Beiträge

La gestion des cyber-attaques au sein d’une grande entreprise, quels en sont les défis?

Face à l’augmentation constante des risques liés aux cyber-attaques, les entreprises doivent faire de la cyber-sécurité une priorité. De nos jours, la question n’est pas de savoir “si” une entreprise va subir une cyber-attaque, mais “quand” elle en sera la victime. Par conséquent, les organisations doivent implémenter des mesures permettant la prévention ainsi que la gestion des cyber-incidents. Cet article aborde les défis de la gestion d’incidents informatiques au sein des grandes entreprises.

Nous vivons actuellement dans une ère numérique où l’intégralité des actifs et des ressources des entreprises est connectée et accessible indépendamment de la localisation géographique. Les avantages de cette hyper-connectivité sont importants. Cependant, il en découle un inconvénient majeur. Ces informations et systèmes connectés à Internet peuvent être facilement accessibles et endommagés par tout tiers mal intentionné. Par conséquent, diminuer les risques générés par les attaques informatiques est devenu un enjeu incontournable pour toute entreprise.

Les cyber-attaques sont en constante augmentation. De plus, leur complexité et leur sophistication évoluent rapidement. Les organisations doivent assimiler que les cyber-attaques ne sont plus seulement un problème technologique mais une menace quotidienne susceptible d’affecter directement leur core business. En fonction du type d’attaques informatiques et de la motivation des auteurs, l’impact subi varie, mais peut avoir des conséquences dramatiques. Les cyber-attaques peuvent porter atteinte à la réputation, impliquer des pertes financières parfois importantes et des poursuites judiciaires, ou encore détruire des infrastructures informatiques, voire interrompre de manière complète les activités de l’entreprise. Par conséquent, les entreprises doivent impérativement mettre en place des mesures stratégiques, opérationnelles et techniques afin de protéger la confidentialité, l’intégrité et la disponibilité (Confidentiality, Integrity, Availability) de leurs systèmes d’informations et, ainsi, limiter les risques.

Particulièrement depuis l’émergence des cyber-attaques sophistiquées et persistantes, mieux connues sous l’acronyme APT (Advanced Persistence Threat), il est impossible de prévenir l’intégralité des cyber-attaques. Cependant, avec un inventaire des actifs à jour, l’identification des informations sensibles et une gestion des risques adaptée aux cyber-menaces actuelles, des mesures de sécurité appropriées peuvent être adoptées permettant d’empêcher la majorité des cyber-attaques. Étant donné qu’un risque résiduel persiste, il est indispensable d’élaborer un plan de gestion d’incidents informatiques afin de répondre au mieux aux cyber-attaques ayant déjoué les systèmes de prévention. La combinaison de mesures préventives et réactives permet aux organisations de réduire le nombre d’attaques et, en cas d’incident, de diminuer le temps de restauration, les coûts et les préjudices.

Le cycle des gestions d’incidents informatiques est composé de sept phases : Préparation, Détection, Identification, Isolement, Éradication, Restauration et Activités Post-Incident. Il est important de différencier la phase de Détection et d’Identification. La première étape consiste à découvrir la présence d’une cyber-attaque, alors que la deuxième est composée de l’ensemble des investigations et analyses forensiques permettant de déterminer le type d’attaque et son étendue, d’identifier l’ensemble des systèmes et comptes infectés, ainsi que de préparer un plan d’action pour répondre activement à la cyber-attaque (Isolation, Éradication et Restauration).

Il existe d’innombrables défis technologiques dans le processus de gestion des cyber-attaques. Cependant, la Détection reste un des défis les plus importants, car il est impossible de répondre à une cyber-attaques si elle n’est pas détectée dans un premier temps. Il est donc crucial d’augmenter les capacités de dépistage et de réduire le délai de détection. Pour ce faire, le renseignement sur les cyber-menaces (Cyber Threat Intelligence), des méthodes de déception, ainsi que des recherches proactives d’intrusions peuvent être implémentés (Threat Hunting).

Les standards de gestion d’incidents (NIST 800-6 et ISO/IEC 27035) recommandent d’isoler les systèmes infectés directement après leur détection. Cependant, dans le contexte d’une APT, il doit être supposé que de nombreux systèmes informatiques ont été compromis à l’aide de méthodes d’infection différentes. Ainsi, un confinement trop précoce sans analyse concrète de la cyber-intrusion n’aura pour conséquence que d’informer le cyber-criminel que sa cyber-attaque, ou une partie de cette dernière, a été découverte, alors même que celui-ci contrôle encore des ordinateurs dans le réseau du tiers attaqué. Le cyber-attaquant pourra donc réagir et prendre des contre-mesures telles qu’installer de nouveaux logiciels malveillants, détruire les traces numériques liées à son attaque (méthodes anti-forensiques) ou encore endommager l’environnement. Par conséquent, il faut impérativement identifier intégralement la cyber-menace avant d’isoler les systèmes infectés et d’éradiquer la menace.

En plus des nombreux défis technologiques, la gestion d’incidents informatiques est rendue plus difficile du fait de la structure, de la taille et de la complexité des grandes organisations. Les quatre points développés ci-dessous sont des facteurs qui complexifient la gestion des cyber-attaques au sein des grandes entreprises. Cependant, s’ils sont pris en considération, le processus de gestion des attaques informatiques peut être considérablement amélioré.

Un manque de stratégie sécuritaire

La cyber-sécurité n’est plus seulement un problème technologique, c’est aussi un problème pour l’ensemble des activités de l’entreprise. Par conséquent, le top management doit être conscient de ce risque et être impliqué dans la stratégie sécuritaire. A cause de la dimension des grandes entreprises, il est difficile, voire impossible, d’intégrer et d’aligner les mesures de cyber-sécurité avec la stratégie de l’entreprise sans l’appui de la direction.

Une adaptation rapide et continue

Les cyber-criminels évoluent constamment et rapidement. De plus, ils améliorent quotidiennement les méthodes utilisées. Par conséquent, la cyber-sécurité devrait être en constante évolution pour évoluer au moins aussi rapidement que les cyber-menaces. Si la dynamique de l’entreprise et la gestion des risques ne sont pas en permanence actualisées, les organisations vont se faire « distancer » par les cyber-criminels dans la course à la cyber-sécurité. Au sein des grandes organisations, les changements et les évolutions technologiques sont lents, notamment à cause des nombreuses procédures, de la ségrégation des équipes et du nombre d’employé-e-s impliqué-e-s dans la gestion de la sécurité.

Pour permettre une évolution rapide de la sécurité informatique, le développement de la culture sécuritaire précitée et une collaboration efficace entre toutes les parties impliquées sont indispensables.

Le manque de communication et de collaboration

Etant donné la complexité des structures organisationnelles où la cyber-sécurité est gérée par des centaines d’employé-e-s, répartie-e-s en des dizaines d’équipes, des silos sont créés, endiguant la coopération et la communication inter-équipe.

De plus, aucun groupe, y compris l’équipe de gestion d’incidents informatiques (Cyber Security Incident Response Team) ne dispose de l’intégralité des droits d’accès. Donc, aucun incident ne peut être entièrement géré par une seule et unique équipe. Cette ségrégation des droits d’accès présente des avantages comme, par exemple, éviter les problèmes liés à la concentration des pouvoirs. Simultanément, elle ralentit considérablement le délai de réaction aux incidents du fait que la gestion d’une cyber-attaque nécessite le soutien de plusieurs équipes.

Par conséquent, les responsabilités des équipes doivent être clairement déterminées, des canaux de comminations doivent être établis afin de permettre une meilleure collaboration entre les équipes et, par conséquent, d’améliorer le délai de détection, ainsi que les processus d’investigations et de réponse aux cyber-attaques. Ces mesures permettront de pallier les difficultés résultant de la complexité des structures organisationnelles.

Un manque de visibilité

L’inventaire des actifs (p.ex. information, systèmes, comptes d’utilisateurs, etc.), ainsi que la classification de ces derniers en fonction de leur sensibilité sont cruciaux dans la mise en œuvre de mesures de protection et de surveillance efficaces et adaptées.

Cette phase, souvent négligée, crée un manque de visibilité et de transparence en lien avec les étapes de Détection et d’Identification, car il n’est pas possible d’assurer la sécurité ou de détecter une cyber-attaque sur un système inconnu. Par conséquent, il est indispensable de disposer d’un inventaire des actifs à jour.

Les cyber-criminels exploitent des technologies et des méthodes de plus en plus sophistiquées et difficiles à contrer. Aucune organisation ne peut prévenir ou empêcher toutes les cyber-attaques. Cependant, elle peut anticiper les risques en prévoyant des procédures stratégiques, opérationnelles et techniques afin de réduire la probabilité de succès des cyber-attaques et les impacts liés à ces dernières. Il est indispensable de rappeler que les moyens des cyber-criminels sont en progression constante. Par conséquent, les procédures proactives et réactives implémentées doivent elles, aussi, continuellement évoluer.


Références

  1. Brewer, R., 2014. Advanced persistent threats: minimising the damage. Network Security 2014, 5-9.
  2. Brown, R., Roberts, S.J., 2017. Intelligence-Driven Incident Response. O’Reilly
  3. Cichonski (NIST), A.P., Millar (DHS), A.T., Grance (NIST), A.T., (Cybersecurity), A.K.S. (Scarfone), 2008. SP 800-61 Rev. 2, Computer Security Incident Handling Guide
  4. Ghernaouti-Helie, S., 2013. Cyber Power: Crime, Conflict and Security in Cyberspace, 1 edition. ed. EPFL Press, Lausanne.
    ENISA, 2017. ENISA Threat Landscape Report 2017 — ENISA
  5. Hirsch S., 2018, The value of digital traces in the cyberattack response process and cyberthreat intelligence, University of Lausanne
  6. Hendrick J., 2019 , Security Visibility in the Enterprise, SANS Institute Information Security Reading Room
  7. KrzysztofC et al. , 2018, Cybersecurity: trends, issues, and challenges, EURASIP Journal on Information Security

 

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Mit Netzwerkdaten Angriffe erkennen und analysieren

Angreifer hinterlassen bei den meisten Attacken Spuren im Netzwerk. Diese können mit Hilfe einer Vielzahl von Technologien und Werkzeugen analysiert werden. Unser Autor arbeitet im Bereich Incident Response und schildert  in diesem Beitrag konkret, wie er Angriffe analysiert.

Einleitung

Systeme werden immer stärker miteinander verbunden, sowohl auf einer globalen Ebene durch das Internet wie auch auf einer lokalen Ebene, innerhalb einer Firma oder eines Haushaltes. Durch die stärkere Vernetzung sind viele neue Angriffsvektoren entstanden und Angreifer können sich in den legitimen Datenströmen verstecken. Die Kunst der Detektion auf Netzwerkebene ist es, die Spuren der Angreifer zu entdecken und genügend Beweise zu sichern, um zu verstehen, wie der Eindringling vorgegangen ist.

Netzwerkdetektion und -forensik sind eng verwandt und unterscheiden sich primär durch die Ziele und den Zeitpunkt, an dem sie gemacht werden, aber weniger im Bereich der eingesetzten Technologien. Die Detektion ist das tägliche Geschäft von CERTs (Computer Emergency Response Teams). Das Ziel ist es, Angriffe möglichst früh zu erkennen und entsprechende Gegenmassnahmen einzuleiten. Daraus ergibt sich, dass die Geschwindigkeit, aber auch die Automatisierbarkeit der Suche ein entscheidender Faktor ist. Forensik ist “post-mortem” und versucht den Angriff möglichst lückenlos zu dokumentieren, sei dies im Rahmen eines Strafverfahrens, sei dies für die interne Aufarbeitung innerhalb einer Firma. Ein besonderes Augenmerk muss dabei auf die Beweiskette gelegt werden, damit keine Zweifel an der Gültigkeit der Beweismittel aufkommen können.

Netzwerkforensik ergänzt die klassische Disk- und Memoryforensik sehr gut. Es ist möglich, Netzwerkforensik zu betreiben, ohne dem Täter einen Hinweis zu geben, dass er überwacht wird. Da Memory- und Diskforensik oft direkten Zugang zum System des Angreifers benötigen, kann Netzwerkforensik bereits Daten sicherstellen ohne den Täter zu alarmieren. Da die allermeisten Geräte in irgendeiner Form mit einem Netzwerk verbunden sind, ist Netzwerkforensik häufig am besten geeignet, das Ausmass einer Infiltration festzustellen und die Kommunikation des Angreifers zu erkennen.

Ablauf

Analysen auf Netzwerkebene bestehen meist aus folgenden Prozessschritten:

Traffic Capturing: Dies beinhaltet das – möglichst verlustfreie – Aufzeichnen des Netzwerkverkehrs. Die grosse Herausforderung dabei sind die immer höheren Bandbreiten. So fallen beim Sniffen einer gut ausgelasteten 1GB Leitung in einem Tag ca. 10 TB an Daten an. Capturing kann dabei mit verschiedenen Methoden realisiert werden. In der Regel wird dazu entweder ein Netzwerktap eingesetzt oder der Traffic wird auf Switch Ebene von einem Switch Port auf einen anderen gespiegelt (Mirroring-Port). Ein Netzwerktap ist ein Gerät, welches inline zwischen zwei Geräten eingehängt wird und den Traffic dupliziert. Idealerweise ist das Tap fähig, transmit (Tx) und receive (Rx) Verkehr auf einen Port zu aggregieren.

Preprocessing / Normalisierung: Computernetzwerke werden als “Packet Switched” bezeichnet, d.h., dass Nachrichten meist in mehrere Datenpakete aufgeteilt werden und vom Zielrechner wieder zusammengesetzt werden müssen. Wird der Traffic aufgezeichnet, muss dieselbe Aufgabe ebenfalls wahrgenommen werden. Die Pakete müssen zu den ursprünglichen Nachrichten zusammengesetzt werden. Um möglichst einfach und effizient eine Auswertung oder eine Suche nach bestimmten Elementen zu machen, hilft es, wenn die Auswertungssoftware auch die verwendeten Protokolle (z.B. HTTP) kennt und aufbereiten kann. Dieser Teil ist das Preprocessing.

Analyse: Dies ist die eigentliche Kernaufgabe und damit auch am Aufwändigsten. Die Analyse von Netzwerkverkehr beinhaltet die Suche nach Spuren des Angreifers oder des Täters. Je nach Fragestellung kommen dabei unterschiedliche Ansätze zum Zuge:

  • Extraktion von Dateien (z.B. von Bildern) aus dem Datenstrom
  • Suche nach Angriffsmustern (z.B. SQL Injections)
  • Suche nach Kontrollverbindungen von Malware
  • Statistische Zusammenstellung der Kommunikationspartner, Suche nach Anomalien

Die Analyse der Datenverbindungen bietet einige Herausforderungen, einerseits ist oft eine sehr grosse Datenmenge zu durchsuchen, andererseits ist immer mehr Netzwerkverkehr verschlüsselt.

Daten

Netzwerkaufzeichnungen enthalten eine Vielzahl spannender Informationen. Die folgende Liste gibt eine kurze Übersicht:

  • MAC-Adresse / IP Kombination: Dies kann helfen, eine Kommunikation einem bestimmten Gerät zuzuordnen, da die MAC Adresse eindeutig ist. Geht es um eine strafrechtliche Auswertung, ist dies jedoch mit Vorsicht zu betrachten, da diese Information von einem Angreifer einfach gefälscht werden kann.
  • Protokoll spezifische Daten
  • Angriffsmuster (z.B. Portscans, SQL Injections in Datenströmen, Shellcode, etc.).
  • Payload Daten (z.B. heruntergeladene Dateien, POST Requests, verschickte und empfangene Emails, etc.).
  • Malware Kommunikation

Oft unterschätzt, aber dennoch sehr spannend sind Metadaten. Diese stehen (zumindest teilweise) auch bei verschlüsselten Verbindungen zur Verfügung und können im Firmenumfeld so gespeichert werden, dass eine Analyse über längere Zeit möglich ist:

  • passive DNS bezeichnet das Sniffing und Speichern von DNS Requests. Meist werden die Daten so reduziert, dass ein First Seen und Last Seen gespeichert wird, so dass die zu untersuchende Datenmenge sehr gering bleibt.
  • passive SSL bezeichnet das Sammeln von Zertifikatsinformationen, wie z.B. dem CommonName oder dem Issuer.
  • Netflow Daten sind Metadaten, welche Flows identifizieren. Ein Flow besteht in der Regel aus der Quell-, der Zieladresse, des Quell- und des Zielports sowie zusätzlichen Informationen wie z.B. die ASN (Autonomous System Number).

Diese Daten sind insbesondere auch deshalb interessant, weil sie aus Sicht Datenschutz relativ unbedenklich sind, insbesondere, wenn sie so anfallen, dass der Analytiker keine Rückschlüsse auf eine Person (oder einen Anschluss machen kann).

Übersicht Werkzeuge

Im Folgenden eine kurze, tabellarische Übersicht über hilfreiche Werkzeuge im Bereich Netzwerk Forensik (mit dem Fokus auf frei verfügbare Werkzeuge, ohne Anspruch auf Vollständigkeit):

Werkzeug Beschreibung
chaosreader[1] Generiert eine Übersicht über verschiedene Protokolle in einem pcap und exportiert Dateien aus dem pcap.
foremost[2] Eigentlich ein Diskforensik Werkzeug, kann foremost auch dafür verwendet werden, Dateien aus pcaps zu carven.
Log Indexer wie ELK[3] oder Graylog[4] Das Indexieren von Logdaten ist zentral für die Erkennung von Angriffen und das Bereitstellen von Beweismitteln während eines Vorfalls.
Moloch[5] Indexer für Netzwerk Traffic. Erlaubt es grosse Mengen an pcaps aufzubewahren und rasch zu durchsuchen.
passiveDNS[6] passivedns von gamelinux ist ein Werkzeug zum Aufzeichnen von allen DNS Queries in einem Netzwerkstrom.
networkminer[7] Network Miner ist ein Werkzeug für die forensische Analyse von Netzwerk Traffic.
ngrep[8] Ngrep steht für network grep und tut genau das: Es erlaubt, in Netzwerktraffic nach bestimmten Mustern zu suchen.
ntopng[9] Netzwerk Probe und Analyzer, der es ermöglicht, eine schnelle Übersicht über die Vorgänge in einem Netzwerk zu erhalten.
Scalpel[10] Kein eigentliches Netzwerk Forensik Werkzeug, kann aber auch mithelfen, bestimmte Dateitypen aus Netzwerktraffic zu extrahieren.
Scapy[11] Mächtige Python Library zur Manipulation von Netzwerkpaketen
Snort[12] Der «Urvater» aller Netzwerk basierten IDS Systeme (NIDS)
Suricata[13] Vergleichbar mit Snort, jedoch mit erweiterter Syntax für das Erstellen von Rules.
tcpflow[14] Hilft dabei, TCP Pakete zu einem Flow zusammenzusetzen
tcpdump[15] Paket Sniffer, der auf fast jedem Unix System vorhanden oder installierbar ist.
TShark[16] Das Commandline Pendant zu Wireshark, lässt sich gut automatisieren
Wireshark[17] Vermutlich der am Häufigsten verwendete Netzwerkprotokoll Analyzer
Zeek/Bro[18] Zeek ist ebenfalls ein oft verwendetes NIDS, das einen besonderen Fokus auf das Erstellen von Events aus den einzelnen Paketflüssen legt.

Beispiel

Im Folgenden betrachten wir kurz die Kommunikation von Loki[19], einer weit verbreiteten Malware, welche sich auf das Stehlen von Zugangsdaten fokussiert.

Zuerst bestimmen wir mit Hilfe von tshark alle erfolgreichen DNS Auflösungen:

Nun untersuchen wir, ob es interessanten http Traffic gegeben hat:

Wir schauen dies in Wireshark grafisch aufbereitet etwas näher an:

  1. Ein GET Request auf die erste Domain lädt ein executable herunter. Gleich danach folgt ein POST Request. Dies ist ein deutlicher Hinweis auf eine Infektion.
  2. Der User-Agent Mozilla/4.08. (Charon; Inferno) ist aussergewöhnlich und ein guter Indicator of Compromise (IOC) für Loki.
  3. Ein typisches Checkin Verhalten einer Malware. Sie übermittelt mit POST System Informationen über das infizierte Gerät

Zu den beiden IPs können wir mit wenig Aufwand folgende Meta Informationen gewinnen:

Abfrage bei whois Dienst von cymru (whois.cymru.com)

Die Länderkennzeichnung bezieht sich in dem Fall auf das Autonomous System (AS) und nicht auf die IP selbst. Die IP 185.195.236[.]149 ist in Spamhaus als Botnet Hosting IP verzeichnet, 127.0.0.2 steht dabei als Antwort Code[20] von Spamhaus, dass die IP auf der SBL verzeichnet ist.

Wir machen dasselbe für die Domain etruht[.]ml, die Antwort 172.0.1.6 steht dabei für eine Botnet C&C Domain.

Extrahieren wir noch das executable aus dem pcap, dies kann am Einfachsten via Wireshark/Export Objects oder mit Hilfe von Network Miner gemacht werden. Wir erhalten ein Windows PE File mit folgendem Hash (SHA-256): 181e47ab9b6c3ff0c4651492f2d401b6d3e0fa322bdd96ea9c09dee5c4a8015e

Prüfen wir diesen Hash auf Virustotal, sehen wir, dass die Datei dort bereits bekannt ist und mit den oben erwähnten Domains kommuniziert hat.

Gemäss passiveDNS Informationen, sind folgende Domains auf der IP, zu welcher die POST Requests gemacht wurden, bekannt:

Alle Domains sind relativ neu und es würde sich sicherlich lohnen, die Logs und Netzwerkaufzeichnungen auch nach diesen Domains abzusuchen, um allenfalls weitere, infizierte Geräte zu finden. Auf der IP Adresse, von welcher das executable heruntergeladen worden ist, finden sich 964 weitere Domains, was auf ein Shared Hosting Angebot schliessen lässt.
Möchten wir Loki Traffic unabhängig von den Domains und IPs erkennen, bietet sich der User-Agent an. Da dieser für Loki eindeutig ist, können wir daraus eine einfache Suricata Regel erstellen.

Herausforderungen für die Zukunft

Auch wenn die Datenmengen weiter zunehmen, kann dies prinzipiell gehandhabt werden, wenn auch zu teilweise beträchtlichen Kosten. Da aber immer leistungsfähigere Disksysteme zur Verfügung stehen, hält die Analysekapazität in etwa Schritt mit der Zunahme der Trafficmenge.

Durch die immer stärkere Verbreitung von Virtualisierungs- und Cloudtechnologien verändert sich die Netzwerk Forensik ebenfalls. Es ist jedoch technisch kein Problem, virtualisierten Netzwerkverkehr, der sich gar nie physisch auf einem Kabel manifestiert zu überwachen. Wichtig dabei ist aber, dass sich Firmen bewusst sind, dass ein guter Teil von Netzwerkverkehr direkt zwischen einzelnen VMs abspielt und dass sie entsprechende Vorkehrungen für das Monitoring treffen. Dasselbe gilt noch verstärkt bei der Migration von Infrastrukturen und Anwendungen in eine Cloud.

Die wohl grösste Herausforderung ist die zunehmende Verschlüsselung aller Datenströme. Die Verschlüsselung war und ist ein Kernanliegen aus Sicht der Sicherheit und hilft gegen eine Vielzahl von Angriffen und schützt die Privatsphäre. Eine Verschlüsselung macht zudem nur dann Sinn, wenn sie nicht mit Backdoors versehen ist und sie nicht “einfach ebenso mal” ausgehebelt werden kann. Dies ist umso wichtiger, je heikler die Daten sind, die übertragen werden (z.B. Patientendaten). Der steigende Einsatz von Verschlüsselungstechnologien (2017 war ca. die Hälfte des Webtraffics bereits verschlüsselt, unserer Erfahrung nach ist dieser Anteil weiter stark gestiegen[21]) verändert die Netzwerkforensik stark und beeinflusst die Fähigkeiten der Detektion und Strafverfolgung. An dieser Stelle sollen zwei Technologien betrachtet werden, die sich stark auf die Detektion und auf die Strafverfolgung auswirken werden:

  • Verschlüsselung von DNS Traffic: Mit der Einführung von DNS over HTTPs[22] und DNS Crypt[23] und deren Unterstützung durch grosse DNS Operator wie z.B. OpenDNS, Cloudflare und Google, reduziert sich der Nutzen von passive DNS Datenbanken. Diese haben in der Verfolgung von Malware Akteuren jedoch bisher eine beträchtliche Rolle gespielt. Innerhalb einer Firma stehen die Daten prinzipiell nach wie vor zur Verfügung, so lange eigene Resolver eingesetzt und deren Logs entsprechend aufbereitet werden. [24]
  • TLS 1.3: Die neueste Version von Transport Layer Security erhöht – nebst weiteren Design Zielen – die Privacy von Verbindungen, u.A. durch einen neuen TLS Handshake. Dies führt einerseits dazu, dass Zertifikatsinformationen nicht mehr im Klartext übertragen werden und andererseits erhöht es die Anforderungen an TLS Interception, was für viele Firmen bedeutsam ist. Das Fehlen der TLS Handshake Informationen reduziert – ähnlich wie bei passiveDNS die Möglichkeiten der Verfolgung von kriminellen Akteuren durch das Sammeln und Ableiten von Metainformationen. Im Zusammenhang mit der TLS Interception sind zwei Punkte erwähnenswert: Es ist nach wie vor möglich im Firmenumfeld eine Interception zu machen. Keinesfalls sollte das Security Device dabei einfach die Verbindung auf TLS 1.2 herunterhandeln, es braucht jedoch einiges an Forschung und Aufwand, um TLS 1.3 so zu behandeln, dass eine Interception möglich ist, aber gewisse Seiten wie z.B.: Krankenkassenportale davon ausgenommen sind (Whitelisting von gewissen Seiten), da diese Informationen nicht mehr im Klartext zur Verfügung stehen.

Referenzen

[1] http://chaosreader.sourceforge.net

[2] http://foremost.sourceforge.net

[3] https://www.elastic.co/de/elk-stack

[4] https://www.graylog.org

[5] https://molo.ch

[6] https://github.com/gamelinux/passivedns

[7] https://www.netresec.com/?page=networkminer

[8] https://github.com/jpr5/ngrep

[9] https://www.ntop.org

[10] https://github.com/sleuthkit/scalpel

[11] https://scapy.net

[12] https://www.snort.org

[13] https://suricata-ids.org

[14] https://github.com/simsong/tcpflow

[15] man tcpdump

[16] https://www.wireshark.org

[17] https://www.wireshark.org

[18] https://www.zeek.org

[19] https://malpedia.caad.fkie.fraunhofer.de/details/win.lokipws

[20] https://www.spamhaus.org/faq/section/DNSBL%20Usage#200

[21] EFF, We’re Halfway to Encrypting the Entire Web: https://www.eff.org/deeplinks/2017/02/were-halfway-encrypting-entire-web

[22] IETF, RFC 8484: https://tools.ietf.org/html/rfc8484

[23] DNS Crypt Projekt: https://dnscrypt.info

[24] IETF, TLS 1.3 RFC 8446: https://tools.ietf.org/html/rfc8446

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Positive Changes and Collaboration in the Fight Against Cybercrime

Introduction
This article focuses on the positive changes and increased collaboration in society’s fight against cybercrime in recent years. Significant progress has been made in many areas, among many groups, and this deserves to be recognized and highlighted. We often forget how far we have come and how things were a few short years ago. There is a tendency to concentrate on those areas that still need work and improvement, current and newly emerging threats, and other areas were we still face challenges. However, observing various changes and collaboration over the past five to ten years produces a stark picture of success. This positive picture of progress should provide encouragement, renewed energy, and enthusiasm to continue pressing forward in our quest to reduce cyber criminal activity. These changes are making the online world a safer place for everyone.

This article is written primarily from the perspective of a digital forensic investigator at global financial institution. Large banks are constantly working to fight financially motivated cyber criminals targeting their staff, clients, and IT infrastructure. These are some observations of positive change across the finance sector, law enforcement, the tech industry, academia, and the general public. Also included are some thoughts on how criminals themselves have changed, adapted, and evolved.

Cybercrime a Decade Ago
To put this positive change in to better perspective, it is helpful to look back five or ten years ago, and reflect on how things were. A decade ago the Russian Business Network (RBN) was the infamous bullet-proof hoster where many criminal gangs could safely host their illegal activities. The WSNPoem banking trojan (the precursor to Zeus) targeted dozens of banks across Europe, with a high rate of success. For many European banks, this was the first time they had experienced a complex targeted online banking trojan. It was a shock to the finance industry as a whole. At this point in time there was little sharing of threat intelligence between banks or law enforcement. Sharing information with other banks was still viewed as helping the competition, a view that is fully obsolete today. At that time, engaging with law enforcement was strictly formal, and typically only done when a victim of a crime was filing a criminal complaint. This wave of cybercrime activity in 2007 and 2008 starting with WSNPoem/Zeus and shortly followed by the more advanced Sinowal/Torpig banking trojan, was completely unexpected and thrust a number of changes into motion. It was an awkward coming of age for many European banks at that time. But significant change has happened since then, with very positive results. There are many other examples of criminal activity that triggered change, but these were significant seminal events that started a general change in mindset across the European banking industry and elsewhere.

Cyber Incidents, an Evolving Scene
Organisations experience many different incident types. Policy violations are incidents internal to an organization, and typically involve with HR and management. Legal and regulatory incidents typically involve legal and compliance departments. Intellectual Property(IP) teams may exist to manage brand and IP abuse, Criminal incidents may involve local or federal law enforcement. Incidents requiring evidence collection need formal digital forensic processes, there may be mandatory reporting to regulatory bodies, or other suspicious activity reports (SARs) that need to be submitted to authorities.

On the cyber criminal front, there are different types of crimes affecting organizations to different degrees. Some criminal activity is targeting everyone and anyone, and affects all industries. For example hacktivism, spam waves, virus outbreaks, vulnerability exploitation (heartbleed, default passwords for IoT devices, etc.), and more recently the evolution of ransomware attacks. These attacks are opportunistic and affect anyone from private individuals to large companies. In addition to these broad and common attacks, each industry also has their own specific pain points, criminal activity that affects them more than other industries.

For example, the finance industry suffers more than others from online banking trojans and phishing attacks. The entertainment industry (movies, music) has an increased focus on copyright violations, online file sharing, and piracy. Marketing and advertising firms are dealing more with click fraud and malvertising. Companies with research departments like pharmaceuticals or engineering firms have more concerns with intellectual property theft and industrial espionage. Each industry is faced with particular criminal activity tailored to their business, which may need to be addressed in different ways.

The view of ”Cyber” incidents is beginning to change and taking a broader definition. A decade ago, cyber incidents were considered an IT problem, and IT departments were tasked to manage them. Today cyber incidents have evolved beyond IT and are increasingly managed by other risk and security functions in larger organizations. These incidents are no longer simply malware, denial of service to systems, or intrusions. Incidents today involve attacks against business processes and application logic, social engineering for fraud or data theft, brand infringement and intellectual property abuse, social media and crowd sourced activity causing reputation damage, and cyber bullying/harassment/stalking of targeting individuals. The scope of cyber incidents is no longer limited IT infrastructure and today involves many non-IT teams across the organization.

The incident location has changed significantly as well. Incidents today are multi-jurisdictional. Consider an attacker in country A, using a relay/proxy in country B, targeting an organization in country C through their outsourcing partner in country D, and finally exfiltrating data to criminal infrastructure in country E. Here five different countries are involved, five legal jurisdictions, potentially five different law enforcement agencies, who will need to interact with multiple private sector firms. This is a common scenario with cyber criminal activity today, increasing the complexity of resolution and investigation.

Another change is the shift in IT infrastructure. This includes outsourcing, a multitude of solutions provided ”as a service” (SAAS/PAAS/IAAS/etc), virtual machines, and cloud computing. On the client side this shift is happening in the form of ”Bring Your Own Device” (BYOD), mobile computing, and Virtual Desktop Interfaces (VDI). The ownership, operation, control, and location of these technologies is spread out across multiple parties and geographies. This is in stark contrast to simple centralized in-house IT infrastructure of the past. This introduction has provided some background and set the scene for the rest of this article. Now we can focus on the positive changes observed in various areas such as the tech industry, finance industry, law enforcement and government, the public, and even the criminals themselves.

Tech Industry Changes
A significant number of positive changes have happened with ISPs and Hosting providers (Hosters). They have become much more approachable and cooperative regarding criminal activity. Often a phone call to a hotline or email to an abuse email address will result in a fast takedown of phishing sites, drive-by malware, or fraudulent email accounts. ISPs and Hosters don’t want this criminal activity on their infrastructure and actively shut it down when notified. A decade ago, having a Hoster shut down a phishing site often took several weeks, usually proceeding after an exchange of letters between lawyers. Today takedowns and removals often happen within hours of notification. In some cases, providers even offer victim organizations additional information about the attacks to aid investigations.
Tech companies have become more proactive against crime. There are more collaborative investigations and takedowns together with law enforcement. Eu- ropol EC3 is a prime example, with numerous botnet takedowns executed together with Microsoft and other tech companies in recent years. These voluntary acts of collaboration did not happen as easily in the past. Over a decade ago, cooperation between law enforcement and tech companies was more often a formal interaction with warrants and legal demands for cooperation. Today there is a very positive spirit of cooperation between the tech industry and authorities.

Tech companies are also more proactive with detecting and eradicating malicious activity in their own infrastructure. They are identifying and removing malware and rogue apps from app stores, actively stopping fraud, phishing, and spam, and providing warning messages for users. In the past, hosting companies generally left these risks and responsibilities to the customer.

Tech companies are taking more responsibility for the security of their products today. Platforms are becoming more locked down by default. There is a trend towards more carefully controlled app-store models for software distribution. They have improved updating and patching of software and devices. Security updates are released faster and install easier, often via automated back- ground updates without any user involvement. Contrast this with the past, when operating system and software vendors expected users to keep their own systems secure and required separate downloading and manual installation of patches and security updates.

Internet service providers also taking more responsibility for the security and health of their own networks and services. They are actively detecting and filtering DDoS attacks against clients. They are implementing standards such as BCP38 which reduce the possibility of IP spoofing. Hosting companies are detecting malicious activity and taking action. For example logins from stolen credentials are being detected by various means such as device finger printing, geo-location, user history, etc. Email providers are beginning to implement further standards such as DMARC to prevent email spoofing.

Finance Industry Changes
Banks have also made a number of positive changes in behavior to combat cyber criminal activity in the payments and funds transfer area. When crime is financially motivated and criminals need to move money, banks will be (ab)used to facilitate money transfer and ’cashout’. However, this has become more difficult over the past decade.

Financial Institutions are sharing more threat intelligence information between themselves, with law enforcement, and even with tech industry partners. A number of information sharing communities exist today where banks can interact with their peers and discuss threats. Many operate at a regional level with banks from a particular country meeting on a regular basis to exchange information. There are also many international information sharing groups for the finance industry. Banks still need to be conscious of what they can legally share within their regulatory framework, but this has been examined closely and, where needed, regulators and legislators are being encouraged to make changes.

Many of the current intelligence sharing groups started out of necessity, or grew out of early industry crisis meetings that evolved into regular events. The focus of the sharing was to protect customers, help banks detect and stop fraudulent activity, and to help law enforcement obtain the evidence they needed for successful arrest and prosecution of criminals. It is interesting to note that many of the well established intelligence sharing groups in the finance industry have celebrated 10-year anniversaries recently. This correlates with the unexpected wave of banking trojan activity that suddenly appeared almost exactly a decade ago.

Other positive changes across the finance industry have helped to reduce the success of criminal activity. There has been a trend away from password based authentication towards two factor authentication (2FA). Many banks require additional cryptographic signing of unusual payments which have a higher risk of being fraudulent. Banks are now detecting technical anomalies indicative of infected clients or payment anomalies indicative of fraud, and reaching out to those clients to inform them. A decade ago, banks did not consider this to be within their scope of responsibility.

Another trend is the shift toward mobile banking apps. Using locked down mobile devices in combination with custom written banking applications make ebanking attacks more difficult. The current trend towards biometric authentication and leveraging secure hardware elements built into modern mobiles will increase the level of difficulty in the future.

Among banking staff, there is an increased awareness and understanding of criminal activity. Client relationship managers are more vigilant and suspicious of activity that doesn’t look right. They are challenging their clients when suspicious payments are requested (suspected Business Email Compromise, or BEC), and confirming payment requests that have been received through less secure channels.

Finally, banks are investing more in security overall. They are developing analytical systems, anomaly detection systems, and other defense mechanisms to protect themselves and their clients. They are also creating dedicated teams to manage cyber criminal risk, and engaging with insurance companies to add cyber criminal incidents to insurance portfolios.

Government and Law Enforcement Changes
A number of positive changes have been happening with government and law enforcement agencies. Cross border and cross jurisdiction collaboration has improved. Within countries, local law enforcement are reaching out to other agencies within the country and cooperating with improved efficiency. Internationally, federal law enforcement agencies have found new ways to collaborate on investigations involving the Internet. Agencies are not relying solely on formal processes like MLATs to exchange intelligence information. An excellent example of international law enforcement collaboration is the Europol EC3 J- CAT initiative which brings a number of law enforcement agencies together in a single location with the purpose of investigating trans-national cyber crimes. There has also been significant change in the engagement with the private sector. Government and law enforcement are working more to share information and collaborate with private sector organizations. A good example is the INTERPOL cooperation with Anti-Virus vendors, inviting them to work on-site at the INTERPOL Global Complex for Innovation (IGCI) in Singapore.

Law enforcement agencies have made significant progress to understand the latest technology based crime. Not simply traditional disk forensics anymore, today’s law enforcement investigators have a better understanding of botnets, malware, phishing, and other technologically complex criminal activity. This has been a significant learning advancement over the past decade which improved their ability to investigate incidents.

Law enforcement have also gained a better understanding of the IT operations of private sector industries. They have a better understanding of what information is available, either as intelligence or evidence, that companies can provide to support investigations. They know what questions to ask, what data to request, and who to approach for support. They have a better understanding of what technical capabilities are available within the private sector, and how those capabilities can be leveraged to fight crime.

A very key component is the success of making arrests. More cyber-crime related arrests are being made now than at any other point during the history of the Internet. The publicity generated from arresting cyber-criminals has a strong deterring effect. People participating in cyber criminal activity perceive a higher risk of getting caught and convicted. Public awareness of successful arrests helps to reduce the number of criminals (and potential criminals) willing to take the risks of conducting such activity. Compare this to a decade ago, when the general perception of the risk of getting caught for Internet based crime was near zero.

The increase in public private partnerships (PPPs) has been a significant positive change in the past decade. The rise of Governmental CERTs, like MELANI in Switzerland, has increased. These CERTs are dedicated to assisting private sector industries with cyber related issues. Some countries have even created dedicated ”FinCerts” or Financial CERTs which focus on finance sector issues. These public-private interfaces facilitate intelligence sharing and collaboration.

Changes with the Public
The general public has also made positive progress in the past decade. People are more aware of the risks online than they were in the past, and are more suspicious of unusual activity. Online fraud, social engineering, theft, and impersonation are better understood by the public today. There is better recognition of phishing sites, spam mails, and scams.

Overall, there is more concern and interest in security and privacy. The public expects companies and suppliers to protect their personal data. The public is (slowly) taking more steps to protect their own privacy online, managing the security of their electronic devices, and teaching children about the risks of posting information and interacting online.

Another major change in public behavior over the past few years has been the shift in technology platforms. This has had an effect on the amount of crime using technical exploitation of operating systems. The migration away from old and legacy systems, like the Windows XP platform, to more secure versions of Windows has increased the difficulty of deploying malware (there is still malware today, but writing it is not as easy as it once was). There has also been a significant move towards mobile devices (tablets and phones) which tend to be more locked down than general purpose operating systems. This has made a difference in the volume and frequency of malware infections compared to a decade ago.

The media coverage of issues has also changed. Information about malicious attacks and new risks are being more actively and prominently published by the media. Banks, Governmental CERTs, law enforcement, and industry, can easily approach the media or issue warnings to the press, and the information will reach the public. In addition, social media channels greatly speed up the dissemination of important threat information for the public.

Changes with Criminals
The criminals themselves have also been changing. They have become more industrialized, forming an organized underground economy. Criminals are specializing in different individual services such as recruiting money mules, distributing malware, maintaining botnets, etc. They sell these services to other criminals. The technical expertise needed is decreasing as criminals move to a ”Crime as a Service” model, where cyber-criminal activity is easier to execute, and support from the seller is provided.

The complexity and cost to develop and deploy malware and other technical exploitation has been increasing in recent years. This is creating more interest in social engineering, which is simpler and just as effective. Consider the recent wave of BEC and CEO impersonation fraud attacks targeting businesses, or fake technical support phone calls (vishing) attacks that are targeting the public.
There is also an increased leveraging of stolen data circulating in the darkweb or on data leak sites. This data contains passwords of people which can be used to gain unauthorized access to various accounts. This may include access to email, online stores, social media sites, bank accounts, and other user accounts. Access to these accounts can be useful to collect information for social engineering purposes, fraud, or other criminal motivation. People often use the same password for multiple accounts, so if one password is stolen from a site, all other accounts can be accessed. If email accounts are compromised, it also makes it easier to request password resets for other accounts.

Criminals are also leveraging new technologies for money laundering and anonymization. The use of bitcoin is becoming a popular method of payment, especially with ransomeware, extortion, and DD4BC (DDoS for BitCoin) attacks. The ability to use bitcoin tumblers and other laundering techniques makes it more difficult for investigators to follow the money. Newer banking trojans are using the TOR network to host their command and control servers (Retefe for example). The use of TOR, not only for anonymizing client access, but also for server destinations, increases the difficulty of investigation and disruption.

Changes with Academia
Academia has also made a number of changes over the past decade which have had a positive effect on reducing cybercrime. New Bachelor and Master programs with a focus on security, digital forensics, and cybercrime investigation have been introduced. Research programs and PhD projects are bringing innovative methods and ideas into the community. These may evolve into spinoff companies or products which can help law enforcement or other organizations to combat cybercrime. Academic institutions across Europe are engaging with industry to find part-time professors and lecturers who can bring their current experience into the classroom to teach students. Some universities (UCD in Ireland for example) are providing onsite training and education to law enforcement agencies.
There is an increased desire to improve the level of collaboration between academia and the finance industry. There are a number of mutual benefits for banks and academics to study and understand cybercriminal activity together in a research context. In January 2018 the Berner Fachhochschule organized a workshop called ”Bankademia” to bring together researchers from academia and security staff from various European banks. The goal of the workshop was to discuss potential research collaboration between the two sectors.

Keeping an Eye on the Future
The positive changes outlined above have helped to slow down (and even reduce) the growth of cyber-criminal activity in many areas. Many banks have seen a decline in ebanking trojans and phishing attacks in recent years. This decrease in activity compared to 5-10 years ago is due to the combination of changes described in this article.

However, we cannot let these positive changes make us complacent in our fight against crime. Criminals are creative and always finding new ways to commit crimes. The global crime fighting community needs to evolve together with the criminals to keep society safe.
The amount of criminal activity can often seem overwhelming and sometimes it feels like we are losing the battle. But if we remember how things were a decade ago, we can clearly see how far we have come. A lot of amazing work and progress has been made, and it has had a very positive effect on reducing crime in society. We need to keep injecting new and positive changes into our work. It makes a difference.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Digitalisierung und Demokratie: Schub für E-Voting in der Schweiz

Seit dem Jahr 2000 engagieren sich Bund und Kantone gemeinsam im Bereich der elektronischen Stimmabgabe. Seither verzeichnete die Etablierung der elektronischen Urne Fortschritte und Rückschläge. Ein neues Planungsinstrument und zusätzliche finanzielle Mittel von E-Government Schweiz ebnen nun den Weg für angepasste Rahmenbedingungen: Das elektronische Abstimmen soll sich als dritter ordentlicher Stimmkanal etablieren.

Die Pioniere des E-Votings in der Schweiz waren die Kantone Genf, Neuenburg und Zürich, die 2004, resp. 2005 die ersten Versuche mit der elektronischen Stimmabgabe auf eidgenössischer Ebene durchführten. Alle drei Kantone hatten hierfür ein anderes System im Einsatz. Genf setzte auf eine eigens entwickelte Lösung, Neuenburg nutzte eine spanische Software und Zürich baute das Consortium Vote électronique (bestehend aus den Kantonen AG, FR, GL, GR, SG, SH, SO, TG und ZH) auf. Seither gab es mehr als 200 Versuche mit der elektronischen Stimmabgabe bei Abstimmungen auf Bundesebene. Dazu kamen zahlreiche Durchführungen auf kantonaler und kommunaler Ebene.

Systemlandschaft und Ausbreitung
Nach den drei Pionieren folgten weitere Kantone, die sich einem der drei Systeme anschlossen, so dass bis heute 14 Kantone Versuche mit E-Voting durchgeführt haben. Im Herbst 2015 veränderte sich diese Ausgangslage. Das Consortium löste sich auf, da ihr System die bundesrechtlichen Anforderungen für die Zulassung zu den eidgenössischen Wahlen 2015 nicht erfüllen konnte. Zudem entschied sich der Kanton Neuenburg 2015, im E-Voting mit der Post als Systembetreiberin zusammenzuarbeiten. In der Folge gruppierten sich 2016 die Kantone neu: Der Kanton Freiburg entschied sich für den Anschluss an das System der Post, die Kantone Aargau und St. Gallen erteilten dem Kanton Genf den Zuschlag.

Auch die meisten übrigen Kantone aus dem ehemaligen Consortium arbeiten aktiv daran, E-Voting (wieder) einzuführen. Der Kanton Thurgau hat die Ausschreibung eines entsprechenden Systems lanciert. Im Kanton Graubünden steht eine Teilrevision des Gesetzes über die politischen Rechte an, das die notwendigen Rechtsgrundlagen für die flächendeckende Einführung von E-Voting schaffen soll.

Die nachstehende Karte zeigt, welche E-Voting-Systeme im Mai 2017 wo im Einsatz sind:


Neues Planungsinstrument, zusätzliche finanzielle Mittel, Übergang in den ordentlichen Betrieb
Den bisherigen Versuchen mit E-Voting gemein war, dass sie nur einem Teil der Stimmberechtigten eines Kantons die Möglichkeit zur elektronischen Stimmabgabe eröffneten – seien es die Ansässigen oder Auslandschweizerinnen und Auslandschweizer. Dies sieht die Verordnung über die elektronische Stimmabgabe vor, in der das zugelassene Quorum an Sicherheitsanforderungen der eingesetzten Systeme geknüpft wird. An seiner Sitzung vom 5. April 2017 hat der Bundesrat nun entschieden, die Versuchsphase beenden zu wollen und gemeinsam mit den Kantonen die nötigen Rechtsgrundlagen für die Etablierung des elektronischen Kanals als dritter ordentlicher Stimmkanal zu schaffen.

An der Frühjahrestagung der Schweizerischen Staatsschreiberkonferenz haben sich Bund und Kantone zudem zum Ziel bekannt, das im Schwerpunktplan von E-Government Schweiz definiert ist: Sie wollen die nötigen Schritte unternehmen, um das E-Voting bis 2019 in zwei Dritteln der Kantone zu etablieren. Im Anschluss daran hat der Steuerungsausschuss E-Government Schweiz an seiner Sitzung Ende April zusätzliche Mittel für das strategische Projekt «Vote électronique» beschlossen.

Transparenz und Sicherheit zentral
Mit diesen Entscheiden ist nun einerseits die strategische Stossrichtung für die Weiterführung von «Vote électronique» in der Schweiz gegeben. Andererseits stehen die nötigen finanziellen Mittel zur Verfügung, um die interessierten Kantone bei der Einführung des dritten Stimmkanals zu unterstützen.

Aus Sicht von E-Government sind weitere Aspekte der Entscheide zentral: Es wird geprüft, unter welchen Bedingungen der Prozess der Stimmabgabe vollständig digitalisiert werden kann, so dass auch die Zustellung der Wahl- oder Abstimmungsunterlagen elektronisch erfolgen kann. Zudem müssen die Systemanbieter künftig ihre Quellcodes offenlegen, und die universelle Verifizierbarkeit soll gemäss Aussage der Systemanbieter bis 2018 umgesetzt werden. Diese Massnahmen verbessern die Transparenz, die Sicherheit und Effizienz der Stimmabgabe im virtuellen Raum sowohl für die Stimmbürgerinnen und Stimmbürger als auch für die involvierten Behörden.

Somit schaffen Bund, Kantone und Gemeinden das nötige Vertrauen für die Nutzung der technologischen Möglichkeiten im Bereich der Stimmabgabe und machen einen wichtigen Schritt zur Weiterentwicklung der politischen Mitspracherechte im Zeitalter der Digitalisierung.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Universelle Verifizierung von Wahlen und Abstimmungen über das Internet

Die universelle Verifizierung ist eine verlässliche Methode, um die Korrektheit der Auszählung und somit des Wahlergebnisses zu bestätigen. Dies vor allem zusammen mit den bestehenden organisatorischen Massnahmen. Auch das Stimmgeheimnis bleibt durch den gesamten Prozess hindurch gewahrt. Damit bietet E-Voting ein vergleichbar hohes Mass an Sicherheit wie die bestehenden Stimmkanäle der Schweiz.

Ein System zur Durchführung von Wahlen oder Abstimmungen hat zwei grundlegende Funktionen. Erstens soll es das korrekte Wahlergebnis bestimmen und zweitens soll es die Verlierer der Wahl davon überzeugen, dass das Ergebnis korrekt ist. Bei einem klassischen Urnengang sind diese Funktionen durch die Auszählung am Wahlsonntag und der Möglichkeit einer Nachzählung innerhalb der Verwahrungsfrist gegeben. Im Fall eines berechtigten Zweifels können die Verlierer sich von der Korrektheit des Ergebnisses überzeugen, da der Prozess der Nachzählung durch unabhängige Beobachter überprüft werden kann.

Auch ein elektronisches Wahlsystem muss diese zwei Funktionen anbieten. Bei Abstimmungen im Nationalrat zum Beispiel wird das elektronisch ermittelte Ergebnis zusammen mit den abgegebenen Stimmen auf der Anzeigetafel eingeblendet. Die korrekte Stimmabgabe kann so individuell verifiziert werden. Zudem können Zweifel am Abstimmungsergebnis nicht aufkommen, da auch die Korrektheit des Ergebnisses verifiziert werden kann. Diese einfache Art der Verifizierung ist möglich, weil Abstimmungen im Nationalrat nicht geheim sind.

Bei einem universell verifizierbaren Internet-Wahlsystem, bei welchem das Stimmgeheimnis gewahrt werden muss, wird die zweifelsfrei korrekte Ergebnisermittlung mit kryptografischen Mitteln realisiert. Dazu wird bei jedem durchgeführten Schritt im Prozess der Ergebnisermittlung ein kryptografischer Beweis erzeugt, der im Zweifelsfall überprüft werden kann. Abweichungen durch Fehler oder Manipulationen können dadurch im Nachhinein eindeutig erkannt und lokalisiert werden. Umgekehrt impliziert die Korrektheit aller kryptografischen Beweise die zweifelsfreie Korrektheit des Ergebnisses. Diese Art der Verifizierung entspricht somit der Nachzählung im klassischen Urnengang.

Unabhängige Verifizierung
Damit alle, auch die Verlierer, ein Wahlergebnis akzeptieren können, muss eine allfällige Verifizierung durch unabhängige Personen oder Institutionen erfolgen. Da das Überprüfen der kryptografischen Beweise ein komplexer Prozess ist, muss eine Software für die Verifizierung zur Verfügung stehen, die von unabhängigen Fachexperten entwickelt wurde. Voraussetzung dafür ist das Vorhandensein einer detaillierten technischen Beschreibung des elektronischen Wahlsystems und der verwendeten kryptografischen Komponenten.

Als vertrauensbildende Massnahme dient sowohl die Veröffentlichung der technischen Beschreibung des Wahlsystems als auch die Offenlegung des Quellcodes der Verifizierungssoftware. Personen mit entsprechendem Fachwissen können sich dadurch von der Korrektheit der Software überzeugen. Wenn also eine Wahl mit dieser Software erfolgreich verifiziert wird, folgt daraus die Korrektheit des Wahlergebnisses. Umgekehrt ist garantiert, dass Abweichungen vom Wahlprozess durch die Software entdeckt werden.

Um die Akzeptanz des Wahlergebnisses zu ermöglichen, ist die Verifizierung fester Bestandteil der offiziellen Auszählprozedur. Diese wird von vertrauenswürdigen Personen durchgeführt, die anschliessend das Wahlergebnis zusammen mit dem Resultat der Verifizierung der Öffentlichkeit kommunizieren. Bei Unstimmigkeiten wird eine Untersuchung eingeleitet. Das Vorgehen in genau dieser Reihenfolge ist eine weitere wichtige vertrauensbildende Massnahme für die Durchführung von Wahlen über das Internet.

Verifizierung im Detail
Die Auszählung in einem universell verifizierbaren Wahlsystem ist ein Prozess, der der Auszählung bei einem klassischen Urnengang sehr ähnlich ist. Als erstes wird die Wahlberechtigung der abstimmenden Person geprüft und protokolliert. Deren Stimme wird in geschützter Form in einer Urne gesammelt. Nach Wahlschluss werden die gesammelten Stimmen in der Urne gemischt und anschliessend geöffnet. Die ungültigen Stimmen werden aussortiert und die gültigen zusammengezählt.

Im Unterschied zum klassischen Urnengang, ist beim Wählen über das Internet der beschriebene Prozess nicht direkt beobachtbar, da dieser ausschliesslich von Maschinen durchgeführt wird. Deshalb muss jeder Teilschritt mit Hilfe digitaler Signaturen und kryptografischer Beweise unabstreitbar protokolliert werden. Die Verifizierungssoftware kann nun die Korrektheit der einzelnen Teilschritte durch die Überprüfung der Signaturen und kryptografischen Beweise bestätigen. Daraus folgt, dass jede gültige Stimme von einer wahlberechtigten Person abgegeben wurde und dass niemand mehr als eine gültige Stimme abgegeben hat.


Weiterführende Literatur
E. Dubuis, R. Haenni, R. E. Koenig. Konzept und Implikationen eines verifizierbaren Vote Électronique Systems. Studie im Auftrag der Schweizerischen Bundeskanzlei, 2012
R. Gharadaghy, M. Volkamer. Verifiability in electronic voting – explanations for non security experts, EVOTE’10, 4th Int. Workshop on Electronic Voting, pages 151–162, Bregenz, 2010
Schweizerischer Bundesrat. Bericht des Bundesrates zu Vote Électronique – Auswertung der Einführung von Vote électronique (2006–2012) und Grundlagen zur Weiterentwicklung, 2013
M. Volkamer, O. Spycher, E. Dubuis. Measures to establish trust in Internet voting. ICEGOV’11, 5th International Conference on Theory and Practice of Electronic Governance, Tallinn, 2011


Dieser Artikel wurde in Rahmen einer Zusammenarbeit mit der Schweizerischen Post und Ihrem Angebot einer E-Voting-Lösung der neuesten Generation erstellt. Die BFH wurde beauftragt, die bestehenden generierten Beweise des kryptographischen Protokolls der Post-Lösung zu analysieren, damit eine Verifizierungssoftware erstellt werden kann.

PDF erstellen

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.