Schützt die Burgen – wo bleibt die Post?! (Teil 3) #DNSAngriff

In Zeiten, in denen Navigationsgeräte und Smartphones noch nicht zum täglichen Leben gehörten, waren wir für die Navigation auf Karten und Wegweiser angewiesen. Auch im Internet benutzen wir solche Wegweiser täglich, meist ohne es zu merken. Eine wesentliche Funktion, die sich dahinter versteckt, ist das DNS (Domain Name System). Dessen Funktionalität und auch die damit verbundenen Risiken möchten wir Ihnen in diesem Beitrag mit unserer Burgen-Metapher näherbringen.

Seit Tagen warten Sie auf Ihrer Burg auf einen wichtigen Boten, doch er kommt nicht. An Ihnen liegt es nicht: Das Tor ist offen, die Straßen sind frei, anders als beispielsweise bei einem DDoS-Angriff. Was ist passiert? Ihre Kundschafter bringen eine Nachricht, die auf den ersten Blick nicht erschreckend wirkt, bei genauerem Hinsehen aber doch kritisch für Sie ist. Die wenigen Wegweiser zu Ihrer Burg wurden entfernt, umgedreht oder zugestellt. Ihre Burg ist zwar zugänglich, ohne das präzise Wissen zu deren Lage, kann man sie aber dennoch nicht erreichen. Nun, da Sie das Problem erkannt haben, können Sie es schnell beheben. Der von Ihnen erwartete Bote ist aber schon längst wieder auf dem Rückweg.

Ein Angriff dieser Art würde in das Internet übersetzt einem Angriff auf die von Ihnen genutzten DNS-Server darstellen. Die Informationen, wie man Ihre Infrastruktur im Internet erreichen kann, sind auf einigen wenigen DNS-Servern (gewissermaßen Wegweisern) hinterlegt. Sind diese Server nicht erreichbar, so kann niemand Ihren Kunden sagen, welche IP-Adresse zur Domain Ihres Unternehmens gehört und auch Sie sind quasi nicht erreichbar. Es wirkt, als würde Ihre Domain nicht existieren. Dass ein Angriff dieser Art auch für wahre Internetgrößen nicht nur bloße Theorie ist, zeigt beispielsweise der Angriff auf den DNS-Dienstleister Dyn aus dem letzten Jahr. Durch einen DDoS-Angriff waren weder Dyn noch dessen Kunden, zu denen auch Twitter, PayPal und Netflix zählen, erreichbar. In einem aktuellen Fall aus Frankreich gingen die Angreifer noch einen Schritt weiter: Auf den DNS-Servern wurden falsche IP-Adressen hinterlegt. Kunden wurden nicht auf die regulären Seiten, sondern auf schädliche Websites verwiesen.


Aber wie kann so etwas sein? Wie kann ein Angriff auf eine Infrastruktur, mit denen Ihr Unternehmen im ersten Schritt nur wenig zu tun hat, so einen erheblichen Schaden für Sie darstellen? DNS ist die zentrale Adressverwaltung des Internets. Jedes mit dem Internet verbundene Gerät besitzt eine eigene, eindeutige IP-Adresse. IPv4 und IPv6 sind dabei die beiden aktuellen Formate dieser IP-Adressen. Über die IP-Adresse kann jedes Gerät im Internet eindeutig identifiziert werden. Für einen privaten Computer ist dies meist ausreichend: Anwendungen können den Rechner mit der IP-Adresse identifizieren, andere Internetbenutzer müssen nur selten eine direkte Verbindung zu dritten privaten Rechnern herstellen. Für Menschen ist die Identifikation einzelner Domains schon komplizierter: Ohne DNS müssten wir uns die IP-Adressen merken oder aufschreiben. Für eine Suche würde ich beispielsweise 172.217.0.0 in die Adresszeile meines Browsers eintippen. Das funktioniert. Da sich diese Nummer aber viel schwieriger merken lässt als www.google.de gibt es das DNS - das Adressbuch im Internet. Die Zuordnung der Domains zu den IP-Adressen ist hier hinterlegt und das eintippen von www.google.de verweist den Anwender auf eine der IP-Adressen des Unternehmens.

Dass eine solche Infrastruktur besonders schützenswert ist, lässt sich schnell erkennen. Gerade an den zentralen Knotenpunkten, den sogenannten Root-Servern, herrschen exzellente Sicherheitsvorkehrungen. Da die IP-Adressen von Unternehmen aber nicht direkt dort, sondern auf kleineren, weniger robusten Servern gespeichert werden, lohnt sich hier eine genauere Prüfung. Es ist nicht sehr aufwändig, die DNS-Daten auf verschiedenen Servern zu hinterlegen, erhöht die Sicherheit aber ungemein. Gerade wenn sich diese Server auf verschiedenen Kontinenten befinden.

Eine ganz andere Angriffsart sind sogenannte Social Engineering Attacken. Sie werden oft über die Mail-Infrastruktur des Unternehmens durchgeführt. Wie diese Attacken funktionieren und welche gängigen Schutzmethoden es gibt, erfahren Sie in unserem nächsten Artikel.

Viele Grüße
Felix Fiedler

#Versicherungen #Cyber #Cyberrisiken #DNSAngriff #DNSAttacks #DomainNameSystem

Process automation anyone? – mit BPMS und RPA zur intelligenten Prozessautomatisierung (IPA)

Zur vollständigen intelligenten Prozessautomatisierung ist der Einsatz zentraler, innovativer Technologien erforderlich.

Mit diesem Beitrag möchte ich grob skizzieren, wie Sie mithilfe von BPM Software (BPMS) und/oder Robotic Process Automation (RPA) schnell, kostengünstig und nachhaltig automatisieren und auf zukünftige Anforderungen im Rahmen der Digitalisierung vorbereitet sein können.

Starten wir mit BPM. In meinem langjährigen Beraterleben habe ich schon viele Methoden im Rahmen der Prozessoptimierung angewandt. Viele von Ihnen kennen sicher noch die Anfänge (z. B. Flowchart), um Prozesse zu dokumentieren. Dann kamen weitere, moderne Werkzeuge, mit denen auch neue Prozesse modelliert und simuliert werden konnten. Doch alle hatten einen Haken: Die Geschäftsprozesse wurden hervorragend und revisionssicher dokumentiert. Und landeten dennoch häufig in Aktenschränken oder Dateiarchiven. Warum? Diese Werkzeuge halfen nicht bei der Umsetzung und IT-Integration der neu gestalteten Geschäftsprozesse. In der Umsetzung bediente man sich klassischer IT-Methoden. Die grafischen Prozesse dienten maximal für das Fachkonzept.

Das ist jetzt anders. In den letzten Jahren wurden Methoden und Verfahren entwickelt, mit denen die Geschäftsprozesse zum einen fachlich modelliert werden können und zum anderen sich quasi per Knopfdruck ausführen lassen. Also auch die IT-Integration ist deutlich einfacher und schneller. Ein enormer Vorteil in der Zeit der raschen Veränderungen und digitalen Welt. … Und ganz nebenbei sind die Prozesse nach ISO-Standard dokumentiert. Wie war das nochmal mit den Fliegen und der Klappe?


Beispiel einer Antragsverarbeitung


Seit wenigen Jahren unterstützen uns hier verschiedene ISO-Standards wie BPMN (Business Process Model and Notation) oder CMMN (Case Management Model and Notation) sowie DMN (Decision Model and Notation), an denen keiner mehr vorbeikommt, wenn die Geschäftsprozesse schnell, nachhaltig und sicher optimiert, modelliert, dokumentiert und für die IT ausführbar gemacht werden sollen.

Nun wird mancher argumentieren: „Ja alles gut und schön, doch wir haben so viele andere Projekte in der Planung, dafür haben wir keine Zeit und keine Ressourcen“. So oder so ähnlich habe auch ich einige Einwände gehört. Dennoch: Haben Sie schon mal über RPA nachgedacht? Nein? – Wieso? Ganz einfach:

Nehmen wir ein Beispiel: Wenn Sie ein Formular erhalten, deren Inhalt Sie in Ihrem Bestandssystem o.ä. eintragen müssen, übernimmt der Softwareroboter/RPA diese Aufgabe für Sie. Die Daten aus dem Formular werden in ein sogenanntes Input-Management eingelesen und elektronisch zur Verfügung gestellt. Diese elektronisch zur Verfügung gestellten Daten werden mit RPA aufgegriffen und von dem Softwareroboter in die dafür vorgesehene Anwendung eingefügt.

Der Softwareroboter simuliert also den Sachbearbeiter und arbeitet die Geschäftsregeln mit den Systemen ab, die sonst der Mitarbeiter bedient – rund um die Uhr, jeden Tag, fehlerfrei.


„Doch, warum hilft mir RPA, wenn ich keine Zeit und Ressourcen habe?“ Weil RPA unabhängig von vorhandenen IT-Systemen ist, da der Softwareroboter diese Systeme nicht verändert, sondern „bedient“. Daher brauchen keine klassischen IT-Schnittstellen geschaffen zu werden, die Geld und Zeit kosten. RPA ist dagegen sehr schnell und einfach in der Umsetzung sowie in der Anwendung.

Das bedeutet, dass selbst Abteilungen ohne IT-Affinität einfach damit arbeiten können. Prozesse, die früher bewältigt werden mussten, aber zeitlich nicht zu schaffen waren bzw. mit einem großen Zeitaufwand verbunden waren, sind mit RPA einfach und schnell zu schaffen und haben zudem eine höhere Prozesssicherheit.

Zu guter Letzt: Die „Königsdisziplin“, die geschickte Kombination von BPMS & RPA. Teilweise werden zur IT-Integration von BPM Schnittstellen benötigt (z. B. Webservices). Oftmals ist diese Realisierung von wenigen „Kopfmonopol“-Trägern abhängig, die häufig wenig Zeit haben. Warum nutzen Sie hier nicht RPA, um die bestehende Anwendungslandschaft mit BPMS zu verbinden? – Ich bin auf Ihre Antworten gespannt!

Bis bald & beste Grüße
Dirk

PS: Sie interessieren sich für diese Themen? Dann besuchen Sie unseren ersten Praxiszirkel zur Intelligenten Prozess Automatisierung (IPA) "Process-Automation anyone?" - Dieses Event wird durch Vertreter der Unternehmen Kofax und Camunda unterstützt.


Dirk Daners ist Versicherungsexperte und steht für innovative Beratungsansätze zur Digitalisierung und im Prozessmanagement.
Bei PPI verantwortet er die Themen zur Intelligenten Prozessautomatisierung (IPA) für Versicherungen. Hierbei bringt Dirk seine über 20 jährigen Erfahrungen in der Assekuranz sowie seine Beratungsexpertise ein, die er vor seiner Zeit bei PPI als Consulting Partner bei führenden, internationalen Beratungsunternehmen anwenden konnte.

 #IPA #RPA #bpms #robotics #IntelligenteProzessAutomatisierung #event_ipa #event_rpa

Alexa macht jetzt auch in Versicherungen

Was soll ich nun damit anfangen… Vor geraumer Zeit las ich einen Artikel über die Möglichkeit, über Alexa in Kontakt mit Versicherungsunternehmen zu treten. Vom Umzugsassistenten bis zum Abschluss der Rentenversicherung. Einfach in die kleine Tonne sprechen und Schwups…

Ich gebe zu, ich bin skeptisch, was diese neue Art der Kommunikation betrifft. Damit meine ich vorrangig das Thema Datenschutz (EU-DSGVO) und Cyber-Kriminalität. Damit müssen wir uns in unserer heutigen Welt grundsätzlich beschäftigen.Man wird irgendwie vor die Wahl gestellt: Nutze ich die kommenden Innovationen und nehme den sehr wahrscheinlichen Datenschutzrechtsverlust in Kauf oder boykottiere ich diese Innovationen und werde zum „lonely rider“ – irgendwie wird man immer wieder vor die Wahl gestellt. Aber es ist wichtig, sensibilisiert mit seinen privaten Daten umzugehen und im Bewusstsein zu aktivieren. Alles, was man online einspricht oder einträgt könnte irgendwie abgefangen oder weiterverbreitet werden. Allerdings finde ich die Technik hinter z. B. Alexa als künstliche Intelligenz hoch interessant. Und sie entwickelt sich in einer Qualität weiter, die vielversprechend ist.

Vielmehr geht es um die Art der Kommunikation mit einer Box. Vielleicht bin ich auch schon zu alt und habe trotz aller Innovationsgedanken und Ideen noch ein Fünkchen „oldschool“ im Blut. Wenn mir Menschen entgegen kommen, die Sprachnachrichten in ihr Handy sprechen oder ich von einer künstlichen Stimme wieder einmal durch ein Telefonmenü geschleust werde, dann merke ich, ich spreche immer noch gerne mit Menschen.

Nun ist das ganze Thema Smarthome kommerziell ein sehr lukratives Thema. Damit könnten die kleinen Boxen mitten im Leben potenzieller Kunden stehen und sind zudem hoch attraktiv für IoT und BigData. Aber mit Alexa über meine Altersvorsorge zu sprechen, klingt für mich einfach nicht richtig. Gunther Dueck hat den Begriff der „Flachbildschirm-Rückwand-Beratung“ verwendet. In diesem Fall ginge es sogar noch einen Schritt weiter, denn hinter dem Bildschirm sitzt immer noch ein Mensch (Auch wenn er leider immer weniger zum Gespräch beitragen kann).

Aber alle Beratungsgespräche auf ein Frage-Antwort-Spiel zu reduzieren, das auf Basis von Algorithmen und Rechnungen basiert, ist mir persönlich zu wenig. Weil ich eben immer noch gerne mit Menschen spreche.

Sehen Sie sich im nachfolgenden Video der Deutsche Familienversicherung AG an, wie erstaunlich Alexa berät und bilden Sie sich selbst ein Urteil, ob diese Art des Versicherungsvertriebs für Ihr Versicherungsunternehmen oder auch für Sie als Privatperson infrage kommt:

Mit diesem kurzen Gedankenausflug verbleibe ich mit den besten Grüßen

Robert Schnittger


PS: Sie finden die Thematik zum Einsatz von KI interessant? Dann lesen Sie auch unsere weiteren Beiträge 

#Digitalisierung #KI #Künstliche Intelligenz #Alexa #Versicherungen

Schützt die Burgen – Angriff auf die Mauer (Teil 2) #hackings

Das Unternehmen als Burg – mit dieser Metapher bringen wir Ihnen die Begriffe rund um das Schlagwort Cyber näher. Während wir im ersten Teil unseren Fokus auf DDoS-Angriffe legten, möchten wir Ihnen diese Woche den Begriff des Hackings erklären. Ein Hack unterscheidet sich maßgeblich von einem DDoS-Angriff. Hat letzterer das Ziel, die Infrastruktur des angegriffenen Unternehmens zu überlasten und dadurch lahmzulegen, so wird bei einem Hacking-Angriff versucht, direkt auf die IT-Infrastruktur des Unternehmens zuzugreifen und diese zu manipulieren.

In unserer Burgen-Welt würde ein Hack einem wirklichen Angriff mit dem Ziel der heimlichen Ausplünderung der Burg gleichkommen. Der Angreifer kundschaftet die Burg zuerst aus und analysiert Schwachstellen sowie mögliche Angriffsszenarien. Er hat hier zwei Möglichkeiten:
passiv (Aufklärung aus der Ferne)
aktiv (Verteidigung testen mit der Gefahr der Enttarnung)

Anschließend wird der Angriff gestartet. Der Angreifer versucht über die zuvor festgestellten Schwachstellen (z. B. offene Ports) in die Burg einzudringen. Mit den verschiedensten Schutzmaßnahmen probieren die Verteidiger dies zu verhindern. Hohe Mauern (Firewalls), regelmäßige Patrouillen (Monitoring) und eine Burg auf dem neuesten Stand der Technik (Updates) helfen den Verteidigern dabei. Auch Fallen, die für Angreifer aufgestellt werden (etwa Honeypods) und absichtlich falsch ausgestreute Informationen sind Mittel zur Verteidigung.

Auf der technischen Ebene lässt sich ein Hack vereinfacht in drei Phasen gliedern.

Phase 1: Discover

In der Aufklärungsphase versucht der Angreifer Informationen über sein Ziel zu sammeln. Verschiedenste Daten können für den Angreifer interessant sein: von der verwendeten Hardware über das Betriebssystem bis hin zur installierten Software. Jedes mit dem Internet verbundene System tauscht Daten aus. Aus diesen Daten und dem Schema, in dem einfache Anfragen beantwortet werden, können Angreifer Rückschlüsse ziehen und Informationen zur Konfiguration sammeln. Dazu muss der Angreifer sich meist gar nicht selbst um diese Informationen bemühen, da verschiedene Online-Datenbanken existieren, die solche Informationen regelmäßig abfragen und anbieten. Eine solche Datenabfrage geschieht automatisiert über sogenannte Crawler und Scanner. Wie in unserer Metapher kann der Angreifer also eine passive Variante wählen, in der er sich nicht zu erkennen gibt. Die aktive Variante, die das Risiko der Entdeckung mit sich bringt, liefert jedoch hochwertigere Daten. Eine solche Aufklärung geht über frei verfügbare Informationen hinaus und analysiert die online stehende Infrastruktur des Ziels bis in das kleinste Detail - kann den Verteidiger aber alarmieren.

Phase 2: Attack

Nach der Analyse der gesammelten Informationen beginnt der Angriff. In der einfachsten Variante hat der Angreifer ein exploitbares System, also ein System mit einer Sicherheitslücke gefunden. Bei nicht aktuellen Systemen ist dies sehr einfach, da bereits eine einfache Google-Suche nach einem veralteten System die Sicherheitslücke mit dem zugehörigen Angriffstool bereitstellt. Je aktueller und sicherer die Systeme sind, desto schwieriger ist der Angriff.

Es gibt jedoch keine totale Sicherheit: Auch wenn die Software aktuell ist, kann eine noch nicht öffentliche Schwachstelle existieren. Beispielsweise war EternalBlue, die Sicherheitslücke hinter dem WannaCry-Angriff, den Experten der NSA und einigen „Grey Hats“ schon lange vor dem Angriff bekannt. Individualisierte Angriffe können meist nur von einer kleinen Gruppe von Spezialisten durchgeführt werden. Die Masse der Versuche kopiert ein öffentlich gewordenes Vorgehen eines Spezialisten. Diese Angriffe können durch eine aktuelle Sicherheitskonfiguration meist zuverlässig abgewehrt werden.

Phase 3: Exploit

Ist der Angreifer in das System eingedrungen, so beginnt er seine eigentlichen Ziele umzusetzen. Neben Erpressung (RansomWare) und weiterer Verbreitung, wie im WannaCry-Vorfall, gibt es noch verschiedene andere Möglichkeiten. Datendiebstahl oder die Nutzung der Infrastruktur für Botnet-Angriffe sind hier nur zwei Beispiele. Dies erschwert die Analyse der Schäden. Für Reinigung und Wiederherstellung der Infrastruktur können hohe Kosten auf Unternehmen zukommen, wie beispielsweise der Angriff auf den Bundestag zeigte.

Automatisierte Attacken dienen meist der Erpressung oder zur Nutzung der Infrastruktur. Dabei handelt es sich bei exploitbaren Systemen für Hacker regelrecht um eine Ressource. Für die Bereitstellung eines DDoS-Attack-Services beispielsweise, ist es nötig, dass immer neue Systeme dem Botnet hinzugefügt werden, da alte Systeme von der Infektion gereinigt werden und aus dem Netzwerk fallen. Nur durch einen stetigen Zufluss von Systemen kann die Größe des Botnets konstant gehalten werden. Der Wettbewerb der Hacker geht hier teilweise so weit, dass ein Hacker nach einer erfolgreichen Attacke die von ihm ausgenutzte Sicherheitslücke schließt und so seine Eroberung gegen weitere Angreifer verteidigt, um sie alleine nutzen zu können.

Die Auswirkungen von komplexen individuellen Angriffen lassen sich nur schwer charakterisieren. Datendiebstahl, Störung des Betriebs und Rufschädigung sind hier nur einige mögliche Szenarien. Gerade in den letzten Monaten gehört auch Erpressung zu den immer häufiger auftretenden Zielen der Hacker, wie auch der neue Petya-Angriff zeigt. Ein solcher Angriff ist im Vergleich eher selten, stellt für ein Unternehmen aber meist das Worst-Case-Szenario im Cyberumfeld dar. Ohne eine entsprechende Versicherung kann es für KMU schnell existenzbedrohend werden.

Im nächsten Teil der Serie wollen wir einen Blick auf die Strukturelemente des Internets werfen und Begriffe wie Provider, DNS und Port genauer beleuchten.

Viele Grüße
Felix Fiedler



Felix Fiedler wird diesen Blog ab sofort und regelmäßg mit Beiträgen rund um das Thema "Cyber" versorgen. Er ist Stammautor unseres Blogs und zeigt die Kehrseite und die Schwachstellen zunehmender Digitalisierung auf.

#Versicherungen #Cyber #Cyberrisiken #DDoS #DDoS-Angriff #DDoS-Schutz #Botnetze



Grafiken by #103858714 © TAlex by fololia.com und pixabay.de