Dan Woods, Leiter Global Intelligence bei F5 – Fragen und Antworten

Dan Woods, Global Head of Intelligence bei F5, war mehr als 20 Jahre lang für lokale, staatliche und bundesstaatliche Strafverfolgungs- und Geheimdienste tätig, darunter als Sonderagent beim FBI, wo er Cyberterrorismus untersuchte, und als technischer Einsatzleiter bei der CIA, wo er sich auf Cyberoperationen spezialisierte. Wir haben uns mit ihm getroffen, um mehr über seine bisherige Karriere, seine Arbeit bei F5 und die wichtigsten Trends in der Cybersicherheit zu erfahren.

Wie war es, für das FBI zu arbeiten?

Beim FBI habe ich alle möglichen Verbrechen untersucht, die eine Cyber-Komponente hatten. Dabei handelte es sich nicht unbedingt um Cyberkriminalität, sondern um Straftaten aller Art, bei denen Computer oder das Internet in irgendeiner Weise eine Rolle spielten. So habe ich beispielsweise mit dem National Center for Missing and Exploited Children (NCMEC) bei der Untersuchung von Kinderpornografie zusammengearbeitet. Ich habe bei der Analyse der digitalen Beweise im Zusammenhang mit den Anthrax-Anschlägen in den USA im Jahr 2001 (Codename Amerithrax) geholfen. Ich habe Fälle von Online-Betrug untersucht, die in der Regel vom Internet Crime Complaint Center (IC3) weitergeleitet wurden. Ich habe Websites zur terroristischen Indoktrination und zum Sammeln von Spenden untersucht und ich habe die Kompromittierung von Computern der US-Regierung untersucht. Mein Alltag wurde davon bestimmt, was erforderlich war, um meine derzeit laufenden Ermittlungen oder die Ermittlungen eines anderen Agenten, den ich unterstützte, voranzutreiben. An manchen Tagen saß ich die ganze Zeit an meinem Arbeitsplatz und überprüfte Bankauszüge, Computerprotokolle/-bilder oder Telefonaufzeichnungen. Oder ich bin vor Ort und vollstrecke einen Durchsuchungsbefehl, führe Vernehmungen oder Überwachungen durch; oder ich bin in einer Schulung, nehme an einer Konferenz teil oder treffe mich mit dem Staatsanwalt. Was mir an der Arbeit als FBI-Agent wirklich Spaß gemacht hat, war, dass jeder Tag anders war und neue Herausforderungen mit sich brachte. 

Sie waren auch Technical Operations Officer bei der CIA. Worin bestand Ihre Arbeit dort?

Ich habe im Büro für Technischen Service (OTS) angefangen. Dies erforderte, dass ich um die ganze Welt reiste und unseren Human Intelligence-Quellen (HUMINT) den Umgang mit Kommunikationssystemen beibrachte. Mir gefiel die Position, aber sie hatte nicht ausschließlich mit Cyber-Thema zu tun, deshalb suchte ich nach anderen Möglichkeiten bei der CIA.

Meine nächste Aufgabe war mein Traumjob – ich wurde der Computer Network Exploitation and Attack Division (CNEAD) des Clandestine Information Technology Office (CITO) zugeteilt, die später Teil des Information Operations Center (IOC) wurde, welches wiederum Teil des heutigen Directorate of Digital Information (DDI) ist. In dieser Funktion bin ich um die ganze Welt gereist und habe Falloffizieren (diejenigen, die HUMINT-Quellen rekrutierten und betreuten) geholfen. Hierzu zählte auch die Ausnutzung von HUMINT-Quellen, um Zugriff auf Computer und andere Informationssysteme zu erhalten, zu denen sie einen gewissen Zugriff hatten. Wenn beispielsweise ein Case Officer (CO) einen Hausmeister beim Internetdienstanbieter einer hochkarätigen Zielperson anheuert, treffen der CO und ich uns mit ihm und stellen ihm Fragen zur Umgebung beim ISP. Dies könnte viele Besprechungen über mehrere Monate hinweg erfordern, in denen wir den Hausmeister mit Spezialwerkzeugen und Schulungen für jede Phase der Operation ausstatten und der CIA letztendlich Fernzugriff auf die Systeme des Internetdienstanbieters ermöglichen. Die Position ermöglichte es mir auch, die erforderliche Ausbildung zum CO abzuschließen. Dadurch konnte ich die COs effektiver unterstützen.

Was ist die wichtigste Lektion, die Sie während Ihrer Arbeit in diesen Organisationen gelernt haben?

Die meisten Leute sind von meinen Erfahrungen bei der CIA und dem FBI fasziniert und stellen viele Fragen zu diesen Organisationen. Die interessanteste und lebensveränderndste Position, die ich je innehatte, war jedoch die eines Streifenpolizisten Anfang der 90er Jahre. Ich fuhr einen gekennzeichneten Streifenwagen im Großraum Phoenix, Arizona, und reagierte auf Anrufe im Zusammenhang mit häuslicher Gewalt, Einbruch, Urkundenfälschung, Identitätsdiebstahl, Schüssen, Mord, Bandengewalt, Sachbeschädigung, illegalen Drogen, vermissten Kindern oder schutzbedürftigen Erwachsenen, gestohlenen Fahrzeugen, Verkehrsunfällen usw. Dies hat mich im Laufe der Jahre dazu veranlasst, Tausende von Menschen aus allen Gesellschaftsschichten zu interviewen (oder zu verhören). Diese Interaktionen lehrten mich Mitgefühl, Empathie, den Wert von Bildung und, was am wichtigsten ist, die überragende Bedeutung effektiver Kommunikation.  

Wie hat sich der Cyberterrorismus in den letzten Jahren entwickelt? Welche Mittel werden am häufigsten zur Bekämpfung eingesetzt?

Wie nicht anders zu erwarten, sind die Methoden der Cyberkriminellen im Laufe der Jahre raffinierter geworden, allerdings nur in dem Maße, das erforderlich ist, um neue Gegenmaßnahmen zu überwinden. Als Organisationen beispielsweise begannen, Browser-Fingerprinting einzusetzen, um unbefugte Anmeldungen zu verhindern, entwickelten die Kriminellen Plattformen wie den Genesis Marketplace , auf dem nicht nur Benutzernamen und Passwörter verkauft werden, sondern auch viele derselben Attribute des Computers des Opfers, die zum Generieren von Browser-Fingerprints verwendet werden. Als Organisationen begannen, die textnachrichtenbasierte 2FA zu verwenden, begannen die Angreifer, OTP-Bots einzusetzen. Angreifer entwickeln sich erst weiter, wenn sie dazu gezwungen werden. Und die zur Bekämpfung des Cyberterrorismus eingesetzten Instrumente sind dieselben wie bei anderen Formen der Cyberkriminalität. Wir müssen verhindern, dass sich böswillige Akteure – unabhängig von ihren Zielen – unbefugten Zugriff auf Systeme verschaffen. 

Glauben Sie, dass Staaten und Organisationen auf den Kampf gegen den Cyberterrorismus vorbereitet sind, oder haben sie noch einen weiten Weg vor sich?

Staaten und Organisationen sind nicht so vorbereitet, wie sie sein sollten. Die Gründe variieren je nach Staat und Organisation, aber einige häufige Gründe sind: 1) Mangelnde Zusammenarbeit oder manchmal sogar ein feindseliges Verhältnis zwischen den Personen, die direkt oder indirekt zusammenarbeiten müssen, um einer Organisation bei der Erkennung und Verhinderung von Angriffen zu helfen; 2) Fusionen, Übernahmen oder andere Ereignisse, die Organisationen dazu veranlassen, sich zu ändern oder schnell völlig andere Systeme zu integrieren; 3) Personalfluktuation, die zum Verlust von institutionellem Wissen führt; 4) böswillige Insider; 5) Mangel an angemessen geschulten und ausreichend finanzierten Sicherheitsteams. Allzu häufig versuchen Staaten und Organisationen, alle Herausforderungen selbst intern zu bewältigen, obwohl die bessere Option darin besteht, bestimmte Funktionen an Dritte auszulagern. Beispiele hierfür sind die Verwaltung der Kundenidentität und des Zugriffs, die Überwachung und Verwaltung von Sicherheitsgeräten und -systemen, die Erfassung und Analyse biometrischer Verhaltensdaten sowie die Identifizierung und Verhinderung bösartiger Bots. Dies sind alles Bereiche, die ausgelagert werden können und sollten. 

Was ist der größte Fehler im Kampf gegen Cyberterrorismus?

Auch hier kommt es darauf an, wer an dem Kampf beteiligt ist. Müsste ich jedoch einen Hauptfehler benennen, so ist es meiner Meinung nach die mangelnde Zusammenarbeit oder manchmal sogar ein feindseliges Verhältnis zwischen den Personen, die direkt oder indirekt zusammenarbeiten müssen, um einer Organisation bei der Erkennung und Verhinderung von Angriffen zu helfen. Dabei kann es sich um Reibereien zwischen dem Sicherheitsteam und dem Netzwerkbetriebsteam, eine mangelnde Abstimmung zwischen dem Sicherheitsteam und einer Geschäftseinheit oder sogar um einen Zielkonflikt zwischen der Organisation und dem Staat bzw. den Staaten handeln, in denen die Organisation tätig ist. Der Hauptfehler ist nicht technischer, sondern menschlicher Natur: die Vergrößerung oder Wahrung eines Herrschaftsgebiets auf Kosten anderer, die Hortung von Budgets, ineffektive Kommunikation, veraltete Richtlinien und Verfahren sowie ein allgemeiner Mangel an Führung. 

Kürzlich wurden aus dem Europäischen Verteidigungsfonds (EVF) 67 Millionen Euro freigegeben, um die Cybersicherheitskapazitäten des Landes zu verbessern und Instrumente zur Bekämpfung des Cyber- und Informationskriegs zu entwickeln. Reicht das aus oder sind weitere Investitionen nötig?

Bei weitem nicht genug. Dieses Problem wird nie gelöst werden können, doch würde eine asymptotische Annäherung an die Lösung zu Kosten in Milliardenhöhe führen. Und die menschlichen Probleme, die ich oben beschrieben habe, müssten ebenfalls angegangen werden. 

Beschreiben Sie Ihre Rolle als Head of Global Intelligence bei F5.

Ich arbeite mit Datenwissenschaftlern, Ingenieuren und Analysten zusammen, die täglich Milliarden von Transaktionen untersuchen, die durch das Netzwerk von F5 fließen. Diese Transaktionen stehen im Zusammenhang mit den täglichen Online-Aktivitäten von Menschen auf der ganzen Welt. Durch die Analyse der mit diesen Transaktionen verbundenen clientseitigen Signale finden wir Hinweise auf böswillige Angriffe, die von ihnen verwendete Angriffsinfrastruktur, neue Angriffstools und neue Monetarisierungsschemata, die wir unseren Kunden im Rahmen regelmäßiger Bedrohungsbriefings mitteilen. Wir nutzen diese Erkenntnisse auch als Feedbackschleife, um die Wirksamkeit der Sicherheitsprodukte von F5 kontinuierlich zu verbessern.

Was werden Ihrer Meinung nach die Cybersicherheitstrends in den kommenden Jahren sein?

Organisationen müssen nach vorne schauen und sich auf die nächste Bedrohung vorbereiten. Allerdings verbringen Unternehmen allzu oft mehr Zeit und Mühe damit, darüber zu spekulieren, was als nächstes passieren könnte, als damit, die tatsächlichen Probleme zu lösen, mit denen sie heute konfrontiert sind. Beispielsweise funktioniert Credential Stuffing immer noch. Dabei handelt es sich um den Fall, dass ein böswilliger Akteur Millionen oder sogar Milliarden von Benutzernamen-/Passwort-Paaren kauft oder erlangt, die bei einer oder mehreren Organisationen gültig sind, und diese dann programmgesteuert bei der Anmeldeanwendung anderer Organisationen ausprobiert. Und da Verbraucher häufig Benutzernamen und Passwörter wiederverwenden, sind bei diesen Angriffen letztlich 0,1 % bis 3 % der Konten betroffen, auf die zugegriffen werden soll. Solange diese Angriffe funktionieren, werden die Angreifer keinen Anreiz haben, sich weiterzuentwickeln.

Und da Unternehmen 2FA immer häufiger einsetzen, werden Angreifer weiterhin Wege finden, es zu umgehen, z. B. durch SS7-Kompromittierung, Insider bei Telekommunikationsunternehmen, Malware auf Mobilgeräten, Social Engineering, OTP-Bots, Port-Outs und SIM-Swaps. Anstatt Sicherheitsmaßnahmen zu ergreifen, die den Benutzerkomfort erhöhen, sollten Unternehmen künftig bei der Authentifizierung von Benutzern stärker auf clientseitige Signale setzen. Hierzu gehören Verhaltensbiometrie sowie Signale vom Gerät, Benutzeragenten und Netzwerk. Zusammengenommen können diese Signale die Sicherheit verbessern, ohne den Benutzeraufwand zu erhöhen.
_______

Weitere Informationen zu Dan Woods finden Sie in seinen neuesten Blogbeiträgen .