Anfang 2020 gelang es den Hackern OurMine, den twitter-Account von facebook zu hacken – laut eigenen Angaben diente der Angriff dazu, neben dem Werben für ihre Arbeit darauf aufmerksam zu machen, dass Cyberattacken jedes Unternehmen treffen können. Für ein intaktes Sicherheitssystem ist es daher wichtig kontinuierlich über den aktuellsten Stand der Gefährdungslage in Deutschland informiert zu sein, um besser auf Cyberattacken reagieren zu können. Wenn Sie die Tendenzen der Cyber-Kriminalität ständig beobachten, fällt es Ihnen leichter, Risiken richtig zu evaluieren und entsprechend darauf zu reagieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) liefert in dem Lagebericht von 2019 (Untersuchungsbereich Juni 2018 – Mai 2019) umfangreiche Auswertungen zu der anhaltend relevanten Thematik der Cyber Security.
Die Masse machts?
Schädigungen können unter anderem durch Malware, Ransomware, Botnetze oder APT-Angriffe erfolgen und erfordern ständige Aufmerksamkeit für die erfolgreiche Abwehr. Botnetze ermöglichen fremden Zugriff und Manipulation auf Systemnetze, Informationsdiebstahl, Engineering von Malware für weitere Schädigung, seltener für DDoS-Angriffe (Distributed Denial of Services), die leichter zu bewerkstelligen sind. Das BSI meldete 110.000 Bot-Infektionen innerhalb eines Jahres in Deutschland. Eine davon betraf die Stadtverwaltung Potsdams und Brandenburgs. Erfasst werden können aber nur gemeldete Botnetze, die Dunkelzahl wird noch weit höher sein und ihre Tendenz ist steigend. Aktuell sind vor allem Endgeräte und IoT-Systeme betroffen, da die immer stärker auf alle Lebensbereiche übergreifende Nutzung eine besonders breite Angriffsfläche und wenig Herausforderung bietet. Insbesondere preisgünstige Ware kann sogar beim Kauf bereits von Schadprogrammen infiltriert sein. Alternativ kann Malware auch über Spam transportiert werden, jedoch zeigt sich hier eine Rückläufigkeit der gemeldeten Fälle. Da Spam aktuell aber gezielter platziert wird, und Schadsoftware auf Geräte zu einem späteren Zeitpunkt nachgeladen werden kann, ist die Bedrohung dennoch ernst zu nehmen.
Alte Tricks in neuem Gewand
Eine besonders verbreitete Gefahr stellen weiterhin auch Identitätsdiebstähle dar, durch die es leicht zu Diebstahl und Missbrauch von personenbezogenen Daten kommen kann. Unter Identitätsdiebstahl wird die fremde Verwendung von Benutzerdaten und Passwörtern verstanden, wie dies in dem twitter-Account von facebook geschehen ist. Insbesondere auf online-Plattformen ist außerdem darauf zu achten, Pishing und Social Engineering zu erkennen. Aktuelle Themen werden hierfür als Lockmittel für den Aufruf von Phishing-Sites und die Enthüllung sensibler Informationen genutzt. Diese unseriösen Internetseiten werden dazu genutzt, Kreditkarteninformationen, Adressen oder Telefonnummern auf seriösen Seiten durch Fremdsteuerung auszulesen oder sogar unter dem Deckmantel legitim aussehender URLs zu arbeiten. Darunter fallen beispielsweise leicht übersehbare Einbringung von „Tippfehlern“ in der Adresse oder der Erweiterung durch Subdomains, Unicode-Zeichen und Weiteres. Die so gesammelten Daten können ungeschützt an die Öffentlichkeit geraten, wie der Buchbinder-Fall im Januar dieses Jahres zeigte – der Autovermieter konnte wochenlang die Darlegung von etwa drei Millionen Kundendaten nicht verhindern. Die Bedrohung ist hoch und kann großen Schaden anrichten.
Alle Computerprogramme, die schädliche oder unerwünschte Folgen auslösen, sind Schadprogramme und als solche oftmals Werkzeug oder Bestandteil einer Cyberattacke. 2019 wurde bekannt, dass die Systeme des deutschen Chemie-Konzerns Laxness mit einer solchen Malware infiziert wurden. Der Abfluss von sensiblen Daten ist ungewiss, jedoch ist es möglich, dass Laxness sogar über Jahre durch die Hackergruppe Winnti ausspioniert wurde. Nach Angaben des BSI konnten 114 Millionen neue Malware-Varianten im vergangenen Jahr festgestellt werden. Ein Beispiel, vor dem das BSI explizit warnt, ist Emotet, welches in der Lage ist, E-Mails auszuspähen und durch Spam-Kampagnen weitere Rechner zu identifizieren. Emotet ist schon seit 2010 bekannt, konnte jedoch seit 2018 wieder verstärkt nachgewiesen werden, da es durch Verbreitung via Office-Dokumente schwere Schädigungen verursachte. Dies musste auch kürzlich die Uni Gießen erfahren, deren Server im Dezember 2019 vermutlich von diesem Schädling befallen wurden. Die einzige Möglichkeit, die personenbezogenen und wissenschaftlichen Daten zu schützen, war, den Betrieb vorübergehend lahmzulegen und herunterzufahren.
Die hessische Kleinstadt Alsfeld fiel dagegen jüngst einer Ransomware-Attacke zum Opfer. Ransomware schränkt den Zugriff auf eigene Daten ein oder verwehrt ihn vollständig, um ihn – wie der Name schon sagt („ransom“) gegen Lösegeld wieder freizugeben. Oftmals fordern die Täter eine bestimmte Summe an online-Währung wie Bitcoin – so auch im Fall von Alsfeld. Besonders größere Unternehmen erwiesen sich im vergangenen Untersuchungszeitraum des BSI und in der Tendenz als beliebte Ziele von Ransomware-Attacken, da für diese in kurzer Zeit ein enorm hoher finanzieller Schaden entstehen kann, der auch weit über die Lösegeldforderung hinausgeht. Die Bereitschaft zur Zahlung ist daher natürlich größer. Zudem beschränkt sich der Schaden oft nicht auf akute Finanzeinbußen, es kann auch zu Vertrauensverlust der Geschäftspartner kommen, welche langfristig eine große Rolle für ein Unternehmen spielen. Da jedoch das Zahlen von Lösegeld die Rückgabe der Zugangskontrolle nicht gewährleistet und die Daten oft von den Tätern gar nicht wieder freigegeben werden können, ist es ratsam, sich nicht zu Zahlungen erpressen zu lassen. Stattdessen helfen Präventivmaßnahmen wie ständige Softwareaktualisierungen sowie die Einschränkung der Zugänge, die potenziell von außen infiltriert werden können, auf einen kleinen Personenkreis, die hohen Passwortanforderungen unterliegen.
Was ist ein digitaler Tsunami?
Wirtschaftliche Schäden und Reputationsverlust können aber auch durch die stetig hohe Anzahl von DDoS-Attacken entstehen, einer Überlastung und Nicht-Erreichbarkeit von Internet-Plattformen, die online-Zugriffe verhindern. Besonders Clouddienste sind betroffen und an konsumstarken Tagen wie Black Friday oder Cyber Monday können natürlich schwere wirtschaftliche Einbußen entstehen, wenn der Zugang auf die Internetseite von Online Shops durch Fremdeinwirkung unterbunden wird. Advanced Persistent Threats stellen eine anhaltende Gefahr dar, da es sich um professionell für Penetration Tests entwickelte Frameworks handelt, die öffentlich zugänglich sind und durch Laien einfach und ohne höhere technische Kenntnis ausgenutzt werden können. Sofern sie nicht verändert wurden, sind sie jedoch leicht abzuwehren. Bei weiterentwickelten Frameworks wird die Detektion technisch kompetent erschwert, weshalb die Aktivität ständig beobachtet werden muss. Es ist hierfür wichtig, den Basisschutz nicht zu vernachlässigen, um es Cyberkriminellen nicht zusätzlich leicht zu machen. Viele APT-Angriffe können verhindert werden, wenn die Schutzmaßnahmen bedrohter Endgeräte ständig auf dem neuesten Stand sind. Dabei gilt es auch, dass die Sicherheitsverantwortlichen die für ihre Organisation relevanten Threat-Modelle kennen und die Maßnahmen zur Abwehr entsprechend anpassen können.
Die kryptographischen Algorithmen und Protokolle, die als sicher gelten und vom BSI in der Technischen Richtlinie TR-O2102 empfohlen werden, sollten beachtet werden, reichen aber nicht unbedingt aus, um die Sicherheit Ihrer IT-Produkte zu gewährleisten. Es können sich Implementierungsfehler, Lücken und Schwächen im Abwehrmechanismus oder in der Hardware einschleichen, die die kryptographische Sicherheit beeinträchtigen. Auch hier ist besondere Aufmerksamkeit notwendig!
Die neuste Entwicklung
Für die recht neuen transienten Ausführungsangriffe sind nahezu alle gegenwärtigen high performance-Prozessoren anfällig, was besonders für eigentlich geschützte Speicherbereiche problematisch ist. Mehr als 20 Methoden mikroarchitektureller Angriffe konnte das BSI feststellen, wie beispielsweise SPOILER. Auch wenn diese Attacken noch keine Breitenwirkung entfalten konnten, ist es zu empfehlen, den Prozessorenschutz nicht zu vernachlässigen und besonders schützenswerte Daten physisch zu separieren. Weitere Entwicklungen müssen in künftigen Analysen fortwährend beobachtet werden, um ein klareres Bild der Bedrohung zu erlangen. Informationsaustausch und ständige Sicherheitsupdates werden jedoch in allen Gefährdungsbereichen auch in Zukunft unerlässlich sein, um die Informationssicherheit zu gewährleisten.
Bildnachweis: (C) geralt, CC0 v1.0, Pixabay
[…] Sicherheitslücken zu schließen. Was aber ist ein wirklich ‚sicheres Passwort‘? Und wie kommen Cyberkriminelle eigentlich an fremde Passwörter […]
[…] dar. Dr. Christian Glaser, Generalbevollmächtigter der Würth Leasing AG referierte über die Cyber Security als unterschätzte Achillesferse im Risikomanagement vieler Unternehmen und zeigte auf wie die […]