Die niederländische Stadt Den Haag (Den Haag) lädt jedes Jahr eine Reihe ethischer Hacker ein, ihre internen Systeme zu testen. Dessen CISO, Jeroen Schipper, hält dies für einen nützlichen Pluspunkt und gibt überraschenderweise nicht denen die Schuld, die auf eine Phishing-E-Mail klicken.
Die Gelegenheit, Schipper an einem Tisch zu treffen, bot sich uns während der sechsten Ausgabe von Hâck Den Haag, während der Cybersicherheitswoche der Stadt im Rahmen des Cybersecurity Awareness Month. Aus Sicherheitsgründen ging er nicht ausführlich auf die entdeckten Schwachstellen ein (siehe Kasten), aber dies war eine Gelegenheit, über die Cybersicherheit einer Großstadt zu sprechen und warum er glaubt, dass die Phishing-Tests nicht funktionieren.
Was können wir von Hack The Hague erwarten?
JEROEN SCHIPPER: Wir befinden uns bereits in der sechsten Ausgabe, bei der alle unsere Anwendungen und Websites getestet werden, was eigentlich allen unseren Live-Produktionssystemen entspricht. Dass dies mit Regeln verbunden ist, versteht sich von selbst. Ethischen Hackern ist es beispielsweise nicht gestattet, DDoS zu nutzen oder Erkenntnisse zu ignorieren. Traditionell lag der Schwerpunkt auf IT (Informationstechnologie), aber dieses Jahr konzentrieren wir uns mehr auf OT (Operational Technology), einen einzigartig anderen Ansatz.
Was ist in einer städtischen Umgebung der Unterschied zwischen IT und OT?
SCHIPPER: Bei IT handelt es sich um unsere digitalen Systeme, Anwendungen und Websites, bei OT geht es beispielsweise um das System einer Kippbrücke, Ladestationen, Bodycams, Zutrittskontrollsysteme, aber auch um unsere eigenen Laptops oder um Verkehrsleiter, die Straßenlaternen steuern und Tunnel. Dazu arbeiten wir auch mit unseren Lieferanten zusammen, die im Rahmen dieser Veranstaltung Testaufbauten im Rathaus durchführen.
Hardware-Hacker gehen anders vor. Irgendwann werden sie die Dinge öffnen, Chips unter dem Mikroskop betrachten und herausfinden, wie man Daten aus ihnen erhält.
Führt der Fokus auf OT zu anderen Arten von Hacking?
SCHIPPER: Hardware-Hacker arbeiten auf unterschiedliche Weise. Irgendwann werden sie die Dinge öffnen, Chips unter dem Mikroskop betrachten und herausfinden, wie man Daten aus ihnen erhält. Wir beschäftigen uns schon seit einigen Jahren mit OT und haben vor einiger Zeit festgestellt, dass im Drucksystem eines japanischen Anbieters Metadaten abgefangen werden könnten. Der Inhalt als solcher war nicht sichtbar, aber durch den Ausdruck eines Dokuments „Von Jeroen Schipper“ mit dem Betreff „Rücktrittsschreiben“ wissen wir offensichtlich, worum es geht. Wir haben dies seinerzeit auch dem National Cyber Security Centrum (NCSC) und diesem Anbieter gemeldet.
Sind alle Lieferanten zur Zusammenarbeit bereit?
SCHIPPER: Es ist auf Anfrage, aber unsere Verträge sehen vor, dass sie das durchlaufen müssen. Für kleinere Spieler ist es manchmal kompliziert, dies mit echten Konfigurationen zu tun. Deshalb kommt es bei einem Testaufbau hin und wieder vor.
Ist dies der einzige „Bug-Bounty-Moment“ oder dürfen Hacker auch spontane Entdeckungen sicher melden?
SCHIPPER: Wir führen seit sechs Jahren ein „Bug-Bounty“-Programm durch, bei dem wir einfach Geld an Leute zahlen, die Lücken finden. Dies hilft uns auch dabei, uns intern bewusst zu sein, Dinge gut zu schützen, denn die Rechnung für diese Fehlerprämien leiten wir einfach an den Dienst weiter, dessen Anwendung anfällig für Hackerangriffe ist.
In Den Haag beschäftigen sich mittlerweile 25 Personen mit Cybersicherheit. Diese Zahl wird bald auf 30 steigen.
Haben Sie schon einmal „erfolgreiche“ Cyberangriffe erlebt?
SCHIPPER: Natürlich. Nicht so groß wie das, das auf Antwerpen abzielte und das wir genau wie die anderen verfolgten. Aber erst letzte Woche haben wir in kurzer Zeit die Kontrolle über drei Konten übernommen. Das Hacken dauerte nur wenige Minuten, um nicht weniger als fünfzehntausend Phishing-E-Mails zu versenden.
Schipper: In diesem Moment schrillen die Alarmglocken. Bei vielen Vorfällen wird das Konto oder Gerät automatisch gesperrt. Wenn, wie in diesem Fall, große Mengen an E-Mails ausgehen, muss dies in Form eines Datenlecks gemeldet werden, was wir in diesem Fall auch tun. Vor drei Jahren mussten wir uns mit einem sehr großen DDoS-Angriff auseinandersetzen, der uns zwei Tage lang lahmlegte. Wir haben daraus Lehren gezogen. Dadurch wissen wir, ob unsere Cyber-Krisenpläne gut funktionieren, aber auch, ob es Bereiche gibt, die verbessert werden müssen.
Vor Jahren war der Trend so Sicherheit durch Dunkelheitwas bedeutet, dass es am besten ist, nicht zu viel darüber zu reden. Als Stadt sind wir jedoch sehr offen und so transparent wie möglich. Alles, was nicht vertraulich ist, veröffentlichen wir. Unser Krisenplan ist auf der Website von Den Haag zu finden und wenn wir Produkte oder eine Strategie entwickeln, teilen wir diese auch mit der Vereniging van Nederlandse Gemeenten (VNG).
Wir machen es mit öffentlichen Geldern. Warum sollten wir es dann nicht teilen? Wir befinden uns derzeit in einem Cyber-Wettrüsten, das wir nur gewinnen können, wenn wir Wissen teilen.
Was ist anders als vor ein paar Jahren?
SCHIPPER: Die Aufmerksamkeit der Spieler verlagert sich von der IT zur OT. Was wir sehen ist, dass es aufgrund des Krieges in der Ukraine weniger Ransomware-Angriffe gab. Aber jetzt geht es mit aller Macht wieder los. Darüber hinaus versuchen Cyberkriminelle meist, Dinge zu zerstören. Bei den Angriffen, die wir erleiden, geht es nicht so sehr um das Sammeln von Informationen, obwohl dies auch der Fall ist, sondern vielmehr um schweres Artilleriefeuer.
Peinlicher und ärgerlicher Schaden für die Stadt?
SCHIPPER: Ja, das sind auch oft Imageschäden. Dabei handelt es sich nicht immer um Angriffe gegen eine einzelne Organisation, sondern gegen mehrere davon in der Stadt mit dem Ziel, diese lahmzulegen, insbesondere durch DDoS-Angriffe auf alles und jeden.
SCHIPPER: Heutzutage verwenden die meisten Lieferanten diese Sprache, allerdings oft in recht fließender Weise. Wenn jemand in einer E-Mail plötzlich eine Bankkontonummer preisgibt, erhält er eine Warnung, jedoch nicht unbedingt von der KI.
Andererseits beobachten wir, wie bei den Phishing-E-Mails der letzten Woche, dass jemand, der darauf klickt, zu einem gefälschten Anmeldeportal weitergeleitet wird. Diese Daten werden in Echtzeit im Hintergrund als Login bei Microsoft ausgeführt, wodurch der Nutzer/Opfer auch eine korrekte Login-Anfrage auf seinem Telefon erhält. Wenn er darauf reagiert, hat er die Kontrolle über sein gesamtes Konto satt, und die Art und Weise, wie dies geschieht, geht viel schneller und professioneller. Dies ist wahrscheinlich das Werk der KI.
Was sind Ihrer Meinung nach die sensiblen Elemente bei der Sicherung einer Stadt wie Den Haag?
SCHIPPER: Wir betreiben Risikomanagement. Dies ist auch der Ansatz bei NIS2. Wir kennen unsere Kronjuwelen, aber mit den uns zur Verfügung stehenden Mitteln müssen wir effizient sein. Dazu gehört auch, die Sicherheit der Daten der Bürger zu gewährleisten.
Viele Menschen hier bestehen darauf, das Bewusstsein zu schärfen, und das ist in der Tat wichtig. Aber wenn ich die Phishing-E-Mails im Umlauf sehe, ist es nicht möglich, sie von den echten E-Mails zu unterscheiden. Letzte Woche haben Leute aus unserer Gegend auf diese Art von E-Mail geklickt, aber ich gebe niemandem die Schuld: Es war die Technik, die fehlgeschlagen ist.
Wir haben Phishing-Tests verboten. Es mangelt ihnen an Wirksamkeit, was wissenschaftlich erwiesen ist.
Der Mensch ist nicht das schwächste Glied. Er ist die letzte Verteidigungslinie. Sobald jemand eine Phishing-E-Mail erhält, können wir sagen, dass es sich um das Scheitern aller Maßnahmen handelt, die so viel kosten.
Dies sind sehr überraschende Kommentare in einer Zeit, in der jedes Unternehmen Phishing-E-Mails an seine Mitarbeiter versendet.
SCHIPPER: Wir haben hier Phishing-E-Mails verboten. Sie sind nicht wirksam, und das ist wissenschaftlich erwiesen. Ich habe es auch oft mit Unternehmen besprochen.
Wenn Sie Phishing-Tests durchführen möchten, ist die Implementierung einfach. Doch dadurch verlieren viele Menschen das Vertrauen in ihre Sicherheitspolitik. Sie senden den Leuten eine attraktive Nachricht und sagen ihnen dann, dass es dumm sei, darauf zu klicken. Wie werden Sie dann als Organisation wahrgenommen?
SCHIPPER: Wir könnten den Leuten zum Beispiel zwei Screenshots schicken und sie fragen, welcher davon echt ist. Und die Abteilung mit der besten Punktzahl erhält einen… Apfelkuchen.
Sie haben erklärt, dass Sie den Cyberangriff auf Antwerpen aufmerksam verfolgt haben. Hat eine Stadt wie Den Haag daraus Lehren gezogen?
SCHIPPER: Eine der grundlegenden Maßnahmen ist die Abschottung und Kontrolle des Verkehrs.
Ist es auf dieser Ebene auch sinnvoll, alles aus der Ferne zu verbinden und zu steuern?
SCHIPPER: Vielleicht, aber viele Anbieter von Betriebstechnologie bevorzugen eine zentrale Steuerung. Es ist auch effizienter, als auf jedem Deck einen Wachmann zu haben, der in regelmäßigen Abständen kommt, um die Systeme mithilfe eines USB-Sticks zu aktualisieren. Ich bevorzuge es, wenn alles so weit wie möglich getrennt ist, aber das ist nicht realistisch.
Hack Den Haag
Während dieser Ausgabe von Hâck The Hague waren vierzig ethische Hacker im Rathaus von Den Haag anwesend, um dessen Infrastruktur zu durchforsten. Für die drei Hauptfunde wurden jeweils Belohnungen von 3.072, 1.536 und 768 Euro ausgezahlt.
Der erste Preis ging an Hacker, denen es gelang, an einem Webportal etwas zu ändern, um schwerwiegende Folgen zu vermeiden. Der zweite Preis ging an jemanden, der entdeckte, dass eine schlechte Netzwerksegmentierung zu einer großen Angriffsfläche führen kann. Und der dritte Preis ging an ein Portal, das aufgrund falscher Eingaben den Geist aufgeben konnte. Es gab auch lobende Erwähnungen für die Hervorhebung einer weniger schwerwiegenden Schwachstelle, die behoben werden konnte, sowie für ein Problem, das finanzielle Auswirkungen hätte haben können.
Konkrete Angaben macht die Stadt Den Haag aus Sicherheitsgründen nicht. Die Probleme müssen tatsächlich zuerst gelöst werden. Allerdings erfuhr die niederländische Zeitung Trouw von einem Teilnehmer, dass es möglich sei, eine Ladestation zu hacken, um kostenlos zu tanken.