Es vergeht kaum ein Monat, in dem die Medien nicht über neue Hackerangriffe auf fremde Netze berichten. Ende Juni erlebte Russland den bislang schwersten Hackerangriff in der Geschichte des Landes. Die Tagesschau berichtete, dass es wieder neue Angriffe auf die Computernetze von Banken, Stromnetzbetreibern, Flughäfen und viele Unternehmen gab. Schon vorher wurden in England zig Krankenhäuser lahmgelegt, und darüber wieviel Unternehmen in Deutschland schon hohe finanzielle Verluste durch Cyber-Kriminalität erlitten haben, schweigt man sich aus. Es gibt wohl auch keine verlässlichen Zahlen und einen Firmennamen in Verbindung mit solchen Angriffen zu nennen, schadet dem Geschäft. Allein deshalb wird nur sehr wenig laut darüber geredet.
Wir nehmen das zur Kenntnis. Aber es gibt nicht den geringsten Grund anzunehmen, dass Rundfunk- und Fernsehanstalten, Übertragungseinrichtungen, Film- und Videoproduktionen nicht schon Ziel solcher Hackerangriffe waren oder es zunehmend sein könnten. Zwischen der IT-Struktur eines Senders oder eines Industrieunternehmens gibt es datentechnisch gesehen keine wesentlichen Unterschiede.
Die Angriffe und die Ziele können dabei sehr unterschiedlicher Natur sein. Es gibt gezielte Angriffe, effektiver sind meist “class hacks”, also das Herausfinden von Schwachstellen von Gerätegruppen, nach denen man mit Malware dann autonom suchen kann, um andere Geräte zu infizieren. Cyber-Attacken sind einfach und billig zu initiieren, ob mit Hilfe von Tools, die weit verbreitet sind oder durch kriminelle Software. Es ist fast unmöglich zu bestimmen, wo ein Angriff her kommen kann. Der oder die Täter könnten politisch motiviert sein, jemanden bewußt finanziell als “Racheakt” schädigen wollen oder durch das Stehlen und den Wiederverkauf von Inhalten Lösegeld einfordern.
C-Tech-Forum Cyber Security
Im Zusammenhang mit der IBC 2017 in Amsterdam findet das “C-Tech Forum: Cyber Security” am 15. September statt. Und im Vorfeld dieser Veranstaltung hat Spencer Stephens, einst CTO Sony Pictures, eine längere Einführung zu diesem zu diesem Thema auf der Website der IBC eingestellt, die man sich bei persönlicher Anmeldung ansehen kann.
Ransomware
Spencer schreibt dabei, dass es mit der WannaCry und Petya Ransomware gelungen ist, Daten zu verschlüsseln, die somit für den Inhaber nicht mehr lesbar waren. Eine einfache Kosten-Nutzen-Analyse führte dazu, dass viele 300 Dollar zahlten, um ihre Daten zu entschlüsseln. Bei der WannaCrypt Ransom-Software brachte das allerdings nichts, entweder war die Entschlüsselungssoftware fehlerbehaftet oder die Kriminellen hatten von Anfang an nicht die Absicht, die Daten zu entschlüsseln.
Er berichtet über einen Diebstahl aus einem Audio-Postproduction-Haus, bei der eine neue TV-Netflix-Serie gestohlen wurde. Die Diebe verlangten ganz “traditionell” Lösegeld, anderenfalls würden sie die Serie auf Piratenstandorten posten. Die Angreifer veröffentlichten die Serie trotz der Postproduktionsfirma, die angeblich 50.000 Dollar Lösegeld bezahlt hat. Also, schreibt Stephens, es gibt auch keine Garantie dafür, dass die Bezahlung eines Lösegeldes tatsächlich hilft.
Er führt eine Lösegeldforderung an Disney an, von jemandem der behauptete, eine Kopie des Films “Piraten der Karibik” gestohlen zu haben. Allerdings glaubte das Unternehmen, dass sie nicht gehackt worden waren, und zeigten sich nicht bereit, den Forderungen der Hacker nachzukommen. Es passierte auch nichts.
Hier zeigte sich, wie wichtig es war, unabhängig von jeder anderen Sicherheitsmaßnahme erst einmal eine Überwachung zu haben, um festzustellen, ob und was passiert ist. und ob der Angreifer bereits in das Netzwerk gelangt ist. Die Überwachung aller Aktivitäten im Netzwerk sowie auf Systemen ist deshalb sehr wichtig. So sollte eine Mensch- und Maschinenanalyse nach unberechtigten Zugriffsversuchen und abnormen Netzwerkaktivitäten suchen.
Malware
Abgesehen von Malware, die nur im RAM ansässig ist, kann es auch in der Hardware Malware geben. Im Mai fixierte Intel einen schon seit sieben Jahren unentdeckten Fehler in einem Management-Programm, das einem Angreifer über bestimmte Produkte die Kontrolle der Verwaltungsfunktionen ermöglicht hätte. Er zieht daraus die Erkenntnis, dass selbst sichere Systeme eines Broadcasters oder eines anderen Content Creators oder Distributors über seine externen Auftragnehmer anfällig werden kann.
Dokumentierte Verfahren
Cyber-Sicherheit beginnt mit dokumentierten Verfahren und einer Risikoanalyse, am besten sollten sie von erfahrenen Drittanbietern durchgeführt werden, denn es gibt, so meint er, einen Unterschied zwischen den Fähigkeiten eine sichere Infrastruktur aufzubauen und der Bewertung der Sicherheit eines anderen Systems. Das Unternehmen kann offener sein, wenn die Sicherheitsbewertung bis zur Behebung von Problemen vertraulich behandelt wird. Und der Abschlussbericht kann anderen Kunden zur Verfügung gestellt werden.
Internet-Sicherheit
IT und Produktionssysteme sind nicht die einzigen Vermögenswerte, die geschützt werden müssen.
Social Media Accounts sind eine wichtige Anlaufstelle mit dem Publikum, sei es für Reportage oder Marketing und relativ anfällig für Hacker. Verwaiste Webseiten stellen ein unbemerktes Sicherheitsrisiko dar. Schließlich könne mit solchen umfunktionierten Seiten auch der Ruf des Rundfunkveranstalters beeinträchtigt werden.
Jedes Medienunternehmen sollte deshalb eine kontinuierliche Bewertung der Risiken für sein Geschäft durchführen. Zu den Risiken gehören der Diebstahl von Inhalten, die Veränderung des Inhalts, die Einmischung in soziale Medien und die Veröffentlichung vertraulicher Informationen.
Gestohlene Informationen, die veröffentlicht wurden, können geändert worden sein. Es braucht vielleicht nur das Entfernen des Wortes 'nicht' aus einer E-Mail, um schädliche Folgen zu erzielen.
Inhalte mit Sync-Sound sind für Angreifer attraktiver als Rohkameramaterial ohne Ton. Es gibt Best Practices für die Sicherung von Medien in der Produktion. Es gibt auch Methoden sicher und effizient statt über FTP zu übertragen.
Bedrohungslandschaft
Die Bedrohungslandschaft in der Produktion wird durch die Art der verwendeten Spezialsysteme kompliziert. Zum Beispiel kann es nicht möglich sein, eine Workstation zu aktualisieren, auf der eine spezielle Anwendung unter Windows ausgeführt wird, da Upgrades möglicherweise nicht mit den Anwendungs- oder Hardwaretreibern für eine neuere Windows-Version kompatibel sind. Aus Sicht der Aufrechterhaltung eines Windows XP-Systems ist das ein Ärgernis, aus der Sicht der Cyber-Sicherheit ist es eine Katastrophe.
Stephens zitiert in diesem Zusammenhang Andreas Schneider, CISO von SGR SSR, mit den Worten: "Unsere Branche bewegt sich von der proprietären Welt der SDI-Technologie zu einer All-IP-Welt, in der alles miteinander verbunden ist. All-IP-Implementierungen wie der SMPTE 2110 fehlen aber grundlegende Sicherheitsfunktionalitäten.
Wir haben Sicherheitsfehler und Malware in Open-Source-Code und Vertragspartnern, die ein Türchen in Anwendungen für die einfache Wartung offen lassen - die aber eben auch für böswillige Bedrohungen benutzt werden können. Es gibt einige offensichtliche Bedrohungen für Content Distribution Systeme (CDN), zum Beispiel unberechtigte Zugriffe auf Medien.
Effektive Cyber-Sicherheit erfordert eine Verpflichtung von jedem in einer Organisation. Jeder Mangel an Engagement an der Spitze erodiert die gesamte Sicherheitskultur. Das ist eine Herausforderung für das Cyber-Security-Team, denn das Management erwartet, dass sie die Infrastruktur aufrechterhalten. Aber jeder hat eine Rolle in der Cyber-Sicherheit zu spielen. Ein erfolgreicher Dialog mit der Geschäftsleitung bedeutet eine Diskussion über die Konsequenzen für das Geschäft einer Sicherheitsverletzung. In der Medienbranche haben Einwände gegen Sicherheitsverfahren durch das kreative Team zu Ausnahmen von Sicherheitsprotokollen geführt. Das kann aber immer auch eine Einfallslücke bedeuten.
Es ist die Pflicht der Verantwortlichen für die Cyber-Sicherheit, eine klare, prägnante und kontextrelevante Darstellung der Risiken sowie der Anforderungen zu machen.
N. Bolewski
Der Bericht basiert auf Teilen des Originalbeitrags des Produktions- und Medientechnologie-Experten Spencer Stephens, ehemaliger Chief Technology Officer von Sony Pictures Entertainment und VP of Technology bei Warner Bros. Bei der IBC 2017 ist Spencer Stephens Vorsitzender der “Was, wenn ... Scenario Diskussions-Session im C-Tech Cyber Security Forum” am Freitag, 15. September. Nähere Informationen dazu siehe auch hier