Von Hochsicherheitsrechenzentren bis zum Europäischen Parlament: Jedes dieser Gebäude hat seine eigenen Sicherheits- und Zugangskontrollmaßnahmen, aber keine erreicht die Komplexität und das Niveau derjenigen, die am Hauptsitz des CNI westlich von Madrid eingesetzt werden.
Von dort geht eine Geheimniskrämerei und ein Gefühl der heimlichen Kontrolle aus, die dem Wesen einer solchen Institution entsprechen: Niemand weiß mehr, als er wissen sollte, niemand zählt mehr, als er sagen sollte.
Im März 2004 wurde das Königliche Dekret 421/2004 verabschiedet, um den Umfang und die Funktionen des CCN zu regeln, und wurde damit zur ersten spanischen Einrichtung mit Zuständigkeiten im Bereich der Cybersicherheit.
Ein Werk, das sich an öffentliche Verwaltungen richtet (aber nicht nur an sie)
Luis Jiménez ist stellvertretender Generaldirektor des CCN. Er ist Oberstleutnant im Sondereinsatz, Kryptologe und Spezialist für Beschreibung durch das Higher Center for Defense Information (CESID, der Vorgänger des CNI). Und er ist es, der über die Funktionen des CCN erzählt: “Neben der Funktion des CERT hat es noch einige weitere. Im Bereich der Kryptographie, im Bereich der Sicherheitsrichtlinien, Richtlinien, Leitfäden, der Ausbildung von Beamten und öffentlichen Angestellten… Wir haben auch die Aufgabe, das Vertrauen zu bewerten, das wir in die Technologie, die Regulierung und Zertifizierung der Sicherheit in Informations- und Kommunikationstechnologien setzen können…”
Ein CERT ist ein Computer Emergency Responste Team. Es gibt sie auf regionaler, wirtschaftlicher oder militärischer Ebene, aber auch auf nationaler Ebene, wie z.B. das CCN, das vom CNI abhängig ist.
Diese Funktionen werden in Szenarien umgesetzt, wie z. B. die vom CCN durchgeführte Prüfung eines Informations- und Kommunikationssystems, das mit Verschlusssachen umgehen soll. “Wir prüfen, ob sie in der Lage ist, sie zu schützen, und wenn wir sehen, dass sie diese Bedingungen erfüllt, erteilen wir eine Akkreditierung, d. h. die Genehmigung für den Umgang mit diesen Verschlusssachen”, erklärt Luis.
Es handelt sich um eine öffentlich zugängliche Organisation, so dass sich fast alle ihre Aktivitäten auf ihrer Website widerspiegeln. “Wir geben Leitfäden, Dokumente, Bedrohungsbulletins, Schwachstellenbulletins, Anweisungen, Empfehlungen, Verhaltenskodizes, sichere Konfigurationen der verschiedenen Technologien heraus…”. In der Tat besteht eine ihrer Aufgaben darin, Informationen im Bereich der technologischen Sicherheit zu verbreiten, und jeder kann das von ihnen veröffentlichte Material verwenden, um Sicherheitsverbesserungen in seinen Geräten zu implementieren.
Die Hauptzielgruppe ist jedoch sehr klar definiert: die öffentlichen Verwaltungen. “Sowohl das Allgemeine und das Regionale als auch das Lokale. Unsere Kunden sind die IKT-Manager von Stadtverwaltungen, Ministerien, Autonomen Gemeinschaften, Provinzräten… Alles, was den spanischen öffentlichen Sektor ausmacht. Wir arbeiten nicht für Bürger und Unternehmen, sondern grundsätzlich für die öffentliche Verwaltung.”
Dem aufmerksamen Leser wird ein Paradoxon aufgefallen sein: zu viel Fokus auf öffentliche Verwaltungen und ein spezifischer Bezug zu Unternehmen. Er hat dafür eine Erklärung: “Viele Cyberangriffe und -vorfälle haben Auswirkungen auf die nationale Sicherheit, daher arbeiten wir daran, diesen Angriffen auf nationale Interessen entgegenzuwirken.”
Mit anderen Worten, wenn ein großes spanisches Unternehmen einen größeren Angriff erhält, der nationale Interessen beeinträchtigt, hat das CCN auch die Pflicht, mit ihm zusammenzuarbeiten, um den Angriff zu erkennen, ihn zu untersuchen, zu verhindern, dass er sich wiederholt, seine Systeme zu desinfizieren, herauszufinden, was genau passiert ist, den verursachten Schaden zu definieren… In solchen Fällen richtet sich die Hauptfunktion der KUV zwar an die öffentlichen Verwaltungen, doch gibt es bestimmte Momente, in denen sie Unternehmen des privaten Sektors unterstützen.
Ein paradigmatischer Fall: Telefónica und Wannacry
Einer der aufsehenerregendsten Angriffe auf ein großes spanisches Unternehmen war der, der Telefónica im Jahr 2018 ereignete, als das Unternehmen einen Ransomware-Angriff erhielt: Wannacry. Ihre Mitarbeiter sahen Warnmeldungen auf ihren Computern, die Infektion breitete sich innerhalb von Minuten aus, und alle Mitarbeiter wurden nach Hause geschickt, während Sicherheitsbeamte übernahmen. Zu diesem Zeitpunkt arbeiteten bereits mehrere Mitglieder des CCN, die vom Telekommunikationsunternehmen kontaktiert worden waren, an dem Fall.
Diese Passage erklärt Álvaro, Koordinator des Incident Response Teams des CCN: “Sie waren nicht die einzigen, es gab mehr Unternehmen mit Problemen. Das erste, was sie taten, war, uns eine Probe der Ransomware zu schicken.Wir haben die Informationen aus unserer Analyse mit unseren britischen Kollegen geteilt, da Wanncry den öffentlichen Gesundheitssektor in Großbritannien hart getroffen hat. Es nutzte eine Schwachstelle in Microsofts Druckerfreigabeprotokoll aus, und durch dieses Protokoll kam Wannacry. Über dieses SMB-Protokoll nutzte es eine Schwachstelle, die bereits von der amerikanischen NSA ausgenutzt worden war, aber online durchgesickert war, sie wurde von einer Gruppe namens “The Shadow Brokers” veröffentlicht. Die Angreifer hinter Wannacry haben es in das Tool integriert und sich dadurch wie ein Wurm im gesamten Netzwerk verbreitet.”
“Telefónica hat Wert darauf gelegt”, fährt Luis fort. “Er erkannte den Angriff, schaltete seine Computer offline, schickte seine Mitarbeiter nach Hause und machte sich an die Arbeit, um genau zu sehen, was die Auswirkungen waren, wo sie eingedrungen waren, was das Ausmaß des Angriffs war … Und mit einer Pressemitteilung. Er hat es sehr schnell gemacht, er hatte ein ziemlich leistungsfähiges Cyber-Krisenmanagement-System.”
Als das CCN diese Probe erhielt, rekonstruierte es sie, sah, wie die Ransomware funktionierte, und es gelang den Ingenieuren, NoMoreCry zu entwickeln, ein kleines Programm, das die Ausbreitung stoppte: Als diese Ransomware einen Computer erreichte, führte sie eine Überprüfung durch: Wenn sie bereits auf dem Computer installiert war, reagierte sie nicht. NoMoreCry gaukelte Wannacry vor, dass es auf den neuen Computern, die es erreichte, bereits vorhanden sei, und verhinderte so eine Infektion.
“Wir haben es in ein Repository hochgeladen, damit jeder es herunterladen kann. Die Downloads waren riesig, mehr als 50.000 aus der ganzen Welt. Außerdem haben wir es das ganze Wochenende über aktualisiert”, fügt Álvaro hinzu.
Die WannaCry-Attacke kam dem Zeitpunkt besonders gelegen: an einem Freitag, kurz vor der Madrider Brücke San Isidro. “Wir haben das ganze Wochenende damit verbracht, neue Samples zu analysieren und Versionen für jedes Betriebssystem herauszubringen, einschließlich der alten, die das Protokoll nicht deaktivieren konnten. Damit haben wir es geschafft, eine ganze Reihe von Infektionen zu stoppen und es gab praktisch keine Auswirkungen auf die Verwaltung. In Spanien hatte sie nicht so große Auswirkungen wie in den übrigen Ländern. Das zeigt Ihnen, wie wir arbeiten. Es war Telefónica, aber wenn es irgendein anderes Unternehmen gewesen wäre, das uns zu Hilfe gekommen wäre, hätten wir genauso gehandelt: Wir hätten mit der Arbeit an der Ransomware begonnen und wären immer in die technischen Details des Angriffs vorgedrungen, um ihn zu charakterisieren, ihn an anderen Stellen zu erkennen und ihn in den frühen Stadien zu neutralisieren”, sagt der Ingenieur.
Auf die Frage, ob diese Höhe der Beihilfe durch die Tatsache beeinflusst wurde, dass es sich um Telefónica handelte – der größte Betreiber des Landes, ein Rüstungsanbieter und mit einem so großen nationalen strategischen Interesse, dass der Staat eine Beteiligung von 10 % an seiner Beteiligung ankündigte – glaubt Luis, dass sich die Situation nicht wesentlich geändert hätte.
“Es wäre mehr oder weniger das Gleiche gewesen, wir sind mehr von der technologischen Herausforderung getrieben. In der Tat haben wir einige kleinere Unternehmen, kleinere Betreiber… In Fällen von nationaler Cyberkriminalität haben wir sie auch unterstützt, wir helfen, wo immer wir können. Oft würden wir gerne mehr tun, aber wir haben einen Mangel an Ressourcen. Alle beschweren sich, aber ich beklage mich besonders über den Mangel an Ressourcen.” Das Budget des CNI für 2023 belief sich auf 334 Millionen Euro.
In Bezug auf die Ressourcen erklärt er, dass es in der Natur solcher Vorfälle liegt, dass sie nicht geplant werden können, so dass es sehr schwierig wird, die Menge an Ressourcen zu messen, die in Zukunft benötigt werden. “Man kann die Woche planen, aber ein großer Zwischenfall kommt und sprengt alles in die Luft. Man weiß nie, ob man zwei, drei oder sieben Vorfälle parallel hat.”
Und es verfügt über eine Funktion, die in einem nationalen CERT nicht üblich ist: den Einsatz von Geräten. Wenn es zu einem Vorfall kommt, reist ein Team von drei oder vier Personen zur Behörde, um zusammen mit den Technikern der Behörde zu untersuchen, zu desinfizieren, sogar zu formatieren oder Software und Betriebssysteme neu zu installieren. “Wir unterstützen nicht nur am Telefon oder per E-Mail, unsere Leute gehen dorthin.” Auf die Frage nach Beispielen für diese Art von Aktionen nennt er als paradigmatischste Fälle den Angriff auf die SEPE im Jahr 2021 oder den des Stadtrats von Castellón. Wir erinnern uns auch an einen russischen Cyberangriff auf das CSIC, ebenfalls auf Ransomware, im Jahr 2022.
Erkennung
Wir haben bereits über die umfangreiche Sammlung öffentlicher Ressourcen auf dem YouTube-Kanal des CCN berichtet, und darin finden wir genau eine Erinnerung an diese Intervention: Einige Monate nach dem Angriff auf den Stadtrat von Castellón nahm die Bürgermeisterin von Castellón, Amparo Marco, an der von dieser Organisation organisierten STIC-Konferenz teil, um ihren Standpunkt darzulegen und die Erfahrungen aus der Sicht des Opfers zu schildern. Dazu gehören die führenden Cybersicherheitsexperten des Landes und die wichtigsten Sicherheitsmanager von öffentlichen Verwaltungen und Unternehmen von strategischem Interesse.
Die Leiterin der IKT-Abteilung bei SEPE, Gema Ana Paz, nahm ebenfalls an einer dieser Konferenzen teil, um etwas Ähnliches zu tun: ihre Erfahrungen von innen zu erzählen.
Die Analysen und Maßnahmen, die das CCN bei dieser Art von Cyberangriffen durchführt, bringen nicht nur Erfahrung und gesammeltes Wissen für seine Fachleute, sondern helfen auch beim Aufbau von REYES. Nicht Monarchen oder Weihnachtsgeschenke, sondern das Werkzeug, das unter diesem Namen die Cyber-Intelligenz des Unternehmens schützt. Sie charakterisieren jede der Malware-Familien, jeden Cyberangriff, um auf technische Weise zu verstehen, wie ihre Protokolle, ihre Bibliotheken, ihre Befehle, Exfiltrationsmechanismen, die Ransomware verwendet, um Informationen zu stehlen, funktionieren…
All dieses gesammelte Wissen ist in das REYES-Tool integriert und hilft bei der Charakterisierung von Angriffen, angreifenden Gruppen und technischen Taktiken und Verfahren, die in dieser Welt als TTPs bekannt sind: der Modus Operandi dieser Gruppen vor, während und nach dem ersten Angriff oder Eindringen.
“Basierend auf all diesen Cyber-Bedrohungsinformationen sind wir in der Lage, Erkennungsregeln in unseren Systemen bereitzustellen. Wenn wir einen Vorfall haben und den Verdacht haben, dass eine bestimmte Angriffsgruppe hinter dem Vorfall steckt, können wir uns ansehen, wie sie in anderen Fällen funktioniert hat. Auf diese Weise haben wir versucht, das ganze Puzzle zusammenzusetzen. Am Ende besteht die Reaktion auf einen Vorfall in vielen Fällen darin, Teile zu nehmen und zu versuchen, eine Zeitleiste des Geschehenen zu erstellen. Sie gehen so weit, wie es diese Audit-Aufzeichnungen zulassen”, sagt Jimenez.
Daraus ergibt sich die Bedeutung des REYES-Werkzeugs: Es handelt sich um eine wertvolle codierte Zeitungsbibliothek, auf der man eine historische Überprüfung ihres Wissens vornehmen kann, um es bei jedem neuen Angriff anzuwenden. Angriffe, die kommen können, weil jemand ein Passwort und eine gültige Akkreditierung erhalten hat (ein Moment, um sich daran zu erinnern, wie wichtig es ist, eine zweistufige Verifizierung zu implementieren), oder weil er von einer Schwachstelle im System weiß und einen Exploit hat, der sie ausnutzt…
“Tatsache ist, dass der Cyberangriff nicht sofort erfolgt, sondern der Angreifer in Phasen erfolgt“, sagt der stellvertretende Direktor. “Im ersten Fall setzt es normalerweise ein Implantat in das Netzwerk oder System, das es angreifen will, einen Allianzcode. Manchmal haben wir einen Cyberangriff entdeckt, und wenn wir wissen, wie er funktioniert, haben wir überprüft, ob sich dieses Implantat an mehreren Stellen befindet. Und wir stellten fest, dass dies der Fall war. Das heißt, obwohl er sich bei diesem Angriff bereits in Phase 5 befand, gab es andere Orte, an denen sich der Angreifer in Phase 1 oder Phase 2 befand.”
Es gibt sieben Phasen eines Cyberangriffs:
- Erkennung
- Präparat
- Verteilung
- Ausbeutung
- Installation
- Befehl & Kontrolle
- Maßnahmen zur Erreichung der Ziele
Diese Art der Bedienung des CCN ermöglicht es, Cyberangriffe zu erkennen, bevor sie auftreten, und sie in einem frühen Stadium zu erreichen, wenn sie noch nicht den Schaden angerichtet haben, den sie anrichten würden.
Dies bringt uns zu einer weiteren spezifischen Art von Fällen, dem der Cyberspionage. Auch in solchen Situationen setzt das CCN Geräte ein, “obwohl das nicht in den Zeitungen steht”, sagt Luis. “Der einzige große Fall, der ans Licht kam, war der im Jahr 2019 vom Verteidigungsministerium. Wir machen dasselbe: Wir setzen ein Team von Menschen ein, wir arbeiten mit den Mitgliedern der betroffenen Körperschaft zusammen und wir versuchen zu sehen, was dort passiert ist, auf welche Informationen der Angreifer zugreifen konnte, wie er es getan hat – um zu versuchen, es zu vermeiden – und wir versuchen, Maßnahmen zu ergreifen, damit es nicht wieder passiert”, sagt Álvaro.
Und damit sind wir auch bei einem anderen Konzept, das der breiten Öffentlichkeit nicht bekannt ist, aber für Unternehmen grundlegend ist: der Diebstahl von technologischem Vermögen. Wenn ein Angreifer auf ein Unternehmensnetzwerk zugreift und Material stiehlt, wie z. B. die Angebote, die er für eine internationale Ausschreibung vorbereitet, oder Pläne, Entwürfe, Entwicklungen…
“All die F+E, die ein spanisches Unternehmen seit Jahren entwickelt und Ressourcen investiert hat, um zu versuchen, ein Produkt besser zu entwickeln, und dann dringen sie aus anderen Staaten in diese Netzwerke ein und nehmen es weg. Und auf diese Weise vermeiden sie diese technologische Lücke. Wir haben viele Angriffe im Energiesektor und im Verteidigungssektor festgestellt. In der Rüstungs- oder Luftfahrtindustrie gibt es viele Cyberangriffe, die unbemerkt bleiben, weil der Angreifer unbemerkt bleiben und so Designs, Pläne, Angebote usw. stehlen kann. Bei vielen internationalen Ausschreibungen kann man mit dem besten Angebot besser bieten”, fügt Álvaro hinzu.
Wenn ein Angriff, der bemerkt wird, wie z. B. Ransomware, bereits mehr als problematisch ist, können diejenigen, bei denen der Angreifer der Entdeckung entgeht, noch problematischer sein. Es gibt Fälle von Angriffen wie diesem, bei denen Angreifer jahrelang Systeme infiltriert haben, mit den damit verbundenen ständigen Informationslecks. Diese Arten von Gruppen werden als APT (Advanced Persistent Threat) bezeichnet.
“Persistente APT ist das, was in diesem Fall zählt. Wir haben Fälle aufgedeckt, in die sie seit Jahren verwickelt sind. Als man den Faden zurückzog und sah, dass sie dort seit zwei Jahren feststeckten…”, fügt Álvaro hinzu. “Eine der wichtigsten Ermittlungslinien in diesen Fällen ist die Suche nach den Persistenzmechanismen, die der Angreifer verwendet. Selbst wenn Sie ihre Befehls- und Kontrollsysteme oder ihre IP-Adressen erkannt haben, um diesen Datenverkehr zu unterbinden, behält der Angreifer einen Persistenzmechanismus bei, der es ihm ermöglicht, über eine andere Website zu gehen oder die Malware so zu modifizieren, dass sie nicht erneut entdeckt wird. Wie die Katze und die Maus. Wenn der eine denkt, dass der andere diesen Weg geht, plant der andere schon, dorthin zu gehen”, erklärt Luis.
In diesem Katz-und-Maus-Spiel fällt das Passendste in der Regel nicht mit dem Verlockendsten zusammen. Für das Opfer sagt der Instinkt, dass das erste, was in einem Fall von Cyberspionage zu tun ist, darin besteht, alles abzuschalten. Doch das CCN sieht das anders: “Wenn wir immer noch nicht wissen, welche Einstiegswege der Angreifer hat, wollen wir nicht alles abschneiden. Wir haben einen kurzen Zeitraum, in dem wir mehr Überwachung einsetzen, um Eintrittspfade zu erkennen. Und wenn wir es identifiziert und charakterisiert haben, schneiden wir alles ab und werfen es aus dem Netzwerk”, fügt Luis hinzu.
Obwohl die Theorie alle Logik der Welt hat und sich in der Praxis bewährt hat, ist sie in einer kritischen Situation nicht immer einfach zu handhaben. “Versetzen Sie sich in die Lage eines stellvertretenden IKT-Direktors eines Ministeriums. Sie sagen ihnen, dass ihre Informationen gestohlen werden, aber sie sollten nichts tun, weil wir Tools in ihrem Netzwerk einsetzen müssen, um den Angreifer zu überwachen, seinen Persistenzmechanismus zu entdecken, zu charakterisieren, was er tut, zu wissen, was seine Interessen sind…”
Manchmal können diese Prozesse zwei Wochen dauern. Eine Ewigkeit für einen technischen Manager in Schwierigkeiten, aber eine notwendige Frist nicht nur für die oben genannten Prozesse, sondern auch für bürokratischere Aufgaben, wie z. B. das Erreichen einer vollständigen Sichtbarkeit des Netzwerks. Manchmal weiß der Angreifer es sehr gut, weil er sich so lange darin aufgehalten hat, aber die Behörde ist sich nicht einmal ganz darüber im Klaren, was das komplette Netzwerkdiagramm ist, weil Server oder ähnliche Geräte nicht mehr verwendet werden, so das CCN.
“Wir bitten um Aufrichtigkeit, wenn es darum geht, uns zu erzählen, wie das Netzwerk ist. Es ist an der Zeit, dass wir einen Überblick über das gesamte Netzwerk haben. Manchmal gibt es ein bisschen den Wunsch, bestimmte Informationen zu verbergen, sich nicht vollständig daran zu erinnern, einen Teil zu verwerfen, weil er nicht wichtig ist… Die erste Phase, um auf einen Vorfall zu reagieren, besteht darin, viel Pädagogik zu betreiben“, sagt die stellvertretende Direktorin.
Telearbeit, Kryptographie und Quantencomputing
In diesem Sinne haben die letzten Jahre das, was das Zentrum “Ausstellungsflächen” nennt, stark verkompliziert. “Telearbeit hat die unkontrollierte Konnektivität oder mit einem geringen Maß an Kontrolle stark erhöht. Es gibt noch viele weitere Löcher, durch die ein Angreifer ein- oder aussteigen kann. Viele Male haben wir ein Unternehmensnetzwerk untersucht und festgestellt, dass es viele Websites ohne ausreichende Kontrolle gibt.”
Als der Lockdown im Jahr 2020 kam, bedeutete die plötzliche Notwendigkeit, von zu Hause aus zu arbeiten, dass die Funktionalität Vorrang vor der Sicherheit hatte. “Dieser Trend hielt eine Weile an, aber jetzt wird die Zwei-Faktor-Authentifizierung gefordert, sie ist von grundlegender Bedeutung. Jedes Ministerium oder jede öffentliche Einrichtung, die über Telearbeit oder Fernzugriff verfügt, setzt diese Schutzmaßnahme um, sie ist grundlegend”, fügt Luis hinzu. Ein höherer Standard als noch vor einigen Jahren.
Eine weitere Verantwortung, die das CCN hat, besteht darin, die Verwendung von Kryptographie für den Gebrauch durch die Regierung zu genehmigen. Jeder kryptografische Mechanismus, der Verschlusssachen schützen soll – oder der diese Art von Schutz per Verordnung vorschreibt – muss zunächst von diesem Gremium validiert werden.
In der Kryptographie gibt es zwei Ebenen: Das hohe Sicherheitsniveau ist dasjenige, das in allen Geräten implementiert ist, die geheime Informationen verarbeiten, wie z. B. die Streitkräfte, das Verteidigungsministerium, das Außenministerium, das Präsidialministerium, die staatlichen Sicherheitskräfte und das Korps… Dort wird Kryptographie eingesetzt, um die Vertraulichkeit von Informationen zu gewährleisten. Das CCN genehmigt die zu verwendenden kryptographischen Algorithmen.
“Wir haben Richtlinien, die festlegen, welche kryptografischen Algorithmen zugelassen sind, was die geeigneten Schlüssellängen sind, und wir bewerten sogar die praktische Implementierung des Algorithmus auf einem bestimmten Gerät”, erklärt Luis.
Ein Beispiel für diese Praxis ist der elektronische Personalausweis. Die gesamte Kryptographie wurde vom CCN evaluiert und zertifiziert, bevor sie der Öffentlichkeit vorgestellt wurde. Sowohl die Algorithmen als auch der kryptografische Chip im Inneren. Auch alle Signaturerstellungseinheiten im Bereich der elektronischen Signaturen. Es wird vom Department of Products and Technologies durchgeführt, einem Team, das hauptsächlich aus Mathematikern, Telekommunikations- und Informatikern besteht. Seine Aufgabe ist es, Algorithmen zu analysieren, ihre Sicherheit und ihre kryptografische Stärke zu untersuchen und ihre Implementierung in jeder spezifischen Elektronik zu bewerten.
Dieser letzte Punkt ist etwas, das Luis klarstellt: “Die meisten Fehler der Kryptographie kommen nicht vom Algorithmus selbst, sondern von seiner konkreten Implementierung in einem elektronischen Algorithmus, und das ist auch wichtig zu validieren.”
Dies führt uns zu der Frage nach Quantencomputern. “Innerhalb der Kryptographie basiert die gesamte Public-Key-Kryptographie auf der Schwierigkeit ihrer Faktorisierung, auf der Schwierigkeit ihrer Berechnung. Wenn Sie einen Computer mit einer sehr großen Verarbeitungskapazität haben, wie z. B. Quantencomputer, bricht die Sicherheit der Public-Key-Kryptografie zusammen. Jetzt haben wir einen sehr wichtigen Arbeitszweig: die Kryptographie, die wir jetzt verwenden, anzupassen, um sie quantenresistent zu machen”, sagt der stellvertretende Direktor.
Dies geschieht in Form des CCN, das die Algorithmen überwacht, die vom NIST (National Institute of Standards and Technology, einer US-Regierungsbehörde) untersucht werden. Es gibt bereits vier zugelassene quantenresistente Algorithmen, die sich völlig von den vorherigen unterscheiden, da sie auf anderen Arten von mathematischen Problemen basieren. Die Institution verfügt über einen Migrationsleitfaden von der traditionellen Kryptografie, in dem sie bestimmte Algorithmen empfiehlt und die Zeitpläne für diese Migration festlegt.
Diese Fristen sind wichtig, denn es gibt Material, das heute verschlüsselt wird, aber es muss 50 Jahre lang verschlüsselt bleiben. “Vielleicht wird es in 50 Jahren Computer geben, die die aktuellen Algorithmen brechen, wir geben Fristen an, je nachdem, wie lange Informationen geschützt werden müssen und wie schnell die Migration zu Quantenalgorithmen sein sollte”, fügt er hinzu.
Die kryptographische Modernisierung der spanischen Verwaltung ist ein weiteres großes Arbeitspferd des CCN, ein Rennen, bei dem sie nicht im Alleingang unterwegs sind, sondern den Richtlinien der NATO und der Europäischen Union folgen. Womit wir bei der internationalen Zusammenarbeit im Allgemeinen und der Rolle der NATO im Besonderen wären.
“Die NATO ist eine treibende Kraft in technologischen Fragen. Untersuchen Sie Probleme, die in der Zukunft auftreten werden. Wir reden seit mindestens sieben Jahren über Quantencomputing und Quantenresistenz. Wie die EU gibt auch die NATO die Linie vor, gibt den Trend vor, und wir folgen ihnen”, erklärt Jimenez.
Andere Stellen, mit denen das CCN häufig zusammenarbeitet, sind europäische Agenturen, insbesondere in Bezug auf Cyberangriffe. “Wir gehören einer Reihe von Geheimdiensten oder Sicherheitsbehörden an, mit denen wir viele Informationen und Erkenntnisse über Cyberangriffe austauschen. Es gibt Angriffe, von denen wir gehört haben, weil wir von anderen Verbündeten gewarnt wurden. Es handelt sich um globale Cyberangriffe: Akteure, die daran interessiert sind, die spanische Regierung auszuspionieren oder zu versuchen, Informationen über die Geschehnisse in Europa über Spanien zu erhalten, tun dasselbe mit den übrigen europäischen Nationen. Das sind globale Probleme, auf die wir versuchen, global zu reagieren, indem wir Informationen austauschen”, fügt er hinzu.
Wenn sie einen besonders hochkarätigen Cyberangriff auf eine bestimmte Entität oder einen neuartigen Faktor erkennen, teilen sie in der Regel alle technischen Details, damit auch andere Nationen ihn erkennen können. Die Zusammenarbeit erstreckt sich manchmal auch auf die akademische Welt und arbeitet mit einigen Abteilungen bestimmter Universitäten zusammen, die Forschungsgruppen haben. Manchmal werden sie mit bestimmten Arbeiten beauftragt, manchmal sind sie diejenigen, die ihre Forschungslinien teilen, falls sie sie für nützlich halten. Dies ist das Ergebnis von Vereinbarungen, gemeinsam den Stand der Technik unter dem Gesichtspunkt der Sicherheit zu überwachen.
Der akademische Zweig erstreckt sich auch auf die Lehre von Cybersecurity-Masterstudiengängen: Einige Mitglieder des CCN sind Teil des Lehrkörpers oder intervenieren gelegentlich bei Konferenzen.
Aktuelle Bedrohungen
Wenn wir die Vereinigten Staaten, Russland, China oder die Pegasus-Software erwähnen, um Luis auf die aktuellen Herausforderungen und Bedrohungen anzusprechen, spielt er bestimmte Akteure herunter und konzentriert sich auf die Technologie. “Die Herausforderungen sind die der Technologie. Wenn sie Fortschritte macht, nehmen die Drohungen zu. Und wenn die Bedrohungen voranschreiten, nehmen Vorfälle und Cyberangriffe zu. Einige aktuelle Herausforderungen sind Komplexität oder Kriminalität als Dienstleistung. Die Kapazität für Cyberangriffe liegt zunehmend in den Händen von immer mehr Menschen, diese Dienstleistungen können in digitalen Szenarien in Anspruch genommen werden.”
Dies ist ein wichtiges Problem, denn wenn sie vor einem Jahrzehnt eine Reihe von Gruppen aus einigen Staaten mit bestimmten Fähigkeiten identifiziert hatten, gibt es heute viel mehr Verwirrung bei Cyberangriffen. “Du weißt nicht, ob du von einer kriminellen Gruppe, einem Staat, einer staatlich geförderten Gruppe angegriffen wirst… Man weiß nicht, ob die Motivation nur wirtschaftlicher Natur ist, ob sie disruptiv ist… Vor einigen Jahren, in den frühen Stadien von Angriffen, konnte man sie relativ gut unterscheiden. Einige waren sehr laut, andere waren sehr heimlich. Heutzutage verwenden sie im Internet verfügbare Tools, die jeder verwenden kann, wie z. B. Cobalt Strike oder Sliver. Es ist schwieriger, Gruppen in diesen frühen Stadien voneinander zu trennen.”
Jeder Cyberangriff besteht aus vier Elementen:
- Eine Schwachstelle im angegriffenen System
- Eine Gruppe, die in der Lage ist, einen Exploit zu erstellen, der diese Sicherheitsanfälligkeit ausnutzt
- Die Fähigkeit des Angreifers, diesen Exploit in das System einzuschleusen (Infektionsvektor)
- Eine ausnutzbare Infrastruktur, die es dem Angreifer ermöglicht, unentdeckt zu bleiben oder den Angriff auszunutzen
“Bei jedem Cyberangriff sind diese vier Elemente vorhanden und wir versuchen immer, sie zu identifizieren. Vor fünf oder zehn Jahren war es einfacher, jeden von ihnen zu identifizieren. Heute ist alles so durcheinander und die Angriffe sind so ausgeklügelt… In einigen Fällen ist der Eingabevektor sehr einfach, z. B. ein gültiger Benutzername und ein gültiges Kennwort. Und da es keinen zweiten Authentifizierungsfaktor gibt, gehen sie direkt hinein. Es gibt also einen unvorstellbaren Markt für Zugangsdaten im Dark Web.”
Es verkauft Benutzernamen- und Passwortkombinationen für viele Systeme, Unternehmen oder Verwaltungen, weil es etwas ist, das viel Geld einbringen kann. Angreifer verwenden schädlichen Code, um die Computer der Benutzer zu infizieren und an deren Tastatureingaben, Cookies oder Passwörter zu gelangen, die im Browser gespeichert sind. Sie verpacken es und bieten es zum Verkauf an.
Dies ist etwas, das jede Organisation oder jedes Unternehmen in Alarmbereitschaft versetzen sollte, insbesondere wenn die Zwei-Faktor-Authentifizierung nicht aktiviert ist. Andernfalls könnte sich jeder in Ihrem System befinden, ohne dass jemand die Alarmglocken läuten lässt. Daher kommen Nachrichten wie massenhafte Passwort-Leaks. Es geschah auf LinkedIn, auf Twitter, auf Yahoo… Und selbst wenn der Benutzer nichts Wertvolles in diesen Konten oder Zugriff auf die Inhalte anderer Personen hat, kann er ein Passwort mit einem anderen, sensibleren Bereich teilen. Oder ein Passwort, das die gleiche Struktur hat.
“Heutzutage hat praktisch jede Domain ihr Passwort verkauft“, sagt Álvaro. “Es kann funktionieren oder auch nicht, es kann ein altes Passwort sein oder es kann ein Zwei-Faktor-Passwort geben und der Angreifer kommt nicht voran, aber da sind sie. Bei allen Angriffen ist es nicht die Frage, ob es passieren wird, sondern wann es passieren wird und ob man ein Verteidigungssystem hat, denn es wird mit Sicherheit passieren. Die Zwei-Faktor-Authentifizierung ist entscheidend.” Mit diesem Satz erinnern wir uns an den orangefarbenen Sicherheitsvorfall Anfang des Jahres: Hätten sie diese Maßnahme ergriffen, wäre es sicher nicht passiert.
Der Einfluss generativer KI auf Cyberangriffe
Wenn man im Jahr 2024 über ein technologisches Problem spricht, muss man auch über die Auswirkungen sprechen, die der Aufstieg der generativen künstlichen Intelligenz hat oder haben wird. Das ist der Welt nicht fremd: “Dieses Thema beschäftigt uns aus zwei Gründen. Einer davon ist, dass es bei vielen Angriffen einen wichtigen Faktor der Täuschung des Nutzers gibt, Social Engineering. KI steigert die Social-Engineering-Fähigkeiten des Menschen exponentiell. Früher gab es beschissene Übersetzungen, jetzt gibt es perfekt geschriebene E-Mails. Sie können sie bitten, Ihnen eine E-Mail zu senden, die an ein bestimmtes Unternehmen oder an seinen Finanzdirektor gerichtet ist und sich auf solche Probleme mit einem Bild oder einem Dokument bezieht, das für sie von Interesse ist. Und die KI baut es passend zu den Eigenheiten des Opfers”, sagt Jiménez.
Microsoft und OpenAI berichteten, dass sie cyberkriminelle Gruppen mit Verbindungen zu Russland, Iran, China und Nordkorea entdeckt hätten, die ihre Dienste für die Vorbereitungsphasen von Cyberangriffen nutzten.
KI erleichtert auch die Untersuchung des Ziels, bevor der am besten geeignete Infektionsvektor für diesen Angriff entwickelt wird, aber sie hilft auch Organismen wie dem CCN, d. h. denjenigen, die die Nachweiskapazität erhöhen wollen. Die derzeitige Technologie zur Erkennung basiert auf Mustern oder Anomalien. Erkennen Sie entweder Angriffe, die ein Muster replizieren, oder erkennen Sie Anomalien in einem System, die auf das Vorhandensein eines Angriffs hinweisen können, z. B. einen Code, der nicht vorhanden sein sollte, oder eine Verbindung, die regelmäßig von einem einzelnen Computer über das Netzwerk hergestellt wird.
KI ermöglicht es, einen Teil dieses Prozesses zu automatisieren. “Ich kann alle Informationen eines Vorfalls an dieses KI-Tool weitergeben, damit es Muster entwickeln kann, die ich in Firewalls oder DNS-Servern bereitstellen kann. Das ist die große technologische Herausforderung, vor der wir stehen und an der wir zu arbeiten beginnen”, so Luis abschließend.
Um am CCN des CNI zu arbeiten
Die Studierenden dieser Masterstudiengänge wiederholen oft eine Frage, die sich auch mehr als ein Leser dieses Berichts stellen kann: Wie kann ich am CCN anfangen zu arbeiten?
Die Antwort ist einfacher, als es scheint, obwohl der folgende Prozess es nicht ist: Zuerst müssen Sie Ihren Lebenslauf auf der CNI-Website senden. Dann durchlaufen sie einen Prozess, der sowohl aus der üblichen technischen Prüfung als auch aus der Eignung der Person für diese Aufgabe besteht.
“Bestimmen Sie ihre Eignung”, um zu verstehen, ob der Kandidat nicht nur frei von Vorstrafen ist, sondern auch, ob er Schwachstellen hat, ob er ein angemessenes psychotechnisches und psychologisches Profil hat, ob er die Fähigkeit hat, unter Druck zu arbeiten… Es sollte nicht vergessen werden, dass das CCN Teil des CNI ist.
“Es ist eine Reihe von Fragen über die Eignung der Person für einen Job, bei dem man Grundrechte verliert. Wir haben nicht das Recht, uns gewerkschaftlich zu organisieren, oder eine politische Vertretung zu haben, oder an der Universität zu lehren oder Dissertationen zu veröffentlichen… Wir können der absoluten Verfügbarkeit unterliegen. Wir haben Doktoranden der Informatik, die nicht in der Lage waren, ihre Karriere durch die Veröffentlichung oder Verbreitung der Ergebnisse ihrer Forschung zu entwickeln. Wir unterliegen einem Gesetz mit einer Reihe von Bedingungen. Niemand von uns kann hinausgehen und Vorträge halten, wenn wir nicht dazu befugt sind, wir können uns nicht mit Ihnen treffen, wenn wir nicht dazu befugt sind. Unsere berufliche Tätigkeit unterliegt der totalen und absoluten Kontrolle.”
Diese Erläuterung des stellvertretenden Direktors kontextualisiert den langen Auswahlprozess, dem die Bewerber für die Arbeit in dieser Organisation unterworfen sind. Er erwähnt auch die Notwendigkeit guter Eigenschaften oder eines hohen Engagements, betont aber, dass ein Markenzeichen des Zentrums die Teamarbeit ist.
Álvaro kommentiert in diesem Sinne: “Du kannst einen brillanten Kerl vor dir haben, aber wenn er nicht weiß, wie man als Team arbeitet, ohne sich selbst an die erste Stelle zu setzen, ohne Medaillen tragen zu wollen, ist es das nicht wert. Es ist ein sehr diskreter Job, der dem Zentrum dient. Ein Dienst für das CCN und den CNI, denn am Ende des Tages sind wir CNI”, erklärt der Ingenieur mit einem letzten Schliff, der während des Besuchs eine Konstante ist: Wenn es eine Sache gibt, die aus den Gesprächen mit seinen Mitgliedern hervorgeht, dann ist es, dass das Gefühl der Identität dem CNI gilt. Er ist vom Verteidigungsministerium abhängig und hat seine eigenen Organe, wie z.B. das CCN, aber die Mitgliedschaft ist dem CNI zugeneigt.
Symbolbild: jechm
Abonniere unseren Newsletter
