profile

Michael Mayer

Cyber Schach: König gefallen, Game Over

Published 13 days ago • 5 min read

Schach ist ein komplexes Spiel mit klaren Regeln und definierten Feldern. Man spielt zu zweit und hat jeweils die gleichen Figuren und Voraussetzungen.

Das Ziel ist klar: Den gegnerischen König zu schlagen, bevor der eigene geschlagen wird. Wenn man gewinnen will, braucht man eine solide Strategie und eine bewährte Taktik.

Es gibt viele Parallelen zur Cybersecurity, aber auch einige große Unterschiede.

Wer ist dein König?

Beim Schach geht es nicht darum, alle Figuren zu retten, sondern nur den König. Du kannst dabei so viele Opfer bringen, wie nötig. Je weniger Figuren du noch übrig hast, umso schwieriger wird es.

In meiner Zeit als Consultant habe ich oft erlebt, dass viele Firmen nicht genau wussten, welche Daten sie eigentlich schützen müssen. Ja, klar, wenn die Fertigung stillsteht, ist das ein riesiger wirtschaftlicher Schaden. Und die Wiederanlaufprozesse kosten je nach Produktionslinie auch sehr viel Zeit und Geld. Aber ist das schon der Super-GAU?

Was wäre, wenn deine Patente, Prozesse oder Geheimrezepte – wie die berühmte Coca-Cola-Formel – plötzlich verschwunden wären? Oft wird unterschätzt, wie viel Wissen und Erfahrung sich in einem Unternehmen ansammeln. Dazu kommt die unendlich große Anzahl an kleinsten Optimierungen, die selbst in vermeintlich belanglosen Standardprodukten stecken.

Als Konsument ist die Verpackungsindustrie mein Lieblingsbeispiel. Ich bemesse die Qualität eines Produkts und seines Herstellers an den Produktverpackungen. Erfüllt eine Abreißlasche nur ihren Zweck? Ist es ein Genuss sie zu verwenden? Oder reißt sie schon nach 1cm ab?

Oft stecken dahinter jahrelange Optimierungen und endlose Iterationen, bis das gewünschte Ergebnis erzielt wird. Die Konkurrenz könnte von diesen Erfahrungswerten profitieren, ohne selbst Zeit, Geld und Ressourcen aufwenden zu müssen.

Jede Firma hat einen anderen König. Solange du deinen nicht kennst, kannst du keine zielführende Cybersecurity-Strategie entwickeln. Dein erster Schritt ist deshalb, deinen König zu identifizieren, ihn zu ernennen und dich anschließend am Schachbrett neu zu positionieren.

Die Figuren deiner Verteidigung

Genauso wie du im Schach eine Eröffnung spielst und deine vordere Verteidigungslinie mit Bauern aufbaust, die jederzeit geopfert werden können, solltest du es in deiner IT genauso handhaben. Dein Netzwerk ist das Spielfeld, das du in verschiedene Segmente einteilst. Jede Figur deckt einen gewissen Bereich ab und hat eine spezifische Aufgabe.

Bauern haben einen geringen Einflussbereich und auch keine besonderen Fähigkeiten. Dafür sind sie aber deutlich in der Überzahl. Das sind deine Clients, also PCs und Laptops. Wenn ein einzelner PC kompromittiert wird, sollte das nicht automatisch zum Fall aller anderen PCs führen.

Deine Läufer und Türme sind die Eckpfeiler deiner Verteidigung und haben einen großen Einflussbereich. Sie kontrollieren die Geraden und Diagonalen auf dem Spielfeld und schreiten ein, wenn die Bauernfront fällt. Sie sind deine Firewalls, dein Monitoring, deine Endpoint Protection und auch dein Backup. Beschütze sie, so gut es geht. Wenn ein Bauer geschlagen wird und danach gleich ein Läufer einschreitet, möchtest du diesen nicht auch noch verlieren.

Springer (Pferde) sind sehr speziell und flink. Sie können sich über alle Figuren hinwegbewegen, hart zuschlagen und sich auch sehr schnell wieder zurückziehen. Das sind deine intelligenten Verteidigungsmechanismen, die sich auch für die Jagd nutzen lassen, zum Beispiel Honeypots/Canary Tokens, das Red Team, Intrusion Detection oder eine zentral verwaltete Endpoint Protection.

Die Dame ist mit Abstand deine stärkste Waffe. Sie kann alles und darf sich nahezu uneingeschränkt auf dem Feld bewegen. Das sind deine Admins – deine eigenen IT-Guys und IT-Gals. Sie sind bis an die Zähne bewaffnet und würden alles dafür tun, um den König zu beschützen. Das Problem ist nur: Wenn ein Admin-Account in die falschen Hände gelangt, kann das deine gesamte Strategie zunichte machen.

Deine Strategie

Wie beim Schach gibt es auch in der Cybersicherheit nicht nur eine einzige Strategie, mit der du deinen König schützen kannst. Der größte Unterschied ist jedoch, dass du nur verteidigen, aber nicht angreifen musst. Dafür spielst du aber nicht nur gegen einen Gegner, sondern gegen "alle" Gegner gleichzeitig.

Deshalb sind eine solide Strategie und die Ernennung deines Königs so wichtig. Wenn du im Schach einen Zug machst, berücksichtigst du schließlich auch immer die Gegenzüge deines Gegners. Du denkst also mehrere Züge voraus und hast mehrere Szenarien im Kopf.

Mein Appell an dich: Mach das bei deiner Cybersecurity-Strategie exakt genauso!

Dafür musst du dir ein paar geeignete Fragen stellen:

  • Welche Figuren kannst du opfern, damit dein König trotzdem noch geschützt ist?
  • Wie erkennst du, dass dein König gestürzt ist?
  • Wer hat Zugriff auf den König?
  • Wer beschützt den König?
  • Kannst du den König vielleicht sogar vom Spielfeld nehmen?

Erst wenn du alle Antworten beisammen hast, kannst du dich um den Aufbau deiner Verteidigungslinie kümmern.

Da wir mit der IT nur selten mit einem frischen, unbesetzten Spiel starten, musst du deine Figuren repositionieren. Das ist oft mit sehr viel Arbeit und Zeitaufwand verbunden.

Deine Taktik

Im Gegensatz zur theoretischen Strategie, bestimmt die praktische Taktik deine Handlungen. Welche Züge musst du machen, um deiner Strategie gerecht zu werden? Gibt es vielleicht Züge, die den König möglicherweise gefährden?

Ein Beispiel: Dein König ist eine PDF-Datei auf einem File-Share. Wenn du dir selbst gegenübersitzen würdest, was würdest du tun, um die PDF-Datei zu stehlen?

  • Möglichkeit 1: Den Client eines Users hacken, der Leserechte auf das File-Share hat.
  • Möglichkeit 2: Einen Admin-Account kompromittieren, der Admin-Rechte auf dem File-Server hat.
  • Möglichkeit 3: Das Identity-Management-System (Active Directory, Entra ID) kompromittieren, über das die Rechte vergeben werden.
  • Möglichkeit 4: Die Virtualisierungsplattform oder die Hardware hacken, auf der die Server laufen.
  • Möglichkeit 5: Das Backup-System kompromittieren und die PDF-Datei aus dem Backup kopieren.

Das ist nur ein kleiner Auszug aus den Möglichkeiten, die Angreifern zur Verfügung stehen, um an den König zu gelangen. Was würdest du gegen jeden einzelnen Angriffsvektor tun?

  • Maßnahme 1: Den Usern den Lesezugriff auf die PDF-Datei entziehen und diese mit Multi-Faktor-Authentifizierung schützen oder den Zugriff nur über einen gehärteten Terminal-Server erlauben.
  • Maßnahme 2: Die Admin-Accounts über Multi-Faktor schützen und die Verwendung überwachen.
  • Maßnahme 3: Das Identity-Management-System härten, oder den File-Server nicht darüber verwalten.
  • Maßnahme 4: Separate und nicht zentral verwaltete Hardware für diesen File-Server verwenden.
  • Maßnahme 5: Die PDF-Datei separat und losgelöst vom Backup-System verschlüsseln.

Du hast wunderbare Maßnahmen definiert und deine Spielfiguren so positioniert, dass du beim ersten Angriff nicht schachmatt bist. Was würdest du nun als Angreifer tun, um trotzdem die PDF-Datei zu stehlen?

  • Gegenmaßnahme 1: Die Admin-Accounts hacken, die den Terminal-Server verwalten.
  • Gegenmaßnahme 2: Die Clients der Admins hacken, um so trotzdem Zugriff zu bekommen.
  • Gegenmaßnahme 3: Schwachstellen im Identity-Management finden und ausnutzen, oder die Kennwörter der standalone-User knacken.
  • Gegenmaßnahme 4: Schwachstellen in den Standalone-Server finden und ausnutzen, oder Zugangsdaten von den Clients der berechtigten User extrahieren.
  • Gegenmaßnahme 5: Den Kryptografie-Schlüssel vom Client der User extrahieren.

Letztendlich ist es ein Katz-und-Maus-Spiel: Je mehr Maßnahmen du ergreifst, desto enger ziehst du den Sack zu. Absolution wirst du im Cybersecurity-Bereich aber niemals erfahren. Du kannst lediglich die Kosten für Angreifer erhöhen und somit die Eintrittswahrscheinlichkeit reduzieren.

Du darfst daher nie vergessen, dass die Tücke im Detail steckt. Selbst wenn deine Strategie und Taktik stimmen, kann die Ausführung mangelhaft sein. Du hast vielleicht überall Multi-Faktor-Authentifizierung aktiviert, nutzt aber auf allen Clients einen Software-Inventory-Agent mit lokalen Admin-Rechten und demselben Kennwort. Lass dich deshalb regelmäßig von externen Profis überprüfen (Pentest).

Fazit

Beim Schachspiel lernst du dein Gegenüber kennen. Je öfter du spielst, desto besser. In der Cybersecurity ist das leider nur der Fall, wenn dein Gegner geschnappt wird.

Um deinen König zu schützen, musst du auch Opfer bringen, beispielsweise Einschränkungen beim Zugriff und beim Komfort hinnehmen. Wenn deine gesamte Belegschaft an einem Strang zieht, kannst du es schaffen.

Aber nur, wenn jeder weiß, wer oder was der König ist. 😉

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Ein Security-Nerd schreibt Klartext

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Stell dir eine IT-Messi-WG vor. Überall liegt Dreck herum, Zettel stapeln sich, Laptops türmen sich zwischen Servern und Geräten, die noch in Verwendung sind – oder auch nicht. Wer weiß das schon? Irgendwann erbarmt sich jemand und startet eine Aufräumaktion. Auf die Frage “Wem gehört dieser Server?” folgt nur Stille. In Filmen würde ein Dornenbusch von links nach rechts rollen, aber dafür ist hier einfach kein Platz. Irgendwann reißt der Geduldsfaden, der Stecker wird gezogen und in einer...

6 days ago • 4 min read

"Welches Recht nimmst du dir bitte heraus, um mir sowas anzutun???" "Öh … ich bin doch Admin!" 😬 In einem früheren Beitrag habe ich schon mal über alte Rechte geschrieben. Heute beschäftigen wir uns aber mit Berechtigungen, die auch neu, sehr großzügig vergeben werden. Dazu gibt es einen Fachbegriff: "Principle of Least Privilege". Worum geht es beim Principle of Least-Privilege? Die Idee dahinter ist ganz einfach: Jeder hat nur Zugriff auf das, was er auch wirklich braucht. Nicht mehr, aber...

20 days ago • 5 min read

Was haben Minecraft, ein DDoS-Protection-Service, ein Journalist und 600.000 infizierte Geräte gemeinsam? Die größten DDoS-Attacken in der Geschichte des Internets und die Verhaftung der drei minderjährigen Drahtzieher. Nach der Geschichte von Duqu 2.0, erzähle ich heute eine weitere packende Hacking-Story rund um die Mirai IoT-Malware, die sich 2016 abgespielt hat. Ich fange mal mit ein paar technischen Hintergründen an. Wie funktionierte das Mirai-Botnet? Wie im letzten Artikel über DDoS...

27 days ago • 8 min read