, das war ein Riesenboost, den da die Ransomware-Akteure erhalten. Auf jeden Fall.

[16:49] Wie funktioniert denn Bitcoin? Lass uns das mal kurz umreißen vielleicht.

Lass uns das mal grad in zwei Stunden umreißen wie Bitcoin funktioniert. Also ich versuche das jetzt einfach mal wirklich in einer Minute kurz zu erklären. Da lasse ich jetzt einige Sachen mal weg.

Das ist aus Perspektive super nützlich im Vergleich auch zu sowas wie Amazon Geschenkgutscheinen, weil Bitcoin sehr viel leichter flüssig zu machen ist. Also wie wird das Laufen bei einem Amazon Geschenkgutschein, wenn man einen, sagen wir mal, 100 Amazon-Geschenkgutscheine jeweils im Wert von 100 Euro. Dann muss man jetzt für 10.000 Euro Sachen bei Amazon kaufen und die muss man wieder verscherbeln, damit man das in Bargeld kriegt oder vielleicht kann man die auch wieder zu Geld umtauschen, aber da ist viel Reibung vorhanden und da geht viel bei verloren.
Kryptowährungen haben diese Reibung quasi komplett oder fast komplett abgeschafft. Es gibt ein paar andere Probleme, da gehen wir gleich auch kurz drauf ein. Vor allem, also neben der Tatsache, dass es da Reibung, dass die Reibung da verringert wurde ist es auch viel skaliererbarer geworden. Also wie gesagt: Zehn Millionen Dollar in Kryptowährungen ist sehr viel leichter zu kriegen als zehn Millionen Euro in Amazon-Geschenkgutscheinen.

Jetzt ist die Blockchain von Bitcoin ja anonym, aber öffentlich. Genau, mit Blockchain meinst du jetzt das, was ich eben immer so versteckt habe hinter dem Begriff Kassenbuch. Also dieses Kassenbuch ist öffentlich, da kann jeder reingucken. Wenn man jetzt solchen Fragen nachgeht, „wie viel verdienen die denn im Rahmen von so ner Ransomware-Kampagne?“, woher weiß man das dann?

[19:15] Genau, so als Analyst kann man dann hingehen und versuchen, diese Empfängerkontoadresse zu identifizieren, die zu einem Ransomware-Akteur gehört und dann guckt man einfach in diesem öffentlichen Kassenbuch nach, wie viel Geld da drauf eingegangen ist. …“Follow the money!“…
Es ist einfach eine öffentliche Information. Und jetzt könnte man natürlich sagen, ja hm, wenn das alles öffentlich ist, dann muss das ja auch irgendwann wieder flüssig gemacht werden und dann guckt man sich einfach an, wo das flüssig gemacht worden ist. Einige Kryptowährungen lösen dieses „Problem“, indem sie auch noch, Finanzflüsse verschleiern, aber Bitcoin macht das nicht und Bitcoin ist immer noch viel im Einsatz bei Ransomware weil es leicht zu bekommen ist so relativ leicht was Kryptowährungen, also was Kryptowährungen angeht ist Bitcoin noch relativ leicht zu kriegen. Und diese Währung hat dann aus Perspektive das Problem, dass man sehen kann, wo das Geld wo hingeflossen ist und dafür gibt es jetzt mehrere Lösungen. Also Verschleierung sozusagen, ne? Genau aus Akteursperspektive und eines der großen Dinger da sind sogenannte Mixer-Services heißen die.

[20:20] Ich erkläre mal kurz, wie das aus der Perspektive aussieht. Da geht man auf so eine Webseite, dann gibt man da ein paar Empfängeradressen an, die ich unter meiner Kontrolle habe als Akteur. Dann kann man da so eine Servicegebühr noch auswählen, sollte man wahrscheinlich zufällig machen, damit das nicht so sehr auffällt. Dann gibt man auch so ein Zeitintervall und eine Verzögerung ein und was ich dann bekomme als Akteur ist eine weitere Bitcoin-Adresse, auf die ich dann Geld einzahlen soll. Und dieser Mixer-Service nimmt dieses Geld dann auf diese Adresse, verteilt das auf alle anderen Adressen und dann habe ich das Geld quasi wieder zurück. Jetzt könnte man denken, was ist denn das? Das nutzt ja irgendwie gar nichts und de facto bedeutet das, man versucht hier Kryptowährungen zu waschen. Genau, das ist einfach Geldwäsche im klassischen Sinne, weil wenn man sich das dann auf also in diesem Kassenbuch anguckt, dann sieht man da nur ein riesengroßes Konto, das den Mixerservice gehört.

Also man kann tatsächlich jetzt vor, das sind jetzt drei Parteien, A, B und C und die verwenden diesen Mixer-Service, dann sieht man nur, dass Transaktionen von diesen drei Parteien A, B und C da reingehen und ganz viele Transaktionen an ganz viele Parteien raus.
Wenn das jetzt nicht 3 Parteien sind, sondern zehntausend, dann ist völlig verschleiert, welches Geld wo hingegangen ist. Also das eingehende Geld kann man nicht mehr oder die eingehenden Bitcoin-Beträge kann man nicht mehr mit den ausgehenden Bitcoin-Beträgen in irgendeiner Form sinnvoll inhaltlich in Verbindung bringen.

[21:42] Also klar, wenn man da Fehler macht, kann man das vielleicht doch noch machen, aber es ist erstmal auf jeden Fall sehr viel schwerer als wenn ich und wenn das Geld dann einmal gewaschen ist, wie du grade gesagt hast, dann kann man’s auf irgend so einen Exchange überweisen oder jemanden finden, der mir das dann in Bargeld umtauscht.
Oder Fiatgeld, wie man das wohl auch auf Deutsch sagt. Ja und dann kann man halt als Akteur das Geld dann auch wirklich haben.
Okay, das erklärt so ein bisschen, warum in der Folge eigentlich auch immer nur noch Kryptowährungen benutzt werden und,

Big Game Hunting, Leaks, Auktionen und Double Extortion

[22:10] Wahrscheinlich ein weiterer Entwicklungsschritt, den wir dann beobachten, ist 2017 die Malware WannaCry.
Die hatte weltweit Impact, es wurden sehr viele Systeme befallen und es handelt sich hier um den ersten bekannten Fall eines staatlichen Akteurs, der eben Ransomware verwendet.
Übrigens, das ist der gleiche staatliche Akteur, über den wir auch in Folge 1 reden, dem Cyber-Bankraub von Bangladesch.

[22:35] Genau. WannaCry war sehr medienwirksam. Also das hat damals wahrscheinlich wirklich jeder mitbekommen.
Auf Bahnhöfen wurden da irgendwie dieser berühmte Bildschirm angezeigt, an allen möglichen Orten, wo überraschenderweise Windows XP noch zum Einsatz kam und so weiter. Es war ein ja medial ein Riesending.
Wenn man sich fragt, was war denn der Erlös, dann war das damals etwa ein sechsstelliger US-Dollar-Betrag, also ich glaube so etwa 150.000 US-Dollar, zu dem damaligen Zeitpunkt.
Das hat heute natürlich deutlich mehr Wert, also wenn sozusagen die Bitcoin bis heute gehalten worden wären, dann hätten die eben wahrscheinlich einen einstelligen Millionenbereich in US-Dollar.
Das ist vielleicht nochmal ganz sinnvoll, wenn wir das gleich so ein bisschen kontrastieren zu anderen Entwicklungen, die wir da sehen.
Das war ein großer Fall, also 2017, aber wenn man das gerade was das Geld angeht, dann vergleicht mit dem, was jetzt kommt, dann war das fast noch gar nichts.
Denn jetzt kommt Big Game Hunting.

Zu Deutsch heißt das so viel wie Großwildjagd, also das wusste ich vorher auch nicht, bevor dieser Begriff berühmt geworden ist. Also als Game bezeichnet man im Englischen auch so Wild und Big Game sind dann so was wie Tiger oder Elefanten oder so was und was das in dem Ransomware-Kontext jetzt hier heißt, ist, dass man sich als Akteur nicht mehr auf so kleine Fische konzentriert. Also man versucht nicht mehr Tausende von Leuten dazu zu bringen, 100 Euro zu überweisen, [23:56] sondern man versucht eine große Institution dazu zu bringen, große Geldbeträge zu überweisen.

Anders als so die bisherige Massenabhandlung von Infektionen gestaltet sich auch die Interaktion mit dem Akteur jetzt anders. Es gibt in der Regel tatsächlich in irgendeiner Form Dialog über irgendwelche elektronischen Kommunikationsmittel. Das kann per E-Mail passieren über irgendwelche Online-Chats. Es kann vielleicht getriggert werden, sogar durch Anrufe.

[24:22] Und häufig wird über den tatsächlichen Lösegeldbetrag dann wirklich verhandelt. Um vielleicht da mal so ein bisschen eine Größenordnung zu geben: Also in einem Fall gibt es ein bestätigtes Lösegeld in Höhe von 740.000 US-Dollar. Da geht es um einen Bitpaymer-Vorfall. Links dazu packen wir euch in die Shownotes. Das heißt, ein einziger Big Game Hunting Incident stellt mitunter den gesamten Erlös von zum Beispiel WannaCry mit seinen 150.000 US-Dollar in den Schatten. Und als Akteur heißt das, die Menge an Geld, die ich machen kann, ist eigentlich nur beschränkt durch die Anzahl der Firmen, die ich kompromittiere und die Anzahl der Leute, die ich damit beschäftige, diese Aktivitäten durchzuführen.

[25:06] Das ist wahrscheinlich der Grund, warum Big Game Hunting heute fast alle Ransomware-Akteure machen. Es gibt nur noch sehr wenige Ausnahmen, die eben Ransomware verteilen und nicht Big Game Hunting machen. Vielleicht — da weiß ich nicht ob’s wirklich so war — aber vielleicht haben da Leute angefangen Backups zu machen, weil Backups helfen ja sehr gegen Ransomware. Dann kann man einfach sagen, behalt doch eure Kryptoschlüssel, ich stelle meinen Backup wieder her und funktioniere wieder. Dann gab’s nämlich 2019 eine neue Entwicklung und die nennt man im englischen Double Extortion, also zu deutsch soviel wie doppelte Erpressung. Und die erste Ransomware, die das gemacht hat war die Maze Ransomware und Double Extortion heißt, dass man nicht nur die Daten verschlüsselt, sodass sie das Opfer nicht mehr zur Verfügung hat, sondern auch noch die Daten vorher runterlädt, bevor man sie verschlüsselt als Akteur und dann noch zusätzlich damit droht, die Daten zu veröffentlichen, also zu leaken. Das heißt aus einer Opferperspektive habe ich jetzt zwei Motivationen zu bezahlen, nämlich erstens die Daten selbst wiederbekommen, zumindest wenn ich kein Backup habe und zweitens vermeiden, dass die Daten publik werden oder geleakt werden.

[26:06] Das ist natürlich aus vielerlei Hinsichten eine sehr wirksame Motivation, weil ich möchte als als Firma vielleicht nicht, dass meine Konkurrenten die Daten bekommen, vielleicht sind da irgendwelche Geschäftsgeheimnisse drin, dann steht auch immer dieses GDPR und Datenschutz Damoklesschwert da, also vielleicht gibt’s da noch ganz viele Gerichtsverfahren, wenn diese Daten öffentlich werden und als Firma wird’s auch schwer, Partner zu finden, also Business-zu-Business zu machen und so weiter. Also es ist ein sehr wirksamer Motivator.
Das heißt aber auch, dass Backups hier nicht mehr helfen in der Regel, ne? Genau, also wenn ich hier vermeiden will, Ransom, das Lösegeld zu bezahlen, dann brauche ich nicht nur Backups, sondern es muss mir auch egal sein, dass die Daten dann auch öffentlich sind und das ist wirklich selten der Fall.
Jetzt gibt’s einen Trend, nämlich diese Leaks, die werden angekündigt.

[26:51] Ja genau und auf sogenannten Dedicated Leak Sites. Das kann man sich so vorstellen. Die Akteure, die betreiben Blogs, also auch im Dark Web, also nur über Tor erreichbar und so und das sind einfach Seiten, auf denen steht ein Post nach dem anderen mit geleakten Daten von Firmen, die kompromittiert wurden. Und das hat so eine Dynamik natürlich verursacht, dass wenn man jetzt als Journalist Interesse daran hat, Artikel zu schreiben, will man natürlich auch diese Blogs von den Akteuren die ganze Zeit im Auge behalten, weil sobald da ein neuer Post draufkommt, kann ich als Journalist einen neuen reißerischen Artikel dazu schreiben, dass schon wieder eine Firma kompromittiert… würde ein seriöser Journalist natürlich nicht machen. Natürlich nicht, aber es passiert natürlich trotzdem, dass so eine richtig schöne, dreckige Internetdynamik, um die Klicks noch weiter zu erhöhen und den machen sich hier die Akteure zu Nutze, um die Zahlungswilligkeit der Opfer zu erhöhen.
Ist schon ein dreckiges Geschäft. Das können wir drin lassen, gefällt mir.

[27:47] Eine weitere natürliche Weiterentwicklung von solchen Dedicated Leak Sites ist jetzt, dass ich als Akteur diese Daten nicht einfach kostenlos zur Verfügung stelle, sondern auch noch selber versteigere. Das muss man sich jetzt überlegen. Also das ist jetzt so weit weitergegangen, dass es jetzt so, eBay-artige Seiten gibt, auf denen kann man auf Leaks bieten und dann wird das an den Höchstzahlenden quasi wird dieser Leak weitergegeben.

[28:13] Wahrscheinlich, also in einem Versuch noch einen weiteren Einnahmestrom zu generieren haben Akteure das halt gemacht. Der erste Fall, den wir jetzt hier gefunden haben, der das war im Juni 2020, da war das die REvil Ransomware oder Sodinokibi, wie du sie eben genannt hast, und die haben halt diese sensitiven Daten, die sie da von Opfern geklaut haben, dann noch im Darkweb versteigert.
Und wie sich das anhört, wenn man als Opfer von so einer fortgeschrittenen Ransomware betroffen ist, das wollen wir uns jetzt mal anhören.

[29:23] Das war ein Audioschnipsel eines Anrufs im Rahmen eines Suncrypt-Vorfalls, also eine Ransomware, die als Suncrypt bezeichnet wird. Hier wurde in der Opferorganisation angerufen und eben ja entsprechend informiert über diesen Vorfall. Dieser Audioschnipsel wurde von Sophos veröffentlicht. Quellen wie immer in den Shownotes. Was ich daran besonders bemerkenswert finde, auf eine morbide Art und Weise bemerkenswert, ist, dass dieser Typ, der da spricht, für den ist das so völlig routiniert, der… ich weiß es nicht, … der hatte wahrscheinlich schon 20 von solchen Anrufen gemacht, hello, we are Suncrypt…

[29:58] Das ist so so richtig routiniert. Das gibt mir richtig den Eindruck, dass da jemand einen Bürojob macht.
Und das ist aus unserer Sicht jetzt, was die Entwicklung angeht, auch der letzte Schritt in dieser Evolution von zumindest, wie wir sie bis heute gesehen haben.

Schlussfolgerungen und Ausblick

[30:15] Lars, lass uns mal versuchen, ein paar Schlussfolgerungen zu ziehen und vielleicht so ein bisschen auch einen Ausblick zu wagen. Also wir haben gesehen, Ransomware gibt es schon ziemlich lange.
Aber ich glaube, jetzt passiert auf der Policy-Ebene international gerade sehr, sehr viel. Auf jeden Fall, ich meine, der Audioschnipsel, den wir ganz am Anfang eingespielt haben, da wurde Ransomware plötzlich zur Chefsache. Da hat der Präsident der Vereinigten Staaten gesagt, dass sie sich jetzt Ransomware annehmen, das ist schon ein ganz klares Signal dafür, dass da jetzt wahrscheinlich was passiert. Das ist eine superinteressante Entwicklung. Wenn man sich vorstellt, Biden ist ins Amt gekommen. Dann gab es diese signifikanten Vorfälle maßgeblich gegen Ziele in den USA, also Colonial Pipeline im Mai 2021, JBS Ransomware, auch im Mai 2021 und im Juni 2021 gab’s dann eben ein Gespräch zwischen Biden und Putin.

[31:11] Warum? Na ja, weil man eben maßgeblich da Köpfe hinter diesen Ransomware-Kampagnen in Russland vermutet. Es gab dann auch nochmal ein Telefonat mit beiden im Juli 2021 und in der Folge wurde’s auch zunächst mal still um die ein oder andere Gruppe, ne, REvil zum Beispiel.

Zwei Gedanken dazu. Das Erste ist, wenn man Biden-Interviews dazu sieht, legt er schon immer viel Wert darauf, dass noch nicht klar ist, was das mit Russland zu tun hat und ob das überhaupt was mit Russland zu tun hat. Also da macht ein Politiker wirklich Politik.
Aber genau, auf der anderen Seite scheint es auch so zu sein, dass einige der Akteure da drauf reagieren. Das kann natürlich ganz viele Gründe haben.

Und jetzt, finde ich, gibt es auf einer Policy-Ebene einen ziemlich deutliches Signal, denn im, Oktober 2021 gab’s einen Gipfel, ein Gipfeltreffen zum Thema Ransomware und das war von den USA gehostet, aber insgesamt haben 30 Nationen dran teilgenommen. Und Russland war nicht eingeladen und ich glaube, das sendet auf jeden Fall schon mal ein ganz klares Signal, das setzt sich in meinen Augen auch fort in der Entwicklung, die wir danach sehen, nämlich, dass es jetzt eben massive Strafverfolgungs-Anstrengungen gibt und auch Erfolge, also eine ganze Reihe an Festnahmen in dem Kontext, Indictments, und eben auch Belohnung — manche würden sagen Kopfgelder. Also so wurden eben im November 2021 Belohnungen ausgesetzt in Höhe von 10 Millionen US-Dollar für sachdienliche Hinweise zur Ermittlung von führenden Persönlichkeiten, Schlüsselfiguren in solchen Ransomware-Gangs, und 5 Millionen US-Dollar für die Ermittlung von Affiliates, also von Akteuren, die quasi eine Ransomware in so einem Servicemodell einsetzen.

Da sieht man auch ganz klar, wie viel Geld dahinter steckt, ne. Also da wird richtig Schaden verursacht und deswegen ja, greifen da auch quasi Regierungsinstitutionen tief in die Tasche, um da irgendwie, Kopfgelder auszusetzen und ich glaube, solche Dinge sind dringend notwendig, wenn man diesem Ransomware-Trend, was entgegensetzen will, weil das sich so sehr lohnt. Das ist so viel Geld, was man da relativ einfach machen kann. Also ich sage immer „relativ einfach“, das ist natürlich trotzdem noch aufwendig, so eine Operation zu betreiben und diese Malware zu schreiben und so weiter, aber da geht’s ja dann nachher um richtig viel Geld. Also es ist zum Beispiel bei Palo Alto jetzt einen Bericht veröffentlicht und da wurden einzelne Zahlungen aufgelistet und eine dieser Zahlungen war also eine einzelner Incident, da ist eine Zahlung von 10 Millionen US-Dollar über den Tisch gegangen. Wenn ich mir als Ransomware-Akteur, wenn ich das einmal im Jahr mache, dann habe ich schon zehn Millionen im Jahr gemacht, das ist eine Menge Jahresumsatz, sage ich mal.

Du hast ja gerade diese Sache angesprochen mit diesem Ransomware-Summit und den Vereinigten Staaten und der Beziehung zu Russland und so weiter.
Was mir aufgefallen ist, bei so Interviews von Biden, die man so sieht, ist, dass der das schon immer Wert darauf legt zu sagen, ja, ist nicht klar, ob das Russland ist und ob das überhaupt was mit Russland zu tun hat.

[34:24] Jetzt kann man mal ein Gedankenspiel machen, also stell dir mal vor, die Akteure hinter dem Angriff auf die Colonial Pipeline wären Russen.
Selbst wenn die Akteure jetzt nicht state-sponsered sind, so macht es aus russischer Regimeperspektive möglicherweise Sinn, die Akteure ihr Ding machen zu lassen. Man könnte das dann state-tolerated nennen, da sie eben die Stabilität des Westens beeinflussen, indem sie kritische Infrastrukturen sabotieren. Und das aber eigentlich ja nur by accident, also nur zufällig oder als Begleiteffekt, denn im Grunde genommen ist ja davon auszugehen, dass diese Akteure tatsächlich originär eine finanzielle Motivation haben.
Was noch auffällig war, ist, dass auf einer ähnlichen Zeitskala, die wir eben beleuchtet haben mit diesen Gesprächen zwischen Russland und USA und diesen Summits und so, dass auf ähnlichen Zeitskalen auch teilweise ein Rückgang von Aktivität oder auch ein Rebranding hier und da passiert ist von so einer Ransomware-Familie. Also da kann man natürlich jetzt keine Kausalbeziehungen nachweisen, aber ein temporaler Zusammenhang besteht da auf jeden Fall.

Was glauben wir denn jetzt, wenn wir den Blick mal schweifen lassen? Wie wird’s weitergehen?

Tja, ich glaube, man kriegt da nur was gegen getan, wenn man die Kosten für die Akteure signifikant erhöht. Man kann das irgendwie versuchen durch Regulierung irgendwie versuchen zu steuern, also so was wie, man sagt:

[35:47] „Wenn eine Regierungsinstitution kompromittiert wird, darf die kein Lösegeld bezahlen.“ Ja, also das sind quasi die ultimativen Kosten, die man hier dem Akteur verursachen kann. Keine Einnahmen mehr.
Äh man könnte sagen, es gibt so Versicherungen gegen Ransomware, man könnte die zum Beispiel verbieten. Man könnte sagen, man verbietet als Gesetz, dass man Lösegeld bezahlt für Akteure. Das ist natürlich nicht überall möglich, aber das könnte man auch machen.
Oder man könnte die Abschreckung quasi erhöhen durch zum Beispiel Polizei, bessere Strafverfolgung, bessere Attribution, damit quasi die Leute, die das machen, das doch lieber lassen.
Ja, die Frage ist, helfen denn Backups? Also wir haben gesehen bei Double Extortion nicht unbedingt, ne?

[36:34] Dann muss man natürlich fairerweise sagen, Backups überhaupt erst mal anzufertigen, das kostet ja irgendwie auch Geld, also ist auch irgendwo ein Invest.
Man muss die Prozesse etablieren, anpassen, das Ganze testen, ja, insbesondere das Restore natürlich mal testen, sonst bringt ein Backup gar nix. Man muss das monitoren, da kann der ein oder andere ja schon auf den Gedanken kommen, Mensch, so ein Decrypter zu kaufen ist vielleicht billiger. Genau, wie du gerade am Anfang schon sagtest, Double Extortion hilft da auch gegen. Andererseits: Zu sagen, na ja Backups helfen nicht, deswegen mache ich keine, ist auch blöd, weil das macht’s dem Akteur einfach nur wieder leichter. Also Double Extortion verursacht auch Aufwand auf Akteursseite und den sollte man dem auf jeden Fall weiter verursachen, diesen Aufwand. Man könnte vielleicht auch meinen, dass es helfen könnte, die Daten von den Clients irgendwie wegzubewegen, dass man sagt, auf den Clients liegen gar keine Daten mehr, die Clients, also die Workstation-Rechner, die Arbeitsplatzrechner, das sind die, die betroffen werden häufig, zumindest initial.

[37:35] Und wenn da keine Daten mehr zu finden sind, dann läuft das vielleicht ins Leere, aber ich glaube, das ist zu kurz gedacht. Was meinst du? Ja genau, also, solche Big Game Hunting-Angriffe, das sind halt sehr gezielte Angriffe. Das ist nicht so ein so ein Shotgun Approach „Ich kompromittiere hier ganz viele Ziele“, sondern da sitzen wirklich Leute an der Tastatur und führen Befehle aus und das läuft dann meistens so, dass sie irgendwie in die Firma eindringen, dann irgendwie Zugriff versuchen zu bekommen auf den sogenannten Domain-Controller. Also eine zentrale Stelle in der Infrastruktur. Genau, und von da kann man dann Software installieren auf all diesen Clients und dann alles damit verschlüsseln und alle Server auch.
Genau und insbesondere auch alle Server und auch eventuell vorhandene Cloud-Infrastruktur und so weiter. Und das ist ein ist ein Layout, das ist schon in vielen Firmen so, dass auf den Clients selber eh kaum noch Daten liegen, ne? Da gibt’s irgendwie ein Netzlaufwerk und eigentlich hat man’s darauf abgesehen als Big Game Hunting-Akteur.

Wenn wir das nochmal zusammenfassen aus so einer Entwicklungsperspektive, dann können wir glaube ich schon festhalten: es findet Veränderungen statt, also man kann wirklich von Evolution sprechen innerhalb der Ransomware, es bleibt nicht einfach gleich.
Genau, diese Veränderungen sind aber getrieben. Also da gab’s immer einen Grund für. Das passiert nicht einfach von alleine, sondern da gab’s ne konkrete Notwendigkeit und die hat dafür gesorgt, dass sich diese Ransomware-Szene weiterentwickelt hat. Und wenn man das Ganze jetzt mal in die Zukunft projiziert, dann glaube ich, wäre es naiv anzunehmen, dass diese Veränderung, diese Evolution, nicht auch in der Zukunft weiter funktioniert.

[39:03] Man kann sich natürlich auch nochmal fragen, wie sieht’s denn mit dem Schaden aus, den sowas gesellschaftlich anrichtet? Und das ist wahnsinnig schwer zu ermitteln. Ich habe dazu mal eine Zahl gefunden, die US Treasury hat publiziert, dass sie 5,2 Milliarden US-Dollar in Bitcoin-Transaktionen, Ransomware-Lösegeldzahlungen zuordnen kann. Ja und das ist mal so ein Pfeiler, der so ein bisschen versucht, das irgendwie zu beziffern. Die haben sich da also sehr viele Vorfälle angeschaut und dann im Prinzip versucht maßgeblich eben in dem großen Bitcoin-Kassenbuch nachzuschauen und Zahlungen zu verfolgen und sind dann auf diesen Wert entsprechend gekommen und das zeigt natürlich schon, dass es mittlerweile ein gewisses Ausmaß annimmt.

Wir müssen natürlich auch dazu sagen, dass das immer noch eine untere Abschätzung ist. Die Dunkelziffer wird wahrscheinlich riesen, riesen viel größer, das ist auf jeden Fall so.
Um vielleicht aber mit einem positiven Ding zu enden: Es ist ja jetzt schon so, dass da viele Dinge in Bewegung gekommen sind, wie du grad schon sagst, vor allem auf Policy-Ebene, ja? Also der amerikanische Präsident hat zur Chefsache gemacht, es gibt Summits, es gibt Strafverfolgungsverfahren, die eventuell mal acht Jahre dauern, aber dann trotzdem noch zu einer Verhaftung führen. Es gibt generell den Trend, dass Staaten und auch Strafverfolgungsbehörden an Attribution interessiert sind und diese Fähigkeit auch weiter verbessern und das alles, das übt Druck auf die Akteure aus. Und Druck ist hier gut, weil dann machen die entweder Fehler oder müssen ihre Operationen noch komplizierter machen.

[40:39] So und das war’s eigentlich dann jetzt auch mit dieser doch etwas länger gewordenen Folge. Das hatten wir am Anfang befürchtet, dass wir heute ein bisschen… ooch, da wird die Hälfte noch rausgeschnitten.

[40:54] Wir hoffen, euch hat diese Folge gefallen. Wenn ja, lasst uns doch eine positive Bewertung da im Podcast-Player eurer Wahl oder folgt uns auf Twitter unter @armchairgators.

[41:05] Bis zum nächsten Mal.