Diese Woche gab es eine Überraschung am Microsoft Patchday: Völlig unerwartet veröffentlichte der Software-Riese eine Aktualisierung für Windows XP und Vista. Bereits vor einigen Wochen, nach der massiven Attacke durch die Schad-Software WannaCry, hatte Microsoft auch für die veralteten Windows-Versionen ein Update veröffentlicht – obwohl der Support für XP und Vista eigentlich eingestellt ist. Jetzt gibt es einen neuen Patch, der weitere Sicherheitslücken schließt, die nach Angaben des Konzerns im Zusammenhang mit dem außerplanmäßigen Update entdeckt wurden.

Microsoft sah sich offenbar angesichts der gestiegenen Bedrohungslage nach der rapiden Ausbreitung von WannaCry zu diesem Schritt gezwungen und bestätigte ein „erhöhtes Risiko“ für Windows-Nutzer. Das Unternehmen rechnet scheinbar damit, dass Attacken wie WannaCry in Zukunft zunehmen und will seine Nutzer schützen – auch wenn es damit den eigenen Update-Grundsätzen widerspricht. Das ist lobenswert. Denn auch in Redmond weiß man, dass leider immer noch hunderttausende Rechner mit den veralteten Betriebssystemen aktiv sind und sich das auch in absehbarer Zeit nicht ändern wird – trotz aller Warnungen und Sicherheitsvorfälle.

Insbesondere für Unternehmen ist es mittlerweile dennoch unverantwortlich, weiter auf Windows XP oder Vista zu setzen. Ransomware wie WannaCry ist längst nicht die einzige Bedrohung, die durch die vielen inzwischen bekannten und noch nicht geschlossenen Sicherheitslücken entsteht. Die Alternative ist der Zukauf von außerordentlichem Support von Microsoft. Doch der ist teuer, und früher oder später wird man an einer Umstellung auf ein aktuelles Betriebssystem nicht vorbeikommen. Also warum diesen Schritt nicht beschleunigen? Sich darauf zu verlassen, dass Microsoft weitere Updates für XP und Vista veröffentlich, wäre ein großer Fehler.

Stellen Sie sich vor, Sie erhalten folgende Nachricht: „Wir haben Ihren Herzschrittmacher gehackt. Zahlen Sie Summe X, um die Kontrolle zurückzuerhalten.“ Zur Bekräftigung der Forderungen erhalten Sie einen kleinen Stromschlag. Wer würde es da nicht mit der Angst zu tun bekommen? Und im Gegensatz zu „herkömmlicher“ Ransomware würden die Kriminellen es bei solch einem Hack vermutlich nicht bei dem lächerlichen Betrag von einem Bitcoin belassen, denn das eigene Leben dürfte den Opfern wohl ungleich mehr wert sein als verschlüsselte Daten. Ein undenkbares Horrorszenario, meinen Sie? Leider nein. Ein solcher Fall ist durchaus möglich, wie die Sicherheitsexperten von WhiteScope jetzt herausgefunden haben.

Mehr als 100.000 Herzschrittmacher werden in Deutschland jährlich implantiert. Je nach Belastung verbleibt das Gerät zwischen sechs und zehn Jahren im Körper des Patienten, bevor die Batterie leer ist und es ausgetauscht werden muss. In Cybersecurity-Jahren gerechnet ist das eine halbe Ewigkeit. Die meisten der heute eingesetzten Geräte lassen sich von außerhalb des Körpers durch ein externes Steuergerät programmieren, womit wir bereits bei einem der von WhiteScope identifizierten Probleme sind. Sieben Herzschrittmacher und die dazu passenden Programmier- und Steuereinheiten von vier Herstellern haben die Experten für die Studie geprüft – und sind schnell fündig geworden: Über 8.000 (!) Sicherheitslücken wurden identifiziert. 

Problem Nummer 1: Die genutzten Betriebssysteme sind völlig veraltet. So fanden die Sicherheitsforscher in den Steuereinheiten Windows XP, DOS und sogar OS2! 

Problem Nummer 2: Alle Hersteller setzen auf zugekaufte Programmbibliotheken von Drittanbietern, die aktuell gehalten werden müssen. Bei Herzschrittmachern ergibt sich dabei ein Problem. Der Drittanbieter muss die Aktualisierung der Bibliothek bereitstellen. Soweit klappt das meist noch, zumindest für einige Jahre. Dann muss der Hersteller des Schrittmachersystems seine Software aktualisieren und das Update ausliefern. Dann folgt Stufe drei: Die behandelnden Ärzte müssen das Update einspielen und ihre Patienten auf das Update aufmerksam machen, denn die haben oft auch zu Hause ein Überwachungsgerät. Zuletzt muss der Patient die Aktualisierung durchführen. Auf jeder dieser Stufen dürfte es zu Streuverlusten kommen. Wenn man zusätzlich das Alter vieler Herzpatienten bedenkt, stellt insbesondere die letzte Stufe ein Problem dar. 

Problem Nummer 3:Die Steuerungseinheiten verbinden sich automatisch mit den dazugehörigen Schrittmachern – und zwar mit allen Schrittmachern des Herstellers innerhalb der Reichweite. Ein Log-in mit einem Kennwort oder eine weitere Sicherheitsstufe ist nicht eingeplant. Entsprechende Geräte kann man problemlos für einen erschwinglichen Preis im Internet kaufen. Bei den meisten getesteten Geräten war lediglich eine gewisse räumliche Nähe nötig, um die Steuerungseinheit mit dem eigentlichen Schrittmacher zu verbinden – und bei einigen nicht einmal das. Denn sie tauschen ihre Daten mit einem Cloud-Speicher aus, über den eigentlich der behandelnde Arzt auf die Patientendaten zugreifen soll.

Noch ist kein Fall bekannt, bei dem ein Herzschrittmacher von Kriminellen gekapert wurde. Auch WhiteScope legt die Sicherheitslücken in seiner Studie nicht offen, um die Patienten zu schützen. Trotzdem zeigt der Fall eindrücklich, dass die Hersteller von Medizinprodukten dem Thema Cyber-Sicherheit noch nicht den nötigen Stellenwert einräumen. Sie müssen dringend dazulernen, um die Sicherheit ihrer Kunden nicht zu gefährden.

Seit rund einem Jahr regelt eine Verordnung, welche Unternehmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung unter das 2015 eingeführte IT-Sicherheitsgesetz fallen. In dieser Woche legte das Kabinett nun nach und präsentierte die entsprechende Verordnung für die noch fehlenden Branchen Transport, Verkehr, Finanzen, Versicherungen und Gesundheit. Damit gelten nun deutlich mehr Unternehmen und Einrichtungen als kritische Infrastrukturen und sind von den Regularien des IT-Sicherheitsgesetzes betroffen.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) definiert die betroffenen Unternehmen folgendermaßen: „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Bislang fielen 730 Anlagen in diese Kategorie. Mit der neuen Verordnung erhöht sich diese Zahl um 918 Unternehmen auf 1648. 

Auf das Gesundheitswesen entfallen davon 110 Krankenhäuser sowie 151 Einrichtungen zur Medikamentenversorgung. Im Finanzsektor sind 176 Anlagen für die Bargeldversorgung und 113 Versicherungsdienste betroffen. Für den Verkehrsbereich wurden 56 Anlagen im Schienen- und 79 im Straßenverkehr als KRITIS identifiziert. All diese Unternehmen unterliegen jetzt dem IT-Sicherheitsgesetz und damit besonderen Meldepflichten über Cyber-Attacken. Innerhalb eines halben Jahres müssen sie eine zentrale Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI) einrichten und innerhalb von zwei Jahren einen Mindeststandard an IT-Sicherheit umsetzen und nachweisen.

Diese Mindeststandards sind auch dringend notwendig. Erst im vergangenen Jahr bestätigte Yukiya Amano, der Generalsekretär der Internationalen Atomenergie-Organisation (IAEO), dass es bereits mehrfach Hacker-Attacken auf Atomanlagen gegeben habe. Zwar sei der Betrieb nur in einem Fall gestört worden. Allerdings reicht das gerade in diesem Bereich aus, um eine Katastrophe von weltweitem Ausmaß zu provozieren. 

Doch eigentlich sollten die geforderten Mindeststandards nicht nur in Unternehmen der KRITIS-Kategorie gelten. Auch alle anderen Institutionen müssen sich der Gefahren durch Cyber-Angriffe bewusst sein und entsprechende Maßnahmen ergreifen – im eigenen und im Interesse ihrer Kunden. 

Wer sich ein Video oder einen Film in einer fremden Sprache ansehen möchte, ist dankbar für die Untertitelfunktion. Doch dass diese kleinen praktischen Textfelder eine Sicherheitslücke darstellen könnten, daran dachte kaum jemand – bis jetzt, denn die Sicherheitsfirma Check Point hat herausgefunden, dass genau diese Untertiteldaten bei vielen Mediaplayern als Einfallstor für Schadcode genutzt werden können. Auch beliebte Player wie VLC, Popcorn Time und Kodi sollen betroffen sein. Insgesamt spricht das Unternehmen von etwa 200 Millionen Nutzern.

Offenbar lassen sich die im Video mitgelieferten Untertiteldateien manipulieren, wodurch die Kriminellen Schadcode einschleusen können. Wie genau das funktioniert, erklärt Check Point nicht, um keine neue Angriffswelle zu provozieren. Vermutlich bereinigen die Mediaplayer die mitgelieferten Daten nicht auf unerwünschte Befehle, sondern führen die Untertitel einfach ungeprüft aus. Verschärft wird die Problematik dadurch, dass es kein einheitliches Format für Untertiteldateien gibt. Check Point spricht von 25 unterschiedlichen Varianten, alle mit anderen Funktionsweisen. Dadurch ist es aufwendig, Schutzmechanismen in die Mediaplayer zu integrieren.

Für den Nutzer ist es kaum möglich, sich vor einem Video mit verseuchten Untertiteln zu schützen. Da auch im beruflichen Kontext häufig Video-Tutorials zur Anwendung kommen, besteht hier möglicherweise eine nicht zu unterschätzende Gefahr. Weil Arbeitsplatzcomputer häufig nicht über die technische Voraussetzung zur Sound-Wiedergabe verfügen, könnte diese Einfallmöglichkeit für Kriminelle gerade am Arbeitsplatz neue Wege eröffnen. Wer die Untertitel eines solchen Films aktiviert, führt damit nämlich gleichzeitig den Schadcode aus, ohne es zu merken. Und selbst das ist in einigen Fällen nicht nötig, denn viele Mediaplayer beziehen mit den Grundeinstellungen die Untertiteldateien aus vertrauten Verzeichnissen automatisch. So liegen die Daten schon vor, noch bevor sich der Nutzer entschließt, sie zu nutzen. Für eine potenzielle Angriffswelle benötigen Hacker also nur noch ein Video zu einem beliebten Thema, mit einer Tonspur in einer wenig verbreiteten Sprache, eine entsprechend präparierte Untertiteldatei sowie möglichst gute Bewertungen in den Videoportalen, um Nutzer anzulocken.

Einige Hersteller der genannten Mediaplayer haben inzwischen auf die Warnungen von Check Point reagiert und aktualisierte Versionen bereitgestellt, bei denen die Sicherheitslücke behoben ist. Wer also Popcorn Time, Kodi, Streamio oder den beliebten VLC-Player nutzt, sollte schleunigst auf die aktuellste Version der Software umsteigen. Die entsprechenden Updates sind auf den jeweiligen Webseiten zu finden.

Eine globale Cyber-Attacke sorgt seit Freitagabend weltweit für Schrecken. Seit den ersten Meldungen aus Großbritannien hat sich die Erpresser-Software WannaCry weltweit sprunghaft ausgebreitet. Nicht nur Privatpersonen, sondern vor allem große Unternehmen und Institutionen sind betroffen: Der National Health Service in Großbritannien konnte in den angegriffenen Krankenhäusern und Praxen seine Patienten nicht mehr versorgen und musste sie in andere Kliniken umleiten oder nach Hause schicken. Reisende in Deutschland mussten sich bei der Deutschen Bahn mit ausgefallenen Anzeigetafeln und Fahrkartenautomaten herumschlagen und in Spanien und Portugal waren die Telekommunikationsunternehmen Telefónica und Portugal Telecom betroffen.

Von Schweden bis Taiwan häuften sich über das Wochenende die Meldungen über angegriffene Unternehmen. Doch wie kann man sich vor einer solchen Attacke schützen? Nun, zum einen, indem man ein aktuelles Betriebssystem benutzt und regelmäßig alle Sicherheitsupdates einspielt. Von der aktuellen Attacke mit WannaCry waren beispielsweise nur Rechner mit Betriebssystemen betroffen, die von Microsoft nicht mehr mit Patches versorgt werden. Und zum anderen, indem man mit offenen Augen im Netz unterwegs ist, also keine Anhänge unbekannter Herkunft öffnet oder dubiose Links anklickt. Auch regelmäßige Sicherungskopien auf externen Speichern helfen im Schadensfall, denn so lässt sich zumindest ein großer Teil der Daten wiederherstellen.

Diese Vorsichtsmaßnahmen gelten natürlich nicht nur im Zusammenhang mit WannaCry, denn auch wenn die Ausbreitung des Kryptotrojaners aktuell gestoppt wurde, können sich die Nutzer sicher sein, dass früher oder später der nächste Angriff erfolgt. So hat die Hacker-Gruppe Shadow Brokers, die auch die Sicherheitslücke hinter WannaCry bekannt gemacht hat, bereits angekündigt, dass sie noch einiges in Petto hat. Nach einem Social-Media-Post will die Gruppe im Juni weitere Sicherheitslücken bekannt machen. Welche das sind, lassen die Hacker offen, allerdings sollen sowohl Browser und Router als auch das Betriebssystem Windows 10 betroffen sein. Der Plan der Kriminellen ist ein Abo-Modell, bei dem andere Hacker einen Betrag X zahlen und dafür regelmäßig neue Exploits geliefert bekommen. Außer es findet sich bis Juni ein zahlungskräftiger Kunde, der das Paket in einem kauft. Angeblich verfügen die Shadow Brokers außerdem über Netzwerkdaten des SWIFT-Bankensystems und Daten aus den Atom- und Raketenprogrammen von Nord Korea, Iran, China und Russland. Das mag stimmen oder auch nicht – sicher ist jedoch, dass WannaCry nicht der letzte Cyber-Angriff dieser Größenordnung sein wird. Sowohl Unternehmen als auch Privatpersonen tun also gut daran, bereits jetzt die passenden Schutzmaßnahmen zu ergreifen und auf aktuelle Betriebssysteme umzusteigen.

Wird eine Sicherheitslücke als „This is crazy bad“ und „worst Windows remote code exec in recent memory“ bezeichnet, dann muss es wirklich schlimm sein. Die Sicherheitsforscher Tavis Ormandy und Natalie Silvanovich von Googles Project Zero haben solch eine Lücke in der vergangenen Woche in der Antiviren-Engine des Windows-Betriebssystems gefunden. Auf Twitter machte Ormandy sich mit den oben genannten Sätzen Luft. Doch im Gegensatz zu den letzten Enthüllungen von Project Zero konnte Microsoft den Fehler vor dem Bekanntwerden der Details über ein ungeplantes Update beheben.

Die Sicherheitslücke wurde in der Malware Protection Engine, die seit Windows 8 standardmäßig aktiviert ist und von Microsoft Defender genutzt wird, gefunden – also ironischerweise in einem Teil des Betriebssystems, das vor Viren und anderer Malware schützen sollte. Durch einen sogenannten Type-Confusion-Fehler werden die Eingabewerte bei der Überprüfung von JavaScript-Codes nicht ausreichend analysiert. Dieser Check erfolgt bei jedem Dateizugriff. Das wiederum führt dazu, dass Kriminelle lediglich eine infizierte Datei auf einen Rechner schmuggeln müssen, um die Kontrolle zu übernehmen.

Microsoft hat die Lücke inzwischen über ein Notfall-Update für alle Betriebssysteme ab Windows 7 geschlossen. Wer also die automatischen Updates aktiviert hat, muss sich keine Sorgen darüber machen, dass Kriminelle diese Sicherheitslücke ausnutzen könnten. Ist man allerdings nicht sicher, lohnt sich ein Blick in die Update-Historie. Dort sollte die aktuelle Defender-Version .1.13704.0 installiert sein. Ist sie das nicht, kann man das Update auch manuell anstoßen, indem man den Windows Defender startet und ihn nach Updates suchen lässt.

Zusätzlich zu diesem außerplanmäßigen Update stand am Dienstag auch der reguläre Microsoft Patchday an, bei dem weitere sicherheitsrelevante Updates ausgeliefert wurden. Zum Beispiel für die Webbrowser Edge und Internet Explorer oder den Flash Player. Dass Microsoft trotz der zeitlichen Nähe zum regulären Patchday auf die Erkenntnisse von Project Zero regiert hat, zeigt, wie gravierend die nun geschlossene Sicherheitslücke offenbar war.

Es ist die Horrorvorstellung eines jeden Bankkunden: Plötzlich ist das Konto leergeräumt oder noch schlimmer, steht weit in den Miesen. So ist es kürzlich offenbar einigen Kunden des Mobilfunkanbieters O2 ergangen. Kriminelle haben sich eine Sicherheitslücke im Mobilfunknetz zunutze gemacht, um das eigentlich als sicher geltende Online-Banking-Verfahren mTAN auszuhebeln.

Doch von vorne: Beim mTAN-Verfahren handelt es sich um ein zweistufiges Sicherheitsverfahren, bei dem der Bankkunde zusätzlich zu seinen Log-in-Daten für jede Transaktion ein einmaliges Kennwort auf sein Handy geschickt bekommt. Es wird von fast allen Banken angeboten und galt bislang als relativ sicher. Doch offenbar haben Betrüger eine Möglichkeit gefunden, das System zu überlisten und Geld auf die eigenen Konten zu überweisen. In einem ersten Schritt brachten sie Bankkunden durch eine Phishing-Mail dazu, ihre Zugangsdaten wie Kontonummer, Kennwort und Handynummer auf einer gefälschten Webseite einzugeben. Diese Daten reichten den Kriminellen aus, um sich einzuloggen.

Um die mTANs schließlich umzuleiten, nutzten sie eine Schwachstelle im sogenannten SS7-Netzwerk der Mobilfunkanbieter. SS7 wird benötigt, um SMS in fremde Netze zu verschicken oder Telefonate im Ausland bereit zu stellen – und eben auch, um eine Umleitung von eingehenden SMS auf eine andere Rufnummer einzurichten. Eigentlich sollte außer dem Mobilfunkanbieter niemand Zugriff auf dieses Netzwerk haben. Die Hacker hatten jedoch eine Möglichkeit gefunden und konnten daher die eingehenden mTANs ganz komfortabel auf ihre eigenen Handys umleiten. Und damit hatten sie alle Daten, um die Konten der Opfer leer zu räumen.

Es ist hinlänglich bekannt, dass sich Kriminelle immer wieder neue Mittel und Wege einfallen lassen, um die Sicherheitsvorkehrungen beim Online-Banking zu umgehen. Umso schlimmer, dass die Sicherheitslücke im aktuellen Fall bereits seit 2014 bekannt ist und die Mobilfunkanbieter daher eigentlich ausreichend Zeit hatten, sie zu schließen. Doch das ist offenbar nicht geschehen, denn im Darknet werden Zugänge zum SS7-Netzwerk bereits für rund 1.000 Euro gehandelt, wie der Sicherheitsforscher Hendrik Schmidt der Süddeutschen Zeitung berichtete. Und nicht nur O2, sondern auch andere Netzprovider weltweit sind betroffen. Dabei wäre es relativ einfach, den Kriminellen die Tour zu vermasseln, indem man die Funktion der Rufumleitung durch Provider im Ausland einfach blockiert.

Die Kunden selbst können sich vor der Masche nur beim ersten Schritt schützen, indem sie Vorsicht walten lassen, wenn sie ihre Daten eingeben. Zwar werden Phishing-Mails immer professioneller und die Seiten sehen denen der Banken oft täuschend ähnlich. Ein Blick auf die URL in der Adressleiste offenbart aber meist Unterschiede zur offiziellen Webadresse der Bank. Wer ganz sicher gehen will, sollte sich einen TAN-Generator zulegen und auf das PushTAN-Verfahren umstellen. So eliminieren Bankkunden die Schwachstelle Mobiltelefon aus dem Online-Banking-Prozess.

Anfang der Woche stellte Bundesinnenminister Thomas de Maizière die aktuelle Polizeiliche Kriminalstatistik 2016 in Berlin vor. Die Zahlen sind erschreckend. Mit rund 82.649 registrierten Fällen haben sich die Vorkommnisse von Cyber-Kriminalität „im engeren Sinne“ im Vergleich zum Vorjahr nahezu verdoppelt.

Beim Computerbetrug gab es einen deutlichen Rückgang von 23.562 auf 14.722 Fälle. Beim Ausspähen und Abfangen von Daten stieg die Zahl leicht von 9.629 auf 10.638. Um ganze 25 Prozent stiegen die Fälle von Computersabotage. Hier wurden 2016 4422 Vorkommnisse registriert. Hierzu zählen u. a. DDoS-Attacken. Dabei schicken die Täter massenhaft Anfragen an eine Webseite oder einen Dienst, bis dieser zusammenbricht. Oft erfolgt die Attacke mithilfe eines sogenannten Botnetzes. Besondere Bekanntheit erlangte im vergangenen Jahr Mirai, das tausende Telekom-Router lahmlegte.

Die Aufklärungsquote konnte insgesamt um 5,9 Prozent auf 38,7 Prozent erhöht werden – doch nicht in jedem Bereich. Für die Aufklärung von Computersabotage sank die Quote sogar um 4,6 auf 22,1 Prozent. Ein großes Problem der Polizei ist, dass sich die Kriminalität in einer vernetzten Welt zunehmend internationalisiert. Nur wenn die Taten in Deutschland begangen wurden oder zumindest ein begründeter Verdacht hierfür vorliegt, erscheinen sie in der Statistik. Stehen die Server im Ausland, sieht die Sachlage anders aus. Um auch diese Fälle zu erfassen, plant das BKA einen separaten Lagebericht, der jedoch erst für 2017 erstellt wird.

Und noch ein weiteres Problem zeigt die Statistik nicht: Die unglaublich hohe Dunkelziffer der Straftaten, die nicht zur Anzeige gebracht und damit gar nicht erst erfasst wurden. So erklärte der Vorsitzende des Bundes Deutscher Kriminalbeamter, André Schulz, gegenüber der Zeitung „Welt“, dass rund 90 Prozent der Fälle von Cyber-Kriminalität nicht angezeigt würden. Den tatsächlichen Schaden schätzt Schulz daher auf einen zweistelligen Milliardenbetrag.

Die Statistik zeigt dennoch, dass Cyber-Kriminalität auf dem Vormarsch ist und vor allem die Fälle von Computersabotage zunehmen. Unternehmen und private Internetnutzer müssen lernen, sich zu schützen – nicht nur durch technische Maßnahmen, sondern auch indem sie im Netz auf der Hut sind.

Die Verwendung von Open-Source-Komponenten ist für Software-Entwickler eine praktische Sache: Sie verringern sowohl den Zeit- als auch den Kostenaufwand. Produkte können so schneller auf den Markt gebracht werden. Doch sie sind nicht nur für Unternehmen äußerst attraktiv, sondern auch für kriminelle Hacker. Denn viele populäre Open-Source-Codes sind fehlerbehaftet und beinhalten – häufig sogar seit langem bekannte – Sicherheitslücken. Das zeigt die Studie „2017 Open Source Security & Risk Analysis“ der Sicherheitsexperten von Black Duck.

Für die Studie wurden über 1.000 kommerzielle Anwendungen auf Sicherheitslücken in den Open-Source-Bestandteilen der Software untersucht. Insgesamt nutzten rund 96 Prozent der Anwendungen im Schnitt 147 Open-Source-Bestandteile, die rund ein Drittel des gesamten Codes ausmachten. Das ist nicht verwerflich. Außerdem wäre es nicht besonders schlimm, wenn nicht etwa 67 Prozent der analysierten Programme Open-Source-Code mit Sicherheitslücken nutzen würden, die seit mehr als vier Jahren bekannt sind. Sogar weithin bekannte Sicherheitslücken wie der Open-SSL-Bug Heartbleed konnten noch nachgewiesen werden – obwohl es bereits seit Jahren Patches gibt, mit denen das Leck einfach gestopft werden könnte.

Die Open-Source-Experten von Black Duck warnen in ihrer Studie davor, dass die Nutzung von fehlerhaftem Open-Source-Code ein ernsthaftes Sicherheitsrisiko für eine Anwendung darstellen kann, denn die meisten Lücken und Exploits sind öffentlich bekannt und über Datenbanken abrufbar. Das wissen auch kriminelle Hacker und suchen gezielt Anwendungen, in die sie ohne großen Aufwand eindringen können. Würde man die bereits vorhandenen Updates der Open-Source-Bestandteile einspielen, könnte man den Angreifern das Leben wesentlich schwerer machen. Doch das tun die wenigsten, denn dazu müsste man zum einen wissen, welche Open-Source-Codes man verwendet und zum anderen regelmäßig nach Updates suchen. Denn anders als bei bezahlter Software sind Updates bei Open-Source-Lösungen eine Hol- und keine Bringschuld.

Um zu vermeiden, dass Anwendungen unnötig angreifbar sind, empfiehlt Black Duck ein vollständiges Inventar der verwendeten Open-Source-Codes zu erstellen und diese regelmäßig auf bekannte Sicherheitslücken zu überprüfen. Das ist beispielsweise in der National Vulnerability Database möglich.

Die gesamte Studie kann auf der Seite von Black Duck unter https://www.blackducksoftware.com/open-source-security-risk-analysis-2017 heruntergeladen werden.

In dieser Woche war wieder Patchday bei Microsoft, das heißt, es wurden zahlreiche Sicherheits-Updates des Betriebssystems sowie mehrerer Programme des Software-Riesen ausgespielt. Nutzer sollten diese Updates nicht auf die lange Bank schieben. Denn diese schließen auch kritische Sicherheitslücken, beispielsweise in Microsoft Office.

In der letzten Zeit häuften sich die Meldungen über Infektionen mit dem Banking-Trojaner Dridex. Dieser verbreitete sich durch eine der nun geschlossenen Lücken in Microsoft Office. Um sich die Schad-Software einzufangen, reichte es, eine infizierte Word-Datei zu öffnen. Die Dateien haben Hintermänner millionenfach über das gewaltige Necurs-Botnetz per E-Mail verbreitet. Word warnt vor verdächtigen Links im Dokument, allerdings zu spät, denn dann ist der Computer bereits mit Dridex kompromittiert. Grundsätzlich empfiehlt es sich, Dateianhänge bei E-Mails von unbekannten Absendern überhaupt nicht zu öffnen. Wer das letzte Update noch nicht durchgeführt hat, sollte besonders vorsichtig sein.

Doch der Patchday in dieser Woche ist nicht nur aufgrund der Bedrohung durch Dridex erwähnenswert. Er läutet außerdem das Ende von Microsofts Betriebssystem Vista ein. Am 11. April 2017 endete der Support und es wurden zum letzten Mal Sicherheits-Updates ausgeliefert. Für Nutzer heißt das ganz konkret: Wenn in Zukunft Sicherheitslücken entdeckt und bekannt werden, gibt es von Microsoft keine Patches mehr, um sie zu schließen. Damit wird das Betriebssystem immer unsicherer, je länger das letzte Update zurückliegt.

Nutzer, die also noch Computer mit Vista-Software im Einsatz haben, sollten sich dringend um ein neues Betriebssystem kümmern und auf eine der unterstützten Versionen umsteigen. Unter Umständen kann das auch bedeuten, dass ein neuer Computer angeschafft werden muss. Dann nämlich, wenn der vorhandene Rechner die grundlegenden technischen Systemanforderungen für Windows 7 oder 10 nicht erfüllt. Und selbst wenn es technisch gerade so möglich ist, kann es den Rechner so verlangsamen, dass ein sinnvolles Arbeiten nicht möglich ist. Auch andere Geräte wie Drucker, Trackballs oder Scanner sollten vor dem Umstieg auf Kompatibilität überprüft werden, damit man später keine bösen Überraschungen erlebt. 

„Es könnte der schlechteste Code sein, den ich je gesehen habe“, sagte Amihai Neidermann kürzlich über Samsungs Betriebssystem Tizen. Der Sicherheitsforscher hat sich die Software, die in Deutschland hauptsächlich auf SmartTVs und Wearables zum Einsatz kommt, einmal genauer angesehen. Im Interview mit dem News-Portal Motherboard erklärte er, dass „alles, was man falsch machen konnte, auch falsch gemacht worden ist“. Rund 40 offene Sicherheitslücken hat Neidermann identifiziert, die im schlimmsten Fall dazu führen, dass Kriminelle das Gerät komplett übernehmen.

Insbesondere drei Faktoren hat der Sicherheitsforscher als problematisch hervorgehoben. So kommt die heute eigentlich nicht mehr gebräuchliche Funktion „Strcpy()“ an gleich mehreren Stellen der Software zum Einsatz. Damit lassen sich Daten im Speicher kopieren und an anderer Stelle wieder einfügen. Das Problem: Der Funktion ist es egal, ob am Zielort ausreichend Speicherplatz für die kopierten Stellen zur Verfügung steht. Ist das nicht der Fall, kommt es zu einem Pufferüberlauf, der das System angreifbar macht.

Ebenfalls bedenklich ist die Anbindung von Tizen an den systemeigenen Appstore. Dieser ist nämlich mit den maximalen Nutzerrechten ausgestattet. Zwar sollen eigentlich nur Apps installiert werden können, die von Samsung signiert und damit als sicher gekennzeichnet wurden. Allerdings ermöglicht die unsaubere Programmierung der Software, diesen Schutz zu umgehen. Neidermann gelang dies, indem er vor der Überprüfung einen Speicherfehler provozierte. Und als würden diese beiden Fehler nicht schon ausreichen, überträgt Tizen sensible Daten zum Teil unverschlüsselt, da nicht überall HTTPS zum Einsatz kommt.

Derzeit stattet Samsung zahlreiche Geräte mit seinem hauseigenen System aus. Während die mit Tizen betriebenen Smartphones hauptsächlich in Russland und Indien zum Einsatz kommen, laufen hierzulande hauptsächlich Internet-of-Things-Geräte wie Fernseher und Wearables mit dem Betriebssystem. Geplant sind laut Samsung darüber hinaus smarte Kühlschränke und Waschmaschinen. Auch Smartphones mit Tizen könnten künftig in Deutschland erhältlich sein.

Enttäuschend ist aber nicht nur die Programmierqualität von Tizen, sondern auch Samsungs Umgang mit den Sicherheitslücken. Denn obwohl Neidermann laut eigener Aussage das Unternehmen schon vor Monaten über die Missstände informiert hat, sind bislang keine Patches in Sicht. Im Gegenteil: Der Forscher wurde mit einer Standard-Mail abgespeist. Erst nachdem Motherboard über Neidermanns Ergebnisse berichtet hatte, reagierte das Unternehmen und kündigte an, mit ihm im Rahmen seines Smart-TV-Bug-Bounty-Programms zusammenarbeiten zu wollen. Es bleibt abzuwarten, ob sich nun tatsächlich etwas tut und entsprechende Anpassungen an der Software vorgenommen werden – wünschenswert wäre es, vor allem in Anbetracht der steigenden Gefahr durch Botnetze wie Mirai, die es auf smarte Geräte abgesehen haben.

Ransomware und Spionage-Software sind nicht die einzigen Probleme, mit denen sich Internetnutzer aktuell herumschlagen müssen. Erst kürzlich wurde eine neue Schad-Software entdeckt, die sich in Browsern versteckt und dort Suchergebnisse gegen manipulierte Daten austauscht. Das Programm namens Crusader kann so den nichtsahnenden Nutzer auf Affiliate-Seiten umleiten, an denen die Hintermänner verdienen oder Telefonnummern, etwa für den Kundensupport großer Unternehmen, in den Suchergebnissen durch eigene ersetzen. Ruft man die eingeblendete Nummer an, landet man in einem Call-Center, das sich auf Support-Betrug spezialisiert hat.

Diese Masche ist in den letzten Jahren immer beliebter geworden, um hilfesuchenden Internetnutzern das Geld abzuknöpfen. In einer Microsoft-Studie gab die Hälfte aller Befragten an, dass sie bereits mit falschen Microsoft-Mitarbeitern zu tun hatten. Klassischerweise rufen Call-Center-Agenten die Nutzer an und geben sich als Support-Mitarbeiter aus. Die Gefahr, dass der Angerufene ein Microsoft-Produkt nutzt, ist dabei ziemlich hoch. Dann wird man in ein Gespräch verwickelt, in dem der falsche Mitarbeiter mit zahlreichen Argumenten versucht, sich Zugang zum Rechner seines Gesprächspartners zu verschaffen. Das schafft der Betrüger etwa dadurch, dass er sein Opfer ein Fernwartungsprogramm installieren lässt. Wer sich darauf einlässt, hat bereits verloren. Denn nun können die Betrüger im Prinzip die volle Kontrolle über das Gerät übernehmen – vom Einschleusen von Schadprogrammen über Keylogger bis hin zum Anschluss an ein Botnetz ist alles möglich.

Crusader dreht nun den Spieß um, indem er die Nutzer beim Betrüger anrufen lässt. Hilfesuchende, die sich an den Support eines Unternehmens wenden wollen, werden so direkt in die Arme der Betrüger geleitet. Darüber hinaus werden sie in Sicherheit gewogen. Immerhin denken sie, dass sie mit dem Kundendienst eines renommierten Unternehmens sprechen. Das erleichtert den Call-Center-Betrügern die Arbeit zusätzlich, denn die Nutzer sind dann eher bereit, die Fernwartung zu akzeptieren!

Eine weitere Einsatzmöglichkeit für Crusader sind sogenannte Affiliate-Links. Diese basieren auf dem Prinzip der Vermittlerprovision und enthalten einen speziellen Code, über den ein Besucher einem bestimmten Vermittler, beispielsweise einer Webseite, zugeordnet wird. Crusader tauscht in den Suchergebnissen die normalen Seiten gegen seine Affiliate-Links aus, wodurch die Hintermänner mit jedem Klick fleißig mitverdienen ohne sich anzustrengen.

Deutsche Nutzer müssen sich aktuell noch nicht vor Crusader fürchten, denn offenbar befindet sich die Schad-Software noch in der Testphase. Derzeit wird sie nur aktiv, wenn sich der befallene Rechner in Indien befindet. Ob das Programm bereits Computer in anderen Ländern infiziert hat, ohne aber aktiv zu werden, ist nicht bekannt. Sicher ist jedoch: Sollte sich Crusader als erfolgreich und lukrativ erweisen, ist es nur eine Frage der Zeit, bis er auch bei uns für Schäden sorgt. 

Anfang des Monats wurde bekannt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) zahlreiche Parteien, Ministerien und Organisationen vor veralteten und damit unsicheren Versionen ihrer Cloud-Dienste Owncloud und Nextcloud warnte. Bei einer Weiterverwendung der Daten sollen Daten und interne Informationen von Dritten ausgespäht und für ihre Zwecke genutzt werden können. Außerdem gebe es Schwachstellen in den Systemen, über die Programmcodes auf dem Cloud-Server ausgeführt werden können. Dies könnte das System vollständig kompromittieren.

Nun hat das BSI Bilanz gezogen, inwieweit seine Warnungen auf fruchtbaren Boden gefallen sind. Die Zahlen sind ernüchternd: Nur rund 20 Prozent der betroffenen Nutzer haben bislang reagiert und die Updates eingespielt. Das ist nicht viel, vor allem wenn man sich ansieht, wen das BSI angeschrieben hat. Von der AfD über die Grünen bis hin zum Büro der Vereinten Nationen in Genf – sie alle haben sensible Daten auf ihren Cloud-Servern, die momentan nicht optimal geschützt sind.

Für die veralteten Versionen von Owncloud und Nextcloud stehen längst entsprechende Updates zur Verfügung. Die Anbieter haben sogar Tools bereitgestellt, mit denen Nutzer prüfen können, ob ein Update nötig ist. Doch der Teufel steckt wie immer im Detail, denn der Update-Vorgang ist insbesondere bei Owncloud offenbar störungsanfällig. Wie das Newsportal GOLEM berichtet, wurde für einen Test die Version 9.1.2 von Owncloud installiert. Obwohl inzwischen die Version 9.1.4 verfügbar gewesen wäre, erschien kein Hinweis auf ein dieses Update. Erst nach einigem Herumprobieren in den Einstellungen wurde das Update angezeigt. Doch damit nicht genug, denn das Update konnte anschließend nicht beim ersten Versuch installiert werden. Das war erst nach einigen Minuten möglich.

Das gleiche Problem konnte der Redakteur auch in seinem Nextcloud-Account beobachten. Obwohl das Update bekanntermaßen zur Verfügung stand, wurde es im Updater des Programms nicht angezeigt. Die Alternative wäre ein manuelles Update. Doch das dürfte viele Nutzer vor eine fast unlösbare Aufgabe stellen. Nur die wenigsten kennen sich mit Kommandozeilen-Tools und dem Zugriff auf die Konsole aus.

Der Fall zeigt, wie wichtig es ist, dass Software-Anbieter einen einfachen, problemlosen und wenn möglich automatischen Update-Prozess für ihre Kunden bereitstellen. Je schwieriger, störungsanfälliger und komplizierter es ist, ein Programm auf dem aktuellen Stand zu halten, desto mehr Nutzer werden entnervt aufgeben. Verzichten die User auf künftige Updates, sind immer größere Datenmengen weitgehend ungeschützt im Netz. 

Ein Hackerangriff hat in dieser Woche für Aufsehen gesorgt. Auf zahlreichen, teils sehr prominenten Twitter-Accounts waren plötzlich türkische Propagandabotschaften in Verbindung mit Nazisymbolik, den Hashtags #Nazialmanya und #Nazihollanda und der Botschaft „Wir sehen uns am 16. April“ aufgetaucht. An diesem Datum findet in der Türkei das von Präsident Erdogan angestrebte und vieldiskutierte Referendum zum Präsidialsystem statt. Zu den gehackten Konten zählen die offiziellen Accounts von Boris Becker, Klaas Heufer-Umlauf, ProSieben, Amnesty International, Welt, Forbes und Borussia Dortmund. Zwar liefern die geposteten Inhalte gewisse Hinweise, doch noch steht nicht fest, wer hinter den Attacken steckt. Wie die Hacker vorgegangen sind, ist dagegen inzwischen klar.

Zugangstor war die App „The Twitter Counter“, mit deren Hilfe Twitter-Nutzer einfach und schnell Statistiken und Analysen zu ihren Follower-Zahlen abrufen können. Um zu funktionieren, verlangt die App umfangreiche Zugriffsrechte auf den betreffenden Account. Nutzer mussten ihr Lese- und Schreibrechte zugestehen, wodurch die App nicht nur Tweets analysieren, sondern auch absetzen konnte – und genau hier lag das Problem, denn die Kriminellen mussten für ihren Plan nur noch den Drittanbieter hacken, was offenbar deutlich einfacher war, als Twitter direkt anzugreifen.

Der Fall zeigt ein Problem, das bei vielen Twitter-Accounts zur Gefahr werden kann, denn die Auswertungsmöglichkeiten von Drittanbietern sind für Social Media Manager natürlich interessant. Die Crux ist nur, dass man diesen Apps mindestens Leserechte für den eigenen Account einräumen muss, falls sie nicht, wie „The Twitter Counter“, auch noch direkt nach Schreibrechten verlangen. Insbesondere für Unternehmen können die Konsequenzen für die Reputation im Schadensfall gravierend sein, denn nicht nur offensichtliche Hacker-Angriffe wie in dieser Woche schaden dem Ruf. Auch für Werbespammer und zur Verbreitung von Schad-Software über verlinkte Webseiten ist ein solches Vorgehen durchaus denkbar.

Wer auf Nummer sicher gehen will, sollte die Zugriffsreche auf seinen Twitter-Account so weit wie möglich einschränken und Schreibrechte vermeiden. Eine Liste der freigegebenen Apps ist in den Einstellungen abrufbar. 

Mit der IT-Sicherheit in Krankenhäusern steht es nicht unbedingt zum Besten, wie wir in der Vergangenheit bereits an mehreren Beispielen gesehen haben. Doch bislang drehten sich die Befürchtungen und Vorkommnisse meist um die Sicherheit der Patientendaten und die Verwaltung. Jetzt ist allerdings ein Fall bekannt geworden, bei dem diese Bereiche nicht betroffen waren. Vielmehr gelang es sogenannten White Hats (also Hackern, die Sicherheitslücken aufspüren, um den Betroffenen die Chance zu geben, sie zu schließen), sich in die komplette Haustechnik einer nagelneuen Luxusklinik in der Schweiz einzuklinken.

Die beiden White-Hat-Hacker Tim Philipp Schäfers und Sebastian Neef vom Projekt Internetwache.org waren offenbar selbst sehr überrascht, als sie auf der Suche nach Schwachstellen im Netz auf ungesicherte Geräte einer Schweizer Luxusklinik stießen und sich mit den angezeigten IP-Adressen Zugriff auf die gesamte Haustechnik hätten verschaffen können, vom Licht über die Medizingase im OP bis hin zur Lüftung. Auch genaue Schaltpläne zu den Funktionen der Gebäudesteuerung waren problemlos einsehbar. Zusammen mit einem 3D-Rundgang durch die Klinik auf der Homepage des Betreibers ergaben die Daten laut Schäfers und Neef ein sehr umfassendes Bild der Infrastruktur der Klinik. Da es sich bei dem Krankenhaus um eine Luxusklinik mit der entsprechenden Klientel handelt, mag man sich nicht ausmalen, was Kriminelle mit diesem Wissen anfangen könnten.

Die White Hats meldeten die Sicherheitslücke bereits im vergangenen Jahr an die zuständigen Stellen in der Schweiz und siehe da: Der bisher frei verfügbare Zugang zu den Systemen war innerhalb weniger Tage aus dem Netz verschwunden. In einer Stellungnahme gegenüber der Meldestelle gab die Klinik bekannt, dass die Systeme nur während einer Testphase vor der eigentlichen Eröffnung frei im Netz gestanden hätten. Das mag zwar eine Begründung sein, ist aber keinesfalls eine Entschuldigung. Denn auch während der Testphase hätte sich Schad-Software in den Systemen der Klinik einnisten können, ohne dass jemand davon etwas mitbekommen hätte. Eine entsprechende Anfrage des News-Portals Golem.de, ob das System auf eventuellen Befall untersucht wurde, ließ das Management der Klinik unbeantwortet.

Der Fall zeigt zweierlei:

1. Krankenhäuser sind trotz ihrer elementar wichtigen Rolle immer noch viel zu leicht angreifbar und es fehlt den Verantwortlichen häufig an der nötigen Kompetenz, um alle Bereiche der IT-Sicherheit überblicken und entsprechend handeln zu können.

2. Intelligente Haussysteme, zu denen in kleinerem Maßstab auch bereits Smart-Home-Geräte wie vernetzte Kühlschränke oder Glühbirnen gehören, sind noch immer längst nicht so sicher, wie man glauben mag. Hier sind auch die Hersteller und Software-Anbieter in der Pflicht, ihren Kunden die richtigen Tools an die Hand zu geben und sie auf die Gefahren ungeschützter Smart-Home-Systeme hinzuweisen.

Googles  „Project Zero“ hat es sich zur Aufgabe gemacht, Sicherheitslücken in weit verbreiteten Programmen und Betriebssystemen aufzuspüren und bekannt zu machen. Haben die Sicherheitsexperten einen neuen sogenannten Zero-Day-Exploit entdeckt, wird das entsprechende Unternehmen über die Lücke in seiner Software informiert und hat anschließend 90 Tage Zeit, sie über ein Update zu schließen. Diese Schonfrist ist auch durchaus sinnvoll. Immerhin ist es nicht Ziel des Projekts, kriminellen Hackern neue Angriffsmöglichkeiten zu zeigen, sondern die allgemeine Sicherheit im Netz zu verbessern.

Allerdings hat diese Praxis auch ihre Tücken, wie in den vergangenen Wochen gleich zweimal deutlich geworden ist. Mitte Februar veröffentliche Project Zero eine bislang unbekannte Sicherheitslücke im Betriebssystem von Microsoft. Genau 90 Tage zuvor hatten Googles Sicherheitstechniker das Unternehmen aus Redmond darüber informiert, ein Update mit einem entsprechenden Patch war aber noch nicht ausgeliefert worden. Das sorgte verständlicherweise nicht nur beim Hersteller, sondern auch bei den Nutzern für Unmut, denn ab dem Zeitpunkt der Veröffentlichung konnten Kriminelle die Erkenntnisse von Project Zero für ihre Zwecke ausnutzen. Trotzdem: Google hielt an seiner 90-Tage-Regel fest und veröffentlichte Anfang dieser Woche erneut eine bislang nicht geschlossene Sicherheitslücke, diesmal in Microsofts Browsern Internet Explorer und Edge.

Damit sind aktuell gleich zwei gravierende Sicherheitslücken bei Microsoft bekannt. Im ersten Fall können Kriminelle durch einen Fehler bei der Speicherverarbeitung während des Öffnens von Windows Metafiles Speicher auslesen, im zweiten Fall können CSS und JavaScript dazu genutzt werden, beliebigen Code auf dem angegriffenen Rechner auszuführen. Dazu muss der Nutzer lediglich auf eine infizierte Webseite gelockt oder zur Ausführung des Scripts im Browser gebracht werden. Für beide Probleme wurde bislang keine Lösung geliefert.

Bereits 2015 hatte Microsoft die strikte 90-Tage-Regel scharf kritisiert, als Project Zero eine damals noch neue Lücke bekannt gab, bevor es ein passendes Patch gab. Warum Microsoft aus dieser Erfahrung nicht gelernt und die beiden Sicherheitslecks rechtzeitig geschlossen hat, ist nicht bekannt. Ein Zusammenhang mit dem verschobenen Patchday im Februar lässt sich nur vermuten. Es bleibt also zu hoffen, dass der nächste Patchday im März beide Lücken schließt.

In dieser Woche wurde der mutmaßliche Drahtzieher der Distributed Denial of Service (DDoS)-Attacke durch das Mirai-Botnetz auf Telekom-Router im November letzten Jahres in London verhaftet. Der festgenommene Brite soll den Angriff geleitet haben und daher wegen versuchter Computer-Sabotage in einem besonders schweren Fall vor Gericht gestellt werden. Telekom, BKA und die internationalen Ermittlungsbehörden feiern den Fahndungserfolg und sehen die Verhaftung als Zeichen dafür, dass auch im Internet Recht und Ordnung durchgesetzt werden können. Doch Fakt ist: Mirai ist nur eines der derzeit aktiven Botnetzwerke. Tagtäglich kommt es zu DDoS-Attacken und die Fälle werden immer mehr, wie eine neue Studie des DDoS-Spezialisten Link11 zeigt.

Der aktuelle „DDoS-Report für die DACH-Region“ verzeichnet im 4. Quartal 2016 mit 11.575 Angriffen einen neuen Höchstwert der DDoS-Attacken in Deutschland, Österreich und der Schweiz. Das ist ein Zuwachs von 116,8 Prozent im Vergleich zum Vorjahresquartal. Einem breiteren Publikum ist diese Angriffsart in den letzten Monaten durch einige öffentlichkeitswirksame Angriffe bekannt geworden. So waren die Präsidentschaftskandidaten in den USA während des Wahlkampfs ebenso von Angriffen betroffen wie der Minecraft-Dienstleister OVH und der DNS-Dienstleister Dyn, bei dem Twitter, Netflix und Spotify gehostet werden. Auch der eingangs erwähnte Angriff auf die Telekom-Router im November durch das Mirai-Netzwerk wurde in der Presse heiß diskutiert.

Insbesondere letzteres Beispiel steht für einen sich abzeichnenden Trend: Für die Attacken werden laut Report immer häufiger Botnetze eingesetzt, die ihre Rechenpower aus dem sogenannten Internet of Things beziehen. Damit sind an ein Netzwerk angeschlossene Smart-Home-Geräte gemeint. Leider steht die Datensicherheit bei vielen Herstellern noch nicht ausreichend im Fokus, sodass Kriminelle leichtes Spiel haben und tausende Geräte kapern können.

Eine weitere Erkenntnis der Analyse: Von den meisten der durchschnittlich 126 Attacken pro Tag bekommt die breite Öffentlichkeit kaum etwas mit. Auch von Unternehmern wird die Gefahr durch DDoS-Angriffe unterschätzt, denn nur rund ein Drittel ist vorbereitet und hat einen Aktionsplan für den Fall der Fälle in der Schublade. Wird man dann doch angegriffen, ist die Überraschung groß. Das Ziel der Angreifer ist es meist, ein Lösegeld vom Webseitenbetreiber zu erpressen – und durch die mangelnde Vorbereitung bleibt vielen nichts anderes übrig als zu zahlen.

Sicher ist, die Gefahr durch DDoS-Attacken wird in den nächsten Monaten und Jahren weiter steigen. Insbesondere durch den stetig wachsenden Anteil an Smart-Home-Geräten ohne ausreichenden Schutz, verfügen die Botnetze über immer mehr Rechenleistung und die Intensität der Attacken wird zunehmen. Schutzmaßnahmen zu ergreifen, sollte daher bei jedem Unternehmen auf der Agenda stehen.

Anfang des Monats wurde der Software-Anbieter GitLab offenbar Opfer einer DDoS-Attacke, bei der tausende gleichzeitige Nutzeranfragen die Webseite und schließlich auch die Datenbank in die Knie zwingen sollten. Doch am Ende entpuppte sich der Hackerangriff als weniger gefährlich als die eigenen Mitarbeiter, denn trotz erfolgreicher Abwehr der Attacke fehlten am Ende fast 300 Gigabyte an Kundendaten. Wie konnte das passieren und was können wir daraus lernen?

GitLAb bietet eine Webanwendung zur Versionsverwaltung von Software-Projekten, die auch von großen Unternehmen wie Sony, Bayer oder Alibaba genutzt wird. Als die Attacke am frühen Morgen begann, reagierten die Mitarbeiter von GitLab sofort und suchten nach einem Weg, die Angreifer abzuwehren. Zunächst waren die Bemühungen nicht von Erfolg gekrönt, denn die Webseite war angesichts der Menge an Anfragen kurzzeitig nicht erreichbar. Doch davon bekamen die Kunden erst einmal nichts mit und arbeiteten ganz normal weiter. Dabei  speicherten sie auch, wie immer, die Zwischenstände ihrer Software-Projekte auf den GitLab-Servern – zumindest versuchten sie es, denn während des Absturzes der Seite war ihnen dies nicht möglich.

Bis zu diesem Zeitpunkt hielten sich die Folgen des Angriffs allerdings noch in Grenzen. Das änderte sich, als einer der GitLab-Administratoren einen gut gemeinten Trick anwenden wollte und dabei einen folgenschweren Tippfehler beging. Eine der Hauptattacken konzentrierte sich offenbar auf die leere Datenbank db2. Um diese zu löschen, gab der Administrator den entsprechenden Befehl ein. Im Eifer des Gefechts vertippte er sich jedoch und schrieb statt „db2“ „db1“ – und löschte das Hauptverzeichnis mitsamt den Daten der Kunden. Nach nur einem Klick waren von 300 GB nur noch 4,5 GB vorhanden. Und auch diese nur per Zufall, denn das eigentliche Back-up für diesen Tag war noch nicht durchgeführt worden. Die wiederhergestellten Daten hatte ein Mitarbeiter aus Versehen aufgezeichnet.

Was können wir aus diesem Vorfall lernen? Erstens: Software-as-a-Service- und Cloud-Lösungen sind sicher  praktisch. Allerdings sollte man sich bei der Sicherung seiner Daten nicht nur auf externe Speicher verlassen, denn man weiß nie, was dort alles passieren kann. Zweitens: Selbst wenn man alles richtig macht, können die Folgen eines Hackerangriffs gravierend sein. Daher sollte man so oft wie möglich die Daten in einem Back-up zwischenspeichern, damit im Fall der Fälle so wenig wie möglich verloren geht.  Und drittens: Auch Administratoren sind nur Menschen und können Fehler machen. Wichtig ist es, aus diesen zu lernen. GitLab zeigt hier Größe durch seinen offenen Umgang mit dem Fall und dem Versprechen, alle Vorgänge genau aufzuarbeiten, um sie in Zukunft vermeiden zu können.

Wenn es um die Entwicklung neuer Software-Angebote geht, steht die sogenannte „Customer-Experience“ ganz weit oben auf der Liste der Qualitätsmerkmale. Dabei geht es darum, die Erfahrung im Umgang mit dem Programm möglichst positiv zu gestalten. Der Nutzer soll intuitiv wissen, wie er zum Ziel kommt und unkompliziert Hilfe finden, wenn er doch einmal nicht weiter weiß. Kurz gesagt: Der Kunde steht im Mittelpunkt und soll sich mit seinem Problem ernstgenommen fühlen.

Während sich dieses Prinzip bei den meisten Anwendungen für Smartphone, Tablet und PC inzwischen durchgesetzt hat, war die Customer Experience den Entwicklern von Ransomware verständlicherweise weitgehend egal – der „Kunde“, oder besser gesagt das Opfer, hatte schließlich gar keine andere Wahl als sich mit der Lösung seines Problems, also der Entschlüsselung seiner Daten, selbst zu befassen. Doch nun greift der Service-Gedanke auch bei den Kriminellen um sich, wie der Erpressungstrojaner Spora beweist.

Die Hintermänner bieten ihren Opfern einen Echtzeit-Support für den Bezahlvorgang an – immerhin kann man nicht davon ausgehen, dass sich alle Infizierten mit Bitcoin auskennen – und versuchen, sich eine positive Reputation über ein Bewertungssystem auf der Bezahlwebseite aufzubauen. Auch eine Chat-Funktion gehört zum Service-Angebot. Der Sicherheitsforscher MalwareHunter konnte einige dieser Konversationen einsehen und öffentlich machen. Darin zeigen die Kriminellen Verständnis für die Sorgen und Nöte der Opfer. Sie verlegen Deadlines, räumen Mengenrabatte ein (frei nach dem Motto „Den zweiten Rechner gibt es umsonst“) oder versprechen sogar die kostenfreie Entschlüsselung, wenn man eine positive Bewertung hinterlässt.

Noch gibt es für Spora kein frei verfügbares Entschlüsselungstool, daher bleibt vorerst nur, sich möglichst gut vor einer Infektion zu schützen. Ein gesundes Misstrauen und konstante Aufklärungsarbeit stellen dafür  die beste Basis dar!

Immer mehr Unternehmen und Selbstständige setzen für ihren Online-Auftritt auf die Webanwendung WordPress. Das CMS-System ist einfach zu bedienen, lässt sich an die individuellen Anforderungen anpassen, Änderungen können leicht eingepflegt werden und sie ist wesentlich kostengünstiger, als ein eigenes System aufzusetzen und zu pflegen. Doch wie bei allen Programmen gibt es auch bei WordPress Sicherheitslücken – und je mehr Webseiten auf WordPress basieren, desto lukrativer wird es für Kriminelle, diese auszunutzen. Erst in der vergangenen Woche veröffentlichten die Entwickler von WordPress das Update auf Version 4.7.2. Jetzt hat sich herausgestellt, dass mit der vermeintlich harmlosen Aktualisierung eine kritische Sicherheitslücke in der WordPress-Software geschlossen wurde.

Über einen in der Schnittstelle WordPress REST API versteckten Programmierfehler können externe Angreifer offenbar Schad-Code in die WordPress-Webseiten einschleusen und an beliebiger Stelle platzieren oder aber die Inhalte manipulieren. Nötig dafür ist lediglich eine JSON-Abfrage (JavaScript Object Notation, ein kompaktes Datenformat zum Zweck des Datenaustauschs), über die der Schädling in das CMS geschmuggelt wird. Damit stehen zehntausende Webseiten im Fokus der Kriminellen – und damit auch Millionen von Nutzern. Insbesondere im Zusammenhang mit der Flut an Ransomware-Attacken in den letzten Monaten ist das äußerst beunruhigend. Und nicht nur für die Nutzer der Webseiten kann eine infizierte Webseite schlimme Konsequenzen haben. Der Image-Verlust für die Betreiber sollte ebenfalls nicht außer Acht gelassen werden. Umso mehr erstaunt es, dass die Lösung des Problems in einem völlig unauffälligen Update versteckt wurde, statt die Nutzer zu warnen.

Laut Aussage der Entwickler hatte man sich bewusst dafür entschieden, die unsichere Programmierung zu verharmlosen, um möglichst vielen Nutzern die Möglichkeit zu geben, das Update einzuspielen, bevor das ganze Ausmaß bekannt wurde. Das Problem: Wer Updates nicht automatisch bezieht, weil beispielsweise der Webhoster dabei nicht mitspielt, und die „harmlose Aktualisierung“ bislang nicht aufgespielt hat, steht jetzt im Visier der Hacker – und muss schleunigst handeln! Doch bis bei allen Nutzern bekannt ist, wie wichtig dieses Update ist, stehen auch weiterhin viele Webseiten ungeschützt im Netz und stellen eine Gefahr für die Nutzer dar – vom Leser eines Koch-Blogs bis zum Kunden der Schreinerei im Nachbarort.

Software as a Service, kurz SaaS, ist für viele Unternehmen eine praktische Sache. Dabei wird Software nicht auf dem lokalen Rechner installiert, sondern direkt im Internet genutzt. Bekannte Beispiele im Anwenderbereich sind Gmail, GoogleDocs oder Microsoft Office 365, aber auch Unternehmensapplikationen wie Netsuite oder Salesforce bieten SaaS-Modelle, bei denen direkt aus dem Browser auf Programme und Daten zugegriffen werden kann. Insbesondere kleineren Firmen ohne eigene IT-Abteilung bietet das Konzept Vorteile, denn Software-Updates, eine eigene Server- oder Datenbankstruktur und die damit verbundenen Kosten entfallen durch die Cloud-basierten Lösungen. Nötig ist lediglich eine stabile Internetverbindung.

Diese Vorteile haben jetzt auch Kriminelle für sich entdeckt und so hat sich im Darknet ein neues Geschäftsmodell entwickelt: Ransomware as a Service (RaaS). Damit kann sich jeder mit ausreichend krimineller Energie und ein paar Klicks seinen individuell angepassten Erpressertrojaner im Netz zusammenstellen und anschließend verbreiten. Eigene Programmierkenntnisse sind damit unnötig, schließlich hat man dafür die Spezialisten des Anbieters. Ein Beispiel, das gerade von sich reden macht und kürzlich vom Sicherheitsforscher Xylitol entdeckt wurde, ist die Software Satan, die als RaaS-Lösung im Darknet angeboten wird. Wer schon immer mal von seiner eigenen Ransomware geträumt hat, muss nun lediglich ein Konto auf der Satan-Domain im Darknet eröffnen, dort ein Bitcoin-Konto hinterlegen, die Erpressernachricht verfassen sowie das Lösegeld festlegen – und schon kann er die Malware herunterladen. Lediglich die Verbreitung muss man selbst organisieren, wobei Satan zu diesem Zweck fertige Word-Makros und Windows-Hilfe-Dateien zur Verfügung stellt.

Doch damit nicht genug, schließlich sind die Macher von Satan Dienstleister. Um es den Kunden so bequem wie möglich zu machen, gibt es neben dem eigentlichen Schädling auch Funktionen wie eine Übersicht der Zahlungseingänge und der Transaktionen. Auch ein technischer Kundenservice sowie ein CRM-System, über das man den zahlenden Opfern Kommentare zuweisen kann, sind verfügbar. Vergütet werden die Dienste von Satan über eine Gewinnbeteiligung. Rund 30 Prozent der Einnahmen, die mit der Software generiert werden, werden von Satan eingezogen. Dieser Prozentsatz kann jedoch auch noch sinken – je nachdem, wie viele Rechner infiziert wurden.

Ransomware hat bereits im vergangenen Jahr immer wieder für Schlagzeilen und vor allem für hohe Schäden gesorgt. Durch das neue Geschäftsmodell, Ransomware einfach als Dienstleistung anzubieten, dürfte sich die Situation noch weiter verschärfen, denn die Entwickler von Satan sind längst nicht die einzigen Dienstleister dieser Art und es ist damit zu rechnen, dass die Zahl in Zukunft deutlich anwachsen wird. Damit bleibt nur, im Internet Vorsicht walten zu lassen und sich, soweit es geht, zu schützen.

Krypto-Trojaner haben in den vergangenen Monaten bei Cyber-Kriminellen stark an Popularität gewonnen. Hacker und IT-Sicherheitsexperten befinden sich mittlerweile in einem regelrechten Wettlauf. Die einen versuchen, Verschlüsselungs-Software so weit wie möglich zu verbreiten, die anderen wollen  geeignete Entschlüsselungsverfahren finden. Den zahllosen Opfern dieser Programme bleibt nur, entweder zu bezahlen oder darauf zu hoffen, dass die Whiteheads bald einen Weg finden, die Verschlüsselung zu knacken.

Wer keine Lust hat, den Kriminellen sein Geld in den Rachen zu werfen, um wieder an seine Daten zu gelangen, muss Geduld mitbringen – je nachdem, welches Programm er sich eingefangen hat. Doch es gibt auch Dinge, die man in der Zwischenzeit tun kann. So hat der Sicherheitsforscher Michael Gillespie zwei sinnvolle Tools entwickelt und stellt diese kostenfrei im Netz zur Verfügung.

Über das Portal ID-Ransomware können Betroffene herausfinden, welcher Krypto-Trojaner ihre Daten verschlüsselt hat. Das erleichtert die Suche nach einer passenden Gegenmaßnahme ungemein! Derzeit kann das Portal 283 verschiedene Erpressungstrojaner identifizieren. Dazu kann man entweder eine der verschlüsselten Dateien oder die Datei mit der Nachricht der Kriminellen hochladen. Handelt es sich um einen der bekannten Schädlinge, erhält man den Namen und erfährt, ob es bereits eine entsprechende Entschlüsselungs-Software gibt. Im Zuge des Datenschutzes sollte man jedoch keine sensiblen Dateien für den Test nutzen, denn falls es sich nicht um einen der bekannten Trojaner handelt, werden die Daten an ein Netzwerk von Malware-Analysten weitergeleitet. Das hilft zwar dabei, die Datenbank zu erweitern und schneller eine Entschlüsselung zu finden, ist aber dem Schutz der im Dokument enthaltenen Daten nicht unbedingt zuträglich.

Das zweite Tool, das Gillespie zur Verfügung stellt, nennt sich CryptoSearch und ermöglicht es dem Nutzer, seinen Windows-Rechner nach verschlüsselten Daten zu durchsuchen. Die gefundenen Dateien können dann gesammelt und auf einer externen Festplatte abgelegt werden. Man mag sich fragen, was das bringen soll, aber solange noch keine Entschlüsselungs-Software existiert, kann es durchaus sinnvoll sein, die betroffenen Daten extern – und vor allem gesammelt – abzulegen, denn dann kann man direkt mit der Wiederherstellung beginnen, sobald es ein geeignetes Programm gibt. Ein Pluspunkt: CryptoSearch behält beim Export der verschlüsselten Daten den originalen Dateipfad bei, sodass sich die Daten später leichter zuordnen lassen.

Die Angst vor Hacker-Angriffen und Cyber-Risiken sitzt tief in deutschen Unternehmen. Das ergibt das neue Risk Barometer der Allianz Global Corporate & Specialty SE, das der Industrieversicherer in diesem Jahr bereits zum sechsten Mal veröffentlicht. Um die wichtigsten Unternehmensrisiken zu identifizieren, wurden mehr als 1200 Risikoexperten in über 50 Ländern weltweit zu den Faktoren befragt, die sie als aktuell größte Bedrohung für ihr Unternehmen wahrnehmen. Für 2017 landeten die Cyber-Vorfälle international auf dem dritten Platz. Etwa 30 Prozent der Befragten gaben an, sich über Hacker, Systemausfälle oder Datenschutzverletzungen Sorgen zu machen. Auf Platz eins landete wie in den Vorjahren die Angst vor Betriebsunterbrechungen, allerdings wurden diesmal leicht veränderte Auslöser für die Unterbrechungen angegeben. So wurden auch hier Cyber-Vorfälle als einer der Hauptgründe für die befürchteten Produktionsstopps angegeben. So wurden auch hier Cyber-Vorfälle als einer der Hauptgründe für die befürchteten Produktionsstopps angegeben. Die Sorge um veränderte Marktbedingungen hingegen ist international leicht zurückgegangen, wie die Studie zeigt.

Für Deutschland ergibt sich ein etwas anderes Bild: Hier stehen Cyber-Vorfälle ganz oben auf der Liste, gefolgt von politischen Risiken, die international nur auf Rang acht gelandet sind, und dem Risiko durch neue Technologien. Insbesondere in stark technologisch geprägten Branchen wie der IT, der Telekommunikation, dem Automotive-Bereich und den Finanzdienstleistungen äußerten sich die Befragten besorgt über mögliche Angreifer aus dem Netz.

Das Risk Barometer zeigt damit deutlich, dass das Bewusstsein für Cyber-Risiken in den letzten Jahren kontinuierlich gestiegen ist. Und auch wir bei der 8com sehen bei unserer Arbeit: Langsam, aber sicher beginnen die Verantwortlichen damit, diese Sorge nicht nur zu äußern, sondern tatsächlich aktiv Maßnahmen zu ergreifen, um sich abzusichern. Während in der Vergangenheit dabei die technische Absicherung im Vordergrund stand, nimmt die Nachfrage nach Awareness-Maßnahmen immer weiter zu. Und das ist auch gut so, denn bei einem optimalen Sicherheitskonzept greifen Mensch und Technik optimal ineinander.

Das Risk Barometer 2017 ist hier verfügbar: www.agcs.allianz.com/insights/white-papers-and-case-studies/allianz-risk-barometer-2017/

Das Problem ist bereits seit längerer Zeit bekannt: Mehrere zehntausende MongoDB-Datenbanken stehen ungeschützt im Netz und lassen sich ganz einfach über spezielle Suchmaschinen wie beispielsweise Shodan finden. Bei MongoDB handelt es sich um eines der marktführenden Allzweck-Datenbanksysteme, das dank OpenSource auf viele unterschiedliche Anforderungen hin angepasst werden kann. Allein in Deutschland waren vor gut einem Jahr jedoch rund 1.200 dieser Datenbanken ohne weitere Authentifizierung zugänglich. Offenbar nutzen viele MongoDB-Administratoren immer noch alte Versionen der Open-Source-Datenbank, die in der Standardkonfiguration über das Internet für jeden auffindbar sind. Aber auch neuere Versionen stehen frei im Netz. Da sie standardmäßig keine Verbindungen von außen zulassen, haben viele Admins diese offenbar unsicher konfiguriert, wodurch einzelne Ports Verbindungen zum Internet zulassen.

Diese Sicherheitslücken macht sich derzeit ein Hacker mit dem Pseudonym Harak1r1 zunutze. Er sucht gezielt ungesicherte MongoDB-Datenbanken und räumt die gespeicherten Daten ab. Das einzige, was der Nutzer nach dem Angriff vorfindet ist eine Nachricht, dass 0,2 Bitcoin, also rund 200 Euro zu zahlen wären, wenn er seine Daten wiederhaben möchte. Nach Auswertungen von Blockchain.info hat bereits eine Reihe von Opfern, das Lösegeld gezahlt.

Das Vorgehen von Harak1r1 erinnert an die vielen Erpressertrojaner, die im vergangenen Jahr für Kummer im Netz gesorgt haben. Und obwohl 0,2 Bitcoin vergleichsweise günstig erscheinen, ist es unter diesen Umständen fast schon verwunderlich, dass Hacker mit dieser Sicherheitslücke noch nicht deutlich höhere Schäden angerichtet haben! Bedenkt man, dass nicht nur MongoDB-Datenbanken, sondern auch CouchDB-, Redis,- Riak- und Cassandra-Datenbanken betroffen und teils frei im Netz verfügbar sind, birgt Harak1r1s Vorgehensweise ein gewaltiges Schadenspotenzial, gegen das dringend etwas getan werden muss.

Im Sommer hatten sich Union und SPD darauf geeinigt, dass die pauschale Haftung der WLAN-Betreiber für Urheberrechtsverletzungen, die über ihren Anschluss begangen wurden, wegfällt. Damit soll der WLAN-Ausbau in Deutschland vorangetrieben werden. Betreiber von offenen WLAN-Netzwerken können sich nach den Plänen auf das sogenannte Providerprivileg berufen, wodurch sie nicht mehr für die Inhalte der übertragenen Daten verantwortlich gemacht werden können (mehr dazu im Beitrag vom 08. Juni 2016). Das ist wichtig für gewerbliche Anbieter wie Cafés, Arztpraxen oder Fitnessstudios, hat jedoch für private Internetanschlüsse mit WLAN kaum eine Bedeutung. Ganz im Gegensatz zu einem aktuellen Urteil des Bundesgerichtshofs, über das sich viele private Anschlussinhaber freuen dürften.

Die Rechteinhaberin des Films „The Expendables 2“ hatte gegen die Eigentümerin eines WLAN-Anschlusses wegen Urheberrechtsverletzung auf Zahlung von Schadenersatz geklagt. Ein Unbekannter hatte sich im November und Dezember 2012 unberechtigt Zugang zum Netzwerk der Beklagten verschafft und den Film über ein Filesharing-Netzwerk öffentlich zugänglich gemacht. Die Klägerin war der Meinung, dass die Anschlussinhaberin hierfür haftet, da sie ihr Netzwerk zwar verschlüsselt, allerdings den voreingestellten WPA2-Schlüssel nicht geändert hat. Das sei fahrlässig und führe zur Störerhaftung.

Dieser Einschätzung ist das Bundesverfassungsgericht nicht gefolgt und wies die Klage ab. Die Beklagte habe ihre Prüfungspflichten nicht verletzt, als sie den voreingestellten WPA2-Schlüssel nicht geändert hat. Sie sei lediglich dazu verpflichtet sicherzustellen, dass der Router zum Zeitpunkt des Kaufs über ein ausreichend langes, individuelles Passwort verfügt und die marktüblichen Sicherheitsstandards bei der Verschlüsselung einhält. Wichtig ist hier die Interpretation des Wortes „individuell“: Die Richter sahen auch ein voreingestelltes Passwort als individuell an, sofern es nicht vom Hersteller an mehrere Geräte gleichzeitig vergeben wurde. Im vorliegenden Fall konnte kein Beweis erbracht werden, dass das Passwort auch auf anderen Geräten eingestellt war. Mit der Benennung des Routertyps, des Passworts und der Angabe, dass das Passwort nur an dieses Gerät vergeben wurde, habe die Beklagte ihre Prüfungspflichten erfüllt. Da der WPA2-Standard als hinreichend sicher gilt und man nicht vermuten musste, dass Dritte ihn entschlüsseln können, hafte die Beklagte damit nicht als Störer. Eine weitere Rolle spielte auch der Zeitpunkt der Urheberrechtsverletzung Ende 2012, denn erst 2014 wurde eine bestehende Sicherheitslücke bei diesem Routertyp bekannt.

Das Urteil dürfte so manchen Anschlussinhaber freuen, vor allem diejenigen, denen schon einmal Post vom Abmahnanwalt ins Haus geflattert ist. Man sollte es jedoch nicht als Freifahrtschein dafür sehen, dass man sein WLAN nicht mehr vernünftig schützt. Ein individuelles – und hier meine ich damit ein selbstvergebenes – und ausreichend  langes Kennwort zum Schutz des heimischen WLANs ist immer sinnvoll. Voreingestellte Kennwörter werden meist nach einem bestimmten Algorithmus vom Hersteller an die Geräte vergeben. Wird dieser geknackt, lassen sich damit auch die Router hacken. Wie man ein sicheres Kennwort wählt, das man sich auch noch merken kann, habe ich für die Kampagne SpardaSurfSafe hier zusammengestellt.

Am Wochenende haben sich offensichtlich Hacker einmal mehr daran versucht, ein gewaltiges Botnetzwerk aufzubauen. Dabei übernehmen die Kriminellen (zumindest teilweise) die Kontrolle über Geräte von Endanwendern und benutzen diese dann z. B., um Schad-Software zu verbreiten. Dazu haben sie sich im aktuellen Fall eine Sicherheitslücke in den Internetzugangsroutern von über 900.000 Telekom-Kunden zunutze gemacht. Zunächst sorgte der Fall für Furore, weil die Kunden zeitweise vom Internet abgeschnitten waren.

Wie jetzt bekannt wurde, handelte es sich bei der Panne um einen groß angelegten Hacker-Angriff. Die Angreifer kaperten die Router mit der sogenannten Mirai-Software und nutzten dafür eine Sicherheitslücke im Fernwartungsprotokoll der Geräte aus. Eigentlich ist das in den Routern implementiert, damit die Internet-Service-Provider Einstellungen an den Geräten ihrer Kunden vornehmen können. Besonders einfach hatten es die Hacker allerdings im Fall der gekaperten Telekom-Router, weil hier der Zugriff sogar ohne jegliche Authentifizierung durchgeführt werden kann.

Eine zusätzliche Script-Injection-Sicherheitslücke ermöglichte es zudem, eingebettete Befehle an die Geräte zu schicken, die auf dem befallenen System ausgeführt wurden. So konnte sich die Malware am vergangenen Wochenende relativ schnell ausbreiten.

Da der fürs Botnetz verantwortliche Code allerdings ausschließlich im Arbeitsspeicher des Geräts abläuft, empfiehlt die Telekom, den Router abzuschalten und neu zu starten.

Es ist daher generell problematisch, dass Router für die Wartung durch Internet-Service-Provider Ports nach außen öffnen und dadurch große Angriffsflächen bieten. Nach Aussagen der Telekom soll die aktuelle Malware „schlecht programmiert“ gewesen sein, was – diesmal – die Folgen des Angriffs eingeschränkt habe.

Wir haben an dieser Stelle ja bereits oft darauf hingewiesen: Updates sind wichtig! Und wir werden das sicher noch oft wiederholen, denn in allen Computerprogrammen lauern versteckte Sicherheitslücken, die nach und nach durch Updates geschlossen werden. Sie sind sozusagen Work-in-Progress. In den letzten Tagen hat sich das wieder deutlich gezeigt, denn es ist ein ganzer Rattenschwanz kritischer Updates veröffentlicht worden. Wir wollen uns einmal ansehen, wie viele Sicherheitslücken allein in dieser Woche geschlossen wurden und was passieren kann, wenn man das Update unterlässt.

Adobe schloss für seinen Flash Player gleich neun Sicherheitslücken, die mit einem hohen Risiko bewertet wurden, denn Angreifer aus dem Internet könnten über diese Lücken den gesamten Rechner übernehmen. Wer für den Flash-Player also nicht ohnehin die automatischen Updates aktiviert hat, sollte die Aktualisierung schnellstmöglich manuell durchführen.

Auch Microsoft hat an seinem Patchday im November eine ganze Reihe von Sicherheits-Updates für unterschiedliche Programme zur Verfügung gestellt. Eine genaue Zahl der geschlossenen Lücken gibt Microsoft zwar nicht an, jedoch sind fast alle gängigen Programme von Word über Excel bis hin zum Internet Explorer betroffen. Auch in diesem Fall wird das Risiko als sehr hoch eingestuft. Sie ermöglichen einem nicht im System angemeldeten Angreifer, Befehle mit Benutzerrechten auszuführen. Außerdem liefert Microsoft über das Update ein neues Tool zum Entfernen von Schad-Software aus. Das Update läuft entweder über die Windows-Update-Funktion oder kann auf der Microsoft-Webseite heruntergeladen werden.

Google stellt für seinen beliebten Browser Chrome ebenfalls ein neues Sicherheits-Update zur Verfügung und schließt damit einige teils gravierende Sicherheitslücken. Wer auf das Update verzichtet, geht laut Experteneinschätzung ein hohes Risiko ein, dass Angreifer das System durch die Eingabe von beliebigen Programmbefehlen beschädigen. Außerdem könnten Informationen ausgespäht werden. Das Update lässt sich bei Google herunterladen.

Nach all diesen Updates für den Computer sollte man auch das Handy und das Tablet nicht vernachlässigen. Für sein Betriebssystem Android hat Google ein neues Sicherheits-Update herausgegeben, das ganze 83 Sicherheitslücken schließt. Davon werden 24 vom Hersteller als kritisch beschrieben. Das Update wird automatisch an die Geräte ausgeliefert und sollte zeitnah ausgeführt werden. Einige Endgerätehersteller wie Samsung oder LG liefern ihre eigenen Versionen aus. Die geschlossenen Lücken ermöglichen es Angreifern, Informationen auszuspähen, sich Berechtigungen einzuräumen und Befehle auszuführen, die bis zur vollständigen Kontrolle über das gesamte Gerät reichen.

Natürlich nerven Updates, vor allem, wenn sie viel Bandbreite und Zeit in Anspruch nehmen. Doch allein unser kurzer Beispielzeitraum von nur rund einer Woche zeigt, wie wichtig es ist, Aktualisierungen zeitnah durchzuführen – auf allen Geräten und für alle Programme!