Stärkung der Cybersicherheit mithilfe von "Ethical Hackern"

In einer Messehalle in Helsinki setzt sich ein Hacker, der sich selbst „The Mask Guy“ nennt, an seinen PC, umgeben von einer Gruppe von Computerfachleuten, die alle fieberhaft daran arbeiten, ein Testüberwachungssystem von KONE zu hacken. Ihr Ziel ist klar: die Abwehrmechanismen von KONE zu überwinden und das System lahmzulegen.

Diese talentierten und oft anonymen Computergenies kommen aus den unterschiedlichsten Bereichen, aber sie teilen eine gemeinsame Leidenschaft: Wege zu finden, um in vernetzte Geräte, Dienste und eingebettete Systeme einzudringen, ganz gleich, für wie sicher deren Administratoren diese halten mögen.

Das Besondere an dieser Gruppe ist jedoch, dass sie in der Cyber-Community als „White Hats“ oder „freundliche Hacker“ bekannt ist – also als ethisch motivierte Computerfachleute. Ihre Motivation, sei es aus Spaß, aus Profitgier oder aus Prestigegründen, besteht darin, Schwachstellen in vernetzten Systemen aufzuspüren und anschließend mit deren Betreibern zusammenzuarbeiten, um diese Systeme sicherer zu machen und so die „bösen Jungs“, die „Black Hats“, fernzuhalten.

Aus diesem Grund haben sich Unternehmen, Cybersicherheitsexperten und ethische Hacker beim jährlichen Disobey Nordic Security Event in Helsinki versammelt, um Fachwissen auszutauschen und an Wettbewerben teilzunehmen. Beim „Capture the Flag (CTF)“-Wettbewerb, der von KONE mitgesponsert wird, werden White-Hat-Hacker-Teams darum wetteifern, eine Schwachstelle in einem KONE-Testüberwachungssystem zu finden und auszunutzen, damit das Unternehmen immer tiefere Einblicke gewinnen und Angreifern einen Schritt voraus sein kann.

Für die Hacker sind Veranstaltungen wie Disobey nicht nur eine Gelegenheit, „das Sicherheitsbewusstsein zu schärfen“, sagt „The Mask Guy“, sondern auch, sich mit anderen „ethisch motivierten, positiven und kooperativen Menschen“ auszutauschen und zusammenzuarbeiten.

Ethisches Hacking ist in der heutigen Welt eine Notwendigkeit, da Cyberangriffe durch böswillige oder „Black-Hat“-Hacker sprunghaft angestiegen sind.

Untersuchungen von Check Point Software Technologies zeigen, dass Cyberangriffe auf Unternehmen zwischen 2020 und 2021 um 50 Prozent zugenommen haben. Darüber hinaus steigen die Kosten von Cyberangriffen – für Unternehmen und letztlich auch für deren Kunden, wobei die durchschnittlichen Kosten einer Datenpanne für 2022 auf 4,35 Millionen US-Dollar geschätzt werden.

Da Produkte und Dienstleistungen immer stärker vernetzt sind, brauchen Kunden mehr denn je die Gewissheit, dass Unternehmen alle möglichen Maßnahmen ergreifen, um sich und ihre Kunden vor böswilligen Akteuren zu schützen.

„Unethische Hacker verfügen über eine Reihe von Angriffsvektoren, über die sie jedes Unternehmen angreifen können – insbesondere solche, die nicht in ihre Sicherheitspraktiken investieren und diese kontinuierlich verbessern“, erklärt Laura Kankaala, Threat Intelligence Lead bei dem finnischen Unternehmen F-Secure, einem Vorzeigeunternehmen der Cybersicherheitsbranche und regelmäßigen Berater von KONE.

„Sie greifen über eine anfällige Webanwendung, einen falsch konfigurierten Cloud-Dienst, eine schlecht geschützte Identität, ungeschultes Personal, das Opfer von E-Mail-Phishing-Angriffen wird, oder in Fällen an, in denen das Unternehmen grundlegende Sicherheitseinstellungen wie die Multi-Faktor-Authentifizierung nicht unternehmensweit durchgesetzt hat.“

Kankaala, selbst eine erfahrene ethische Hackerin, vergleicht erfolgreiche Cybersicherheit mit einem Puzzle aus vielen Teilen. Dazu gehören traditionell die eigenen IT-Experten eines Unternehmens, erstklassige Sicherheitsberater, bewährte interne Richtlinien und Schulungen. In jüngerer Zeit ist jedoch die Einbindung von „freundlichen“ Hackern, die in Ihrem Team mitspielen, zu einem unschätzbaren Werkzeug im Werkzeugkasten geworden.

„Selbst dann ist es wichtig zu verstehen, dass das Fernhalten unethischer und krimineller Hacker das Ergebnis eines umfassenden Cybersicherheitsplans ist, und dennoch ist der Plan selbst kein Ziel, sondern vielmehr eine fortwährende Reise“, fügt Kankaala hinzu.

Zurück bei der Disobey CTF-Challenge: Der ethische Hacker „The Mask Guy“ – der aufgrund seines Hauptberufs als IoT-Experte bei einem großen Cybersicherheitsunternehmen ein Pseudonym verwendet – schmiedet gemeinsam mit seinem Team Pläne, um mit allen erdenklichen Tricks in das KONE-Demosystem einzudringen und als Erster die Kontrolle darüber zu erlangen, um den Wettbewerb zu gewinnen.

Über die Schultern dieser Hacker schaut Antti Salminen, Experte für Anwendungssicherheit bei KONE, der über die clevere Programmierung und die beeindruckende Problemlösungskunst, die hier stattfindet, vor sich hin lächelt.

„KONE hat Cybersicherheit und die Bedrohung durch Hacker schon immer sehr ernst genommen“, sagt Salminen. „Wir wollen diesen Kampf nach unseren eigenen Regeln führen, und so haben wir erkannt, dass einer der besten Wege dazu darin besteht, eine Brücke zwischen KONE und der White-Hat-Community zu schlagen, um eine engere Zusammenarbeit aufzubauen. ”

„Die Disobey-Veranstaltung bietet einen perfekten Rahmen, um diese Brücken zu bauen.“

Neben großen Veranstaltungen bietet KONE auch ein Programm mit finanziellen Belohnungen an, ein sogenanntes „Bug-Bounty“-Programm, bei dem eingeladene ethische Hacker die Dienste und Produkte des Unternehmens untersuchen und unentdeckte Schwachstellen aufspüren sollen.

Solche Bug-Bounty-Programme sind in den letzten Jahren nicht nur in Organisationen des privaten und öffentlichen Sektors zur Selbstverständlichkeit geworden, sondern gelten mittlerweile als aufkommende Best Practice zur Gewährleistung einer robusten Cybersicherheit. Tatsächlich werden mittlerweile formalisierte Schulungen und Zertifizierungen angeboten, wie beispielsweise das Programm „Certified Ethical Hacker“ des EC-Council sowie ein dreiteiliges Zertifikatsprogramm an der University of Washington in den USA.

Salminen macht jedoch deutlich, dass es keinen Ersatz dafür gibt, auch innerhalb des Unternehmens über ein eigenes Team von erstklassigen Cybersicherheitsspezialisten zu verfügen.

„In der Vergangenheit war ein Unternehmen wie KONE, das Menschen befördert, vielleicht nicht der erste Ort, an dem ein Cybersicherheitsspezialist nach einer Karriere gesucht hätte. Aber das ändert sich. Wir sind mit unseren Produkten und Dienstleistungen mehr denn je online, und Cybersicherheit hat oberste Priorität. Deshalb bemühen wir uns, die besten Cybersicherheitstalente der Branche für uns zu gewinnen.“

Das Engagement von KONE für Cybersicherheit wurde 2023 gewürdigt, als das Unternehmen als erstes der Branche die Cybersicherheitszertifizierung nach IEC 62443 für seine Aufzüge der DX-Klasse sowie die Zertifizierung nach ISO 27001 für seine digitalen Dienste, einschließlich der KONE 24/7 Connected Services, erhielt.

Die Frage bleibt also: Haben „The Mask Guy“ und sein Team von White-Hat-Hackern Erfolg gehabt, oder hat die Cyberfestung des KONE-Demosystems standgehalten?

„Ja … wir haben die Flagge erobert“, sagt „The Mask Guy“ mit ausdrucksloser Miene. „Es war nicht einfach, aber unser Team hat einen Weg gefunden, Root-Zugriff auf das System zu erlangen.“

Und damit sind sie die Gewinner des ersten Platzes beim Disobey CTF-Wettbewerb 2023.

Für KONE lieferte der Weg, den die Hacker ins System gefunden hatten, wertvolle Erkenntnisse zur Cybersicherheit, die in Zukunft genutzt werden können.

„Es war eine großartige Lernerfahrung für uns“, betont Salminen, „und die Cyber-Resilienz unseres Demo-Überwachungssystems hat sich gut bewährt – zumindest die meiste Zeit.“

„Für KONE haben die Erfahrungen, die wir bei Disobey gemacht haben, dazu beigetragen, die White-Hat-Hacker-Community zu entmystifizieren, und dienen uns als Rahmen, um künftig enger zusammenzuarbeiten und eine bessere Cybersicherheit in unseren Produkten und Dienstleistungen für unsere Kunden aufzubauen“, fügt Salminen hinzu.