Diese Story ist aus der Kategorie Dienstleistungen und dem Dossier Internationale KooperationenSicherheit und Stabilität

Wenn im Netz der Hund begraben ist

Unser Krimi illustriert, wie Cybercrime funktioniert und wie wichtig eine Zusammenarbeit über Grenzen hinweg ist.

Text: Silvio OertliMartin Leuthold, publiziert am 19.09.2016

Esch an der Alzette, Luxemburg, 6 Uhr. Es ist ein klarer Morgen. In einem Einfamilienhaus betätigt Jean-Pierre Gadier die Kaffeemaschine und öffnet seinen Laptop, um seine E-Mails durchzugehen, bevor er sich auf den Weg ins Büro macht. Der Spitalmanager stösst dabei auf eine Nachricht mit PayPal als Absender. "Mein PayPal-Account wurde sicherheitshalber gesperrt?" fragt sich Gadier und klickt auf den Link in der E-Mail, um die Angaben zu seinem Account zu verifizieren. Als in der Adresszeile seines Browsers www.bellos-zahnarzt.ch/paypalverify.php erscheint, ist ihm das nicht geheuer. Zur Sicherheit gibt er die URL in den Abuse-Checker des luxemburgischen CERTs ein.

Beim Computer Incident Response Center Luxembourg (CIRCL) wird Gadiers Hundezahnarzt-Adresse automatisch verifiziert und über eine europäische Antiphishing-Plattform an SWITCH-CERT weitergeleitet.

Domaininhaber wird informiert

In Zürich fallen an diesem Morgen bereits die ersten Regentropfen, als der "Certie of the Week" die Domain-Abuse-Applikation öffnet. Beim Abarbeiten der gemeldeten Domain-Namen stösst er auf die Hundezahnarzt-URL. Wie gesetzlich vorgeschrieben, benachrichtigt der Certie die Schlüsselpersonen der Domain und macht sie auf den Missbrauch aufmerksam. Während der Certie noch mit dem Klassifizieren missbrauchter Domains beschäftigt ist, klingelt bereits das Telefon, und der Halter von bellos-zahnarzt.ch, Karl Bandmeier, ist am Apparat. "Sie haben mir eine E-Mail mit seltsamem Text geschickt. Worum geht es?" Der Certie erklärt, dass die Seite für Phishing missbraucht wird und wie Bandmeier dies unterbinden kann. Er weist darauf hin, dass SWITCH am Protokoll der Zugriffe interessiert ist, um gegebenenfalls eruieren zu können, wer den Phishingteil auf die Seite geladen hat. Bandmeier ist froh um die Ausführungen und sendet SWITCH-CERT die gewünschten Dateien.

IP-Adresse wird identifiziert

Einige Skripte später hat der Certie ein Bild vom Vorgehen der Täterschaft. Er kann eine IP-Adresse identifizieren, von der aus die Phishingseiten hochgeladen wurden und weiss, wohin die abgegriffenen Daten fliessen. Die IP-Adresse gehört zum Bereich eines Hosters, der in Thailand sitzt.

Der Certie versorgt das CERT in Thailand umgehend mit Informationen zur verdächtigen IP-Adresse. Dieses wiederum schaltet die lokalen Behörden ein, und der entsprechende Server wird vom Netz genommen. Nachdem die thailändischen Behörden die Daten ausgewertet haben, erhält SWITCH-CERT eine Liste der geschädigten Personen in der Schweiz und benachrichtigt diese via seine Partner.


Den Kriminellen die Stirn bieten

Die Geschichte legt dar, dass solche Vorfälle dank der weltweiten, engen Kooperation innerhalb der CERT-Community schnell abgehandelt werden. Die Gefahr für den Einzelnen kann so minimiert werden. Die Story zeigt auch, dass Verbrechensbekämpfung über die Grenzen von Ländern hinweg stattfinden muss – und über jene von Organisationen sowie Unternehmen. Cybercrime ist heute das Geschäft einer grenzenlosen, virtuellen Mafia. Im Untergrund ist eine Industrie entstanden, die nach marktwirtschaftlichen Grundsätzen funktioniert und Milliardenumsätze macht. Die britische National Crime Agency hat gemeldet, dass der Schaden durch Cybercrime in ihrem Land im laufenden Jahr erstmals höher sein wird als jener durch konventionelle Verbrechen. Die Schäden durch Cybercrime werden auf mehrere Milliarden Pfund geschätzt.

Kriminelle Organisationen sind bereit, für massgeschneiderte Angriffe auf lohnende Ziele Monate bis Jahre und Summen in Millionenhöhe zu investieren. Sie verfügen aufgrund ihrer erfolgreichen Tätigkeit über sehr hohe Mittel. Zudem sind sie im Vorteil, weil sie sich weder an Landesgrenzen noch an Rechtsräume halten – im Gegensatz zu den angegriffenen Organisationen, Unternehmen und Strafverfolgungsbehörden. Kommt dazu, dass unsere Abhängigkeit von der IT durch die Digitalisierung in allen Lebensbereichen stark zunimmt. Somit wird sich die Anzahl der lohnenden Angriffsziele vervielfachen. Gemäss der neu überarbeiteten Sicherheitspolitik des Bundesrates gehören auch die Hochschulen mit ihren grossen Beständen an Daten zu Personen und zur angewandten Forschung zu den kritischen Zielen.

Die Informationssicherheit steht vor grossen Veränderungen. Die Fähigkeiten, Vorfälle schnell zu erkennen, angemessen und erfolgreich zu reagieren sowie hochwertige, national und regional relevante Threat Intelligence zu beschaffen, werden ins Zentrum rücken. Diese Themenbereiche gehören zu den Kernkompetenzen von SWITCH-CERT. Wir von SWITCH arbeiten systematisch daran, die nationale und internationale Zusammen-
arbeit weiterzuentwickeln, um die Sicherheit der Hochschulen gemeinsam mit deren internen Organisationen auf einem hohen Niveau zu gewährleisten. Nur mit verstärkter Kooperation werden wir auch künftig den Cyberkriminellen die Stirn bieten können.

Über den Autor
Silvio   Oertli

Silvio Oertli

2006 schloss Silvio Oertli das berufsbegleitende Studium in technischer Informatik an der Fachhochschule Zürich ab. Nach einigen Jahren Tätigkeit in der Strafverfolgung kam er 2015 zu SWITCH. Heute leitet er das CERT-Team für die Universitäten und die Registry.

E-Mail
Über den Autor
Martin   Leuthold

Martin Leuthold

Nach dem Studium an der ETH Zürich war Martin Leuthold in unterschiedlichen Security-Funktionen im In- und Ausland tätig, unter anderem als CISO bei einen multinationalen Industriekonzern. Seit Februar 2016 leitet er den Geschäftsbereich Sicherheit bei SWITCH.

E-Mail

20 Jahre SWITCH-CERT

1996 wurde SWITCH-CERT von der Koordinationsstelle aller CERTS weltweit offiziell anerkannt. Das ebnete ihm den Weg zu einer regulären Mitgliedschaft bei FIRST, dem weltweiten "Forum for Incident Response and Security Teams". SWITCH-CERT feiert somit dieses Jahr seinen 20. Geburtstag. Aus diesem Anlass finden Sie Beiträge zu SWITCH-CERT in unseren Storys, unter anderem die Geschichte von SWITCH-CERT.

Weitere Beiträge