Die neuen Grenzen der Cybersicherheit

(Di Alexandra Javaron)
07/08/20

Könnten Unternehmen, öffentliche Institutionen und sogar einzelne Bürger die Revolution der Informationstechnologie, die uns erwartet, teuer bezahlen? Wie kann man den daraus resultierenden Gefahren begegnen?

Wir sprechen darüber mit Germano Matteuzzi della Abteilung für Cybersicherheit von Leonardo Spa.

Cybersicherheit scheint für Benutzer von PCs, Telefonen, GPS-Detektoren, E-Mails, sozialen Netzwerken und dem Internet ein entferntes Problem zu sein. Doch unser tägliches Leben, unsere erneute einfache und schnelle computergestützte Geselligkeit setzt uns neuen und komplexeren Schwachstellen aus. Was sind die größten Risiken der hypervernetzten Gesellschaft?

Leider ist die kybernetische Sicherheit unserer Daten keineswegs fern, sondern ein sehr aktuelles Problem. Genau dieses Bewusstsein fehlt, um das Problem an der Wurzel zu packen, natürlich ausgehend von den Institutionen. Die unmittelbare Verbreitung von Informationen im Netzwerk bedeutet, dass selbst die Gefahren unmittelbar auftreten, und dies führt zu einer systemischen Unvorbereitetheit der Benutzer des Netzwerks selbst, die nicht in der Lage sind, sich zu verteidigen. So wie man als Jugendlicher Motorrad fährt und zunächst rücksichtslos fährt, zwingt uns das Bewusstsein für die Risiken dazu, unsere Einstellung zu ändern.

Viele heutige Unternehmen basieren ihr Geschäft auf Informationen und Wissen. Diese ermöglichen es ihnen, Produkte und Dienstleistungen zu entwickeln, auf dem Markt zu konkurrieren und technologisch fortschrittlich zu sein, um ihre Präsenz auf dem Weltmarkt aufrechtzuerhalten. Der wesentliche Unterschied besteht darin, dass diese Informationen, seien es Patente, Projekte, geistiges Eigentum oder irgendetwas anderes, seit wir die Welle der digitalen Transformation erleben, nicht klar ist, wo sie gespeichert sind. Oder besser gesagt, sie sind an vielen Orten und für viele Menschen gespeichert und verfügbar. Und deshalb sind sie weniger geschützt. Viele Unternehmen im Zuge der Digitalisierung kommen unvorbereitet auf den Wandel (weil die Rhythmen sehr eng sind) und machen oft Fehler, die ihre Wettbewerbsfähigkeit irreversibel gefährden.
Denken Sie nur daran, wie viele Unternehmen zum Beispiel ihre Infrastruktur in die Cloud migriert haben, um Geld zu sparen, und dann aufgrund einfacher technischer Fehler ihre Wissensbasis verloren haben.

Für öffentliche Institutionen gilt das Gleiche nur, dass diese Informationen hauptsächlich uns Bürger betreffen, daher treffen die strategischen und taktischen Fehler bei der Digitalisierung der Institutionen hauptsächlich uns, die ohnehin unsere Probleme mit der Verwaltung unserer privaten Informationen haben.

Es scheint trivial, aber der wirksamste Schutz besteht darin, den tatsächlichen Wert der Informationen für ihre Eigentümer zu verstehen und zu simulieren, was im Falle eines Verlusts, einer Offenlegung oder einer Gefährdung dieser Informationen passieren könnte. Die erste Regel besteht also darin, zu verstehen, was passiert, wenn die Informationen gefährdet sind und ob dieses Risiko eintritt, wobei auch die Einhaltung gesetzlicher Vorschriften zu den Risiken gehört. Aus diesem Grund ist der Sicherheitsmarkt hauptsächlich in zwei große Tätigkeitsbereiche unterteilt, einen technisch-rechtlichen und einen hauptsächlich operativen.

Welche Indikatoren sollten wir im Hinblick auf Betrug, Datendiebstahl, Ransomware-Angriffe, aber auch Cyberspionage und Angriffe auf kritische Infrastrukturen beachten, um zu verstehen, ob wir angegriffen werden? Ist das Land in der Lage, Cyberangriffe zu analysieren, darauf zu reagieren und sie zu bewältigen? Welche Rolle spielen Penetrationstests?

Es ist wirklich schwer zu verstehen, ob und wie unsere Informationen angegriffen werden, insbesondere wenn der Angreifer ein großes Interesse daran hat, uns nichts davon mitzuteilen. Die wichtigsten Fälle von Cyberspionage wurden aufgedeckt, nicht so sehr wegen der Verteidigungsfähigkeiten der Opfer, sondern vielmehr wegen Fehlern im Umgang mit Cyberwaffen und wegen des Verlusts der Kontrolle durch die Angreifer, siehe ein Beispiel für alle Stuxnet. Ransomware-Angriffe zeigen sofort ihre zerstörerische Wirkung, sind in einem Spionageszenario jedoch am wenigsten gefährlich. Die beteiligten Akteure bestimmen die Absicht des Angriffs, sodass ein Angriff mit zerstörerischer Absicht schnell erfolgt und keine offensichtlichen Anzeichen zeigt. Spionageangriffe dauern lange an und verlaufen in der Regel geräuschlos. Es ist wahr, dass die Daten früher oder später in einem Spionageszenario exfiltriert werden müssen. Die Kontrolle der Kommunikation mit externen Einheiten kann die richtigen Hinweise liefern und schwache Anomalien bei Maschinenleistungsdaten, Netzwerkverkehr usw. erkennen. Alle Ziele sind gefährdet, vor allem kritische Infrastrukturen, die im Allgemeinen auch andere Probleme im Zusammenhang mit der Veralterung ihrer IKT-Systeme haben, was die Risiken in einem hypervernetzten Szenario erhöht.

In den letzten fünf Jahren hat das Land, auch dank des Vorstoßes der europäischen Institutionen, viele Fortschritte in Richtung eines Bewusstseins für Cyberrisiken und der Bekämpfung und Reaktion auf Angriffe gemacht. Denken Sie nur an den National Framework, die staatliche Organisation für Cyberschutz, das CSIRT Italia, die Umsetzung der NIS-Richtlinie, die DSGVO, den nationalen Cyberperimeter, die Agid-Mindestsicherheitsmaßnahmen und vieles mehr. Wir sind auf dem richtigen Weg, aber wir müssen uns beeilen, denn im Cyberspace ist der Zeitfaktor von entscheidender Bedeutung und die Zeitskalen werden drastisch verkürzt.

Bei alledem ist es jedoch wichtig, sich darüber im Klaren zu sein, dass unsere Infrastrukturen verwundbar und daher gefährdet, aber auch kompromitierbar sind, denn so sind wir vor der Beweislage, mit Sicherheit zu wissen, dass jeder Angriff erfolgreich sein würde. Dies ist der Hauptgrund dafür, dass der Markt für Penetrationstester immer noch floriert, denn sie liefern Hinweise auf Schwachstellen, die sonst im Wesentlichen auf dem Berichtspapier verbleiben würden. Und was noch wichtiger ist: Sie ermöglichen es uns, eine ganze Reihe von Schwachstellen aufzuzeigen, die oft nicht einmal in Beziehungen enden, nämlich in menschlichen und sozialen.

Katalogisierung von Bedrohungen, böswilligen Akteuren und unterschiedlichen Beweggründen. Wie nutzt man künstliche Intelligenz? Ist künstliche Intelligenz in der Lage, diese Daten entsprechend den Bedürfnissen des Analysten zu aggregieren?

Die Anwendung mathematischer Modelle, die das Erlernen von Phänomenen und Verhaltensweisen ermöglichen, und alle KI-Modelle basieren auf der Anwendung menschlicher Intelligenz. Ohne mich mit Asimov und der Robotik herumschlagen zu wollen, was auch sehr oft geschieht, wenn wir über Cyber ​​sprechen, der Name selbst leitet sich von der Verwendung des Begriffs in Romanen der Cyberpunk-Ader ab, eine Sache ist die Anwendung von KI auf eine enorme Datenmenge und die auf mathematischen Modellen zur prädiktiven Erforschung von Phänomenen und Mustern basiert, eine andere ist das Selbstbewusstsein von Maschinen, wie wir es in Filmen sehen und wir es in Romanen finden, die Suche nach Menschlichkeit in allen Sinnen.

Zum einen arbeiten wir bereits daran und sicherlich wird uns die Mathematik dabei helfen, die Datenanalysen so zu visualisieren, zu aggregieren und darzustellen, dass die Beziehungen zwischen ihnen, die wir auf den ersten Blick nicht erkennen können, offensichtlich erscheinen. Zum zweiten werden wir, auch wenn es im Bereich der Cybersicherheit bereits reaktive und künstliche Verhaltensmodelle gibt, wahrscheinlich noch lange warten müssen.

In diesem ersten Szenario ist die KI in ihren Anwendungen für maschinelles Lernen und Deep Learning mithilfe von auf neuronalen Netzen basierenden Algorithmen in der Lage, diese große Datenmenge zu analysieren und sie einem Analysten in einem lesbaren Format zu präsentieren, der dann Entscheidungen treffen kann, indem er auf einem reduzierten Satz von Informationen arbeitet, die von einem menschlichen Verstand analysiert werden können. KI kann dem Menschen auch Aktionen vorschlagen, die aus ihrer Wissensbasis abgeleitet sind, die mit ihren Lernalgorithmen und verfügbaren Daten verknüpft ist. Aktionen, die analysiert werden müssen, bevor sie auf ihre Anwendbarkeit bewertet werden. Und die Güte oder Anwendbarkeit dieser Maßnahmen hängt immer von der Qualität und Quantität der von uns bereitgestellten Daten ab. Ich möchte die Sache nicht allzu anthropozentrisch betrachten, aber im Moment ist KI immer noch eine Unterstützung der menschlichen Intelligenz.

Neben Diplomatie und Geheimdiensten ist die Entwicklung von Cyber-Verteidigungs- und Angriffsfähigkeiten entscheidend geworden. Mehrere internationale Akteure führen echte Cyberangriffe durch, um an Informationen zu gelangen und Repressalien zu vermeiden, auch dank der bekannten Zuordnungsschwierigkeiten. Manchmal scheinen die Beweise für solche Angriffe alle auf ein einziges Land zurückzuführen zu sein, aber ist es möglich, dass die Hinweise mit der Absicht hinterlassen wurden, die Verantwortung einem feindlichen Land zuzuschieben?

Tatsächlich ist es sehr kompliziert, wenn nicht fast immer unmöglich, die Verantwortung für Angriffe im Cyberspace zuzuordnen. Alles geschieht in sehr kurzer Zeit, es gibt keine natürlichen Barrieren, die bestimmte Aktionen behindern, es gibt keine wirksamen Abwehrmaßnahmen für digitale Vermögenswerte, es gibt oft keine Warnzeichen.

Genau aus diesem Grund ist der Cyberspace die neue Grenze der Kriegsführung, in der sich täglich verschiedene Arten von Akteuren gegenüberstehen, von nationalen Regierungen oder regierungsnahen Organisationen bis hin zu Cyberkriminellen, die aus Profitgründen oder zu destabilisierenden Zwecken handeln; Die Angriffsszenarien verändern ihr Gesicht im Vergleich zu den herkömmlichen radikal und kybernetische Operationen können plötzlich und mit sehr wenigen Warnzeichen durchgeführt und aktiviert werden. Es gibt keine weiteren Armeen, die sich versammeln, keine Hinweise auf Operationen oder Mobilisierungen an Staatsgrenzen, keine Flugbahnen von Raketen, die geortet werden könnten, keine startenden Flugzeuge oder abfliegenden Schiffe, alle Vorbereitungen und Aufklärungen finden im Schatten und in der Anonymität des Cyberspace statt, und der Angriff ist nicht nachweisbar.

Auf diesem Einsatzgebiet toben seit Jahren Cyberkriege; Beispielsweise kämpfen Indien und Pakistan seit mehr als 20 Jahren im Cyberraum gegeneinander, Russland und die Ukraine bekämpfen sich ebenfalls an dieser Front und die USA, Israel und Saudi-Arabien setzen Cyberwaffen gegen den Iran ein (und umgekehrt). Kürzlich haben wir chinesische Operationen gegen andere Länder, Russland, Australien usw. durchgeführt.

In den Listen der Länder, die am besten auf Cyberangriffe vorbereitet sind, finden wir immer die Vereinigten Staaten, Israel, aber auch Länder im pazifischen Raum sowie Russland und China.

Die Zuweisung der Verantwortung für einen Cyberangriff ist ein komplexer Prozess, der über die bloße Identifizierung der Ursprungssysteme des Angriffs hinausgeht, auch weil diese Systeme, die möglicherweise zu einem Land gehören, wiederum von einem anderen Land angegriffen und kompromittiert wurden usw. Analysiert werden vor allem die Tools und Angriffstechniken, die häufig auf wenige oder einzelne Bedrohungserreger zurückgeführt werden können und daher, so unsicher sie auch sein mögen, eine Zuordnung der Vorgänge zumindest riskant sein kann. Und natürlich ja, da diese Techniken und Werkzeuge bekannt sind, ist es möglich, dass einige Angriffe durchgeführt werden, indem simuliert wird, dass sie von mit anderen Ländern verbundenen Bedrohungsagenten ausgeführt werden, mit dem einzigen Zweck, sie für den Angriff verantwortlich zu machen, in einem Szenario der kybernetischen Diplomatie, das das traditionelle Szenario ergänzt.

Das Army Studies Center hat längst eine Studie über die Cyberfähigkeiten der italienischen Armee ins Leben gerufen und in die Arbeit Institutionen und Unternehmen eingebunden. Leonardo ist ein fester Bestandteil der Gruppe. Welche Rolle könnte Leonardo im globalen Modell spielen? Erkennung und Reaktion von der CSE gewünscht?

Leonardo ist ein historischer Verteidigungspartner in allen Bereichen, nicht zuletzt im Bereich der Cybersicherheit. Ich erinnere mich an die ersten Cyber-Programme, das CERT der Armee und die Cyber-Verteidigungsfähigkeiten, die auf dem NATO-Rahmen des damaligen C4D basieren und auf das Jahr 2010 zurückgehen, also vor nunmehr fast 10 Jahren, mit denen die ersten Erkennungs- und Reaktionsfähigkeiten implementiert wurden, mit allen nachfolgenden Entwicklungen bis hin zur Schaffung einer vollständigen Einsatzfähigkeit und der Implementierung von Fähigkeiten innerhalb des CIOC zur Planung und Durchführung von Operationen im neuen Cyber-Bereich. Der Bereich Cyber-Sicherheit hat auch mit den Streitkräften beim Aufbau wichtiger Cyber-Fähigkeiten zusammengearbeitet, allen voran dem Heer und der Marine. Leonardo hat auch die volle Einsatzfähigkeit der NATO durch die Einrichtung des NCIRC, des Computer Incident Response Centers für alle NATO-Hauptquartiere und -Länder, umgesetzt.

Leonardo verfügt jedoch auch im zivilen Sektor über eine wichtige Präsenz auf dem italienischen Cybersicherheitsmarkt, vor allem im Regierungssektor, wo das Unternehmen mit dem Rahmenvertrag CONSIP SPC Cloud Lot 2 – Sicherheit ausgezeichnet wurde, durch den verwaltete Sicherheitsdienste und professionelle Dienstleistungen allen zentralen und lokalen öffentlichen Verwaltungen bereitgestellt werden, die diese anfordern. Es ist auch im privaten Sektor der kritischen Infrastrukturen und Großunternehmen vertreten, wo Leonardo Dienstleistungen für große Unternehmen in den Bereichen Öl und Gas, Energie, Versorgung und Transport erbringt.

In den letzten Jahren hat Leonardo stark in Entwicklungen im Zusammenhang mit Bedrohungsinformationen im Cyber-Umfeld investiert, indem es seine eigenen intern entwickelten technologischen Tools für Web-Recherche und -Analyse unter Verwendung des OSInt-Paradigmas (Open Source Intelligence) erworben hat. Darüber hinaus bietet das seit 2007 aktive Leonardo Security Operation Center, einer der ersten italienischen Managed-Security-Service-Provider auf dem Markt, Geheimdienstdienste über diese Plattform in voller Synergie mit traditionelleren Cyber-Sicherheitsdiensten an. Leonardo verfügt auch über eine historische Präsenz im Bereich der Kommunikationssicherheit, da das Unternehmen sowohl an Verschlüsselungsdomänen für Verschlusssachen als auch im Bereich der professionellen sicheren Kommunikation für Strafverfolgungsbehörden und Rettungsdienste gearbeitet und Produkte und Dienstleistungen geliefert hat. Last but not least ist Leonardo ein vollständig italienisches Unternehmen im Staatsbesitz, was es in eine besonders privilegierte Position bringt, der Referenzakteur der italienischen kybernetischen Sicherheit auf dem militärischen und zivilen Markt zu sein.

Wenn bei Operationen im Cyber-Bereich die vorherrschende Rolle der kürzlich gegründete COR spielen sollte, ist es wahr, dass jede Streitmacht nach dem Konzept der Network Enabled Capability (NEC) ihre Fähigkeiten durch den Einsatz von Cyber-Tools erweitern muss, um traditionelle Operationen zu unterstützen. Daher nicht reine Cyber-Operationen, sondern Cyber-Technologien zur Unterstützung von Operationen in traditionellen Bereichen.

Leonardo kann daher der Armee, aber auch den anderen Streitkräften, alle in den letzten Jahren im militärischen und zivilen Bereich erworbenen Fähigkeiten und Kenntnisse im Bereich Sicherheit zur Verfügung stellen und sie bei der Aneignung jener kybernetischen Fähigkeiten unterstützen, die noch nicht vollständig umgesetzt sind.