Wie Googles Sicherheitsteams Cyberkriminellen Paroli bieten
Vor Hackerangriffen ist niemand sicher: Universitäten, Medienverlage, Behörden – das sind nur einige Beispiele von schweizweit bekannten Zielen von Cyberangriffen der vergangenen Monate. Zwei Google-Teams in Zürich kämpfen auf Augenhöhe gegen Hacker*innen: Das Red Team um Daniel Fabian simuliert Hackerangriffe auf Google, während das Project Zero Team um Tim Willis nach Sicherheitslücken in eigener und fremder Software sucht.
7 Minuten Lesezeit
Juni 2023: Im Darknet taucht ein ganzes Datenpaket mit persönlichen Daten von in der Schweiz lebenden Diplomat*innen, Bundesrät*innen, Spitzenbeamt*innen sowie vielen anderen vom Bundessicherheitsdienst beschützten Personen auf. Die Hackergruppe Play hatte sie bei einem Berner IT-Unternehmen entwendet, zu dessen Kunden auch Schweizer Bundesbehörden zählen. Hacker*innen griffen jüngst auch Schweizer Spitäler, Gemeindeverwaltungen, zahlreiche Unternehmen und sogar eine Kunstmesse an. Häufig verschlüsseln die Cyberkriminellen alle Daten und verlangen Lösegeld, englisch Ransom. Laut dem US-Telekommunikationsunternehmen Verizon haben sich die durchschnittlichen Kosten pro Ransomware-Angriff in den vergangenen zwei Jahren auf 26’000 Dollar verdoppelt, wobei ein einzelner Angriff auch Lösegeld in Millionenhöhe zur Folge haben kann (Quelle).
„Der einzige Weg, Hacker*innen zu stoppen, ist, wie sie zu denken.“
So lautet das Intro jeder der insgesamt sechs Folgen der YouTube-Serie „Hacking Google“. Darin gewähren Sicherheitsspezialist*innen von Google Einblicke in ihre Aufgaben, ihre Vorgehensweise und ihre Motivation. Letztere steigt, denn die Bedeutung ihrer Arbeit nimmt stetig zu: Laut der Unternehmensberatung Cobalt gab es 2022 weltweit mehr schwerwiegende Cyberangriffe auf die digitale Infrastruktur als je zuvor – unter anderem gegen öffentliche Versorgungseinrichtungen, Unternehmen, Regierungen und Menschen auf der ganzen Welt (Quelle).
Auch in der Schweiz zählte das Bundesamt für Statistik 2022 insgesamt 33’345 Fälle von digitaler Kriminalität – ein Anstieg von mehr als 35 Prozent gegenüber 20201. Weltweit verursachen Cyberattacken Schäden in Höhe von 318 Milliarden Dollar. In der Schweiz sind es 728 Millionen Dollar2.
Dieser Entwicklung begegnet Google unter anderem mit eingebauten Schutzmassnahmen: Die Sicherheitseinstellungen bei Gmail blockieren beispielsweise 99,9 Prozent aller E-Mails mit schädlichem Inhalt wie Phishing-Mails, falschen Zahlungsaufforderungen oder Softwareviren. Und das Schutzprogramm für sicheres Surfen, das in Googles Browser Chrome integriert ist, wehrt Tag für Tag über drei Millionen Angriffe ab. Erfolge, die dank dem Einsatz von künstlicher Intelligenz (KI) erzielt werden können. KI wird zukünftig massgeblich dazu beitragen, Cyberattacken zu verhindern und die damit verbundenen Kosten zu senken. Der Einsatz von KI in Unternehmen zur präventiven Risikoüberwachung und die Weiterbildung von Mitarbeiter*innen im Bereich Cybersicherheit könnte in der Schweiz Cybersicherheitsrisiken im Wert von 130 Millionen Franken mindern. Dies ist eine Schätzung einer Studie, die Public First im Auftrag von Google durchgeführt hat. Googles Sicherheitsteams wollen den Cyberkriminellen immer einen Schritt voraus sein und arbeiten dafür mit staatlichen Behörden, Unternehmen und Fachleuten zusammen.
Das gilt auch für die Teams aus der Videoserie „Hacking Google“. Die fünfte von sechs Folgen widmet sich Project Zero, das Google 2014 mit dem Ziel startete, gravierende Sicherheitslücken zu finden.
Vorausgegangen war ein Angriff namens „Operation Aurora“, bei dem sich Hacker*innen im Dezember 2009 erfolgreich Zugriff auf Teile des Google-Netzwerks verschafften. Ihr Einfallstor war eine Schwachstelle in einem weit verbreiteten Internetbrowser. „Damals erkannte Google, dass der schwächste Punkt auch ein fremdes Produkt sein kann“, erklärt Tim Willis, der Project Zero heute leitet. Seitdem sucht sein Team permanent nach Schwachstellen in Googles eigenen Produkten sowie in denen anderer Unternehmen. „Wir konzentrieren uns auf die gleichen Schwachstellen, nach denen auch die Angreifer*innen suchen, unabhängig davon, ob die Software von Google stammt oder nicht. Wenn wir Sicherheitslücken finden, arbeiten wir mit den Entwickler*innen zusammen, um diese Lücken innerhalb von
90 Tagen zu schliessen“, erklärt Willis.
Der Name des Teams leitet sich vom englischen Begriff für eine nicht vom Hersteller entdeckte Schwachstelle ab: Zero Day bedeutet, dass niemand auf einen Angriff über diese Sicherheitslücke vorbereitet ist, die Vorwarnung also null Tage beträgt. Hacker*innen führen meist gar nicht selbst einen Angriff über die von ihnen entdeckte Schwachstelle aus, sondern verkaufen ihr Wissen häufig an andere Kriminelle oder an Geheimdienste. „Leider wird es wohl nie ein komplett sicheres Internet geben. Aber wir wollen den Handel mit Sicherheitslücken so schwierig und den damit verbundenen Aufwand so teuer wie möglich machen“, sagt Willis.
Um Schwachstellen zu finden, brauchen die Teammitglieder manchmal nur Tage, manchmal aber auch Wochen oder Monate. „Wenn wir eine Sicherheitslücke entdecken, verständigen wir das betroffene Unternehmen mit dem Hinweis, dass wir unser Wissen in 90 Tagen veröffentlichen“, erklärt Willis. Google unterhält einen eigenen Blog zu Project Zero. Hier ist öffentlich einsehbar, wo das Sicherheitsteam welche Schwachstellen gefunden hat und wann das betroffene Unternehmen einen sogenannten Patch, also eine Lösung zur Behebung der Sicherheitslücke, zur Verfügung gestellt hat.
Das Project Zero Team ist auch in der Lage, die gefundenen Schwachstellen zu Demonstrationszwecken auszunutzen, indem es sogenannte Exploits entwickelt. Erst damit wird eine Sicherheitslücke auch zu einem Einfallstor, das vor allem nationalstaatliche Akteure wie Geheimdienste nutzen. „So können wir beweisen, dass die Lücke eine Gefahr für alle Nutzer*innen darstellt“, erklärt Willis. Wie wichtig die Arbeit des Teams ist, zeigt seine Erfolgsbilanz: Bis heute hat es über 1’800 schwerwiegende Schwachstellen in Software-Applikationen gefunden. Im Zeitraum von 2019 bis 2021 betrafen sie in 16 Prozent der Fälle Google selbst, der Rest verteilte sich auf andere Unternehmen.
„Wir wollen den Handel mit Sicherheitslücken so schwierig und den damit verbundenen Aufwand so teuer wie möglich machen.“
Tim Willis, Team Project Zero
Einen ganz anderen Weg, Google-Produkte für alle sicherer zu machen, geht das Red Team.
„Wir simulieren Angriffe, die versuchen, Google zu hacken“, erklärt Daniel Fabian, der eine führende Position im Team mit den Standorten Zürich, New York und Mountain View einnimmt. Die Bezeichnung Red Team stammt aus dem US-Militär und steht für Einheiten, die in die Rolle der Angreifer*innen schlüpfen, um mögliche Angriffsszenarien durchzuspielen und dadurch besser vorbereitet zu sein. Fabian erinnert sich sehr gut an seine Anfangszeit bei Google: „Mein erster Tag war der 7. Dezember 2009, und eine Woche später gab es einen schweren Angriff, der auf die E-Mail-Konten von Menschenrechtsaktivist*innen in China gerichtet war und Google sowie andere Unternehmen betraf. Das war ein Weckruf für das Unternehmen, die Sicherheitsmassnahmen zu verstärken. Kurz darauf erweiterten wir unsere Sicherheitsteams um das Dreifache.“
Jede Übung des Red Team beginnt damit, einen Fuss in das geschützte System zu bekommen und mögliche Schwachstellen auszumachen. Dazu gehen die Google-Hacker*innen genauso wie Cyberkriminelle vor und nutzen häufig menschliche Unachtsamkeit. Sie spielt laut einem Bericht des US-amerikanischen Telekommunikationsunternehmens Verizon in 74 Prozent der Sicherheitsverletzungen eine entscheidende Rolle (Quelle). Dabei ist das sogenannte Social Engineering, also zwischenmenschliche Manipulation, häufig der erste Schritt: Eine bösartige E-Mail sieht dann harmlos aus, weil sie beispielsweise vermeintlich von einem Kollegen oder einer Kollegin oder auch von jemandem aus einer Forschungseinrichtung stammt. In Wahrheit handelt es sich aber um eine Phishing-Mail, die vertrauliche Daten abgreifen will. Andere Einfallstore für Schadsoftware können beispielsweise manipulierte USB-Geräte sein, die an den Computer angeschlossen werden.
„Wir simulieren Angriffe, die versuchen, Google zu hacken.“
Daniel Fabian, Red Team
In Google-Kreisen ist der Fall des Plasma-Globus berühmt. Die Kugel, ein Spielzeug mit Plasma-Effekten, schickte das Red Team anonym an Kollegen, die es über die USB-Buchse anschlossen, um es mit Strom zu versorgen. Innerhalb von einer Zehntelsekunde schickte die im Plasma-Globus versteckte Software ein Programm an den Rechner, das eine Hintertür für das Red Team öffnete.
Die Ziele der Übungen legt das Red Team gemeinsam mit Sicherheitsverantwortlichen der einzelnen Produktbereiche fest. Die Threat Analysis Group (TAG), die Angriffe von echten Hacker*innen im Internet beobachtet und analysiert, gibt dem Red Team wichtige Hinweise, auf welche Bereiche es die Cyberkriminellen aktuell besonders abgesehen haben. Wenn das Red Team die Sicherheitsvorkehrungen überwinden konnte, übernimmt das Sicherheitsteam des Produktbereichs und schliesst die Lücken.
Unterstützung erhält das Red Team von externen, ethischen Hacker*innen:
Google hat als eines der ersten Unternehmen ein Vulnerability-Reward-Programm eingeführt. Ziel ist es, Sicherheitslücken in den Produkten und Diensten von Google zu finden. Ethische Hacker*innen – also Personen, die Schwachstellen finden und auf diese Weise helfen, die Sicherheit von Produkten und Diensten für alle Nutzer*innen zu verbessern – erhalten eine finanzielle Belohnung. „Sie zerlegen gerne die Dinge, um sie besser zu verstehen – und um sie sicherer zu machen“, sagt Fabian. So tragen ethische Hacker*innen und das Red Team dazu bei, dass es für Cyberkriminelle immer schwerer wird, Einfallstore zu finden.
Fotos: Marvin Zilm (8), Frederic Soguel (1), Screenshot: Youtube/Google;
Quellen: 1Bundesamt für Statistik, 2022; 2Studie von Comparitech, 2021