Die Fake-President-Masche nutzen Kriminelle normalerweise dazu, Gelder von Unternehmen zu erbeuten. Dabei geben sie sich als Mitglied der Unternehmensleitung aus, das z. B. an einem streng vertraulichen Geschäft arbeitet und das Opfer nun mit der Abwicklung einer Transaktion betrauen möchte. Die Kontaktaufnahme erfolgt u. a. per E-Mail; sowohl die Absenderadresse als auch die Signatur sind auf den ersten Blick einwandfrei. Doch das ist nur ein Detail des hinterlistigen Betrugs, der meist sehr gut vorbereitet und hochprofessionell durchgeführt wird. Bei einer gut gemachten Fake-President-Masche arbeiten die Betrüger auch auf der psychologischen Ebene. Sie analysieren die Schreib- und Ausdrucksweise des Chefs und imitieren ihn. Nun wird das Opfer dazu aufgefordert, unter strikter Geheimhaltung einen hohen Betrag auf ein Konto im Ausland zu überweisen.

Nun hat offenbar ein Hacker, der sich auf Twitter @SINON_REBORN nennt, den Fake-President-Trick leicht abgewandelt genutzt um hochrangige Mitarbeiter des amerikanischen Präsidenten Donald Trump hereinzulegen. Laut dem Fernsehsender CNN, der auch die nahezu vollständigen Dialoge veröffentlicht hat, sind sowohl US-Heimatschutzberater Tom Bossert als auch der kurzfristige Kommunikationschef Trumps, Anthony Scaramucci, auf den Scherzkeks hereingefallen. Das Weiße Haus musste die Vorfälle mittlerweile bestätigen.

Im Fall von Bossert gab sich der Hacker als niemand geringeren als Jared Kushner aus, seines Zeichens Berater und Schwiegersohn von Donald Trump. Der falsche Kushner lud Bossert zu einer Soirée ein und versprach „Essen in mindestens vergleichbarer Qualität zu dem, was wir im Irak gegessen haben“. Und natürlich freut sich Bossert über die Einladung und sagt gerne zu. Gleichzeitig gibt er dem vermeintlichen Bekannten auch noch seine private E-Mail-Adresse. Besonders pikant: Tom Bosserts Fachgebiet als Heimatschutzberater ist die Online-Sicherheit.

Bei Anthony Scaramucci machte sich der Betrüger die allgemein bekannte Fehde mit dem ehemaligen Stabschef Trumps, Reince Priebus, zunutze. Unter dem Namen und mit der E-Mail-Adresse von Priebus schrieb er Scaramucci einen Tag nachdem der echte Priebus sein Amt niedergelegt hat:

„Ich hatte mir selbst versprochen, dass ich mir nicht die Hände schmutzig machen würde, aber nachdem ich heute deinen Tweet ‚Bald werden wir sehen, welche Medien Klasse haben und welche nicht‘ gelesen habe, kann ich einfach nicht anders. Dieser Tweet war sogar für deine Verhältnisse atemberaubend heuchlerisch. Du hast dich zu keiner Zeit auch nur halbwegs so verhalten, als hättest du Klasse.“ 

Damit ließ sich der als durchaus heißblütig bekannte Scaramucci natürlich aus der Deckung locken und stieg voll auf die Kommunikation mit dem vermeintlichen Priebus ein. Den ganzen Dialog kann man bei CNN nachlesen. Und damit nicht genug: Der Hacker hatte mit dem ehemaligen Kommunikationschef offenbar ein gutes Opfer gefunden, denn er gab sich in einem weiteren E-Mail-Verlauf als Jon Huntsman Jr. aus, der designierter US-Botschafter in Russland ist.

Der einzige, der scheinbar nicht auf den Hacker hereingefallen ist, ist Eric Trump, der Sohn des Präsidenten. Ihm hatte @SINON_REBORN unter dem Namen seines älteren Bruders Donald Trump Jr. geschrieben, wurde aber schnell enttarnt. Das zeigt: Mit ein wenig Vorsicht und einem gesunden Maß an Misstrauen kann man solche Betrüger entlarven. 

Die Sicherheitsexperten von Kaspersky haben eine neue Version des Banking-Trojaners Svpeng entdeckt. Er befällt Android-Geräte, indem er sich als Flash-Player-App ausgibt und sich bei der Installation die Rechte als Geräteadministrator einräumen lässt. Anschließend hat der Schädling zwei Optionen: Entweder er funktioniert als Keylogger, der jede Eingabe mitprotokolliert und als Bildschirmfoto an die Hintermänner schickt oder er tarnt sich als Standard-SMS-App und kann so SMS versenden und empfangen, Anrufe tätigen und die Kontakte auslesen. Dank der eingeräumten Admin-Rechte erhält der Trojaner aber auch Zugriff auf andere Apps, bei denen er dann mitlesen kann – insbesondere bei Banking-Apps, die sensible Daten verarbeiten, ein riesiges Problem. Das funktioniert sogar bei Apps, bei denen die Screenshot-Funktion ausgeschaltet ist. Daran lässt sich ablesen, wie tief die Malware ins Android-System eingreift.

Besonders erschreckend an dieser neuen Variante von Svpeng: Sie befällt alle Versionen des Android-Betriebssystems, also auch die aktuellste Software Nougat 7.1.2 mit allen Sicherheits-Updates. Laut Kaspersky sind die Fallzahlen derzeit noch gering, doch bereits jetzt ist eine Konzentration auf Russland (29 Prozent) und Deutschland (27 Prozent) zu erkennen. Hat man sich Svpeng eingefangen, sucht das Programm offenbar ganz gezielt nach Apps großer europäischer Banken und fängt die Kommunikation ab. Versucht man den Schädling zu deinstallieren und ihm die Admin-Rechte wieder zu entziehen, hat er beeindruckende Verteidigungsmechanismen an Bord, die jeden Versuch in diese Richtung unterbinden. 

Um sich vor einem derart potenten Schadprogramm zu schützen, muss man einige Sicherheitsregeln beachten. So sollte man nur Apps aus den offiziellen App-Stores herunterladen. Hier haben es Schadprogramme deutlich schwerer. Darüber hinaus sollte man nicht einfach alle Berechtigungsanfragen bei der Installation bestätigen, sondern genau überlegen, ob die App die geforderten Zugriffsrechte tatsächlich braucht. Eine Antiviren-Software auf dem Handy zu installieren und immer auf dem neuesten Stand zu halten ist ebenso empfehlenswert. In diesem speziellen Fall hilft es auch zu wissen, dass der Flash-Player von Android-Geräten schon lange nicht mehr unterstützt wird – eine Flash-Player-App ist daher sinnlos!

Was wiegt schwerer? Das Recht auf informationelle Selbstbestimmung oder die Interessen eines Wirtschaftsunternehmens an der Verwertung personenbezogener Daten? Diese Frage stellt sich aktuell bei den Online-Verzeichnissen von Das Telefonbuch und Das Örtliche. Beide haben sich massenhaft und ungefragt an den Profildaten von Millionen Nutzern verschiedener sozialer Netzwerke bedient und in ihre eigenen Verzeichnisse aufgenommen. Dazu gehören neben den frei zugänglichen Daten wie Namen oder Profilfoto auch Informationen wie Sprachkenntnisse oder der aktuelle Arbeitgeber, die nicht so einfach sichtbar sind. Als Quellen dienen Facebook, Twitter, foursquare und Plattformen mit beruflichen Daten wie Xing oder LinkedIn. Außerdem werden bei telefonbuch.de Bewertungen der hauseigenen Bewertungsplattform GoLocal angezeigt.

Sind die Daten gesammelt, erstellt Das Örtliche einen eigenen Link zur Personenseite. Dieser steht dann bei Suchmaschinen wie Google in direkter Konkurrenz zu den Profilen bei Xing oder LinkedIn und wird womöglich auch noch höher gewichtet, taucht also weiter oben in den Suchergebnissen auf. Für Jobsuchende nicht unbedingt ideal. Hinzu kommt, dass diese Praxis von den Telefonbuchanbietern kaum kommuniziert wird – und wer rechnet schon damit, dass seine Social-Media-Profile nach Daten durchforstet werden, nur weil man der Eintragung ins Telefonbuch zugestimmt hat? 

Die Frage, die sich nun stellt, lautet: Ist dieses Vorgehen der Datenkraken überhaupt legal, insbesondere was die nicht öffentlichen und nur über Umwege erhältlichen Daten anbelangt? Fragt man den zuständigen hessischen Datenschutzbeauftragten, ist das alles kein Problem. Prof. Dr. Michael Ronellenfitsch erklärte gegenüber bild.de, man könne das etwas veraltete Datenschutzgesetz entsprechend „biegen“, damit es dem heutigen Informationszeitalter entspricht. Das zeige auch das Urteil des Bundesverfassungsgerichts zur Lehrer-Bewertungsplattform spickmich.de. 2009 hatte eine Lehrerin mit einer Klage gegen das Portal erreichen wollen, dass die negativen Bewertungen nicht mehr öffentlich zu sehen sind.  

Dieser Einschätzung widerspricht Prof. Dr. Peter Wedde von der Frankfurt University of Applied Sciences im selben Artikel. Er hätte sich gerade vom Datenschutzbeauftragten eine „sehr viel differenziertere Auslegung der einschlägigen Datenschutzvorschriften gewünscht, die das Recht auf informationelle Selbstbestimmung in den Vordergrund stellt und nicht das wirtschaftliche Interesse eines Unternehmens.“ Darüber hinaus wäre das Urteil von 2009 ebenfalls veraltet. Die Unternehmen erklären, dass man lediglich Daten nutze, die in öffentlichen Profilen ersichtlich seien. Darüber hinaus hätten die Nutzer die Wahl, ob sie die Auffindbarkeit in Suchmaschinen erlauben wollen oder nicht. Prof. Dr. Wedde bezweifelt allerdings, ob diese Genehmigung auch Telefonverzeichnisse beinhalte, da diese sich auch nicht Suchmaschine, sondern eben Verzeichnis nennen würden. Daher ist die aktuelle Praxis seiner Einschätzung nach nicht datenschutzkonform.

Das Vorgehen von Das Telefonbuch und Das Örtliche im Netz zeigt einmal mehr, dass man sehr vorsichtig sein sollte, welche Informationen man online zur Verfügung stellt und wozu man seine Genehmigung erteilt. Auch wird klar, wie sehr der Datenschutz im Internet noch in den Kinderschuhen steckt, wenn zwei Fachleute zum selben Sachverhalt so unterschiedliche Meinungen haben. Hier sind Legislative und Judikative gefragt, um derartige Praktiken zu unterbinden. In Frankreich ist das bereits geschehen: Hier dürfen die Online-Verzeichnisse bereits seit 2010 keine Daten aus sozialen Netzwerken sammeln und auf der eigenen Seite aggregieren. 

Wenn man streng nach Anleitung bei der Datensicherung und Erstellung von Back-ups vorgeht, kann eigentlich nichts schiefgehen. Sollte man zumindest meinen. Doch ganz so einfach ist es leider nicht. Das musste auch IT-Journalist Hanno Böck kürzlich feststellen: Er fand eine Datenbank mit rund 200.000 Adressen frei und für jedermann verfügbar im Netz. Die Daten stammten von dem Portal umziehen.de, das von der Deutschen Post betrieben wird. Dort können Nutzer Umzugsmitteilungen mit der neuen Adresse hinterlegen, die dann automatisch an Banken, Versicherungen und andere Dienstleister weitergeleitet werden. Da dieser Service überaus praktisch ist, wird er offenbar gerne genutzt – und entsprechend groß ist die Datenbank der Webseite.  

Auf Nachfrage bestätigte die Post die Sicherheitslücke. Offenbar gelangte die Datenbank im Zuge eines Sicherheits-Updates der Datenbank-Software MySQL durch ein Versehen ins Netz, obwohl man streng nach Anleitung vorgegangen war. Das Problem: In der Dokumentation der Software wird ein Beispiel gezeigt, in dem die Sicherungsdatei dump.sql genannt wird. Dieser Name wurde auch von umziehen.de gewählt. Diese Datei landete durch einen Fehler im Netz und konnte anschließend einfach unter umziehen.de/dump.sql heruntergeladen werden. 

Nach einem Hinweis von Böck entfernte die Post-Tochter die Datenbankkopie schnell aus dem Netz. Allerdings ist umziehen.de längst nicht das einzige Unternehmen, das diesen Fehler begangen hat. Eine Recherche ergab rund 2.000 weitere Fälle weltweit, bei denen Datenbankkopien auf genau die gleiche Weise ins Netz gelangten und heruntergeladen werden konnten. Unter den betroffenen Unternehmen befand sich neben verschiedenen Versandhändlern auch eine Online-Apotheke aus Australien mit 600.000 Datensätzen, die neben der Adresse auch noch die Details der Bestellungen enthielt! 

Nachdem es für Böck nicht besonders schwer war, tausende Datenbanken mit dem Namen dump.sql zu finden, ist davon auszugehen, dass die entsprechenden Dateien in der Vergangenheit bereits heruntergeladen wurden. Diese Vermutung wird auch dadurch gestützt, dass eine Überprüfung der Logdateien seiner eigenen Webseite mehrere entsprechende Suchanfragen ergab. Über seine Ergebnisse informierte der Journalist die betroffenen Unternehmen, auch wenn nicht alle auf seine Warnung reagierten. 

Der Fall zeigt einmal mehr, dass gut gemeint leider nicht immer gut gemacht ist. Selbst wenn man streng nach Anleitung vorgeht und Updates einspielt, kann es zu solchen gefährlichen Missgeschicken kommen. Daher sollte man nicht nur stupide nach Schema F vorgehen, sondern auch bei der IT-Sicherheit mitdenken. 

Ein normaler Staubsauger kommt für viele Hightech-Haushalte heute nicht mehr in Frage. Ein Staubsaugroboter muss es sein. Der Markt bietet mittlerweile viele verschiedene Geräte mit unterschiedlichster Ausstattung – vom einfachen Basisgerät, das nicht allzu intelligent ist, bis zum smarten Superroboter, der immer genau weiß, wo im Raum er sich befindet, sich selbstständig auflädt und die gründliche Reinigung der gesamten Wohnung plant. Zu letzterer Kategorie zählt der Roomba von iRobot, eines der bekanntesten Modelle weltweit. 

Um einwandfrei zu funktionieren, kartiert die Luxus-Variante des Roomba beim Saugen die gesamte Wohnung mittels Infrarot, Laser und anderen Sensoren. „Slam“ nennt iRobot diese Technik, kurz für „Simultaneous localization and mapping“. So weiß der Roboter immer, welche Stellen er bereits gesaugt hat und wo er nach der nächsten Ladepause weitermachen muss. So entstehen Datensätze, die auch von anderen smarten Geräten wunderbar genutzt werden könnten – wohlgemerkt: könnten, denn aktuell dienen sie nur dem Roomba zur Orientierung.

Genau das will iRobot-Chef Colin Angle jetzt ändern und die Daten gewinnbringend verkaufen. Die Anwendungsmöglichkeiten wären vielfältig, erklärt er. Smarte Lautsprecher könnten den Klang an die Akustik des Raums anpassen, smarte Glühbirnen steuern das Licht in Abhängigkeit von Uhr- und Jahreszeit sowie der Lage der Fenster. Der Fernseher passt seine Bildeinstellungen entsprechend an. Das klingt im ersten Moment sinnvoll. Aber damit sind die Anwendungsmöglichkeiten der smarten Grundrisse noch lange nicht erschöpft. Richtig Geld verdienen könnte iRobot, wenn es die Daten an Werbetreibende verkauft. Gesteuert werden soll das ganze Ökosystem mit einer Kommandozentrale wie Amazon Echo, Google Home oder dem Apple HomePod. 

Noch ist das Zukunftsmusik, allerdings hat Angle bereits angekündigt, mit einem dieser drei Anbieter in Verhandlungen über den Kauf der Datensätze zu treten. Ein erster Schritt ist schon getan, denn der Roomba lässt sich bereits über Echo und Google Home steuern. 

Immerhin: Die Daten will iRobot nur mit Einwilligung der Nutzer weiterverkaufen. Doch das Unternehmen hat sich eine Hintertür für solche lukrativen Deals offen gelassen. In seiner Privacy Policy hat es eine Klausel versteckt, die ihm erlaubt, die Daten der Nutzer auch für Werbezwecke an verbundene Unternehmen weiterzugeben. Auch andere Firmen dürfen die Daten mit Einverständnis der Nutzer für Werbung nutzen. Wer dem nicht zustimmen will, darf die firmeneigene App nicht nutzen. 

Ein kleiner Lichtblick für Kunden in Europa ist die EU-Datenschutzverordnung: Sie besagt, dass Nutzer eine freiwillige und vor allem auf den Fall bezogene informierte Einwilligung geben müssen. Zumindest die bisherige Privacy Policy ist damit nicht mehr ausreichend.

Die Schäden durch Cyber-Attacken nehmen immer weiter zu. Allein 2016 lagen sie weltweit bei rund 450 Milliarden Dollar. Trotzdem sind Unternehmen in Europa in diesem Bereich deutlich unterversichert. Zu diesem Ergebnis kommt eine Studie des britischen Versicherungsmarkts Lloyds of London. Für die Untersuchung wurden zwei unterschiedliche Szenarien simuliert: Im ersten Fall wurde der Angriff auf einen Cloud-Anbieter wie Amazon oder IBM angenommen, wodurch die Server der Kunden ausfallen. Den dadurch entstehenden Schaden beziffert Lloyds mit bis zu 53 Milliarden Dollar – also in etwa der Summe, die der Hurrikan Sandy im Jahr 2012 in den USA angerichtet hat. Im zweiten Szenario nutzen Kriminelle Schwachstellen in weit verbreiteter Software aus, wie es bei den kürzlich erfolgten Attacken von WannaCry und NotPetya der Fall war. Die geschätzten Schäden liegen hier bei rund 28,72 Milliarden Dollar.

So erschreckend diese Zahlen an sich bereits sind, es geht noch schlimmer, wenn man sich ansieht, wieviel Prozent der Schadenssumme tatsächlich versichert ist. Bei Szenario eins sind es mit 8,14 Milliarden Dollar gerade mal 17 Prozent. Noch schlimmer sieht es bei Szenario zwei aus: Hier sind es mit nur 2 Milliarden Dollar nochmal 10 Prozent weniger. Greift man die Analogie mit den Naturkatastrophen wieder auf, zeigt sich, wie stark europäische Unternehmen gegen Cyber-Schäden unterversichert sind. Bei Sandy, Katrina und Co. waren zumindest 30 Prozent der Schäden versichert. Das steht in krassem Gegensatz zur Bedrohungslage, immerhin hat das Weltwirtschaftsforum Cyber-Attacken auf Platz 12 der größten Gefahren für Unternehmen eingestuft. Naturkatastrophen liegen hingegen nur auf Platz 20.

Betrachtet man die aktuellen Entwicklungen und die Frequenz, mit der sich schwere Angriffe mittlerweile häufen, sollten sich Unternehmen wesentlich stärker mit dem Thema Versicherungsschutz befassen. Doch auch die Versicherer haben Nachholbedarf und müssen entsprechende Produkte entwickeln. Das ist nicht einfach, da ständig neue Bedrohungen aufkommen und die Datenlage dementsprechend mager ist. Trotzdem: Der Markt für solche Versicherungen ist vorhanden und wird in Zukunft noch weiter wachsen.

Digitale Währungen, auch Kryptowährungen genannt, sind aktuell für viele Anleger das „next big thing“. Während Bitcoin den meisten Menschen inzwischen ein Begriff ist, waren Ripple, Litecoin oder Ethereum bislang hauptsächlich Eingeweihten bekannt. Das ändert sich jedoch allmählich – insbesondere durch die enorme Wertsteigerung, die Ethereum seit Anfang des Jahres erfahren hat (auch wenn der Kurs kürzlich deutlich gefallen ist). Doch es ist nun einmal Fakt: Wo Profite locken, sind Kriminelle nicht weit.

Derzeit versuchen Betrüger verstärkt an Ethereum, kurz Ether, zu gelangen. Ihr Masche: Sie verleiten Nutzer der Wallet-App MyEtherWallet dazu, ihre Zugangsdaten auf einer Fake-Seite einzugeben. Damit können sie dann ganz bequem die digitalen Konten abräumen. Da der Transfer von Kryptowährung weitgehend anonym von statten geht, ist die Gefahr erwischt zu werden relativ gering.

Die Kriminellen machen sich für ihre Masche die Kommunikationsgewohnheiten der Kryptowährungs-Community zu Nutze und sprechen ihre Opfer über reddit und den Teammessenger Slack an. Beide Dienste sind in der Szene sehr beliebt, um sich auszutauschen, zu diskutieren, neue Projekte anzustoßen oder mit Investoren und Nutzern zu kommunizieren. Die verschickten Nachrichten folgen alle demselben Schema: Ein Nutzer warnt davor, dass MyEtherWallet gehackt wurde und er dadurch eine hohe Summe Ethereum verloren hätte. Um sich davor zu schützen, solle man sich auf myetherwallet.com einloggen und das Guthaben auf ein anderes Konto transferieren. Wer auf den Link in der Nachricht klickt und sich auf der Seite anmeldet, schickt seine Zugangsdaten allerdings direkt an die Kriminellen, die dann den letzten Schritt – die Überweisung des Geldes auf ein anderes Konto – übernehmen.

Die Entwickler von MyEtherWallet warnen vor den Nachrichten, bei denen es sich eigentlich um nichts anderes handelt als eine ganz normale Phishing-Masche. Nur landen die Nachrichten nicht per Mail direkt im Spam-Ordner, sondern werden über von der Zielgruppe genutzte Kanäle verschickt, hier also Slack und Reddit. Auch wenn einem Außenstehenden dieser Unterschied marginal vorkommt, so scheint er doch zum Erfolg zu führen. So unglaublich das bei vermeintlich internetaffinen Menschen auch erscheint.

Aktuell sucht MyEtherWallet nach einem Anwalt, der die in Russland registrierte URL wegen Urheberrechtsverstößen blockieren lassen kann. Bis dahin bleibt den Nutzern des Dienstes nur, wachsam zu sein und derartige Nachrichten zu ignorieren. Hilfe kommt allerdings auch aus den eigenen Reihen: Mehr als 200 Nutzer haben die Seite der Kriminellen mit falschen Daten gefüttert, um sie damit zu beschäftigen, echte von unechten Daten zu unterscheiden. So haben die Opfer ein wenig Zeit, ihr Geld in Sicherheit zu bringen. 

Nicht immer muss ein Hacker-Angriff gleich böse Folgen haben. Manchmal handelt es sich auch nur um einen Warnschuss. Einen solchen erhielt die Supermarktkette Rewe kürzlich von Dominik, der auf Twitter unter dem Namen @DomsePlay aktiv ist. Ihm war auf einem Monitor in seinem lokalen Rewe-Markt ein Pop-up-Fenster der Software TeamViewer aufgefallen, in dem Benutzername und Kennwort für das interne Rewe-System sichtbar waren, für alle Passanten gut les- und nutzbar.

Für Dominik war das quasi eine Einladung, sich doch einfach mal mit den angegebenen Daten anzumelden. Doch anstatt im System Schaden anzurichten oder Schabernack zu treiben, hinterließ der nette Hacker von nebenan nur eine gutgemeinte Nachricht:

„Liebes Rewe-Team:

Bitte achten Sie doch auf Ihre IT-Security.

Gerne bin ich Ihnen dabei behilflich.

Viele Grüße,

Dominik“

Doch ganz so glimpflich sollte der Supermarkt dann doch nicht wegkommen, denn aus Schaden wird man bekanntlich klug: Die freundliche Nachricht war nach dem Senden auf allen Bildschirmen der Filiale zu sehen – und die entsprechenden Fotos der Aktion verbreitete @DomsePlay mit der Nachricht „Bitte steckt mich nicht in den Knast“ über Twitter, wo er für seinen „Hack“ gefeiert wird. Die Supermarktkette reagierte schnell, ebenfalls über Twitter, und fragte nach der Marktadresse und Dominiks Kontaktdaten, um den Hinweis entsprechend weiterzuleiten. Wie es danach weiterging, ist leider nicht bekannt. Die Bilder finden sich auf Twitter unter https://twitter.com/DomsePlay.

So lustig sich die Geschichte jetzt anhört, so ernst ist der Hintergrund. Hacker-Attacken werden zunehmend zu einem Problem und der allzu sorglose Umgang mit der IT-Sicherheit macht es den Kriminellen leider immer noch viel zu leicht. So ein Fauxpas darf einfach nicht passieren, denn ein weniger wohlmeinender Kunde hätte den Zugang zum internen Rewe-System auch ganz anders nutzen können. Von daher kann man dem Rat „Bitte achten Sie doch auf Ihre IT-Security.“ nicht genug zustimmen.

Wieder sorgt ein Kryptotrojaner für massive Probleme – und zeigt gleichzeitig, dass zu viele Unternehmen und Behörden trotz der deutlich verschärften Bedrohungslage immer noch unvorbereitet auf diese Art der Kriminalität sind. Derzeit scheint sich der Verdacht zu erhärten, dass bei dem Angriff eine neue Version der bereits bekannten Ransomware Petya zum Einsatz kommt – die u. a. dieselbe, längst bekannte Schwachstelle ausnutzt wie der Kryptotrojaner WannaCry, der im Mai hunderttausende Rechner infizierte.

Wie wichtig es für Unternehmen ist, neben einem professionellen Patch-Management auch ein professionelles Rechtemanagement für Admin- und Systemkonten umzusetzen, wird seit Anfang der Woche mehr als deutlich: Eine Angriffswelle mit einem sogenannten Kryptotrojaner, also einer Schad-Software, die die Daten der gekaperten Rechner und Netzwerke verschlüsselt, führt seit Dienstag zu weltweiten Ausfällen. Neben großen Unternehmen wie dem Lebensmittel-Riesen Mondelez, dem russischen Ölkonzern Rosneft und dem Pharmaunternehmen Merck in den USA sind auch zahlreiche Banken und Behörden betroffen. Rund 60 Prozent der Angriffe spielten sich in der Ukraine ab, wo nicht nur die Geldautomaten der staatseigenen Sparkassen und der Flughafen in Kiew von Ausfällen betroffen sind. Auch die Agentur für die Verwaltung der Sperrzone in Tschernobyl – also diejenige Agentur, die den Austritt der Radioaktivität am havarierten Reaktor überwacht und dort für die Sicherheit zuständig ist. Zwar wurde schnell betont, dass alle wichtigen technischen Systeme normal funktionierten. Trotzdem ist die Vorstellung eines Hacker-Angriffs auf ein Atomkraftwerk nicht gerade beruhigend.

Das Perfide an diesem Trojaner ist, dass er nicht nur die Daten verschlüsselt, sondern zum Teil auch verhindert, dass Computer booten. Bei einigen unserer Kunden sind fast 100% der Rechner befallen und nicht einmal die Back-up-Systeme booten mehr. Dann besteht häufig nur noch eine Chance: Das Lösegeld zu zahlen und auf die Freigabe der Daten zu hoffen – Garantien gibt es keine.

Und vor diesem Hintergrund ist die Sperre des Postfachs der Kriminellen durch den Anbieter Posteo zwar verständlich. Kriminalität möchte man nicht unterstützen, allerdings kann dieser Schritt den Unternehmen, die keinerlei Zugriff mehr auf ihre Daten haben und deren letzte Hoffnung die Zahlung des Lösegelds gewesen wäre, den letzten Rettungsanker nehmen.

Die Sperrung des Postfachs und damit verbunden die Unmöglichkeit der Lösegeldzahlung ist für viele Unternehmen eine Katastrophe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zwar, keinesfalls die geforderten 300 Dollar in Bitcoin zu zahlen, da man das Geschäftsmodell nicht unterstützen soll. Doch dieser Aufruf geht leider an der Realität vorbei. Wenn Unternehmen keinen Zugriff mehr auf ihre Daten haben, sind existenzbedrohende Konsequenzen zu befürchten.

Angesichts der schnellen Ausbreitung und gravierenden Folgen des neuen Trojaners rief das BSI Unternehmen außerdem dazu auf, ihre Systeme schnellstmöglich auf den neusten Stand zu bringen, um alle bereits bekannten Sicherheitslücken zu schließen. BSI-Präsident Arne Schönbohm erklärte: „Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben.“ Damit hat Herr Schönbohm recht, denn in vielen Fällen von Cyber-Kriminalität hapert es nicht an den technischen Möglichkeiten, um die Attacke abzuwehren, sondern an deren Umsetzung in der Praxis und an leider allzu menschlichen Fehlern. Natürlich ist es aufwendig, Updates in einem großen Netzwerk einzuspielen und ja, manchmal muss man danach auch andere Programme entsprechend anpassen. Auch Schulungen, bei denen die Mitarbeiter für das Thema sensibilisiert werden, sind erstmal ein gewaltiger Zeitaufwand. Diese Investitionen lohnen sich aber doppelt und dreifach, wenn sie eine Cyber-Attacke abwehren.

Rund 3.500 Kunden des südkoreanischen Hosters Nayana dürften kürzlich einen Schreck bekommen haben: Ihre Webseiten waren plötzlich nicht mehr verfügbar. Weg.  Unauffindbar. Wer schon einmal eine Homepage entwickelt, aufgesetzt und  gepflegt hat, weiß, wie viele Arbeitsstunden dafür nötig sind, bis die Webseite so ist, wie man sie sich vorstellt. Und die ganze Arbeit sollte jetzt einfach weg sein? Für Unternehmen eine Katastrophe. Wie konnte es dazu kommen? 

Schuld an der Misere ist die Erpresser-Software Erebus in einer bislang unbekannten Linux-Version. Sie verschlüsselte die Daten auf 153 Linux-Servern des Hosters und machte die Webseiten damit unerreichbar. Für die Freigabe der Daten verlangten die kriminellen Hintermänner zunächst 4,4 Millionen US-Dollar. Ganz so teuer wurde es dann aber wohl doch nicht, denn am Ende einigte man sich auf die Zahlung von einer Million US-Dollar, wie Nayana verlauten ließ. Jetzt arbeitet das Unternehmen mit Hochdruck daran, die verschlüsselten Daten wieder freizugeben. Doch dieser Prozess ist langwierig und zu allem Überfluss scheint es unerwartete Schwierigkeiten zu geben. 

Doch wie kam Erebus auf die Server des Hoster? Wahrscheinlich hat es Nayana mit den Updates nicht so genau genommen, denn auf den betroffenen Servern kam der veraltete Linux-Kernel 2.6.24.2 zum Einsatz. Dieser stammt aus dem Jahr 2008, ist also inzwischen neun Jahre alt. Dementsprechend wurden mittlerweile einige Sicherheitslücken wie die Dirty-Cow-Lücke bekannt. Noch antiquierter sind die vermutlich installierten Apache- und PHP-Versionen, die laut den Sicherheitsforschern von Trend Micro etwa elf Jahre alt seien. Und zu allem Überfluss soll auch noch eine veraltete und angreifbare Version von Struts, einem Open-Source-Framework für die Präsentations- und Steuerungsschicht von Java-Webanwendungen, zum Einsatz gekommen sein. Für die war erst vor Kurzem ein Sicherheits-Update ausgeliefert worden. 

Der Fall zeigt einmal mehr, dass das Bewusstsein für die Gefahren durch Cyber-Kriminalität selbst bei IT-Spezialisten noch längst nicht so hoch ist, wie es eigentlich sein müsste. Insbesondere Updates der in einem Netzwerk zum Einsatz kommenden Programme sind häufig aufwendig, wenn sie zentral auf allen Rechnern eingespielt oder wenn eigene Programme danach ebenfalls aktualisiert werden müssen. Trotzdem führt daran eigentlich kein Weg vorbei, denn sonst kann es teuer werden – wie Nayana jetzt am eigenen Leib erfahren musste.

Diese Woche gab es eine Überraschung am Microsoft Patchday: Völlig unerwartet veröffentlichte der Software-Riese eine Aktualisierung für Windows XP und Vista. Bereits vor einigen Wochen, nach der massiven Attacke durch die Schad-Software WannaCry, hatte Microsoft auch für die veralteten Windows-Versionen ein Update veröffentlicht – obwohl der Support für XP und Vista eigentlich eingestellt ist. Jetzt gibt es einen neuen Patch, der weitere Sicherheitslücken schließt, die nach Angaben des Konzerns im Zusammenhang mit dem außerplanmäßigen Update entdeckt wurden.

Microsoft sah sich offenbar angesichts der gestiegenen Bedrohungslage nach der rapiden Ausbreitung von WannaCry zu diesem Schritt gezwungen und bestätigte ein „erhöhtes Risiko“ für Windows-Nutzer. Das Unternehmen rechnet scheinbar damit, dass Attacken wie WannaCry in Zukunft zunehmen und will seine Nutzer schützen – auch wenn es damit den eigenen Update-Grundsätzen widerspricht. Das ist lobenswert. Denn auch in Redmond weiß man, dass leider immer noch hunderttausende Rechner mit den veralteten Betriebssystemen aktiv sind und sich das auch in absehbarer Zeit nicht ändern wird – trotz aller Warnungen und Sicherheitsvorfälle.

Insbesondere für Unternehmen ist es mittlerweile dennoch unverantwortlich, weiter auf Windows XP oder Vista zu setzen. Ransomware wie WannaCry ist längst nicht die einzige Bedrohung, die durch die vielen inzwischen bekannten und noch nicht geschlossenen Sicherheitslücken entsteht. Die Alternative ist der Zukauf von außerordentlichem Support von Microsoft. Doch der ist teuer, und früher oder später wird man an einer Umstellung auf ein aktuelles Betriebssystem nicht vorbeikommen. Also warum diesen Schritt nicht beschleunigen? Sich darauf zu verlassen, dass Microsoft weitere Updates für XP und Vista veröffentlich, wäre ein großer Fehler.

Stellen Sie sich vor, Sie erhalten folgende Nachricht: „Wir haben Ihren Herzschrittmacher gehackt. Zahlen Sie Summe X, um die Kontrolle zurückzuerhalten.“ Zur Bekräftigung der Forderungen erhalten Sie einen kleinen Stromschlag. Wer würde es da nicht mit der Angst zu tun bekommen? Und im Gegensatz zu „herkömmlicher“ Ransomware würden die Kriminellen es bei solch einem Hack vermutlich nicht bei dem lächerlichen Betrag von einem Bitcoin belassen, denn das eigene Leben dürfte den Opfern wohl ungleich mehr wert sein als verschlüsselte Daten. Ein undenkbares Horrorszenario, meinen Sie? Leider nein. Ein solcher Fall ist durchaus möglich, wie die Sicherheitsexperten von WhiteScope jetzt herausgefunden haben.

Mehr als 100.000 Herzschrittmacher werden in Deutschland jährlich implantiert. Je nach Belastung verbleibt das Gerät zwischen sechs und zehn Jahren im Körper des Patienten, bevor die Batterie leer ist und es ausgetauscht werden muss. In Cybersecurity-Jahren gerechnet ist das eine halbe Ewigkeit. Die meisten der heute eingesetzten Geräte lassen sich von außerhalb des Körpers durch ein externes Steuergerät programmieren, womit wir bereits bei einem der von WhiteScope identifizierten Probleme sind. Sieben Herzschrittmacher und die dazu passenden Programmier- und Steuereinheiten von vier Herstellern haben die Experten für die Studie geprüft – und sind schnell fündig geworden: Über 8.000 (!) Sicherheitslücken wurden identifiziert. 

Problem Nummer 1: Die genutzten Betriebssysteme sind völlig veraltet. So fanden die Sicherheitsforscher in den Steuereinheiten Windows XP, DOS und sogar OS2! 

Problem Nummer 2: Alle Hersteller setzen auf zugekaufte Programmbibliotheken von Drittanbietern, die aktuell gehalten werden müssen. Bei Herzschrittmachern ergibt sich dabei ein Problem. Der Drittanbieter muss die Aktualisierung der Bibliothek bereitstellen. Soweit klappt das meist noch, zumindest für einige Jahre. Dann muss der Hersteller des Schrittmachersystems seine Software aktualisieren und das Update ausliefern. Dann folgt Stufe drei: Die behandelnden Ärzte müssen das Update einspielen und ihre Patienten auf das Update aufmerksam machen, denn die haben oft auch zu Hause ein Überwachungsgerät. Zuletzt muss der Patient die Aktualisierung durchführen. Auf jeder dieser Stufen dürfte es zu Streuverlusten kommen. Wenn man zusätzlich das Alter vieler Herzpatienten bedenkt, stellt insbesondere die letzte Stufe ein Problem dar. 

Problem Nummer 3:Die Steuerungseinheiten verbinden sich automatisch mit den dazugehörigen Schrittmachern – und zwar mit allen Schrittmachern des Herstellers innerhalb der Reichweite. Ein Log-in mit einem Kennwort oder eine weitere Sicherheitsstufe ist nicht eingeplant. Entsprechende Geräte kann man problemlos für einen erschwinglichen Preis im Internet kaufen. Bei den meisten getesteten Geräten war lediglich eine gewisse räumliche Nähe nötig, um die Steuerungseinheit mit dem eigentlichen Schrittmacher zu verbinden – und bei einigen nicht einmal das. Denn sie tauschen ihre Daten mit einem Cloud-Speicher aus, über den eigentlich der behandelnde Arzt auf die Patientendaten zugreifen soll.

Noch ist kein Fall bekannt, bei dem ein Herzschrittmacher von Kriminellen gekapert wurde. Auch WhiteScope legt die Sicherheitslücken in seiner Studie nicht offen, um die Patienten zu schützen. Trotzdem zeigt der Fall eindrücklich, dass die Hersteller von Medizinprodukten dem Thema Cyber-Sicherheit noch nicht den nötigen Stellenwert einräumen. Sie müssen dringend dazulernen, um die Sicherheit ihrer Kunden nicht zu gefährden.

Seit rund einem Jahr regelt eine Verordnung, welche Unternehmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung unter das 2015 eingeführte IT-Sicherheitsgesetz fallen. In dieser Woche legte das Kabinett nun nach und präsentierte die entsprechende Verordnung für die noch fehlenden Branchen Transport, Verkehr, Finanzen, Versicherungen und Gesundheit. Damit gelten nun deutlich mehr Unternehmen und Einrichtungen als kritische Infrastrukturen und sind von den Regularien des IT-Sicherheitsgesetzes betroffen.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) definiert die betroffenen Unternehmen folgendermaßen: „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Bislang fielen 730 Anlagen in diese Kategorie. Mit der neuen Verordnung erhöht sich diese Zahl um 918 Unternehmen auf 1648. 

Auf das Gesundheitswesen entfallen davon 110 Krankenhäuser sowie 151 Einrichtungen zur Medikamentenversorgung. Im Finanzsektor sind 176 Anlagen für die Bargeldversorgung und 113 Versicherungsdienste betroffen. Für den Verkehrsbereich wurden 56 Anlagen im Schienen- und 79 im Straßenverkehr als KRITIS identifiziert. All diese Unternehmen unterliegen jetzt dem IT-Sicherheitsgesetz und damit besonderen Meldepflichten über Cyber-Attacken. Innerhalb eines halben Jahres müssen sie eine zentrale Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI) einrichten und innerhalb von zwei Jahren einen Mindeststandard an IT-Sicherheit umsetzen und nachweisen.

Diese Mindeststandards sind auch dringend notwendig. Erst im vergangenen Jahr bestätigte Yukiya Amano, der Generalsekretär der Internationalen Atomenergie-Organisation (IAEO), dass es bereits mehrfach Hacker-Attacken auf Atomanlagen gegeben habe. Zwar sei der Betrieb nur in einem Fall gestört worden. Allerdings reicht das gerade in diesem Bereich aus, um eine Katastrophe von weltweitem Ausmaß zu provozieren. 

Doch eigentlich sollten die geforderten Mindeststandards nicht nur in Unternehmen der KRITIS-Kategorie gelten. Auch alle anderen Institutionen müssen sich der Gefahren durch Cyber-Angriffe bewusst sein und entsprechende Maßnahmen ergreifen – im eigenen und im Interesse ihrer Kunden. 

Wer sich ein Video oder einen Film in einer fremden Sprache ansehen möchte, ist dankbar für die Untertitelfunktion. Doch dass diese kleinen praktischen Textfelder eine Sicherheitslücke darstellen könnten, daran dachte kaum jemand – bis jetzt, denn die Sicherheitsfirma Check Point hat herausgefunden, dass genau diese Untertiteldaten bei vielen Mediaplayern als Einfallstor für Schadcode genutzt werden können. Auch beliebte Player wie VLC, Popcorn Time und Kodi sollen betroffen sein. Insgesamt spricht das Unternehmen von etwa 200 Millionen Nutzern.

Offenbar lassen sich die im Video mitgelieferten Untertiteldateien manipulieren, wodurch die Kriminellen Schadcode einschleusen können. Wie genau das funktioniert, erklärt Check Point nicht, um keine neue Angriffswelle zu provozieren. Vermutlich bereinigen die Mediaplayer die mitgelieferten Daten nicht auf unerwünschte Befehle, sondern führen die Untertitel einfach ungeprüft aus. Verschärft wird die Problematik dadurch, dass es kein einheitliches Format für Untertiteldateien gibt. Check Point spricht von 25 unterschiedlichen Varianten, alle mit anderen Funktionsweisen. Dadurch ist es aufwendig, Schutzmechanismen in die Mediaplayer zu integrieren.

Für den Nutzer ist es kaum möglich, sich vor einem Video mit verseuchten Untertiteln zu schützen. Da auch im beruflichen Kontext häufig Video-Tutorials zur Anwendung kommen, besteht hier möglicherweise eine nicht zu unterschätzende Gefahr. Weil Arbeitsplatzcomputer häufig nicht über die technische Voraussetzung zur Sound-Wiedergabe verfügen, könnte diese Einfallmöglichkeit für Kriminelle gerade am Arbeitsplatz neue Wege eröffnen. Wer die Untertitel eines solchen Films aktiviert, führt damit nämlich gleichzeitig den Schadcode aus, ohne es zu merken. Und selbst das ist in einigen Fällen nicht nötig, denn viele Mediaplayer beziehen mit den Grundeinstellungen die Untertiteldateien aus vertrauten Verzeichnissen automatisch. So liegen die Daten schon vor, noch bevor sich der Nutzer entschließt, sie zu nutzen. Für eine potenzielle Angriffswelle benötigen Hacker also nur noch ein Video zu einem beliebten Thema, mit einer Tonspur in einer wenig verbreiteten Sprache, eine entsprechend präparierte Untertiteldatei sowie möglichst gute Bewertungen in den Videoportalen, um Nutzer anzulocken.

Einige Hersteller der genannten Mediaplayer haben inzwischen auf die Warnungen von Check Point reagiert und aktualisierte Versionen bereitgestellt, bei denen die Sicherheitslücke behoben ist. Wer also Popcorn Time, Kodi, Streamio oder den beliebten VLC-Player nutzt, sollte schleunigst auf die aktuellste Version der Software umsteigen. Die entsprechenden Updates sind auf den jeweiligen Webseiten zu finden.

Eine globale Cyber-Attacke sorgt seit Freitagabend weltweit für Schrecken. Seit den ersten Meldungen aus Großbritannien hat sich die Erpresser-Software WannaCry weltweit sprunghaft ausgebreitet. Nicht nur Privatpersonen, sondern vor allem große Unternehmen und Institutionen sind betroffen: Der National Health Service in Großbritannien konnte in den angegriffenen Krankenhäusern und Praxen seine Patienten nicht mehr versorgen und musste sie in andere Kliniken umleiten oder nach Hause schicken. Reisende in Deutschland mussten sich bei der Deutschen Bahn mit ausgefallenen Anzeigetafeln und Fahrkartenautomaten herumschlagen und in Spanien und Portugal waren die Telekommunikationsunternehmen Telefónica und Portugal Telecom betroffen.

Von Schweden bis Taiwan häuften sich über das Wochenende die Meldungen über angegriffene Unternehmen. Doch wie kann man sich vor einer solchen Attacke schützen? Nun, zum einen, indem man ein aktuelles Betriebssystem benutzt und regelmäßig alle Sicherheitsupdates einspielt. Von der aktuellen Attacke mit WannaCry waren beispielsweise nur Rechner mit Betriebssystemen betroffen, die von Microsoft nicht mehr mit Patches versorgt werden. Und zum anderen, indem man mit offenen Augen im Netz unterwegs ist, also keine Anhänge unbekannter Herkunft öffnet oder dubiose Links anklickt. Auch regelmäßige Sicherungskopien auf externen Speichern helfen im Schadensfall, denn so lässt sich zumindest ein großer Teil der Daten wiederherstellen.

Diese Vorsichtsmaßnahmen gelten natürlich nicht nur im Zusammenhang mit WannaCry, denn auch wenn die Ausbreitung des Kryptotrojaners aktuell gestoppt wurde, können sich die Nutzer sicher sein, dass früher oder später der nächste Angriff erfolgt. So hat die Hacker-Gruppe Shadow Brokers, die auch die Sicherheitslücke hinter WannaCry bekannt gemacht hat, bereits angekündigt, dass sie noch einiges in Petto hat. Nach einem Social-Media-Post will die Gruppe im Juni weitere Sicherheitslücken bekannt machen. Welche das sind, lassen die Hacker offen, allerdings sollen sowohl Browser und Router als auch das Betriebssystem Windows 10 betroffen sein. Der Plan der Kriminellen ist ein Abo-Modell, bei dem andere Hacker einen Betrag X zahlen und dafür regelmäßig neue Exploits geliefert bekommen. Außer es findet sich bis Juni ein zahlungskräftiger Kunde, der das Paket in einem kauft. Angeblich verfügen die Shadow Brokers außerdem über Netzwerkdaten des SWIFT-Bankensystems und Daten aus den Atom- und Raketenprogrammen von Nord Korea, Iran, China und Russland. Das mag stimmen oder auch nicht – sicher ist jedoch, dass WannaCry nicht der letzte Cyber-Angriff dieser Größenordnung sein wird. Sowohl Unternehmen als auch Privatpersonen tun also gut daran, bereits jetzt die passenden Schutzmaßnahmen zu ergreifen und auf aktuelle Betriebssysteme umzusteigen.

Wird eine Sicherheitslücke als „This is crazy bad“ und „worst Windows remote code exec in recent memory“ bezeichnet, dann muss es wirklich schlimm sein. Die Sicherheitsforscher Tavis Ormandy und Natalie Silvanovich von Googles Project Zero haben solch eine Lücke in der vergangenen Woche in der Antiviren-Engine des Windows-Betriebssystems gefunden. Auf Twitter machte Ormandy sich mit den oben genannten Sätzen Luft. Doch im Gegensatz zu den letzten Enthüllungen von Project Zero konnte Microsoft den Fehler vor dem Bekanntwerden der Details über ein ungeplantes Update beheben.

Die Sicherheitslücke wurde in der Malware Protection Engine, die seit Windows 8 standardmäßig aktiviert ist und von Microsoft Defender genutzt wird, gefunden – also ironischerweise in einem Teil des Betriebssystems, das vor Viren und anderer Malware schützen sollte. Durch einen sogenannten Type-Confusion-Fehler werden die Eingabewerte bei der Überprüfung von JavaScript-Codes nicht ausreichend analysiert. Dieser Check erfolgt bei jedem Dateizugriff. Das wiederum führt dazu, dass Kriminelle lediglich eine infizierte Datei auf einen Rechner schmuggeln müssen, um die Kontrolle zu übernehmen.

Microsoft hat die Lücke inzwischen über ein Notfall-Update für alle Betriebssysteme ab Windows 7 geschlossen. Wer also die automatischen Updates aktiviert hat, muss sich keine Sorgen darüber machen, dass Kriminelle diese Sicherheitslücke ausnutzen könnten. Ist man allerdings nicht sicher, lohnt sich ein Blick in die Update-Historie. Dort sollte die aktuelle Defender-Version .1.13704.0 installiert sein. Ist sie das nicht, kann man das Update auch manuell anstoßen, indem man den Windows Defender startet und ihn nach Updates suchen lässt.

Zusätzlich zu diesem außerplanmäßigen Update stand am Dienstag auch der reguläre Microsoft Patchday an, bei dem weitere sicherheitsrelevante Updates ausgeliefert wurden. Zum Beispiel für die Webbrowser Edge und Internet Explorer oder den Flash Player. Dass Microsoft trotz der zeitlichen Nähe zum regulären Patchday auf die Erkenntnisse von Project Zero regiert hat, zeigt, wie gravierend die nun geschlossene Sicherheitslücke offenbar war.

Es ist die Horrorvorstellung eines jeden Bankkunden: Plötzlich ist das Konto leergeräumt oder noch schlimmer, steht weit in den Miesen. So ist es kürzlich offenbar einigen Kunden des Mobilfunkanbieters O2 ergangen. Kriminelle haben sich eine Sicherheitslücke im Mobilfunknetz zunutze gemacht, um das eigentlich als sicher geltende Online-Banking-Verfahren mTAN auszuhebeln.

Doch von vorne: Beim mTAN-Verfahren handelt es sich um ein zweistufiges Sicherheitsverfahren, bei dem der Bankkunde zusätzlich zu seinen Log-in-Daten für jede Transaktion ein einmaliges Kennwort auf sein Handy geschickt bekommt. Es wird von fast allen Banken angeboten und galt bislang als relativ sicher. Doch offenbar haben Betrüger eine Möglichkeit gefunden, das System zu überlisten und Geld auf die eigenen Konten zu überweisen. In einem ersten Schritt brachten sie Bankkunden durch eine Phishing-Mail dazu, ihre Zugangsdaten wie Kontonummer, Kennwort und Handynummer auf einer gefälschten Webseite einzugeben. Diese Daten reichten den Kriminellen aus, um sich einzuloggen.

Um die mTANs schließlich umzuleiten, nutzten sie eine Schwachstelle im sogenannten SS7-Netzwerk der Mobilfunkanbieter. SS7 wird benötigt, um SMS in fremde Netze zu verschicken oder Telefonate im Ausland bereit zu stellen – und eben auch, um eine Umleitung von eingehenden SMS auf eine andere Rufnummer einzurichten. Eigentlich sollte außer dem Mobilfunkanbieter niemand Zugriff auf dieses Netzwerk haben. Die Hacker hatten jedoch eine Möglichkeit gefunden und konnten daher die eingehenden mTANs ganz komfortabel auf ihre eigenen Handys umleiten. Und damit hatten sie alle Daten, um die Konten der Opfer leer zu räumen.

Es ist hinlänglich bekannt, dass sich Kriminelle immer wieder neue Mittel und Wege einfallen lassen, um die Sicherheitsvorkehrungen beim Online-Banking zu umgehen. Umso schlimmer, dass die Sicherheitslücke im aktuellen Fall bereits seit 2014 bekannt ist und die Mobilfunkanbieter daher eigentlich ausreichend Zeit hatten, sie zu schließen. Doch das ist offenbar nicht geschehen, denn im Darknet werden Zugänge zum SS7-Netzwerk bereits für rund 1.000 Euro gehandelt, wie der Sicherheitsforscher Hendrik Schmidt der Süddeutschen Zeitung berichtete. Und nicht nur O2, sondern auch andere Netzprovider weltweit sind betroffen. Dabei wäre es relativ einfach, den Kriminellen die Tour zu vermasseln, indem man die Funktion der Rufumleitung durch Provider im Ausland einfach blockiert.

Die Kunden selbst können sich vor der Masche nur beim ersten Schritt schützen, indem sie Vorsicht walten lassen, wenn sie ihre Daten eingeben. Zwar werden Phishing-Mails immer professioneller und die Seiten sehen denen der Banken oft täuschend ähnlich. Ein Blick auf die URL in der Adressleiste offenbart aber meist Unterschiede zur offiziellen Webadresse der Bank. Wer ganz sicher gehen will, sollte sich einen TAN-Generator zulegen und auf das PushTAN-Verfahren umstellen. So eliminieren Bankkunden die Schwachstelle Mobiltelefon aus dem Online-Banking-Prozess.

Anfang der Woche stellte Bundesinnenminister Thomas de Maizière die aktuelle Polizeiliche Kriminalstatistik 2016 in Berlin vor. Die Zahlen sind erschreckend. Mit rund 82.649 registrierten Fällen haben sich die Vorkommnisse von Cyber-Kriminalität „im engeren Sinne“ im Vergleich zum Vorjahr nahezu verdoppelt.

Beim Computerbetrug gab es einen deutlichen Rückgang von 23.562 auf 14.722 Fälle. Beim Ausspähen und Abfangen von Daten stieg die Zahl leicht von 9.629 auf 10.638. Um ganze 25 Prozent stiegen die Fälle von Computersabotage. Hier wurden 2016 4422 Vorkommnisse registriert. Hierzu zählen u. a. DDoS-Attacken. Dabei schicken die Täter massenhaft Anfragen an eine Webseite oder einen Dienst, bis dieser zusammenbricht. Oft erfolgt die Attacke mithilfe eines sogenannten Botnetzes. Besondere Bekanntheit erlangte im vergangenen Jahr Mirai, das tausende Telekom-Router lahmlegte.

Die Aufklärungsquote konnte insgesamt um 5,9 Prozent auf 38,7 Prozent erhöht werden – doch nicht in jedem Bereich. Für die Aufklärung von Computersabotage sank die Quote sogar um 4,6 auf 22,1 Prozent. Ein großes Problem der Polizei ist, dass sich die Kriminalität in einer vernetzten Welt zunehmend internationalisiert. Nur wenn die Taten in Deutschland begangen wurden oder zumindest ein begründeter Verdacht hierfür vorliegt, erscheinen sie in der Statistik. Stehen die Server im Ausland, sieht die Sachlage anders aus. Um auch diese Fälle zu erfassen, plant das BKA einen separaten Lagebericht, der jedoch erst für 2017 erstellt wird.

Und noch ein weiteres Problem zeigt die Statistik nicht: Die unglaublich hohe Dunkelziffer der Straftaten, die nicht zur Anzeige gebracht und damit gar nicht erst erfasst wurden. So erklärte der Vorsitzende des Bundes Deutscher Kriminalbeamter, André Schulz, gegenüber der Zeitung „Welt“, dass rund 90 Prozent der Fälle von Cyber-Kriminalität nicht angezeigt würden. Den tatsächlichen Schaden schätzt Schulz daher auf einen zweistelligen Milliardenbetrag.

Die Statistik zeigt dennoch, dass Cyber-Kriminalität auf dem Vormarsch ist und vor allem die Fälle von Computersabotage zunehmen. Unternehmen und private Internetnutzer müssen lernen, sich zu schützen – nicht nur durch technische Maßnahmen, sondern auch indem sie im Netz auf der Hut sind.

Die Verwendung von Open-Source-Komponenten ist für Software-Entwickler eine praktische Sache: Sie verringern sowohl den Zeit- als auch den Kostenaufwand. Produkte können so schneller auf den Markt gebracht werden. Doch sie sind nicht nur für Unternehmen äußerst attraktiv, sondern auch für kriminelle Hacker. Denn viele populäre Open-Source-Codes sind fehlerbehaftet und beinhalten – häufig sogar seit langem bekannte – Sicherheitslücken. Das zeigt die Studie „2017 Open Source Security & Risk Analysis“ der Sicherheitsexperten von Black Duck.

Für die Studie wurden über 1.000 kommerzielle Anwendungen auf Sicherheitslücken in den Open-Source-Bestandteilen der Software untersucht. Insgesamt nutzten rund 96 Prozent der Anwendungen im Schnitt 147 Open-Source-Bestandteile, die rund ein Drittel des gesamten Codes ausmachten. Das ist nicht verwerflich. Außerdem wäre es nicht besonders schlimm, wenn nicht etwa 67 Prozent der analysierten Programme Open-Source-Code mit Sicherheitslücken nutzen würden, die seit mehr als vier Jahren bekannt sind. Sogar weithin bekannte Sicherheitslücken wie der Open-SSL-Bug Heartbleed konnten noch nachgewiesen werden – obwohl es bereits seit Jahren Patches gibt, mit denen das Leck einfach gestopft werden könnte.

Die Open-Source-Experten von Black Duck warnen in ihrer Studie davor, dass die Nutzung von fehlerhaftem Open-Source-Code ein ernsthaftes Sicherheitsrisiko für eine Anwendung darstellen kann, denn die meisten Lücken und Exploits sind öffentlich bekannt und über Datenbanken abrufbar. Das wissen auch kriminelle Hacker und suchen gezielt Anwendungen, in die sie ohne großen Aufwand eindringen können. Würde man die bereits vorhandenen Updates der Open-Source-Bestandteile einspielen, könnte man den Angreifern das Leben wesentlich schwerer machen. Doch das tun die wenigsten, denn dazu müsste man zum einen wissen, welche Open-Source-Codes man verwendet und zum anderen regelmäßig nach Updates suchen. Denn anders als bei bezahlter Software sind Updates bei Open-Source-Lösungen eine Hol- und keine Bringschuld.

Um zu vermeiden, dass Anwendungen unnötig angreifbar sind, empfiehlt Black Duck ein vollständiges Inventar der verwendeten Open-Source-Codes zu erstellen und diese regelmäßig auf bekannte Sicherheitslücken zu überprüfen. Das ist beispielsweise in der National Vulnerability Database möglich.

Die gesamte Studie kann auf der Seite von Black Duck unter https://www.blackducksoftware.com/open-source-security-risk-analysis-2017 heruntergeladen werden.

In dieser Woche war wieder Patchday bei Microsoft, das heißt, es wurden zahlreiche Sicherheits-Updates des Betriebssystems sowie mehrerer Programme des Software-Riesen ausgespielt. Nutzer sollten diese Updates nicht auf die lange Bank schieben. Denn diese schließen auch kritische Sicherheitslücken, beispielsweise in Microsoft Office.

In der letzten Zeit häuften sich die Meldungen über Infektionen mit dem Banking-Trojaner Dridex. Dieser verbreitete sich durch eine der nun geschlossenen Lücken in Microsoft Office. Um sich die Schad-Software einzufangen, reichte es, eine infizierte Word-Datei zu öffnen. Die Dateien haben Hintermänner millionenfach über das gewaltige Necurs-Botnetz per E-Mail verbreitet. Word warnt vor verdächtigen Links im Dokument, allerdings zu spät, denn dann ist der Computer bereits mit Dridex kompromittiert. Grundsätzlich empfiehlt es sich, Dateianhänge bei E-Mails von unbekannten Absendern überhaupt nicht zu öffnen. Wer das letzte Update noch nicht durchgeführt hat, sollte besonders vorsichtig sein.

Doch der Patchday in dieser Woche ist nicht nur aufgrund der Bedrohung durch Dridex erwähnenswert. Er läutet außerdem das Ende von Microsofts Betriebssystem Vista ein. Am 11. April 2017 endete der Support und es wurden zum letzten Mal Sicherheits-Updates ausgeliefert. Für Nutzer heißt das ganz konkret: Wenn in Zukunft Sicherheitslücken entdeckt und bekannt werden, gibt es von Microsoft keine Patches mehr, um sie zu schließen. Damit wird das Betriebssystem immer unsicherer, je länger das letzte Update zurückliegt.

Nutzer, die also noch Computer mit Vista-Software im Einsatz haben, sollten sich dringend um ein neues Betriebssystem kümmern und auf eine der unterstützten Versionen umsteigen. Unter Umständen kann das auch bedeuten, dass ein neuer Computer angeschafft werden muss. Dann nämlich, wenn der vorhandene Rechner die grundlegenden technischen Systemanforderungen für Windows 7 oder 10 nicht erfüllt. Und selbst wenn es technisch gerade so möglich ist, kann es den Rechner so verlangsamen, dass ein sinnvolles Arbeiten nicht möglich ist. Auch andere Geräte wie Drucker, Trackballs oder Scanner sollten vor dem Umstieg auf Kompatibilität überprüft werden, damit man später keine bösen Überraschungen erlebt. 

„Es könnte der schlechteste Code sein, den ich je gesehen habe“, sagte Amihai Neidermann kürzlich über Samsungs Betriebssystem Tizen. Der Sicherheitsforscher hat sich die Software, die in Deutschland hauptsächlich auf SmartTVs und Wearables zum Einsatz kommt, einmal genauer angesehen. Im Interview mit dem News-Portal Motherboard erklärte er, dass „alles, was man falsch machen konnte, auch falsch gemacht worden ist“. Rund 40 offene Sicherheitslücken hat Neidermann identifiziert, die im schlimmsten Fall dazu führen, dass Kriminelle das Gerät komplett übernehmen.

Insbesondere drei Faktoren hat der Sicherheitsforscher als problematisch hervorgehoben. So kommt die heute eigentlich nicht mehr gebräuchliche Funktion „Strcpy()“ an gleich mehreren Stellen der Software zum Einsatz. Damit lassen sich Daten im Speicher kopieren und an anderer Stelle wieder einfügen. Das Problem: Der Funktion ist es egal, ob am Zielort ausreichend Speicherplatz für die kopierten Stellen zur Verfügung steht. Ist das nicht der Fall, kommt es zu einem Pufferüberlauf, der das System angreifbar macht.

Ebenfalls bedenklich ist die Anbindung von Tizen an den systemeigenen Appstore. Dieser ist nämlich mit den maximalen Nutzerrechten ausgestattet. Zwar sollen eigentlich nur Apps installiert werden können, die von Samsung signiert und damit als sicher gekennzeichnet wurden. Allerdings ermöglicht die unsaubere Programmierung der Software, diesen Schutz zu umgehen. Neidermann gelang dies, indem er vor der Überprüfung einen Speicherfehler provozierte. Und als würden diese beiden Fehler nicht schon ausreichen, überträgt Tizen sensible Daten zum Teil unverschlüsselt, da nicht überall HTTPS zum Einsatz kommt.

Derzeit stattet Samsung zahlreiche Geräte mit seinem hauseigenen System aus. Während die mit Tizen betriebenen Smartphones hauptsächlich in Russland und Indien zum Einsatz kommen, laufen hierzulande hauptsächlich Internet-of-Things-Geräte wie Fernseher und Wearables mit dem Betriebssystem. Geplant sind laut Samsung darüber hinaus smarte Kühlschränke und Waschmaschinen. Auch Smartphones mit Tizen könnten künftig in Deutschland erhältlich sein.

Enttäuschend ist aber nicht nur die Programmierqualität von Tizen, sondern auch Samsungs Umgang mit den Sicherheitslücken. Denn obwohl Neidermann laut eigener Aussage das Unternehmen schon vor Monaten über die Missstände informiert hat, sind bislang keine Patches in Sicht. Im Gegenteil: Der Forscher wurde mit einer Standard-Mail abgespeist. Erst nachdem Motherboard über Neidermanns Ergebnisse berichtet hatte, reagierte das Unternehmen und kündigte an, mit ihm im Rahmen seines Smart-TV-Bug-Bounty-Programms zusammenarbeiten zu wollen. Es bleibt abzuwarten, ob sich nun tatsächlich etwas tut und entsprechende Anpassungen an der Software vorgenommen werden – wünschenswert wäre es, vor allem in Anbetracht der steigenden Gefahr durch Botnetze wie Mirai, die es auf smarte Geräte abgesehen haben.

Ransomware und Spionage-Software sind nicht die einzigen Probleme, mit denen sich Internetnutzer aktuell herumschlagen müssen. Erst kürzlich wurde eine neue Schad-Software entdeckt, die sich in Browsern versteckt und dort Suchergebnisse gegen manipulierte Daten austauscht. Das Programm namens Crusader kann so den nichtsahnenden Nutzer auf Affiliate-Seiten umleiten, an denen die Hintermänner verdienen oder Telefonnummern, etwa für den Kundensupport großer Unternehmen, in den Suchergebnissen durch eigene ersetzen. Ruft man die eingeblendete Nummer an, landet man in einem Call-Center, das sich auf Support-Betrug spezialisiert hat.

Diese Masche ist in den letzten Jahren immer beliebter geworden, um hilfesuchenden Internetnutzern das Geld abzuknöpfen. In einer Microsoft-Studie gab die Hälfte aller Befragten an, dass sie bereits mit falschen Microsoft-Mitarbeitern zu tun hatten. Klassischerweise rufen Call-Center-Agenten die Nutzer an und geben sich als Support-Mitarbeiter aus. Die Gefahr, dass der Angerufene ein Microsoft-Produkt nutzt, ist dabei ziemlich hoch. Dann wird man in ein Gespräch verwickelt, in dem der falsche Mitarbeiter mit zahlreichen Argumenten versucht, sich Zugang zum Rechner seines Gesprächspartners zu verschaffen. Das schafft der Betrüger etwa dadurch, dass er sein Opfer ein Fernwartungsprogramm installieren lässt. Wer sich darauf einlässt, hat bereits verloren. Denn nun können die Betrüger im Prinzip die volle Kontrolle über das Gerät übernehmen – vom Einschleusen von Schadprogrammen über Keylogger bis hin zum Anschluss an ein Botnetz ist alles möglich.

Crusader dreht nun den Spieß um, indem er die Nutzer beim Betrüger anrufen lässt. Hilfesuchende, die sich an den Support eines Unternehmens wenden wollen, werden so direkt in die Arme der Betrüger geleitet. Darüber hinaus werden sie in Sicherheit gewogen. Immerhin denken sie, dass sie mit dem Kundendienst eines renommierten Unternehmens sprechen. Das erleichtert den Call-Center-Betrügern die Arbeit zusätzlich, denn die Nutzer sind dann eher bereit, die Fernwartung zu akzeptieren!

Eine weitere Einsatzmöglichkeit für Crusader sind sogenannte Affiliate-Links. Diese basieren auf dem Prinzip der Vermittlerprovision und enthalten einen speziellen Code, über den ein Besucher einem bestimmten Vermittler, beispielsweise einer Webseite, zugeordnet wird. Crusader tauscht in den Suchergebnissen die normalen Seiten gegen seine Affiliate-Links aus, wodurch die Hintermänner mit jedem Klick fleißig mitverdienen ohne sich anzustrengen.

Deutsche Nutzer müssen sich aktuell noch nicht vor Crusader fürchten, denn offenbar befindet sich die Schad-Software noch in der Testphase. Derzeit wird sie nur aktiv, wenn sich der befallene Rechner in Indien befindet. Ob das Programm bereits Computer in anderen Ländern infiziert hat, ohne aber aktiv zu werden, ist nicht bekannt. Sicher ist jedoch: Sollte sich Crusader als erfolgreich und lukrativ erweisen, ist es nur eine Frage der Zeit, bis er auch bei uns für Schäden sorgt. 

Anfang des Monats wurde bekannt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) zahlreiche Parteien, Ministerien und Organisationen vor veralteten und damit unsicheren Versionen ihrer Cloud-Dienste Owncloud und Nextcloud warnte. Bei einer Weiterverwendung der Daten sollen Daten und interne Informationen von Dritten ausgespäht und für ihre Zwecke genutzt werden können. Außerdem gebe es Schwachstellen in den Systemen, über die Programmcodes auf dem Cloud-Server ausgeführt werden können. Dies könnte das System vollständig kompromittieren.

Nun hat das BSI Bilanz gezogen, inwieweit seine Warnungen auf fruchtbaren Boden gefallen sind. Die Zahlen sind ernüchternd: Nur rund 20 Prozent der betroffenen Nutzer haben bislang reagiert und die Updates eingespielt. Das ist nicht viel, vor allem wenn man sich ansieht, wen das BSI angeschrieben hat. Von der AfD über die Grünen bis hin zum Büro der Vereinten Nationen in Genf – sie alle haben sensible Daten auf ihren Cloud-Servern, die momentan nicht optimal geschützt sind.

Für die veralteten Versionen von Owncloud und Nextcloud stehen längst entsprechende Updates zur Verfügung. Die Anbieter haben sogar Tools bereitgestellt, mit denen Nutzer prüfen können, ob ein Update nötig ist. Doch der Teufel steckt wie immer im Detail, denn der Update-Vorgang ist insbesondere bei Owncloud offenbar störungsanfällig. Wie das Newsportal GOLEM berichtet, wurde für einen Test die Version 9.1.2 von Owncloud installiert. Obwohl inzwischen die Version 9.1.4 verfügbar gewesen wäre, erschien kein Hinweis auf ein dieses Update. Erst nach einigem Herumprobieren in den Einstellungen wurde das Update angezeigt. Doch damit nicht genug, denn das Update konnte anschließend nicht beim ersten Versuch installiert werden. Das war erst nach einigen Minuten möglich.

Das gleiche Problem konnte der Redakteur auch in seinem Nextcloud-Account beobachten. Obwohl das Update bekanntermaßen zur Verfügung stand, wurde es im Updater des Programms nicht angezeigt. Die Alternative wäre ein manuelles Update. Doch das dürfte viele Nutzer vor eine fast unlösbare Aufgabe stellen. Nur die wenigsten kennen sich mit Kommandozeilen-Tools und dem Zugriff auf die Konsole aus.

Der Fall zeigt, wie wichtig es ist, dass Software-Anbieter einen einfachen, problemlosen und wenn möglich automatischen Update-Prozess für ihre Kunden bereitstellen. Je schwieriger, störungsanfälliger und komplizierter es ist, ein Programm auf dem aktuellen Stand zu halten, desto mehr Nutzer werden entnervt aufgeben. Verzichten die User auf künftige Updates, sind immer größere Datenmengen weitgehend ungeschützt im Netz. 

Ein Hackerangriff hat in dieser Woche für Aufsehen gesorgt. Auf zahlreichen, teils sehr prominenten Twitter-Accounts waren plötzlich türkische Propagandabotschaften in Verbindung mit Nazisymbolik, den Hashtags #Nazialmanya und #Nazihollanda und der Botschaft „Wir sehen uns am 16. April“ aufgetaucht. An diesem Datum findet in der Türkei das von Präsident Erdogan angestrebte und vieldiskutierte Referendum zum Präsidialsystem statt. Zu den gehackten Konten zählen die offiziellen Accounts von Boris Becker, Klaas Heufer-Umlauf, ProSieben, Amnesty International, Welt, Forbes und Borussia Dortmund. Zwar liefern die geposteten Inhalte gewisse Hinweise, doch noch steht nicht fest, wer hinter den Attacken steckt. Wie die Hacker vorgegangen sind, ist dagegen inzwischen klar.

Zugangstor war die App „The Twitter Counter“, mit deren Hilfe Twitter-Nutzer einfach und schnell Statistiken und Analysen zu ihren Follower-Zahlen abrufen können. Um zu funktionieren, verlangt die App umfangreiche Zugriffsrechte auf den betreffenden Account. Nutzer mussten ihr Lese- und Schreibrechte zugestehen, wodurch die App nicht nur Tweets analysieren, sondern auch absetzen konnte – und genau hier lag das Problem, denn die Kriminellen mussten für ihren Plan nur noch den Drittanbieter hacken, was offenbar deutlich einfacher war, als Twitter direkt anzugreifen.

Der Fall zeigt ein Problem, das bei vielen Twitter-Accounts zur Gefahr werden kann, denn die Auswertungsmöglichkeiten von Drittanbietern sind für Social Media Manager natürlich interessant. Die Crux ist nur, dass man diesen Apps mindestens Leserechte für den eigenen Account einräumen muss, falls sie nicht, wie „The Twitter Counter“, auch noch direkt nach Schreibrechten verlangen. Insbesondere für Unternehmen können die Konsequenzen für die Reputation im Schadensfall gravierend sein, denn nicht nur offensichtliche Hacker-Angriffe wie in dieser Woche schaden dem Ruf. Auch für Werbespammer und zur Verbreitung von Schad-Software über verlinkte Webseiten ist ein solches Vorgehen durchaus denkbar.

Wer auf Nummer sicher gehen will, sollte die Zugriffsreche auf seinen Twitter-Account so weit wie möglich einschränken und Schreibrechte vermeiden. Eine Liste der freigegebenen Apps ist in den Einstellungen abrufbar. 

Mit der IT-Sicherheit in Krankenhäusern steht es nicht unbedingt zum Besten, wie wir in der Vergangenheit bereits an mehreren Beispielen gesehen haben. Doch bislang drehten sich die Befürchtungen und Vorkommnisse meist um die Sicherheit der Patientendaten und die Verwaltung. Jetzt ist allerdings ein Fall bekannt geworden, bei dem diese Bereiche nicht betroffen waren. Vielmehr gelang es sogenannten White Hats (also Hackern, die Sicherheitslücken aufspüren, um den Betroffenen die Chance zu geben, sie zu schließen), sich in die komplette Haustechnik einer nagelneuen Luxusklinik in der Schweiz einzuklinken.

Die beiden White-Hat-Hacker Tim Philipp Schäfers und Sebastian Neef vom Projekt Internetwache.org waren offenbar selbst sehr überrascht, als sie auf der Suche nach Schwachstellen im Netz auf ungesicherte Geräte einer Schweizer Luxusklinik stießen und sich mit den angezeigten IP-Adressen Zugriff auf die gesamte Haustechnik hätten verschaffen können, vom Licht über die Medizingase im OP bis hin zur Lüftung. Auch genaue Schaltpläne zu den Funktionen der Gebäudesteuerung waren problemlos einsehbar. Zusammen mit einem 3D-Rundgang durch die Klinik auf der Homepage des Betreibers ergaben die Daten laut Schäfers und Neef ein sehr umfassendes Bild der Infrastruktur der Klinik. Da es sich bei dem Krankenhaus um eine Luxusklinik mit der entsprechenden Klientel handelt, mag man sich nicht ausmalen, was Kriminelle mit diesem Wissen anfangen könnten.

Die White Hats meldeten die Sicherheitslücke bereits im vergangenen Jahr an die zuständigen Stellen in der Schweiz und siehe da: Der bisher frei verfügbare Zugang zu den Systemen war innerhalb weniger Tage aus dem Netz verschwunden. In einer Stellungnahme gegenüber der Meldestelle gab die Klinik bekannt, dass die Systeme nur während einer Testphase vor der eigentlichen Eröffnung frei im Netz gestanden hätten. Das mag zwar eine Begründung sein, ist aber keinesfalls eine Entschuldigung. Denn auch während der Testphase hätte sich Schad-Software in den Systemen der Klinik einnisten können, ohne dass jemand davon etwas mitbekommen hätte. Eine entsprechende Anfrage des News-Portals Golem.de, ob das System auf eventuellen Befall untersucht wurde, ließ das Management der Klinik unbeantwortet.

Der Fall zeigt zweierlei:

1. Krankenhäuser sind trotz ihrer elementar wichtigen Rolle immer noch viel zu leicht angreifbar und es fehlt den Verantwortlichen häufig an der nötigen Kompetenz, um alle Bereiche der IT-Sicherheit überblicken und entsprechend handeln zu können.

2. Intelligente Haussysteme, zu denen in kleinerem Maßstab auch bereits Smart-Home-Geräte wie vernetzte Kühlschränke oder Glühbirnen gehören, sind noch immer längst nicht so sicher, wie man glauben mag. Hier sind auch die Hersteller und Software-Anbieter in der Pflicht, ihren Kunden die richtigen Tools an die Hand zu geben und sie auf die Gefahren ungeschützter Smart-Home-Systeme hinzuweisen.

Googles  „Project Zero“ hat es sich zur Aufgabe gemacht, Sicherheitslücken in weit verbreiteten Programmen und Betriebssystemen aufzuspüren und bekannt zu machen. Haben die Sicherheitsexperten einen neuen sogenannten Zero-Day-Exploit entdeckt, wird das entsprechende Unternehmen über die Lücke in seiner Software informiert und hat anschließend 90 Tage Zeit, sie über ein Update zu schließen. Diese Schonfrist ist auch durchaus sinnvoll. Immerhin ist es nicht Ziel des Projekts, kriminellen Hackern neue Angriffsmöglichkeiten zu zeigen, sondern die allgemeine Sicherheit im Netz zu verbessern.

Allerdings hat diese Praxis auch ihre Tücken, wie in den vergangenen Wochen gleich zweimal deutlich geworden ist. Mitte Februar veröffentliche Project Zero eine bislang unbekannte Sicherheitslücke im Betriebssystem von Microsoft. Genau 90 Tage zuvor hatten Googles Sicherheitstechniker das Unternehmen aus Redmond darüber informiert, ein Update mit einem entsprechenden Patch war aber noch nicht ausgeliefert worden. Das sorgte verständlicherweise nicht nur beim Hersteller, sondern auch bei den Nutzern für Unmut, denn ab dem Zeitpunkt der Veröffentlichung konnten Kriminelle die Erkenntnisse von Project Zero für ihre Zwecke ausnutzen. Trotzdem: Google hielt an seiner 90-Tage-Regel fest und veröffentlichte Anfang dieser Woche erneut eine bislang nicht geschlossene Sicherheitslücke, diesmal in Microsofts Browsern Internet Explorer und Edge.

Damit sind aktuell gleich zwei gravierende Sicherheitslücken bei Microsoft bekannt. Im ersten Fall können Kriminelle durch einen Fehler bei der Speicherverarbeitung während des Öffnens von Windows Metafiles Speicher auslesen, im zweiten Fall können CSS und JavaScript dazu genutzt werden, beliebigen Code auf dem angegriffenen Rechner auszuführen. Dazu muss der Nutzer lediglich auf eine infizierte Webseite gelockt oder zur Ausführung des Scripts im Browser gebracht werden. Für beide Probleme wurde bislang keine Lösung geliefert.

Bereits 2015 hatte Microsoft die strikte 90-Tage-Regel scharf kritisiert, als Project Zero eine damals noch neue Lücke bekannt gab, bevor es ein passendes Patch gab. Warum Microsoft aus dieser Erfahrung nicht gelernt und die beiden Sicherheitslecks rechtzeitig geschlossen hat, ist nicht bekannt. Ein Zusammenhang mit dem verschobenen Patchday im Februar lässt sich nur vermuten. Es bleibt also zu hoffen, dass der nächste Patchday im März beide Lücken schließt.

In dieser Woche wurde der mutmaßliche Drahtzieher der Distributed Denial of Service (DDoS)-Attacke durch das Mirai-Botnetz auf Telekom-Router im November letzten Jahres in London verhaftet. Der festgenommene Brite soll den Angriff geleitet haben und daher wegen versuchter Computer-Sabotage in einem besonders schweren Fall vor Gericht gestellt werden. Telekom, BKA und die internationalen Ermittlungsbehörden feiern den Fahndungserfolg und sehen die Verhaftung als Zeichen dafür, dass auch im Internet Recht und Ordnung durchgesetzt werden können. Doch Fakt ist: Mirai ist nur eines der derzeit aktiven Botnetzwerke. Tagtäglich kommt es zu DDoS-Attacken und die Fälle werden immer mehr, wie eine neue Studie des DDoS-Spezialisten Link11 zeigt.

Der aktuelle „DDoS-Report für die DACH-Region“ verzeichnet im 4. Quartal 2016 mit 11.575 Angriffen einen neuen Höchstwert der DDoS-Attacken in Deutschland, Österreich und der Schweiz. Das ist ein Zuwachs von 116,8 Prozent im Vergleich zum Vorjahresquartal. Einem breiteren Publikum ist diese Angriffsart in den letzten Monaten durch einige öffentlichkeitswirksame Angriffe bekannt geworden. So waren die Präsidentschaftskandidaten in den USA während des Wahlkampfs ebenso von Angriffen betroffen wie der Minecraft-Dienstleister OVH und der DNS-Dienstleister Dyn, bei dem Twitter, Netflix und Spotify gehostet werden. Auch der eingangs erwähnte Angriff auf die Telekom-Router im November durch das Mirai-Netzwerk wurde in der Presse heiß diskutiert.

Insbesondere letzteres Beispiel steht für einen sich abzeichnenden Trend: Für die Attacken werden laut Report immer häufiger Botnetze eingesetzt, die ihre Rechenpower aus dem sogenannten Internet of Things beziehen. Damit sind an ein Netzwerk angeschlossene Smart-Home-Geräte gemeint. Leider steht die Datensicherheit bei vielen Herstellern noch nicht ausreichend im Fokus, sodass Kriminelle leichtes Spiel haben und tausende Geräte kapern können.

Eine weitere Erkenntnis der Analyse: Von den meisten der durchschnittlich 126 Attacken pro Tag bekommt die breite Öffentlichkeit kaum etwas mit. Auch von Unternehmern wird die Gefahr durch DDoS-Angriffe unterschätzt, denn nur rund ein Drittel ist vorbereitet und hat einen Aktionsplan für den Fall der Fälle in der Schublade. Wird man dann doch angegriffen, ist die Überraschung groß. Das Ziel der Angreifer ist es meist, ein Lösegeld vom Webseitenbetreiber zu erpressen – und durch die mangelnde Vorbereitung bleibt vielen nichts anderes übrig als zu zahlen.

Sicher ist, die Gefahr durch DDoS-Attacken wird in den nächsten Monaten und Jahren weiter steigen. Insbesondere durch den stetig wachsenden Anteil an Smart-Home-Geräten ohne ausreichenden Schutz, verfügen die Botnetze über immer mehr Rechenleistung und die Intensität der Attacken wird zunehmen. Schutzmaßnahmen zu ergreifen, sollte daher bei jedem Unternehmen auf der Agenda stehen.

Anfang des Monats wurde der Software-Anbieter GitLab offenbar Opfer einer DDoS-Attacke, bei der tausende gleichzeitige Nutzeranfragen die Webseite und schließlich auch die Datenbank in die Knie zwingen sollten. Doch am Ende entpuppte sich der Hackerangriff als weniger gefährlich als die eigenen Mitarbeiter, denn trotz erfolgreicher Abwehr der Attacke fehlten am Ende fast 300 Gigabyte an Kundendaten. Wie konnte das passieren und was können wir daraus lernen?

GitLAb bietet eine Webanwendung zur Versionsverwaltung von Software-Projekten, die auch von großen Unternehmen wie Sony, Bayer oder Alibaba genutzt wird. Als die Attacke am frühen Morgen begann, reagierten die Mitarbeiter von GitLab sofort und suchten nach einem Weg, die Angreifer abzuwehren. Zunächst waren die Bemühungen nicht von Erfolg gekrönt, denn die Webseite war angesichts der Menge an Anfragen kurzzeitig nicht erreichbar. Doch davon bekamen die Kunden erst einmal nichts mit und arbeiteten ganz normal weiter. Dabei  speicherten sie auch, wie immer, die Zwischenstände ihrer Software-Projekte auf den GitLab-Servern – zumindest versuchten sie es, denn während des Absturzes der Seite war ihnen dies nicht möglich.

Bis zu diesem Zeitpunkt hielten sich die Folgen des Angriffs allerdings noch in Grenzen. Das änderte sich, als einer der GitLab-Administratoren einen gut gemeinten Trick anwenden wollte und dabei einen folgenschweren Tippfehler beging. Eine der Hauptattacken konzentrierte sich offenbar auf die leere Datenbank db2. Um diese zu löschen, gab der Administrator den entsprechenden Befehl ein. Im Eifer des Gefechts vertippte er sich jedoch und schrieb statt „db2“ „db1“ – und löschte das Hauptverzeichnis mitsamt den Daten der Kunden. Nach nur einem Klick waren von 300 GB nur noch 4,5 GB vorhanden. Und auch diese nur per Zufall, denn das eigentliche Back-up für diesen Tag war noch nicht durchgeführt worden. Die wiederhergestellten Daten hatte ein Mitarbeiter aus Versehen aufgezeichnet.

Was können wir aus diesem Vorfall lernen? Erstens: Software-as-a-Service- und Cloud-Lösungen sind sicher  praktisch. Allerdings sollte man sich bei der Sicherung seiner Daten nicht nur auf externe Speicher verlassen, denn man weiß nie, was dort alles passieren kann. Zweitens: Selbst wenn man alles richtig macht, können die Folgen eines Hackerangriffs gravierend sein. Daher sollte man so oft wie möglich die Daten in einem Back-up zwischenspeichern, damit im Fall der Fälle so wenig wie möglich verloren geht.  Und drittens: Auch Administratoren sind nur Menschen und können Fehler machen. Wichtig ist es, aus diesen zu lernen. GitLab zeigt hier Größe durch seinen offenen Umgang mit dem Fall und dem Versprechen, alle Vorgänge genau aufzuarbeiten, um sie in Zukunft vermeiden zu können.

Wenn es um die Entwicklung neuer Software-Angebote geht, steht die sogenannte „Customer-Experience“ ganz weit oben auf der Liste der Qualitätsmerkmale. Dabei geht es darum, die Erfahrung im Umgang mit dem Programm möglichst positiv zu gestalten. Der Nutzer soll intuitiv wissen, wie er zum Ziel kommt und unkompliziert Hilfe finden, wenn er doch einmal nicht weiter weiß. Kurz gesagt: Der Kunde steht im Mittelpunkt und soll sich mit seinem Problem ernstgenommen fühlen.

Während sich dieses Prinzip bei den meisten Anwendungen für Smartphone, Tablet und PC inzwischen durchgesetzt hat, war die Customer Experience den Entwicklern von Ransomware verständlicherweise weitgehend egal – der „Kunde“, oder besser gesagt das Opfer, hatte schließlich gar keine andere Wahl als sich mit der Lösung seines Problems, also der Entschlüsselung seiner Daten, selbst zu befassen. Doch nun greift der Service-Gedanke auch bei den Kriminellen um sich, wie der Erpressungstrojaner Spora beweist.

Die Hintermänner bieten ihren Opfern einen Echtzeit-Support für den Bezahlvorgang an – immerhin kann man nicht davon ausgehen, dass sich alle Infizierten mit Bitcoin auskennen – und versuchen, sich eine positive Reputation über ein Bewertungssystem auf der Bezahlwebseite aufzubauen. Auch eine Chat-Funktion gehört zum Service-Angebot. Der Sicherheitsforscher MalwareHunter konnte einige dieser Konversationen einsehen und öffentlich machen. Darin zeigen die Kriminellen Verständnis für die Sorgen und Nöte der Opfer. Sie verlegen Deadlines, räumen Mengenrabatte ein (frei nach dem Motto „Den zweiten Rechner gibt es umsonst“) oder versprechen sogar die kostenfreie Entschlüsselung, wenn man eine positive Bewertung hinterlässt.

Noch gibt es für Spora kein frei verfügbares Entschlüsselungstool, daher bleibt vorerst nur, sich möglichst gut vor einer Infektion zu schützen. Ein gesundes Misstrauen und konstante Aufklärungsarbeit stellen dafür  die beste Basis dar!

Immer mehr Unternehmen und Selbstständige setzen für ihren Online-Auftritt auf die Webanwendung WordPress. Das CMS-System ist einfach zu bedienen, lässt sich an die individuellen Anforderungen anpassen, Änderungen können leicht eingepflegt werden und sie ist wesentlich kostengünstiger, als ein eigenes System aufzusetzen und zu pflegen. Doch wie bei allen Programmen gibt es auch bei WordPress Sicherheitslücken – und je mehr Webseiten auf WordPress basieren, desto lukrativer wird es für Kriminelle, diese auszunutzen. Erst in der vergangenen Woche veröffentlichten die Entwickler von WordPress das Update auf Version 4.7.2. Jetzt hat sich herausgestellt, dass mit der vermeintlich harmlosen Aktualisierung eine kritische Sicherheitslücke in der WordPress-Software geschlossen wurde.

Über einen in der Schnittstelle WordPress REST API versteckten Programmierfehler können externe Angreifer offenbar Schad-Code in die WordPress-Webseiten einschleusen und an beliebiger Stelle platzieren oder aber die Inhalte manipulieren. Nötig dafür ist lediglich eine JSON-Abfrage (JavaScript Object Notation, ein kompaktes Datenformat zum Zweck des Datenaustauschs), über die der Schädling in das CMS geschmuggelt wird. Damit stehen zehntausende Webseiten im Fokus der Kriminellen – und damit auch Millionen von Nutzern. Insbesondere im Zusammenhang mit der Flut an Ransomware-Attacken in den letzten Monaten ist das äußerst beunruhigend. Und nicht nur für die Nutzer der Webseiten kann eine infizierte Webseite schlimme Konsequenzen haben. Der Image-Verlust für die Betreiber sollte ebenfalls nicht außer Acht gelassen werden. Umso mehr erstaunt es, dass die Lösung des Problems in einem völlig unauffälligen Update versteckt wurde, statt die Nutzer zu warnen.

Laut Aussage der Entwickler hatte man sich bewusst dafür entschieden, die unsichere Programmierung zu verharmlosen, um möglichst vielen Nutzern die Möglichkeit zu geben, das Update einzuspielen, bevor das ganze Ausmaß bekannt wurde. Das Problem: Wer Updates nicht automatisch bezieht, weil beispielsweise der Webhoster dabei nicht mitspielt, und die „harmlose Aktualisierung“ bislang nicht aufgespielt hat, steht jetzt im Visier der Hacker – und muss schleunigst handeln! Doch bis bei allen Nutzern bekannt ist, wie wichtig dieses Update ist, stehen auch weiterhin viele Webseiten ungeschützt im Netz und stellen eine Gefahr für die Nutzer dar – vom Leser eines Koch-Blogs bis zum Kunden der Schreinerei im Nachbarort.

Software as a Service, kurz SaaS, ist für viele Unternehmen eine praktische Sache. Dabei wird Software nicht auf dem lokalen Rechner installiert, sondern direkt im Internet genutzt. Bekannte Beispiele im Anwenderbereich sind Gmail, GoogleDocs oder Microsoft Office 365, aber auch Unternehmensapplikationen wie Netsuite oder Salesforce bieten SaaS-Modelle, bei denen direkt aus dem Browser auf Programme und Daten zugegriffen werden kann. Insbesondere kleineren Firmen ohne eigene IT-Abteilung bietet das Konzept Vorteile, denn Software-Updates, eine eigene Server- oder Datenbankstruktur und die damit verbundenen Kosten entfallen durch die Cloud-basierten Lösungen. Nötig ist lediglich eine stabile Internetverbindung.

Diese Vorteile haben jetzt auch Kriminelle für sich entdeckt und so hat sich im Darknet ein neues Geschäftsmodell entwickelt: Ransomware as a Service (RaaS). Damit kann sich jeder mit ausreichend krimineller Energie und ein paar Klicks seinen individuell angepassten Erpressertrojaner im Netz zusammenstellen und anschließend verbreiten. Eigene Programmierkenntnisse sind damit unnötig, schließlich hat man dafür die Spezialisten des Anbieters. Ein Beispiel, das gerade von sich reden macht und kürzlich vom Sicherheitsforscher Xylitol entdeckt wurde, ist die Software Satan, die als RaaS-Lösung im Darknet angeboten wird. Wer schon immer mal von seiner eigenen Ransomware geträumt hat, muss nun lediglich ein Konto auf der Satan-Domain im Darknet eröffnen, dort ein Bitcoin-Konto hinterlegen, die Erpressernachricht verfassen sowie das Lösegeld festlegen – und schon kann er die Malware herunterladen. Lediglich die Verbreitung muss man selbst organisieren, wobei Satan zu diesem Zweck fertige Word-Makros und Windows-Hilfe-Dateien zur Verfügung stellt.

Doch damit nicht genug, schließlich sind die Macher von Satan Dienstleister. Um es den Kunden so bequem wie möglich zu machen, gibt es neben dem eigentlichen Schädling auch Funktionen wie eine Übersicht der Zahlungseingänge und der Transaktionen. Auch ein technischer Kundenservice sowie ein CRM-System, über das man den zahlenden Opfern Kommentare zuweisen kann, sind verfügbar. Vergütet werden die Dienste von Satan über eine Gewinnbeteiligung. Rund 30 Prozent der Einnahmen, die mit der Software generiert werden, werden von Satan eingezogen. Dieser Prozentsatz kann jedoch auch noch sinken – je nachdem, wie viele Rechner infiziert wurden.

Ransomware hat bereits im vergangenen Jahr immer wieder für Schlagzeilen und vor allem für hohe Schäden gesorgt. Durch das neue Geschäftsmodell, Ransomware einfach als Dienstleistung anzubieten, dürfte sich die Situation noch weiter verschärfen, denn die Entwickler von Satan sind längst nicht die einzigen Dienstleister dieser Art und es ist damit zu rechnen, dass die Zahl in Zukunft deutlich anwachsen wird. Damit bleibt nur, im Internet Vorsicht walten zu lassen und sich, soweit es geht, zu schützen.

Krypto-Trojaner haben in den vergangenen Monaten bei Cyber-Kriminellen stark an Popularität gewonnen. Hacker und IT-Sicherheitsexperten befinden sich mittlerweile in einem regelrechten Wettlauf. Die einen versuchen, Verschlüsselungs-Software so weit wie möglich zu verbreiten, die anderen wollen  geeignete Entschlüsselungsverfahren finden. Den zahllosen Opfern dieser Programme bleibt nur, entweder zu bezahlen oder darauf zu hoffen, dass die Whiteheads bald einen Weg finden, die Verschlüsselung zu knacken.

Wer keine Lust hat, den Kriminellen sein Geld in den Rachen zu werfen, um wieder an seine Daten zu gelangen, muss Geduld mitbringen – je nachdem, welches Programm er sich eingefangen hat. Doch es gibt auch Dinge, die man in der Zwischenzeit tun kann. So hat der Sicherheitsforscher Michael Gillespie zwei sinnvolle Tools entwickelt und stellt diese kostenfrei im Netz zur Verfügung.

Über das Portal ID-Ransomware können Betroffene herausfinden, welcher Krypto-Trojaner ihre Daten verschlüsselt hat. Das erleichtert die Suche nach einer passenden Gegenmaßnahme ungemein! Derzeit kann das Portal 283 verschiedene Erpressungstrojaner identifizieren. Dazu kann man entweder eine der verschlüsselten Dateien oder die Datei mit der Nachricht der Kriminellen hochladen. Handelt es sich um einen der bekannten Schädlinge, erhält man den Namen und erfährt, ob es bereits eine entsprechende Entschlüsselungs-Software gibt. Im Zuge des Datenschutzes sollte man jedoch keine sensiblen Dateien für den Test nutzen, denn falls es sich nicht um einen der bekannten Trojaner handelt, werden die Daten an ein Netzwerk von Malware-Analysten weitergeleitet. Das hilft zwar dabei, die Datenbank zu erweitern und schneller eine Entschlüsselung zu finden, ist aber dem Schutz der im Dokument enthaltenen Daten nicht unbedingt zuträglich.

Das zweite Tool, das Gillespie zur Verfügung stellt, nennt sich CryptoSearch und ermöglicht es dem Nutzer, seinen Windows-Rechner nach verschlüsselten Daten zu durchsuchen. Die gefundenen Dateien können dann gesammelt und auf einer externen Festplatte abgelegt werden. Man mag sich fragen, was das bringen soll, aber solange noch keine Entschlüsselungs-Software existiert, kann es durchaus sinnvoll sein, die betroffenen Daten extern – und vor allem gesammelt – abzulegen, denn dann kann man direkt mit der Wiederherstellung beginnen, sobald es ein geeignetes Programm gibt. Ein Pluspunkt: CryptoSearch behält beim Export der verschlüsselten Daten den originalen Dateipfad bei, sodass sich die Daten später leichter zuordnen lassen.

Die Angst vor Hacker-Angriffen und Cyber-Risiken sitzt tief in deutschen Unternehmen. Das ergibt das neue Risk Barometer der Allianz Global Corporate & Specialty SE, das der Industrieversicherer in diesem Jahr bereits zum sechsten Mal veröffentlicht. Um die wichtigsten Unternehmensrisiken zu identifizieren, wurden mehr als 1200 Risikoexperten in über 50 Ländern weltweit zu den Faktoren befragt, die sie als aktuell größte Bedrohung für ihr Unternehmen wahrnehmen. Für 2017 landeten die Cyber-Vorfälle international auf dem dritten Platz. Etwa 30 Prozent der Befragten gaben an, sich über Hacker, Systemausfälle oder Datenschutzverletzungen Sorgen zu machen. Auf Platz eins landete wie in den Vorjahren die Angst vor Betriebsunterbrechungen, allerdings wurden diesmal leicht veränderte Auslöser für die Unterbrechungen angegeben. So wurden auch hier Cyber-Vorfälle als einer der Hauptgründe für die befürchteten Produktionsstopps angegeben. So wurden auch hier Cyber-Vorfälle als einer der Hauptgründe für die befürchteten Produktionsstopps angegeben. Die Sorge um veränderte Marktbedingungen hingegen ist international leicht zurückgegangen, wie die Studie zeigt.

Für Deutschland ergibt sich ein etwas anderes Bild: Hier stehen Cyber-Vorfälle ganz oben auf der Liste, gefolgt von politischen Risiken, die international nur auf Rang acht gelandet sind, und dem Risiko durch neue Technologien. Insbesondere in stark technologisch geprägten Branchen wie der IT, der Telekommunikation, dem Automotive-Bereich und den Finanzdienstleistungen äußerten sich die Befragten besorgt über mögliche Angreifer aus dem Netz.

Das Risk Barometer zeigt damit deutlich, dass das Bewusstsein für Cyber-Risiken in den letzten Jahren kontinuierlich gestiegen ist. Und auch wir bei der 8com sehen bei unserer Arbeit: Langsam, aber sicher beginnen die Verantwortlichen damit, diese Sorge nicht nur zu äußern, sondern tatsächlich aktiv Maßnahmen zu ergreifen, um sich abzusichern. Während in der Vergangenheit dabei die technische Absicherung im Vordergrund stand, nimmt die Nachfrage nach Awareness-Maßnahmen immer weiter zu. Und das ist auch gut so, denn bei einem optimalen Sicherheitskonzept greifen Mensch und Technik optimal ineinander.

Das Risk Barometer 2017 ist hier verfügbar: www.agcs.allianz.com/insights/white-papers-and-case-studies/allianz-risk-barometer-2017/

Das Problem ist bereits seit längerer Zeit bekannt: Mehrere zehntausende MongoDB-Datenbanken stehen ungeschützt im Netz und lassen sich ganz einfach über spezielle Suchmaschinen wie beispielsweise Shodan finden. Bei MongoDB handelt es sich um eines der marktführenden Allzweck-Datenbanksysteme, das dank OpenSource auf viele unterschiedliche Anforderungen hin angepasst werden kann. Allein in Deutschland waren vor gut einem Jahr jedoch rund 1.200 dieser Datenbanken ohne weitere Authentifizierung zugänglich. Offenbar nutzen viele MongoDB-Administratoren immer noch alte Versionen der Open-Source-Datenbank, die in der Standardkonfiguration über das Internet für jeden auffindbar sind. Aber auch neuere Versionen stehen frei im Netz. Da sie standardmäßig keine Verbindungen von außen zulassen, haben viele Admins diese offenbar unsicher konfiguriert, wodurch einzelne Ports Verbindungen zum Internet zulassen.

Diese Sicherheitslücken macht sich derzeit ein Hacker mit dem Pseudonym Harak1r1 zunutze. Er sucht gezielt ungesicherte MongoDB-Datenbanken und räumt die gespeicherten Daten ab. Das einzige, was der Nutzer nach dem Angriff vorfindet ist eine Nachricht, dass 0,2 Bitcoin, also rund 200 Euro zu zahlen wären, wenn er seine Daten wiederhaben möchte. Nach Auswertungen von Blockchain.info hat bereits eine Reihe von Opfern, das Lösegeld gezahlt.

Das Vorgehen von Harak1r1 erinnert an die vielen Erpressertrojaner, die im vergangenen Jahr für Kummer im Netz gesorgt haben. Und obwohl 0,2 Bitcoin vergleichsweise günstig erscheinen, ist es unter diesen Umständen fast schon verwunderlich, dass Hacker mit dieser Sicherheitslücke noch nicht deutlich höhere Schäden angerichtet haben! Bedenkt man, dass nicht nur MongoDB-Datenbanken, sondern auch CouchDB-, Redis,- Riak- und Cassandra-Datenbanken betroffen und teils frei im Netz verfügbar sind, birgt Harak1r1s Vorgehensweise ein gewaltiges Schadenspotenzial, gegen das dringend etwas getan werden muss.

Im Sommer hatten sich Union und SPD darauf geeinigt, dass die pauschale Haftung der WLAN-Betreiber für Urheberrechtsverletzungen, die über ihren Anschluss begangen wurden, wegfällt. Damit soll der WLAN-Ausbau in Deutschland vorangetrieben werden. Betreiber von offenen WLAN-Netzwerken können sich nach den Plänen auf das sogenannte Providerprivileg berufen, wodurch sie nicht mehr für die Inhalte der übertragenen Daten verantwortlich gemacht werden können (mehr dazu im Beitrag vom 08. Juni 2016). Das ist wichtig für gewerbliche Anbieter wie Cafés, Arztpraxen oder Fitnessstudios, hat jedoch für private Internetanschlüsse mit WLAN kaum eine Bedeutung. Ganz im Gegensatz zu einem aktuellen Urteil des Bundesgerichtshofs, über das sich viele private Anschlussinhaber freuen dürften.

Die Rechteinhaberin des Films „The Expendables 2“ hatte gegen die Eigentümerin eines WLAN-Anschlusses wegen Urheberrechtsverletzung auf Zahlung von Schadenersatz geklagt. Ein Unbekannter hatte sich im November und Dezember 2012 unberechtigt Zugang zum Netzwerk der Beklagten verschafft und den Film über ein Filesharing-Netzwerk öffentlich zugänglich gemacht. Die Klägerin war der Meinung, dass die Anschlussinhaberin hierfür haftet, da sie ihr Netzwerk zwar verschlüsselt, allerdings den voreingestellten WPA2-Schlüssel nicht geändert hat. Das sei fahrlässig und führe zur Störerhaftung.

Dieser Einschätzung ist das Bundesverfassungsgericht nicht gefolgt und wies die Klage ab. Die Beklagte habe ihre Prüfungspflichten nicht verletzt, als sie den voreingestellten WPA2-Schlüssel nicht geändert hat. Sie sei lediglich dazu verpflichtet sicherzustellen, dass der Router zum Zeitpunkt des Kaufs über ein ausreichend langes, individuelles Passwort verfügt und die marktüblichen Sicherheitsstandards bei der Verschlüsselung einhält. Wichtig ist hier die Interpretation des Wortes „individuell“: Die Richter sahen auch ein voreingestelltes Passwort als individuell an, sofern es nicht vom Hersteller an mehrere Geräte gleichzeitig vergeben wurde. Im vorliegenden Fall konnte kein Beweis erbracht werden, dass das Passwort auch auf anderen Geräten eingestellt war. Mit der Benennung des Routertyps, des Passworts und der Angabe, dass das Passwort nur an dieses Gerät vergeben wurde, habe die Beklagte ihre Prüfungspflichten erfüllt. Da der WPA2-Standard als hinreichend sicher gilt und man nicht vermuten musste, dass Dritte ihn entschlüsseln können, hafte die Beklagte damit nicht als Störer. Eine weitere Rolle spielte auch der Zeitpunkt der Urheberrechtsverletzung Ende 2012, denn erst 2014 wurde eine bestehende Sicherheitslücke bei diesem Routertyp bekannt.

Das Urteil dürfte so manchen Anschlussinhaber freuen, vor allem diejenigen, denen schon einmal Post vom Abmahnanwalt ins Haus geflattert ist. Man sollte es jedoch nicht als Freifahrtschein dafür sehen, dass man sein WLAN nicht mehr vernünftig schützt. Ein individuelles – und hier meine ich damit ein selbstvergebenes – und ausreichend  langes Kennwort zum Schutz des heimischen WLANs ist immer sinnvoll. Voreingestellte Kennwörter werden meist nach einem bestimmten Algorithmus vom Hersteller an die Geräte vergeben. Wird dieser geknackt, lassen sich damit auch die Router hacken. Wie man ein sicheres Kennwort wählt, das man sich auch noch merken kann, habe ich für die Kampagne SpardaSurfSafe hier zusammengestellt.

Am Wochenende haben sich offensichtlich Hacker einmal mehr daran versucht, ein gewaltiges Botnetzwerk aufzubauen. Dabei übernehmen die Kriminellen (zumindest teilweise) die Kontrolle über Geräte von Endanwendern und benutzen diese dann z. B., um Schad-Software zu verbreiten. Dazu haben sie sich im aktuellen Fall eine Sicherheitslücke in den Internetzugangsroutern von über 900.000 Telekom-Kunden zunutze gemacht. Zunächst sorgte der Fall für Furore, weil die Kunden zeitweise vom Internet abgeschnitten waren.

Wie jetzt bekannt wurde, handelte es sich bei der Panne um einen groß angelegten Hacker-Angriff. Die Angreifer kaperten die Router mit der sogenannten Mirai-Software und nutzten dafür eine Sicherheitslücke im Fernwartungsprotokoll der Geräte aus. Eigentlich ist das in den Routern implementiert, damit die Internet-Service-Provider Einstellungen an den Geräten ihrer Kunden vornehmen können. Besonders einfach hatten es die Hacker allerdings im Fall der gekaperten Telekom-Router, weil hier der Zugriff sogar ohne jegliche Authentifizierung durchgeführt werden kann.

Eine zusätzliche Script-Injection-Sicherheitslücke ermöglichte es zudem, eingebettete Befehle an die Geräte zu schicken, die auf dem befallenen System ausgeführt wurden. So konnte sich die Malware am vergangenen Wochenende relativ schnell ausbreiten.

Da der fürs Botnetz verantwortliche Code allerdings ausschließlich im Arbeitsspeicher des Geräts abläuft, empfiehlt die Telekom, den Router abzuschalten und neu zu starten.

Es ist daher generell problematisch, dass Router für die Wartung durch Internet-Service-Provider Ports nach außen öffnen und dadurch große Angriffsflächen bieten. Nach Aussagen der Telekom soll die aktuelle Malware „schlecht programmiert“ gewesen sein, was – diesmal – die Folgen des Angriffs eingeschränkt habe.

Wir haben an dieser Stelle ja bereits oft darauf hingewiesen: Updates sind wichtig! Und wir werden das sicher noch oft wiederholen, denn in allen Computerprogrammen lauern versteckte Sicherheitslücken, die nach und nach durch Updates geschlossen werden. Sie sind sozusagen Work-in-Progress. In den letzten Tagen hat sich das wieder deutlich gezeigt, denn es ist ein ganzer Rattenschwanz kritischer Updates veröffentlicht worden. Wir wollen uns einmal ansehen, wie viele Sicherheitslücken allein in dieser Woche geschlossen wurden und was passieren kann, wenn man das Update unterlässt.

Adobe schloss für seinen Flash Player gleich neun Sicherheitslücken, die mit einem hohen Risiko bewertet wurden, denn Angreifer aus dem Internet könnten über diese Lücken den gesamten Rechner übernehmen. Wer für den Flash-Player also nicht ohnehin die automatischen Updates aktiviert hat, sollte die Aktualisierung schnellstmöglich manuell durchführen.

Auch Microsoft hat an seinem Patchday im November eine ganze Reihe von Sicherheits-Updates für unterschiedliche Programme zur Verfügung gestellt. Eine genaue Zahl der geschlossenen Lücken gibt Microsoft zwar nicht an, jedoch sind fast alle gängigen Programme von Word über Excel bis hin zum Internet Explorer betroffen. Auch in diesem Fall wird das Risiko als sehr hoch eingestuft. Sie ermöglichen einem nicht im System angemeldeten Angreifer, Befehle mit Benutzerrechten auszuführen. Außerdem liefert Microsoft über das Update ein neues Tool zum Entfernen von Schad-Software aus. Das Update läuft entweder über die Windows-Update-Funktion oder kann auf der Microsoft-Webseite heruntergeladen werden.

Google stellt für seinen beliebten Browser Chrome ebenfalls ein neues Sicherheits-Update zur Verfügung und schließt damit einige teils gravierende Sicherheitslücken. Wer auf das Update verzichtet, geht laut Experteneinschätzung ein hohes Risiko ein, dass Angreifer das System durch die Eingabe von beliebigen Programmbefehlen beschädigen. Außerdem könnten Informationen ausgespäht werden. Das Update lässt sich bei Google herunterladen.

Nach all diesen Updates für den Computer sollte man auch das Handy und das Tablet nicht vernachlässigen. Für sein Betriebssystem Android hat Google ein neues Sicherheits-Update herausgegeben, das ganze 83 Sicherheitslücken schließt. Davon werden 24 vom Hersteller als kritisch beschrieben. Das Update wird automatisch an die Geräte ausgeliefert und sollte zeitnah ausgeführt werden. Einige Endgerätehersteller wie Samsung oder LG liefern ihre eigenen Versionen aus. Die geschlossenen Lücken ermöglichen es Angreifern, Informationen auszuspähen, sich Berechtigungen einzuräumen und Befehle auszuführen, die bis zur vollständigen Kontrolle über das gesamte Gerät reichen.

Natürlich nerven Updates, vor allem, wenn sie viel Bandbreite und Zeit in Anspruch nehmen. Doch allein unser kurzer Beispielzeitraum von nur rund einer Woche zeigt, wie wichtig es ist, Aktualisierungen zeitnah durchzuführen – auf allen Geräten und für alle Programme!