zum vorherigen Artikel

Artikel 2020

zum nächsten Artikel

Artikel 2018

05/2019

Was macht eigentlich ein „Computer Emergency Response Team“?

Im Gespräch mit Matthias Stoffel, dem Leiter des S-CERT-Teams der Sparkassen

S-CERT übernimmt für seine angeschlossenen Häuser alle typischen Aufgaben eines umfassenden Computer-Notfallteams. Wir haben exemplarisch für alle Notfallteams nachgefragt, wie die Arbeit eines CERTs aussieht.

Herr Stoffel, wenn man den Begriff CERT googelt, kommt als Erklärung: „Computer Emergency Response Team". Was verbirgt sich dahinter?
Richtig, man könnte aber auch einfach „Computer-Notfallteam" sagen. Viele CERTs sind so um die Jahrtausendwende als Reaktion auf die immer häufiger auftretenden Angriffe aus dem Internet entstanden. Um diese Gefahren zu erkennen und ihnen zu begegnen, ist Spezialwissen gefragt: Das Wissen zu den neuesten Sicherheitslücken, zu den Methoden der Angreifer und zu erfolgreichen Abwehrmethoden. Hierauf haben wir uns als CERT spezialisiert. Dabei ist uns ein weltweiter Austausch mit anderen CERTs immens wichtig. Aber auch national arbeiten wir mit anderen CERTs, insbesondere auch mit Experten der Finanzbranche und den Strafverfolgungsbehörden eng zusammen.

In welchem Auftrag arbeiten Sie und wer finanziert das Ganze?
Für einen großen Teil unserer Aufgaben haben wir Aufträge von Kunden, wie zum Beispiel Sparkassen, Landesbanken und Versicherungen, deren zentrale Bearbeitung bei uns Effizienzvorteile für den jeweiligen Kunden bringt. Dies ist zum Beispiel durch unsere Recherche nach Sicherheitslücken und deren neutrale Bewertung der Fall. Hier stellen wir pro Jahr mehrere tausend Informationen bereit. Aber auch Aufgaben, die eine Spezialexpertise erfordern und die unsere Kunden eher selten benötigen, übernehmen wir. Beispielhaft wären dies die Bearbeitung von Sicherheitsvorfällen und deren forensische Auswertung.

Auf der anderen Seite übernehmen wir Aufgaben im Umfeld der Cyber-Abwehr direkt im Auftrag des DSGV für alle Häuser der Sparkassen Finanzgruppe. Wenn es zum Beispiel um übergreifende Angriffe geht, werden diese nicht von jeder Sparkasse für sich bearbeitet, sondern wir übernehmen die Aufgaben der Beweissicherung, der Analyse oder der Umsetzung von Abwehrmaßnahmen.

Wenn Sie von Angriffen sprechen, um welche Szenarien handelt es sich da konkret?
Wir unterscheiden drei Arten von Szenarien. Zunächst sind dies breitflächige Angriffe, die wir alle auch von zuhause kennen. Auch diese können Banken und Sparkassen treffen. Relevant waren hier zuletzt immer wieder neue Trojaner, die Daten verschlüsseln. Dann kennen wir branchenspezifische Angriffe. Beispielhaft sind dies Angriffe durch Smartphone-Trojaner, die SMSe mit TANs für das Online-Banking eines Kunden an Betrüger leiten. Schließlich betrachten wir noch zielgerichtete Angriffe. Hierzu gehören sog. DDoS-Attacken, über die Web-Seiten derart stark durch Anfragen überlastet werden, dass sie nicht mehr erreichbar sind. Oft gehen diese Attacken mit Erpressungen einher.

Wie kann man sich Ihre Arbeit vorstellen, wie sieht der typische Ablauf aus?
Einen typischen Tagesablauf kennen wir nur selten. Meist weiß man nicht, was der Tag bringt. Zwar haben wir Regelaufgaben, aber der konkrete Ablauf kann durch eine neue Phishing-Welle oder einen gravierenden Sicherheitsvorfall komplett anders verlaufen, als er morgens geplant war.

Grundsätzlich arbeiten wir aber nach dem Prinzip Erkennen – Alarmieren – Verhindern. Um möglichst frühzeitig neue Attacken erkennen zu können, betreiben wir eine Meldestelle. Hierüber gehen Hinweise unserer technischen Sensoren sowie Meldungen von Mitarbeitern, aber auch Hinweise von Endkunden ein.

Und wie reagieren Sie darauf?
Sobald wir eine Meldung verifiziert und als relevant bewertet haben, wird eine Alarmierung an die angeschlossenen Häuser verschickt. Dies sind rund 4.000 Personen. Ist es notwendig, dass auch Endkunden gewarnt werden müssen, wird zusätzlich noch eine textlich angepasste Alarmierung erstellt, die allen Kunden über die Homepage der Sparkasse angeboten wird.
In der dritten Stufe, dem „Verhindern", geht es dann darum, Maßnahmen umzusetzen, die einen Schaden abwenden. Hierzu haben wir etablierte Standardmaßnahmen, um Angriffe zu blockieren. Oft ist aber auch Kreativität gefordert.

Haben Sie denn auch Möglichkeiten, Angriffe zu verhindern oder zu blockieren?
Im Umfeld von Phishing-Angriffen haben wir diverse Maßnahmen zur Verhinderung. So informieren wir Browser-Anbieter wie Microsoft und Google, damit neue Phishing-Seiten direkt über den Browser gesperrt werden bzw. ein Warnhinweis eingeblendet wird.

Gibt es einen Fall aus der nahen Vergangenheit, der typisch ist für Ihre Arbeit?
Kürzlich gingen über unsere Meldestelle Hinweise zu einer neuen Malware ein, die per Mail mit einem Office-Anhang verteilt wurde. Unsere Analyse ergab, dass fast alle gängigen Viren-Scanner die Malware nicht erkennen, und dass die Malware nach dem Anklicken des Anhangs Daten verschlüsselt. In solchen Fällen geht es darum, schnell zu sein: Auf Basis unserer Analyse konnten wir erkennen, von wo die Verschlüsselung-Malware nachgeladen wurde. Durch entsprechende Sperren direkt in der Firewall konnte das Nachladen und damit eine Infektion verhindert werden, auch dann, wenn ein Nutzer den Anhang anklickte.

In welcher Größenordnung spielt sich das alles ab, wie viele Fälle bearbeiten Sie im Jahr?
Über das Jahr verteilt haben wir große Schwankungen. So haben wir Wochen mit vielen tausend Meldungen, die bei uns eingehen. Teilweise erfolgt darum auch eine automatisierte Vorauswertung, damit wir die Mengen zeitnah bewältigen können.

Noch einmal zum Thema Angriffsszenarien. Was kommt da in Zukunft auf uns zu, wie ist da Ihre Einschätzung?
Die zukünftigen Wege Krimineller vorherzusagen, ist nahezu unmöglich. Im Umfeld der Angriffe gegen das Online-Banking und Bezahlverfahren werden aber wahrscheinlich die Anpassungen durch die PSD2 von Bedeutung sein. Die geforderten Anpassungen bieten zwar vielfach mehr Sicherheit – es lassen sich aber auch neue Angriffsmethoden ableiten. Diese werden Kriminelle sicherlich bewerten und ggf. nutzen.
Im Bereich der breitflächigen Angriffe sieht es zudem so aus, dass zunehmend professionellere Methoden genutzt werden, die bislang nur im Umfeld zielgerichteter Angriffe bekannt werden. Dies kann zu höheren Schäden führen.

Wenn man mit Ihnen Kontakt aufnehmen möchte, wie kann man Sie erreichen?
Endkunden wenden sich idealerweise direkt an ihre Sparkasse. Kreditinstitute und deren Dienstleister können sich zum Beispiel per E-Mail an S-CERT@S-CERT.de beziehungsweise an ihr zuständiges CERT oder Notfallteam wenden.

Herr Stoffel, vielen Dank für das interessante Gespräch!