Cybersecurity

Surfen in Behörden – voll abgekapselt

Wie sich Behörden und Kommunen mit R&S®Browser in the Box vor professionellen Cyberkriminellen schützen

Schadsoftware verursacht Milliardenschäden. Ein Haupteinfallstor: Der Internet-Browser. Gegen die Methoden professioneller Datendiebe, Spione und Saboteure ist klassische Antiviren-Software nahezu machtlos. Behörden und Kommunen wie die Landeshauptstadt Dresden erfüllen ihre strengen Auflagen zur Cybersicherheit deshalb mit dem virtuellen Browser von Rohde & Schwarz Cybersecurity.

Hauptziel für Malware: Windows

Auf 80 Seiten beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI), wie es um die Lage der IT-Sicherheit in Deutschland im Jahr 2019 bestellt ist. Sie ist, in einem Wort zusammengefasst: ernst. Die Attacken nehmen rasant zu, und sie werden immer ausgefeilter. Binnen eines Jahres wurden dem BSI zufolge 114 Millionen neue Schadprogramm-Varianten registriert, allein 65 Millionen davon entfielen auf das Betriebssystem Windows. Im Schnitt wurden 6.100 Angriffe pro Monat identifiziert, die laut BSI „von den eingesetzten kommerziellen Schutzprodukten nicht detektiert oder blockiert werden konnten.“

Banden nutzen neuartige Technologien

Allein in Deutschland betrug der Schaden nach Berechnungen des Branchenverbandes Bitkom zuletzt rund 100 Milliarden Euro jährlich. Den weltweiten Schaden veranschlagt die US-Denkfabrik „Center for Strategic and International Studies" (CSIS) in ihrem Report „Economic Impact of Cybercrime – No Slowing Down" auf jährlich fast 600 Milliarden Dollar - 155 Milliarden Dollar mehr als noch im Jahr 2014. Der Bericht erklärt die beschleunigte Zunahme dadurch, dass Cyberbanden neue Technologien anwenden und sich etwa das Geschäftsmodell „Cybercrime-as-a-Service“ kontinuierlich ausbreitet.

Gegen „Emotet“ hilft keine Firewall

Die Experten des BSI nennen als ein hervorstechendes Beispiel für das gestiegene Know-how der modernen Cyberkriminellen eine Malware namens „Emotet“. Seit Jahren sei das Schadprogramm bekannt, seit November 2018 aber habe es sich schlagartig massiv verbreitet - mithilfe von schädlichen Office-Dokumenten. Die Evolution von Emotet zeige sich insbesondere an neuen Fähigkeiten wie dem „Outlook-Harvesting“, durch das es in der Lage ist, authentisch aussehende Spam-Mails zu verschicken.

Dazu liest die Schadsoftware Kontaktbeziehungen und seit kurzem auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzen die Täter zur weiteren Verbreitung des Schadprogramms in nachfolgenden Spam-Kampagnen. Die Empfänger erhalten also fingierte Mails von Absendern, mit denen sie erst kürzlich in Kontakt standen. Das BSI rechnet mit einer weiteren Zunahme solcher automatisierten Social-Engineering-Angriffe, die für die Empfänger kaum noch als solche zu identifizieren sind. Bei sogenannten Spear-Phishing-Angriffen werden die Inhalte sogar eigens auf besonders hochwertige Ziele zugeschnitten. E-Mails mit solcher Malware zählen daher zu den am häufigsten detektierten Angriffen etwa auf die Bundesverwaltung.

Firewall und Antiviren-Software – die klassischen Lösungen reichen gegen moderne Trojaner, Würmer und andere Malware längst nicht mehr aus. Das herkömmliche "Blacklisting" schließt immer nur bereits erkannte Gefahren aus. Die Sicherheits-Maßnahmen der Anbieter von Betriebssystemen bieten auch nicht ausreichend Schutz . Manche Behörden sichern sich immer noch ab, indem sie Rechner, mit denen gesurft wird, komplett vom eigenen Betriebssystem und dem Intranet abschirmen. Logische Folge: Der Verkehr mit der digitalen Außenwelt ist massiv eingeschränkt.

„Sicherster Browser der Welt“

Clemens Schulz, Director Desktop Security bei Rohde & Schwarz Cybersecurity, war maßgeblich an der Entwicklung einer Software beteiligt, die den eigenen Browser von der Umgebung komplett abkapselt – ohne dass zugleich der Kontakt der Mitarbeiter mit der digitalen Außenwelt eingeschränkt wird: R&S®Browser in the Box. Schulz sagt: „Das Einfallstor bleibt der Mensch.“ Deshalb sei es so wichtig, nicht nur auf Aufklärung im Betrieb zu setzen, sondern auch die zufällige und unbeabsichtigte Gefährdung durch Schadsoftware zu verhindern. Statt nur zu reagieren, sollte schon der Einfall von Schadsoftware verhindert werden, proaktiv. Heutzutage reicht es schon, eine Internetseite geöffnet zu haben, damit sich Drive-by-Downloads etwa über Banner aktivieren.

Die Entwicklung von R&S®Browser in the Box entspricht einem Paradigmenwechsel wie es ihn auch in der Automobilindustrie gab: Airbags konnten schon ab den 1950ern die Auswirkungen eines Unfalls für die Insassen eines Fahrzeugs mindern. Erst das später eingeführte Elektronische Stabilitätsprogramm (ESP) aber trug maßgeblich dazu bei, einen Unfall abzuwenden. Ähnlich einem ESP im Auto verhindert R&S®Browser in the Box von vornherein eine Infektion. Das Prinzip nennt sich „Security by Design“. Auch Telemetrie-Dienste werden aktiv blockiert und können sich der Daten des Browsers nicht bemächtigen. Ebenso wenig ist das Nachladen von Schadsoftware durch Dateianhänge möglich. Das Branchenmagazin „Chip“ bezeichnete R&S®Browser in the Box als den „sichersten Browser der Welt“.

Den Anstoß zur Entwicklung einer solchen Software für die komplette Sicherheit in Behörden gab das BSI. Zu den ersten Anwendern gehörten etwa sämtliche Dienststellen der Polizei Baden-Württembergs. Schon lange vor der Einführung der Datenschutz-Grundverordnung waren kommunale Behörden zum Schutz von Bürgerdaten auf ihren Datenträgern verpflichtet. Deshalb hat die sächsische Landeshauptstadt Dresden bereits vor dem Inkrafttreten der EU-DSGVO aufgerüstet: Ihre Rechner werden über R&S®Browser in the Box gesichert.

Wenn das Gesundheitsamt recherchiert

Beispiel Gesundheitsamt. Kay Hirschfeld, ein Verantwortlicher für Cybersicherheit bei der Landeshauptstadt Dresden, zählt sensible Bereiche auf, in denen die Angestellten sicher recherchieren können müssen. Sie müssen etwa Kontakt zu Prostituierten herstellen können, um Aufklärung zu betreiben. Sie müssen Foren für gleichgeschlechtlich lebende Menschen ansteuern können, etwa um auf die Möglichkeit eines kostenlosen und anonymen Aidstests aufmerksam zu machen. In jedem Fall müssen Personendaten verschlüsselt und pseudonymisiert werden, Datenschutz und Löschfristen sind einzuhalten. Insbesondere aber muss die Internetrecherche getrennt vom eigenen System passieren, damit niemand vom Browser aus auf das Betriebssystem, auf dem personenbezogene Daten verarbeitet werden, zugreifen kann.

Ähnlich beim Waffenregister. Noch vor kurzem haben rund 550 Waffenbehörden ihre Daten auf unterschiedlichste Weise gehalten, einige sogar nicht digital, sondern auf Karteikarten. Als aber die Daten aufgrund der zugehörigen EU-Verordnung in allen Behörden konsolidiert, also in einem zentralen System abgeglichen und gespeichert werden mussten, wuchs die Gefahr. Hirschfeld erklärt: „Man könnte jetzt über ein einziges Einfallstor auf eine ganz andere Qualität und ggf. sogar Quantität an Daten zugreifen.“ Wichtig für den IT-Sicherheitsexperten: Trotz der Abkapselung des eigenen Betriebssystems läuft der Austausch mit dem Internet fast genauso schnell wie ein normal geschütztes System. Es lädt sich bei entsprechender Konfiguration selbst unbemerkt beim Start von Windows.

Des Pudels Kern: mehrschichtige Sicherheit

Das Betriebssystem und das Intranet sind während der Anwendung vom Internet getrennt. So werden auch Telemetriedaten nicht mehr an den Hersteller gesendet. Das sind Metainformationen über das Dokument, den jeweiligen Client und seine Nutzung. Zusammen mit diesen Informationen könnten sogar unbemerkt vertrauliche Daten abgesaugt werden. Der Browser wird auf einer komplett virtualisierten Plattform ausgeführt, der Nutzer bekommt davon gar nichts mit: Sein Browser verhält sich so, wie gewohnt. Durch das Feature „Docs in the Box“ können auch E-Mail-Anhänge, die potenziell Viren enthalten, im Vorschaufenster einer virtualisierten Umgebung isoliert betrachtet werden.

Des Pudels Kern ist ein gehärtetes Linux System. Schulz erklärt: „Das Open-Source-Betriebssystem wird minimalisiert, nur der Browser kann darauf ausgeführt werden.“ Zudem läuft der Datenverkehr Ende-zu-Ende-verschlüsselt über einen VPN-Tunnel unter Benutzung des R&S®Trusted VPN-Gateways. Eine solche vollständige Abkapselung der Netzwerke und des Browsers bei vollständiger Handlungsfähigkeit, betont Schulz, „das bietet kein Anbieter weltweit.“

Gefahrenquelle Mensch

Der einzelne berechtigte Anwender ist mit R&S®Browser in the Box der Verantwortung enthoben, jede einzelne Seite selbst zu prüfen. Und doch warnt Kay Hirschfeld von der LH Dresden: „Das größte Problem ist nicht der Hacker, sondern der unvorsichtige, vielleicht sogar unzufriedene Mitarbeiter mit entsprechenden Zugriffsrechten.“ Gegen Spione, die Daten aus dem Unternehmen schmuggeln, lässt sich mit einer technischen Lösung nichts machen. Aber ohne technische Lösung hat man von vornherein verloren.