Als Sicherheitsforscher bekomme ich nicht oft die Gelegenheit, Hollywood-Namen wie Disney und Johnny Depp fallen zu lassen. Einige haben die Nachricht vielleicht verfolgt. Vor mittlerweile zwei Monaten erpressten Cyber-Kriminelle Walt Disney damit, Teile des neuen Films „Fluch der Karibik“ vor Kinostart zu veröffentlichen. Disney sollte ein Lösegeld in Bitcoin auf ein anonymes Konto transferieren. Das Unternehmen verweigerte eine Zahlung und schaltete stattdessen das FBI ein.
Ich kommentierte die Story nicht weiter – WannaCryptor/WannaCry überschattete zu der Zeit alles und nahm viel Zeit in Anspruch – Nun möchte ich aber gerne einen Ratschlag geben, der zukünftig dazu beitragen kann, großangelegte Diebstähle von digitalen geistigen Eigentum zu verhindern.
Mittlerweile werden immer mehr Film- und Serienproduktionen – wie „Orange is the New Black“ – Ziel von Cyber-Kriminellen.
Meiner Theorie nach versuchen die Räuber von digitalen geistigen Eigentum ein geeignetes Geschäftsmodell zu finden, wie sie ihre Fähigkeiten – das Ergaunern von Pre-Release-Kopien von großen Produktionen – am besten monetarisieren. Jedes Filmstudio und jede TV-Produktionsfirma sollte darüber nachdenken, was sie tun können, um ihre digitalen Vermögenswerte (z.B. Filmmaterial) zu schützen. Dabei spielt nicht nur das lokale eigene Studio eine Rolle, sondern auch alle Intermediäre, die das Filmmaterial während des Produktionsprozesses in den Händen halten.
Framework und Prozess
Eine praxisnahe Sicherheitsstrategie für Informationssysteme und digitale Inhalte sieht vor, das Problem durch Prozesse, Menschen und Technik zu lösen. Prozess-seitig sollten alle an der Produktion digitalen geistigen Eigentums beteiligte Unternehmen bewährte Informationssicherheit-Frameworks einhalten, um alle Risiken entlang der Supply Chain zu berücksichtigen. Das digitale geistige Eigentum sollte zu jeder Zeit geschützt sein. Das gilt insbesondere auch während der Nachbearbeitungen des Filmmaterials (Post-Produktion) durch andere Unternehmen (siehe Orange is the New Black Erpressung).
“Glücklicherweise gibt es ein fertiges Cyber Security Framework, das Unternehmen kostenlos nutzen können.“
Glücklicherweise gibt es ein fertiges Cyber Security Framework, das Unternehmen kostenlos nutzen können. Hier hat die US-Bundesregierung hervorragende Arbeit geleistet und das NIST Cyber Security Framework auf den Weg gebracht.
Mit der aktuellen Version soll die Cyber Security innerhalb eines Unternehmens gefestigt werden. Ein neuer Entwurf geht allerdings noch weiter und fordert die Einhaltung der Cyber Security auch entlang der Supply Chain. An dieser Stelle möchte ich gerne die Passage aus dem Entwurf zitieren:
“The practice of communicating and verifying cybersecurity requirements among stakeholders is one aspect of cyber supply chain risk management (SCRM). A primary objective of cyber SCRM is to identify, assess and mitigate “products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain.”
Was bedeutet Cyber SCRM? Dazu betrachten wir noch einmal das Framework:
- Bestimmen von Cyber Security Anforderungen für Lieferanten, Informationstechnologie und operationale Partner
- Durchsetzung von Cyber Security Anforderungen durch formale Vereinbarung (z. B. Verträge)
- Kommunikation zu Lieferanten und Partnern wird durch Cyber Security Anforderungen überprüft und validiert
- Überprüfen, ob die Cyber Security Anforderungen eine Vielzahl von Bewertungsmethoden standhält
- Leiten und überwachen der oben genannten Aktivitäten
Um es zusammenzufassen:
Es sollte sichergestellt sein, dass alle Geschäftspartner die verbindliche Verpflichtung eingehen, ein digitales geistiges Eigentum durch die gleichen Cyber Security Anforderungen schützen zu können, wie der Urheber/Auftraggeber. Darüber hinaus müssen sich alle Parteien bewusst sein, dass Sie sich das Recht vorbehalten, diese Zusagen zu prüfen.
Einige nachfolgende Fragestellungen helfen, eine Due Diligence zwischen den Geschäftspartnern (z.B. Filmstudio und Post-Production-Unternehmen) auszuarbeiten.
- Hat der Geschäftspartner ein entsprechendes und aktuelles Cyber Security Programm, mit definierten Sicherheitsrichtlinien, Standards und Verfahren?
- Verwendet der Geschäftspartner physische Sicherheitsmechanismen, um sicherzustellen, dass nur autorisierte Personen Zugang zu Bereichen mit sensiblen Informationen haben?
- Sind die Angestellten des Partnerunternehmens darüber unterrichtet worden, welche Informationen sie per E-Mail senden können und welche nicht?
- Hat der Geschäftspartner Richtlinien definiert, welche die Zugangskontrolle und Administration regulieren?
- Ist es Administratoren möglich, bestimmte User-Gruppen zu erstellen und jeder User-Rolle eine bestimmte Berechtigung zuzuweisen mit den geringsten möglichen Privilegien?
- Wer ist für die Zugangsberechtigungen zu IT-Ressourcen verantwortlich?
- Ist es Angestellten von Drittanbieter-Unternehmen gestattet, Login-Daten zu teilen?
- Wie oft werden die Zugangsbeschränkungen einzelner User auf Verhältnismäßigkeit geprüft?
Wer keine zufriedenstellenden Antworten auf diese und weitere Fragen von den Geschäftspartnern erhält, kann sicher sein, dass der Gegenüber höchstens ein Minimum an Cyber Security Vorschriften erfüllt.
Menschen und Technologie
Ich werde an dieser Stelle nicht zu sehr ins Detail gehen. Es genügt, wenn ich sage, dass die Angestellten Teil einer Sicherheitsstrategie sind, welche sie selbst verinnerlicht haben. Besonderes Augenmerk liegt auf dem Erkennen von Social-Engineering-Angriffen und Phishing-E-Mails.
Glücklicherweise gibt es einige hervorragende kostenlose Ressourcen, die eine Cyber Security Ausbildung fördern. Unternehmen können beispielsweise am kostenlosen ESET Cyber Training teilnehmen (nur in Englisch). Diese Option sollte auch Geschäftspartnern empfohlen werden, insofern es sich um kleinere Firmen handelt, die bei Cyber Security Schulungen noch Bedarf aufweisen.
“Auf der Seite der Technologie müssen Features wie Verschlüsselung stehen.“
Auf der Seite der Technologie müssen Features wie Verschlüsselung stehen (vor allem zu übertragende Daten sollten verschlüsselt sein). Weiterhin schafft die Multi-Faktor-Authentifizierung eine zusätzliche Sicherheitsbarriere vor Angreifern. Außerdem ist sicherzustellen, dass Zugriffe auf das wertvolle digitale geistige Eigentum identifiziert, protokolliert und überwacht werden.
Der Zugang zu digitalen Vermögenswerten (digitales geistiges Eigentum) sollte unverzüglich entzogen werden, wenn Mitarbeiter die Firma verlassen oder Verträge beendet sind.
Auf allen Servern, Workstations und Laptops sollte ein zuverlässiger Virenschutz vor bösartiger Malware schützen. Oft vernachlässigen Unternehmen Server, die dann ferngesteuert zugänglich gemacht werden können. Angreifer nutzen das aus - Es gibt einen blühenden Schwarzmarkt für Server-Anmeldeinformationen. Daher ist unbedingt darauf zu achten, auf Meldungen von Antiviren-Programmen zu schauen, die von ihrer Abschaltung berichten. Eindringlinge schalten diese Sicherheitsprogramme meistens als erstes aus.
Die letzte Maßnahme, um die Hoheit über seine digitalen Vermögenswerte zu behalten, stellt das Backup dar. Ein solides und ständig getestetes Backup- und Recovery-System ist für Unternehmen unerlässlich. Wichtig: Das Backup sollte alle Vermögenswerte enthalten. Zu oft habe ich Unternehmen sagen hören, dass sie zwar eine Kopie eines Datensatzes hatten, dieser aber unvollständig war. Nicht schwer zu erraten, mit welchen Dateien die Unternehmen dann erpresst werden.
Wenn ein Szenario Wirklichkeit wird
Ein Manko in allen Unternehmen – egal welcher Größe – sind die unzureichenden Sicherheitsvorkehrungen für den Ernstfall. Datenpannen treten selbst dann auf, wenn die richtigen Technologien und Prozesse zum Einsatz kommen und die Mitarbeiter gut ausgebildet sind. Im Ernstfall muss umgehend der Vorfallreaktionsplan greifen. Vorher festgelegtes Personal sollte sofort den Justiziar und die Strafverfolgungsbehörden kontaktieren. In den USA koordiniert beispielsweise das FBI in vielen Teilen des Landes Arbeitskräfte, die sich mit digitaler Kriminalität auseinandersetzen.
Einige Unternehmen kapitulieren von vornherein und melden Cyber-Kriminalität erst gar nicht. Ihr Argument: „Die Ermittlungsbehörden unternehmen wahrscheinlich eh nichts“. Das ist meiner Meinung nach ein Fehler. Ihr Berichten könnte das fehlende Glied in einer Reihe von Verbrechen sein, die bereits untersucht wurden (und von denen Sie bloß noch nichts gehört haben). Darüber hinaus können die Behörden die Priorität für einen Fall nicht erhöhen, wenn sich die Unternehmen zurückhalten. Die heutigen Strafverfolgungsbehörden reagieren sensibel auf Datenvertraulichkeit und Geschäftsangelegenheiten und werden mit Unternehmen so zusammenarbeiten, dass ihre Geschäftsabläufe nicht gestört werden.
Unter keinen Umständen sollte ein gefordertes Lösegeld gezahlt werden. Das ermutigt die Cyber-Kriminellen bloß, weiterzumachen. Drohen die Kriminellen damit, kopiertes (Film-)Material zu veröffentlichen, sollte man Ruhe bewahren. Eine Veröffentlichung gibt den Strafverfolgungsbehörden nur wertvolle Hinweise auf die Herkunft der Täter. Wer mit einer Lösegeldforderung erpresst wird, sollte sich im Klaren darüber sein, dass die Cyber-Kriminellen die verschlüsselten Dateien nicht unbedingt wieder freigeben werden. Man erhält also keine Garantie dafür – nicht von diesen Gesetzlosen.
Ganz offensichtlich bleibt auch die Unterhaltungsindustrie nicht von Angriffen von Cyber-Kriminellen verschont. Derzeit erforschen sie die zunehmende Abhängigkeit der Unternehmen von Cyber Security Maßnahmen, um einen Weg der Kompromittierung zu finden. Jedes Unternehmen sollte seine Cyber Security Verteidigungspläne überprüfen und gegebenenfalls anpassen.