Channel

Startups

IT-Security

CyberTrap: So funktioniert das Startup, das den ÖVP-Hack analysiert

Avi Kravitz (CTO) und Jack Wagner (CEO) von Cybertrap. © Trending Topics
Avi Kravitz (CTO) und Jack Wagner (CEO) von Cybertrap. © Trending Topics

Donnerstag nachmittag, Wien. Parteien, Journalisten, IT-Experten, das halbe Land ist in heller Aufregung wegen des Hacker-Angriffs auf die ÖVP-Server, bei dem laut Zwischenbericht Daten kopiert, verfälscht oder platziert worden hätten können. Vermutet wird nun, dass dabei Dokumente geklaut wurden, die österreichischen Medien zugespielt wurden. Die Staatsanwaltschaft ermittelt bereits.

Nur wenige Gehminuten von der ÖVP-Zentrale in Wien entfernt liegt das Büro des Security-Unternehmens CyberTrap. Das 2015 gegründete Startup ist aus der SEC Consult hervorgegangen, mit der gemeinsam der Zwischenbericht für die ÖVP über den Angriff auf Web-Server und das interne Computer-System verfasst wurde. Jack Wagner, CEO von CyberTrap, ist die Aufregung der letzten Tage beim Besuch von Trending Topics nichts anzumerken.

„Wir legen Köder in den Systemen unserer Kunden aus“

Während CTO Avi Kravitz in der nahen Lichtenfelsgasse Journalisten erläutert, wie der Hack zustande kam, nimmt sich Wagner Zeit für uns, CyberTrap zu erklären. „Wir haben kein Nahverhältnis zur ÖVP. Die haben uns deswegen gerufen, weil wir einen sehr guten Ruf haben. Wir wurden auch gefragt, ob das eine erfundene Geschichte ist. Das würden wir niemals machen, da würden wir sofort unseren Ruf verlieren“, sagt Wagner im Gespräch. „Das war ein externer Angriff, hochprofessionell ausgeführt, das waren keine Amateure. Wer wirklich dahintersteckt, wird man vielleicht noch rausfinden, aber das wird schwierig.“

Mehr will und kann man bei CyberTrap zum aktuellen Fall derzeit nicht kommentieren. Die Firma mit derzeit 30 Mitarbeitern ist jedenfalls darauf spezialisiert, Cyber-Angreifer in die Falle zu locken. Und das geht so: „Wir legen Köder in den Systemen unserer Kunden aus. Wenn ein Hacker durch die Firewall kommt, soll er möglichst schnell einen Köder finden“, sagt Wagner. Ein Köder kann eine Datei sein, eine Konfiguration oder ein Passwort. Dann schnappt die Falle zu: Schluckt der Angreifer den Köder, wird er damit in eine virtuelle Umgebung gelotst, die von der echten Netzwerk-Umgebung nicht zu unterscheiden ist. „So wird der Angreifer in Echtzeit erkannt.“

Wie Angreifer in die Falle gelockt werden

„Bei einem klassischen Honeypot merkt der Hacker sehr schnell, dass er in einer Fake-Umgebung ist. Bei uns ist das anders. Die virtuelle Umgebung bei unseren Kunden ist authentischen und wird mit echten Inhalten und echten Services ausgestattet“, sagt Wagner. Inhalte könnten etwa Jahresberichte oder andere Dokumente sein, die interessant sind, aber keine wirklich heiklen Informationen beinhalten.

Dann folgt der zweite Schritt: Während der Angreifer sich durch die virtuelle Falle bewegt, wird er von CyberTrap bereits observiert und ein so genannter Fingerprint über ihn erfasst. „Hacker verwenden bestimmte Tools, und daran kann man ihn erkennen“, so Wagner. Und: „Wir legen Dokumente aus, die wir speziell präparieren – quasi mit einem virtuellen Peilsender.“ In der Regel arbeiten Hacker für Auftraggeber, die oft 100.000 Euro oder mehr für das Eindringen bezahlen. Ihnen liefert der Hacker die präparierten Dokumente.

Präparierte Dokumente

Öffnet nun der Auftraggeber die Dokumente (z.B. PDF, Word, Excel, zip-File) auf seinem Rechner – „zack, bekommen wir etwa IP-Adresse oder Passwort-Hash“, so Wagner. Diese Informationen wiederum können dabei helfen, den Auftraggeber zu identifizieren. „Dann muss der Kunde entscheiden, ob er sich an die Strafverfolgungsbehörden wenden.“

CyberTrap und ähnliche Firmen arbeiten damit in einem Gebiet, das mittlerweile als „Deception Technology“ genannt wird. „Wir haben die Idee aus einem Hacker-Angriff bei einem deutschen Industrieunternehmen vor mittlerweile sechs Jahren entwickelt“, sagt Wagner. „Wir beschäftigen uns hauptsächlich mit hochqualifizierten, spezialisierten Angreifern. DDoS-Attacken und Malware, dafür gibt es andere Tools. Uns geht es um die gezielte Detektion von Angreifern und deren Abwehr.“

Ab 50.000 Euro pro Jahr kostet die CyberTrap für Unternehmen. Kunden können sie entweder selbst „on premise“ auf den eigenen Servern managen oder den Service in der Cloud nutzen, wenn er ihn nicht selber betreiben will oder kann. „Unser Kunden sind mehrheitlich international. Die öffentliche Verwaltung ist bei uns der Fokus“, sagt Wagner. „Wir sind überall dort, wo es ein Bewusstsein gibt, das Industriespionage stattfindet.“

Expansion nach Vietnam

Für die junge Firma hat sich dabei ein interessanter neuer Markt aufgetan: Vietnam. „Das ist ein attraktiver Markt, den wir seit Anfang des Jahres erschließen“, sagt Wagner. „Es gibt dort viele Hacking-Aktivitäten, weswegen die Banken dort ein erhöhtes Sicherheitsbewusstsein haben.“ Die staatliche Telekom des südostasiatischen Landes wolle CyberTrap nicht nur selbst einsetzen, sondern das Produkt auch an die eigenen Kunden weiter vertreiben. Probleme würden in Vietnam vor allem Cyber-Attacken aus China und Nordkorea machen.

„Die sind dort einfach so viel schneller. Vietnam hat mehr als 100 Millionen Einwohner und wächst mit sieben Prozent. Das sind Märkte, Die Offenheit für neue Technologien ist eine ganz andere. Sie haben keine Scheu, etwas Neues auszuprobieren. Die Adaptions-Geschwindigkeit ist viel höher“, sagt Wagner. „Das ist ein anderes Feuer, das da brennt. Wir Europäer unterschätzen das gröblich, die überholen uns links.“ Durch die PR, die CyberTrap durch das Engagement durch die ÖVP erhält, hofft Wagner, könnte man vielleicht künftig auch in Österreich mehr Kunden bekommen.

Wer sind die Guten, wer sind die Bösen?

Im internationalen Cyber-Security-Geschäft will sich CyberTrap jedenfalls als europäische Lösung positionieren. So hätte man etwa darauf verzichtet, selbst am US-Markt tätig zu werden, sondern hätte die eigene Technologie lediglich an ein anderes Unternehmen lizensiert. „Dadurch sparen wir uns, selbst am amerikanischen Markt tätig zu sein. Für uns macht das wenig Sinn, weil wir die finanziellen Ressourcen dafür gar nicht haben“, sagt Wagner. „In den USA ist die NSA die Zertifizierungsbehörde für Security-Software. Der Patriot Act verlangt, dass der Vendor verpflichtet ist, eine Backdoor einzubauen, wenn es im nationalen Sicherheitsinteresse ist. Das wollten wir unseren Kunden nicht zumuten.“

Angreifer auf IT-Systeme von Behörden und Unternehmen kämen mittlerweile von überall – aus China, Nordkorea, Pakistan, Afghanistan, Russland, aber auch aus den USA. „Ich habe mir abgewöhnt zu sagen: das sind die Bösen, das sind die Guten“, sagt Wagner. In Österreich will man CyberTrap jedenfalls weiterentwickeln. Dazu braucht es die entsprechenden Mitarbeiter. „Leicht findet man sie nicht, aber es gibt sie“, sagt Wagner. Man suche so genannte „White Hat Hacker“. So bezeichnet man in der Branche Cyber-Experten, die ihre Skills innerhalb der rechtlichen Grenzen anwenden und sich an ethische Richtlinien der Hacker-Community halten. Wagner: „Wir haben die Brille des Hackers auf. Wir entwickeln das Produkt aus der Sicht des Hackers.“

Springe zu:

Ganzen Artikel lesen