DUEIT - Ausgabe 12 - Interview mit dem CISO
Interview mit dem CISOVortragsreihe zu IT-Sicherheit
Im Mai 2019 konnte die Universität Duisburg-Essen (UDE) einen Ransomware-Angriff in letzter Minute verhindern. Im Rahmen des Cyber-Sicherheitsmonats wandte sich GÉANT an Marius Mertens, den CISO der UDE, um zu erfahren, wie es der Universität gelang, einen solchen Angriff zu verhindern, und um über die wichtigsten Herausforderungen im Bereich Cybersicherheit zu sprechen.
Marius, was sind die Kronjuwelen der UDE?
Die Antwort hängt davon ab, wem Sie diese Frage stellen. Unsere IT-Infrastruktur ist in hohem Maße dezentralisiert, und unsere Wissenschaftler betrachten hauptsächlich ihre eigenen (Forschungs-)Daten als kritisch. Ich selbst sehe 3 wichtige Kronjuwelen: erstens alle personenbezogenen Daten, die wir aufbewahren. Aufgrund der DSGVO können Verstöße nicht nur schwerwiegende finanzielle Schäden, sondern auch Reputationsschäden verursachen. Darüber hinaus alles, was mit unserer zentralen IT-Infrastruktur zusammenhängt, da die Nichtverfügbarkeit dieser Systeme erhebliche Auswirkungen auf unsere Business Continuity hätte. Zu guter Letzt betrachte ich auch unsere HPC-Systeme als eines unserer Kronjuwelen. Unsere HPC-Infrastruktur gehörte zu den 500 besten Supercomputern in Europa, als sie im Juni 2016 in Betrieb genommen wurde, und wir „vermieten“ diese Infrastruktur auch an andere Wissenschaftler. Wenn etwas schief geht, wären die Kosten für die Reparatur aufgrund der erforderlichen Unterstützung durch den Hersteller und der Komplexität des Systems sehr hoch. Darüber hinaus würde eine Ausfallzeit enorme Kosten verursachen, wenn man sie auf den Preis der verlorenen CPU-Stunden umrechnet. Zum Beispiel würde uns der Verlust von CPU-Stunden für eine Woche 75.000 € kosten.
Worin bestehen für Sie die wichtigsten Bedrohungen in Bezug auf die Cybersicherheit? Und wie mindern Sie die Risiken?
Nach außen stellt alles, was per E-Mail verschickt wird, ein großes Risiko dar. Wir stellen auch fest, dass diese E-Mails immer raffinierter werden und die Angreifer schnell ihre Strategie ändern, wenn sich etwas als erfolglos erweist. Selbst wenn wir Gegenmaßnahmen ergreifen, sind sie uns immer einen Schritt voraus. Neben massenhaften Phishing-Angriffen haben wir es auch regelmäßig mit anderen Formen des Social Engineering zu tun. Kürzlich waren mehrere Mitarbeiter in unserer Organisation Ziel eines Angriffs, bei dem sie eine E-Mail von ihrem angeblichen Abteilungsleiter erhielten, in der sie aufgefordert wurden, in ihrem Namen dringend einige Geschenkgutscheine als Geschäftsgeschenke zu kaufen. Diese E-Mails wirkten sehr professionell, und alles sah bis ins kleinste Detail richtig aus. Die Hacker nutzten einige Standardtechniken, um Menschen in die Falle zu locken, wie zum Beispiel die Autorität des Absenders und die Dringlichkeit des Anliegens. Wir müssen uns auch regelmäßig mit DDoS-Angriffen von außen auseinandersetzen. Um diese zu mildern, nehmen wir die Dienste des DFN in Anspruch.
Intern stellen Patches, die nicht korrekt implementiert wurden, und andere Schwachstellen ein potenzielles Risiko dar. Dies gilt auch für Benutzer, die erst seit kurzem mit einem PC arbeiten und nicht wissen, wie man dies auf sichere Weise tut.
Um die Risiken zu mindern, konzentrieren wir uns einerseits auf eine Kombination von Schulung und Sensibilisierung der Benutzer und andererseits auf eine bessere Sicherheit unserer Systeme. Letzteres dient der „Schadensbegrenzung“.
Worin bestehen Ihre Sensibilisierungsinitiativen?
Zur Sensibilisierung kombinieren wir verschiedene Initiativen. Zum Beispiel verteilt unsere IT-Abteilung regelmäßig Informationen an unsere Benutzer, auch über die UDE-Website: woran man falsche Nachrichten erkennt, wo die aktuellen Schwachstellen liegen usw. Seit drei Jahren bieten wir auch Schulungskurse für unsere Anwender an. Diese werden aufgezeichnet und können anschließend über unsere Website wieder eingesehen werden. Derzeit bereiten wir Schulungskurse für kleine Gruppen vor. Die Herausforderung besteht darin, die richtigen Leute zu interessieren und nicht nur diejenigen, die bereits gut informiert sind.
Wir passen unsere Informationen an das Profil der Nutzer an: Für unsere Verwaltungsmitarbeiter konzentrieren wir uns auf die sichere Nutzung der vorhandenen Tools. Für sie haben wir 10 goldene Regeln der guten, grundlegenden Cyberhygiene formuliert. Für Mitarbeiter mit Admin-Accounts sind diese Informationen überflüssig. Ihnen stellen wir vor allem technische Hilfsmittel zur Verfügung und sorgen zum Beispiel dafür, dass sie wissen, wie man ein Tool sicher konfiguriert.
Darüber hinaus hat unsere Universität eine Hotline, die als SPOC für unsere Benutzer fungiert. Sie können dort Sicherheitsprobleme melden oder Fragen zur Informationssicherheit stellen. Die Hotline wird von Studierenden im Rahmen ihres Praktikums „betrieben“. Wenn sie eine Anfrage nicht beantworten können, leiten sie sie an den Second-Line-Support weiter. Wir stellen fest, dass viele Nutzer an der UDE sich der Cybersicherheit sehr bewusst sind.
Auch der Austausch von Informationen und Wissen ist uns sehr wichtig. Das DFN tauscht Informationen über undichte Stellen mit allen Mitgliedsorganisationen aus. Wenn wir beispielsweise feststellen, dass ein E-Mail-Konto gehackt wurde und zum Versenden von Spam verwendet wird, bitten wir den Benutzer, seine Anmeldedaten sofort zu ersetzen.
Wie unterstützen Sie diese Maßnahmen auf technischer Ebene?
Für Passwörter verlangen wir eine bestimmte Länge und Zeichenkombination. Eine regelmäßige Änderung ist derzeit nicht obligatorisch. Wir passen die Passwortanforderungen entsprechend der Kritikalität und dem Risiko der jeweiligen Anwendung an. Wir empfehlen unseren Benutzern auch, einen Passwortmanager zu verwenden.
Darüber hinaus überwachen wir die Häufigkeit der ausgehenden E-Mails. Im Falle von Abweichungen ergreifen wir unverzüglich Maßnahmen. Für eingehende E-Mails verwenden wir einen Spam-Filter, den wir manuell mit Benutzerberichten ergänzen.
Letztes Jahr waren sie Ziel eines Cyberangriffs, der gerade noch abgewehrt werden konnte. Was genau ist passiert?
Die Hacker benutzten Emotet, eine Malware, die die E-Mail-Kommunikation der Opfer übernehmen und sich verbreiten kann. Emotet ist auch der Träger der Ransomware: die Hacker wollten Daten sperren und Lösegeld für ihre Freigabe verlangen.
Die ursprüngliche Infektion erfolgt in der Regel über Makros in veralteten Dateiformaten (wie z.B. .doc, .xls, .ppt), die als E-Mail-Anhänge versandt werden. Die Alarmglocken schrillten im Mai 2019, als wir bemerkten, dass bestimmte PCs in unserem Netzwerk begonnen hatten, automatische Antworten auf empfangene E-Mails zu versenden. Letzten Endes erwiesen sich 5 Computer als infiziert. Vermutlich wurde die Malware über Phishing-E-Mails auf diesen PCs installiert. Die Angreifer erhielten so Zugriff auf die E-Mail-Adressen und Kontakte der betroffenen Mitarbeiter. Ihre infizierten PCs schickten falsche Antworten auf frühere E-Mails, die sie an ihre Kontakte geschickt hatten. Dies wiederum ermöglichte es ihnen, andere PCs zu infizieren.
Als CISO erhielt ich selbst irgendwann eine solche E-Mail. Da wurde uns klar, dass etwas Verdächtiges vor sich ging. Im Nachhinein betrachtet war diese Phase eine Vorbereitung auf die Durchführung des eigentlichen Ransomware-Angriffs. Weitere Untersuchungen ergaben auch, dass der Angriff höchstwahrscheinlich 2019 begonnen hatte. Wir brauchten also fast ein halbes Jahr, um es herauszufinden.
Welche Maßnahmen haben Sie ergriffen?
Wir posteten sofort eine Warnung auf unserer Website und alarmierten unsere Admin-Accounts. Binnen einer halben Stunde gelang es uns, alle unsere Administratoren davor zu warnen, auf den infizierten Rechnern Admin-Zugangsdaten zu verwenden.
Wir konnten auch die infizierten PCs schnell identifizieren. Die Accounts der betroffenen Benutzer wurden neu eingerichtet, und die Benutzer erhielten eine neue Arbeitsstation. Wir hatten das Glück, dass unsere Benutzer und Admins selbst sehr schnell reagierten - das ist der beste Beweis dafür, wie wichtig es ist, innerhalb der Organisation für eine Kultur der Sensibilisierung zu sorgen!
Zu guter Letzt beschlossen wir, den Empfang veralteter Office-Dokumentformate nicht zuzulassen, um die Sicherheit für unsere Benutzer zu erhöhen. Grund dafür ist, dass wir in 99% der Fälle feststellen, dass Angreifer „alte“ Formate wählen, um Makros/Malware zu verbreiten. Solche Office-Dateien wirken für Benutzer „sicher“, und bei solchen Formaten kann man nicht sehen, ob sie ein Makro enthalten. Neue Office-Formate können natürlich weiterhin von unseren Benutzern empfangen werden.
Was sind die wichtigsten Erkenntnisse?
Wir beschlossen, unsere Cyber-Sicherheitsstrategie zu verfeinern, sowohl in technischer Hinsicht als auch hinsichtlich der Sensibilisierung:
- Wir trafen eine Reihe technischer Maßnahmen, z.B. die Verbesserung unseres Active Directory (um Angreifer daran zu hindern, das gesamte System zu übernehmen).
- Wir sind entschlossener denn je, die Sensibilität für Phishing zu schärfen, indem wir unseren Benutzern beibringen, wie sie „gute“ von „bösen“ E-Mails unterscheiden können. Wir bitten sie auch ausdrücklich, sich im Falle des geringsten Zweifels oder einer Frage an unsere Hotline zu wenden.
- Nach dem Angriff gaben wir unsere Erfahrungen und unser Wissen an unsere Interessenvertreter weiter. Bei der letztjährigen DFN-Konferenz präsentierten wir den Fall. Auch in der Arbeitsgruppe Sicherheit, in der mehrere deutsche Universitäten vertreten sind und die vom DFN moderiert wird, haben wir unsere Erfahrungen ausgetauscht. In dieser privaten Gemeinschaft können wir vertrauliche Informationen miteinander teilen. Wir gaben unsere Informationen auch an das DFN CERT weiter.
Welchen Rat würden Sie anderen Organisationen in der F&E-Gemeinschaft geben?
Seien Sie vor allem gerüstet! Die Frage lautet nicht, ob Sie angegriffen werden, sondern wann. Sorgen Sie dafür, dass Sie den Schaden erfolgreicher Angriffe begrenzen. Und versuchen Sie, sich möglichst schnell von veralteten Office-Formaten zu trennen, da diese nur für Hacker von Nutzen sind.
Über die Universität Duisburg-Essen und Marius Mertens
Die Universität Duisburg-Essen (UDE) besteht in ihrer jetzigen Form seit 2003 und ging aus dem Zusammenschluss zweier Universitäten hervor. Mit ihren 43.000 Studierenden und fast 6.000 Beschäftigten gehört die UDE zu den 10 größten Universitäten in Deutschland. Neben der Bildung ist die Forschung ein wichtiger Auftrag der UDE. So verfügt die Universität beispielsweise über ein eigenes HPC-Zentrum, in dem sowohl interne als auch externe Forscher die Rechenleistung eines Supercomputers nutzen können. Die Universität ist an das deutsche Forschungsnetz DFN angeschlossen und beherbergt einen Kernknoten des DFN-Netzes in Essen, über den sich auch andere F&E-Einrichtungen an das DFN anschließen können.
Marius Mertens ist Chief Information Security Officer (CISO) an der UDE und berät die Verwaltung in Fragen der IT-Sicherheit und arbeitet eng mit den Netzwerktechnikern des IT-Zentrums zusammen.