Blog

Sicherheitsforscher sprechen bereits von einer der gefährlichsten Sicherheitslücken der vergangenen Jahre. Die Rede ist von dem in IT-Sicherheitskreisen als Shitrix bekannt gewordenen Bug im Citrix Application Delivery Controller und im Citrix Gateway. Dabei handelt es sich um einen sogenannten Path Traversal Bug, der es einem Angreifer erlaubt, über das Internet ohne Authentifikation auf ein Gerät zuzugreifen. Er muss lediglich einige Zeilen Code mit einer Anfrage an die verwundbare Citrix-Anwendung senden und seinen Exploit-Code anhängen. So kann sich der Angreifer Zugriff auf interne Unternehmensnetzwerke und Geräte verschaffen. Entdeckt und an Citrix gemeldet wurde die Sicherheitslücke mit der Nummer CVE-2019-19781 bereits vor rund einem Monat von Sicherheitsforscher Mikhail Klyuchnikov. Bislang hielten sich die Angriffe auf CVE-2019-19781 in Grenzen.

Doch das dürfte sich schnell ändern, denn seit vergangener Woche steht Hackern ein Proof of Concept mit dem entsprechenden Code zur Verfügung. Von einer Gruppe indischer Sicherheitsforscher erstellt, kommt die Veröffentlichung zur Unzeit für Nutzer der Citrix-Anwendungen, denn ein Patch steht bis jetzt nicht zur Verfügung. Lediglich eine Sicherheitswarnung wurde am 17.Dezember 2019 von Citrix herausgegeben. Auf einer Support-Seite im Netz finden Kunden zudem eine Anleitung zur Änderung der Konfiguration, die einen Angriff verhindern soll. Ob die Betroffenen diese tatsächlich kurz vor Weihnachten und den Feiertagen umgesetzt haben, sei einmal dahingestellt. Entdecker Klyuchnikov spricht zum Zeitpunkt seiner Meldung an Citrix von mehr als 80.000 Unternehmen, in denen die Citrix-Anwendungen zum Einsatz kommen.

Mittlerweile warnen sowohl Sicherheitsexperten als auch Regierungsorganisationen weltweit vor der Lücke und raten dazu, die Hinweise von Citrix umzusetzen, bis ein Patch veröffentlicht wurde. Auch das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) warnte bereits am 23. Dezember 2019 vor der Sicherheitslücke und verwies auf die Anleitung von Citrix. Diese Warnungen erhalten nach der Veröffentlichung des Proof of Concept nun noch mehr Relevanz, denn bereits jetzt stellen Sicherheitsforscher auf Honeypot-Servern mit den entsprechenden Citrix-Anwendungen vermehrt Angriffe fest. Bis der für Ende Januar angekündigte Patch für CVE-2019-19781 verfügbar ist, sollten Unternehmen die empfohlenen Anpassungen schnellstmöglich vornehmen, um sich nicht zum leichten Opfer von Kriminellen zu machen.

Der Fall zeigt, dass Software-Anbieter schnell reagieren müssen, wenn sie von Sicherheitsforschern auf eine Sicherheitslücke hingewiesen werden. Normalerweise warten die Entdecker mit der Veröffentlichung des Exploits, bis ein Patch zur Verfügung steht. So soll verhindert werden, dass Kriminelle die Daten für Angriffe nutzen können. Auch Citrix erfuhr vor rund einem Monat von CVE-2019-19781, veröffentlichte jedoch keinen Patch, der die Sicherheitslücke ein für alle Mal schließt, sondern gab sich vorerst mit einer Notlösung zufrieden. Es bleibt zu hoffen, dass der Patch tatsächlich spätestens Ende Januar zur Verfügung steht. Vielleicht geht es nach der Veröffentlichung des Exploits sogar etwas schneller.

Bild (c) Wondapak / Pixabay

Immer neue Cyberattacken halten uns Tag für Tag auf Trab. Bei der Analyse der Angriffe offenbart sich aber auch: Nicht hinter allen Attacken stecken ausgebuffte Profihacker. Tatsächlich handelt es sich bei vielen Cyberkriminellen streng genommen lediglich um Trittbrettfahrer, die sich die Vorarbeit anderer zunutze machen. Längst sind die Tools, mit denen sich so manches Unternehmensnetzwerk mühelos lahmlegen lässt, kostenlos und frei zugänglich im Internet verfügbar.

Dennoch gibt es ein paar Hacker und Gruppierungen, die in den vergangenen Jahren mächtig für Schlagzeilen gesorgt haben. Weltweit geriet man ins Staunen angesichts der ausgeklügelten Methoden der Kriminellen, die mittlerweile Berühmtheitsstatus erlangt haben. Drei davon stellen wir Ihnen heute vor.

Anonymous
Die Anfänge der Anonymous-Gruppierung gehen zurück auf das Jahr 2003. In medienwirksamen Auftritten der Gruppierung treten die Mitglieder stets mit der berühmten Guy-Fawkes-Maske in Erscheinung, um ihre Anonymität zu wahren. Besonders ist darüber hinaus, dass die Hacker von Anonymous keine rein monetären Ziele verfolgen, sondern sich auch den Kampf für soziale Gerechtigkeit auf ihre Fahne geschrieben haben. Im Jahr 2008 nahm die Gruppe beispielsweise die Scientology-Kirche ins Visier, deaktivierte deren Webseiten und überlastete die Faxgeräte der Kirche mit vollständig schwarzen Bildern.

Michael Calce
Im Jahr 2000 entdeckte der erst 15-jährige Michael Calce, dass er die Netzwerke von Universitätscomputern übernehmen konnte. Damit gelang es ihm, tausende Geräte gleichzeitig dazu zu bringen, prominente Internetdienste aufzurufen und deren Server durch eine Vielzahl gleichzeitiger Anfragen in die Knie zu zwingen. Mit seinen DDoS-Angriffen sorgte der Teenager innerhalb einer Woche für Ausfälle bei der damals führenden Suchmaschine Yahoo sowie bei den Webseiten von Dell, eBay, CNN und Amazon. Internetverfechter und Investoren auf der ganzen Welt waren plötzlich hellwach.  

Matthew Bevan und Richard Pryce
Matthew Bevan und Richard Pryce sorgten im Jahr 1996 für Aufsehen, als sie sich in mehrere militärische Netzwerke hackten. Unter anderem drangen sie in die Netze des Korean Atomic Research Institute (KARI) ein und entwendeten dort Forschungsinhalte, die sie anschließend auf Systemen des amerikanischen Militärs hinterließen. Sie bewiesen dabei aber nicht nur, dass selbst die vermeintlich unbezwingbaren Systeme der Militärs angreifbar waren. Viele glaubten, die beiden hätten um ein Haar den dritten Weltkrieg ausgelöst.

Foto (c) Tom Roberts / Unsplash

Hi! Bitte stell dich doch mal kurz vor und erzähl uns, was du bei 8com machst.
Mein Name ist Felix, ich bin 31 und arbeite in der Abteilung „Managed Security Services“ als Cyber Security Consultant. Mein Hauptbereich ist das Vulnerability Management. Dabei überwachen wir kontinuierlich Kundensysteme auf Schwachstellen, prüfen Alarme und erstellen Berichte. Auf Basis dieser Reports können unsere Kunden ihre Systeme dann optimal härten. An einigen Tagen im Monat bin ich aber auch unterwegs, um Vorträge und Trainings zum Thema Cybersecurity zu halten. Das Publikum ist immer bunt gemischt: Mal stehe ich vor Jugendlichen, mal vor IT-Leitern oder Geschäftsführern.

Was macht dir an deinem Job am meisten Spaß?
Wenn ich sehe, dass wir mit dem Thema Cybersecurity bei den Leuten ankommen. Das sieht man zum Beispiel bei den Schülervorträgen, wenn unsere Referenten echte Aha-Momente auslösen. Oder wenn unser Geschäftsführer auch der hohen Management-Ebene die Augen öffnet. Und am Ende macht natürlich auch die Hilfestellung Spaß, seien es jetzt Tipps für Mitarbeiter bei Vorträgen oder meine Arbeit im Schwachstellenmanagement.

Du bist jetzt seit über 3 Jahren mit an Bord. Hast du das Gefühl, dass du dich bei 8com weiterentwickeln konntest?
Ja, auf jeden Fall! Und das hört auch nicht auf. Ich bin einfach sehr motiviert und da der eigene Antrieb hier die Geschwindigkeit vorgibt, hat man auch echt die Chance, sich weiterzuentwickeln. Schon direkt am Anfang war ich ständig mit den Kollegen im Austausch und hab mir so viele Arbeitsbereiche erschlossen. Obendrauf kam dann noch der Besuch von Messen oder Fortbildungen. Und mittlerweile bin ich im Security Operations Center, unserem Hochsicherheitsbereich und Herzstück, für meinen eigenen Bereich verantwortlich.

Gab es auch Herausforderungen für dich?
Der Start als Referent und Trainer war schon eine große Herausforderung, da ich meinen KollegInnen natürlich weder in puncto Wissensvermittlung noch in der Unterhaltsamkeit nachstehen wollte (lacht). Aber auch der Einstieg ins Schwachstellenmanagement war eine tolle Herausforderung, sowohl die Technologie dahinter als auch die direkte Zusammenarbeit mit den Kunden.

Wie würden deine KollegInnen dich beschreiben?
Ich hab mich schon mal umgehört: Alle Abteilungen würden mich einstellen (lacht). Das liegt vermutlich daran, dass ich einfach sehr gerne lerne und immer versuche, zu verstehen, mit welchen Aufgaben andere Abteilungen bei uns konfrontiert sind. Interdisziplinär zu arbeiten macht mir wahnsinnig viel Spaß und ich sehe da große Benefits.

Was ist deine schönste Anekdote bei 8com?
(Lacht) Ich war mal mit Götz, unserem Geschäftsführer, auf Vortragsreise quer durch Deutschland unterwegs. Die Tour hatte es richtig in sich, also hat Götz beschlossen, uns an einem freien Tag mal was zu gönnen. Er hat als Überraschung ein richtig tolles Hotel in der Lüneburger Heide gebucht, das man auf den letzten Metern nur mit einer Pferdekutsche erreichen konnte. Super Idee, tolle Geste. Was er allerdings nicht wusste: Ich leide an einer heftigen Pferdehaarallergie, was dazu führte, dass Götz und der Kutscher sich während der gesamten Fahrt um mein Ableben sorgten (lacht). Es war zum Glück nicht so schlimm, wie es aussah, und das Hotel war dann auch wirklich einsame Spitze.

Was machst du gerne in deiner Freizeit?
(Schmunzelt) Ich spiele Golf. Das hört sich jetzt elitärer an als es ist. Am Anfang hatte ich auch viele Vorurteile gegen diesen Sport. Aber diese Zeit mit Freunden oder Familie, in der man mal vier bis fünf Stunden nicht aufs Handy schaut, ist einfach wahnsinnig erholsam und wohltuend für mich.

Ransomware ist  eines der größten Probleme für Internetnutzer. Ob Privatperson oder Unternehmen – wer seine Daten plötzlich an eine solche Schadsoftware verliert, ist erst einmal ziemlich aufgeschmissen. Es bleibt nur zu hoffen, dass der für die Verschlüsselung verwendete Algorithmus bald geknackt wird. Sonst muss man in den sauren Apfel beißen und das geforderte Lösegeld zahlen. Aber selbst dann gibt es keine Garantie, dass Daten und IT-Systeme problemlos wieder in den Ursprungszustand versetzt werden können.

Für Unternehmen ist eine solche Attacke aus dem Netz im besten Fall eine teure Angelegenheit. Im schlimmsten Fall kann sie aber durchaus existenzgefährdend sein, wie ein aktueller Fall in den USA zeigt. Bereits im Oktober fiel das Telemarketing-Unternehmen The Heritage Company einem Cyberangriff mit Ransomware zum Opfer, der es dazu zwang, die geforderte Summe an die Erpresser zu zahlen. Doch trotz der Zahlung und dem daraufhin übermittelten Entschlüsselungspasswort gelang es dem Unternehmen auch zwei Monate nach dem Vorfall nicht, seine Systeme wieder zum Laufen zu bringen.

Die Konsequenzen für die mehr als 300 Angestellten von The Heritage Company sind dramatisch: Kurz vor Weihnachten wurde ihnen mitgeteilt, dass der Betrieb vorerst eingestellt würde und sie sich am 02. Januar telefonisch erkundigen sollten, ob die IT mittlerweile wieder laufe und sie damit noch einen Job hätten. Lokale Medien berichten, dass die Mitarbeiter auf ihre Nachfragen nur eine aufgenommene Nachricht auf dem Anrufbeantworter zu hören bekamen. Darin hieß es, dass der Wiederherstellungsprozess bislang leider nicht erfolgreich gewesen sei. Zwar seien Fortschritte erkennbar, allerdings gebe es noch viel zu tun und man habe Verständnis, wenn die Angestellten sich einen neuen Job suchten. Mittlerweile haben sich Medienberichten zufolge viele Angestellte arbeitslos gemeldet, denn kaum einer glaubt mehr daran, dass sich The Heritage Company von dem Angriff erholen und die Arbeit wieder aufnehmen wird.

Das Beispiel zeigt, welche gravierenden Konsequenzen die Infektion mit einem Kryptotrojaner nach sich ziehen kann. Gerade kleinere und mittlere Unternehmen verfügen oft nicht über ausreichend Kapital, um derartige Verluste oder Ausgaben für eine neue IT-Infrastruktur zu verkraften. Umso wichtiger ist es, für den Fall der Fälle vorzusorgen und Back-ups zu erstellen, die außerhalb des Unternehmensnetzwerks aufbewahrt werden. Doch auch die Prävention, beispielsweise durch Mitarbeiterschulungen und Awareness-Maßnahmen, sollte ganz oben auf die Prioritätenliste gesetzt werden, denn so ließe sich der eine oder andere Angriff von vornherein verhindern.

Bild (c) Pete Linforth / Pixabay

Auch im Zeitalter der Digitalisierung ranken sich noch zahlreiche Mythen rund um das Thema Cybersecurity. Wir sorgen für Klarheit.

1. Mythos: Hacker haben nur die Großen im Visier
Häufig vermittelt die Berichterstattung über Cyberangriffe den Eindruck, dass es immer nur die Großen trifft. Wer als Mitarbeiter eines kleineren Unternehmens jetzt erleichtert aufatmet, sollte Folgendes bedenken: Auch diese, die häufig weniger Ressourcen für Sicherheitslösungen haben oder bei Massenangriffen nur durch Zufall ins Visier der Kriminellen geraten, sind ein lohnendes Ziel.

2. Mythos: AV-Software und Firewall sind ausreichend
Sowohl Antivirensoftware als auch Firewalls gleichen potenzielle Gefahren in erster Linie mit bereits bekannten Gefahren ab. Zwar kann auch unbekannte Malware blockiert werden. Das Risiko, dass neu entwickelte Viren oder Trojaner unerkannt ins System gelangen, zum Beispiel über einen E-Mail-Anhang oder Hyperlinks, bleibt aber bestehen. Antivirensoftware und Firewalls sind zwar wichtig, aber können nur ein Bestandteil eines umfassenden Sicherheitskonzepts sein. Dazu gehören auch ausreichend für Gefahren sensibilisierte Mitarbeiter. Denn eine Kette ist nur so stark wie ihr schwächstes Glied.

3. Mythos: Cybersecurity ist Thema der IT-Abteilung
Natürlich ist die IT-Abteilung in erster Linie für die Umsetzung von Sicherheitsstandards und die Implementierung von Schutzmaßnahmen zuständig. Fehlt hier allerdings die Unterstützung durch die Geschäftsleitung sowie durch aufmerksame und geschulte Kollegen, nützt auch die beste Software nichts. Der Anwender sitzt schließlich vor dem Bildschirm.

4. Mythos: Je mehr Sicherheitsmaßnahmen, desto mehr Sicherheit
Würden Sie im Flugzeug einen Helm tragen, um Ihren Kopf vor einem Absturz zu schützen? Vermutlich nicht. Denn nur, weil ein Helm den Kopf schützt, bedeutet das nicht, dass er Sie in jeder Situation vor allen Risiken schützen kann. Sie sehen also: Wichtig sind Sicherheitsmaßnahmen, die zu Ihren Anforderungen und Ihrer Risikolage passen. Mehr ist nicht automatisch besser.

5. Mythos: Hacker-Angriffe werden sofort bemerkt
Wussten Sie, dass es im Schnitt 200 Tage dauert, bis ein Cyberangriff entdeckt wird? Und genau hier liegt eine große Gefahr. Denn je länger Hacker unbemerkt auf Ihre Systeme zugreifen können, desto weiter können sie sich vorarbeiten. Gerade größere Schäden entstehen häufig, weil Angriffe zu lange unerkannt bleiben. Oft werden unerlaubte Zugriffe von außen nur durch Zufall entdeckt. Umso wichtiger ist ein kontinuierliches Monitoring, um im Ernstfall schnell reagieren zu können.

Foto (c) Hepta / Adobe Stock

Eine bislang unbekannte Hackergruppe hat Regierungsstellen in Nordamerika, Europa und Asien ins Visier genommen. Mittels einer ausgeklügelten Phishing-Kampagne versuchen die Kriminellen an Anmeldeinformationen von Mitarbeitern zu gelangen. Mit diesen könnten sie sich anschließend Zugang zu den Regierungssystemen verschaffen. Wie die Sicherheitsforscher von Anomali berichten, sind mindestens 22 Organisationen in den USA, Kanada, Australien, Schweden und weiteren Ländern betroffen. Die meisten Angriffe richten sich gegen Regierungsstellen, aber ein kleiner Prozentsatz richtet sich auch gegen Beschaffungs- und Logistikunternehmen, die mit den Zielen im Zusammenhang stehen. Die meisten dieser Angriffe wurden in den USA verzeichnet, unter den betroffenen Organisationen befinden sich u. a. das US-Energieministerium, das US-Handelsministerium und das US-Kriegsveteranenministerium.

Die Hacker gehen dabei nach einem bekannten Schema vor: Die potenziellen Opfer erhalten eine persönliche E-Mail, in der sie dazu aufgefordert werden, auf einen Link zu klicken. Daraufhin öffnet sich eine Webseite, auf der die Anmeldedaten eingegeben werden sollen. Folgt das Opfer den Anweisungen, erhalten die Kriminellen vollen Zugriff auf sein Nutzerkonto – soweit eigentlich nicht weiter aufsehenerregend. Doch bei dieser Kampagne haben die Hintermänner einen außergewöhnlichen Aufwand betrieben, um ihre Opfer in Sicherheit zu wiegen. So haben sie genau darauf geachtet, dass sowohl die Ködermail als auch der kompromittierte Anhang inhaltlich zum Aufgabengebiet des jeweiligen Adressaten passt. Sie ist entsprechend formatiert und gelayoutet, zudem in der jeweiligen Landessprache verfasst und die verlinkte Phishing-Seite sieht absolut authentisch aus. Diese Mail enthält darüber hinaus legitime Namen, Informationen und Dokumente, die auch auf der echten Webseite auftauchen. Insgesamt fanden die Sicherheitsforscher 62 Domains und 122 Phishing-Websites, was für einen gewaltigen Aufwand seitens der Hacker spricht.

Besonders unheimlich an dieser Angriffswelle ist, dass bislang kaum etwas über die Hintermänner bekannt ist. Zwar fanden die Experten bei Anomali heraus, dass die Websites in der Türkei und Rumänien gehostet werden, doch das ist noch kein Hinweis auf die tatsächliche Herkunft der Täter. Zudem ist nicht bekannt, was genau sie mit den erbeuteten Daten anfangen wollen – sollten sie denn tatsächlich bereits Passwörter und Nutzernamen erbeutet haben. Vermutet wird, dass es sich möglicherweise um Industrie- oder Unternehmensspionage handelt. Dabei könnten die Hacker sich mit den Daten Zugang zu Ausschreibungsprozessen und Bewerbern verschaffen. Die so gewonnenen Informationen könnten wiederum lukrativ an Konkurrenten verkauft werden. Doch auch dabei handelt es sich nur um eine Vermutung.

Schutz vor solchen Angriffen bieten vor allem aufmerksame Mitarbeiter, die sich der Gefahren bewusst sind, die von derartigen Kampagnen ausgehen. Insbesondere wenn es um die Eingabe von Anmeldedaten oder anderen sensiblen Informationen online geht, sollten geschulte Mitarbeiter mit einem gesunden Maß an Misstrauen besonders genau hinsehen, ob es sich um die echte Webseite oder um eine nachgebaute Version bzw. Fälschung handelt.

Bild (c) Thomas Breher / Pixabay

Selbst Geräte, die auf dem neuesten Stand sind, haben manchmal Sicherheitslücken. In einem aktuellen Fall betrifft das Millionen von vollständig gepatchten Android-Geräten, wie in der vergangenen Woche bekannt wurde. Forscher des Sicherheitsunternehmens Promon haben herausgefunden, dass eine Schwachstelle in der Android-Funktion TaskAffinity einer Malware erlaubt, sich als vertrauenswürdige und bereits installierte App auszugeben. So getarnt fordert die Schadsoftware im Namen der legitimen App weitere Berechtigungen, wie den Zugriff auf Audio- und Videodateien, Kamera, Mikrofon oder die Erlaubnis, Textnachrichten oder Anmeldeinformationen auszulesen.

Ganze 36 Apps haben die Forscher gefunden, die die auf StrandHogg getaufte Sicherheitslücke, bereits ausnutzen und sich als harmlose Anwendung tarnen. Sie alle enthielten Varianten des Banking-Trojaners BankBot, der seit 2017 immer wieder im Google Play Store aufgetaucht ist. Wird die bekannte App aufgerufen, übernimmt stattdessen die Schadsoftware. Im Gewand der ursprünglichen Anwendung fordert sie nun zahlreiche zusätzliche Berechtigungen, die sie dann für weitere Angriffe ausnutzen kann. Laut den Sicherheitsforschern ist es dabei möglich, dass die Schadsoftware die App bereits vor der Installation übernimmt. Besonders betroffen sind die Android-Versionen 6 bis 10, die auf rund 80 Prozent aller Geräte weltweit installiert sind.  

Laut Promon hat Google zwar die betroffenen Apps aus seinem Play Store entfernt, die zugrundeliegende Sicherheitslücke wurde jedoch offenbar noch nicht geschlossen. Um welche Apps es sich genau handelte, wurde jedoch nicht kommuniziert. Dieser Umstand erschwert Android-Nutzern deutlich herauszufinden, ob sie betroffen sein könnten. Auch Google hat sich nicht zu den infizierten Apps geäußert. Ein Zeitrahmen, wann die Sicherheitslücke geschlossen wird, wurde bisher nicht genannt. Nutzern bleibt also nur, genau darauf zu achten, welche Berechtigungen sie Apps auf ihren Geräten einräumen. Sind diese nicht für die korrekte Funktion der App nötig, sollte man sie dringend deaktivieren.

(Bild: Pixabay/geralt)

Hotels, Restaurants und andere Unternehmen der Tourismusbranche sehen sich verstärkt Angriffen von Hackern ausgesetzt. Das ist nicht weiter verwunderlich, immerhin haben insbesondere Hotels mit zahlreichen sensiblen Daten zu tun. Vollständige Namen, Adressen, Zahlungsinformationen und Kontaktdaten der Kunden werden bei der Buchung erhoben und im System des Hotels hinterlegt. In manchen Fällen kommen zusätzlich Allergien, Ernährungsgewohnheiten oder andere Besonderheiten hinzu. All diese Daten können Kriminelle auf verschiedene Art und Weise nutzen, beispielsweise für Spear-Phishing-Angriffe, zum Klonen von Kreditkarten oder sie können sie schlicht und einfach verkaufen. Mittlerweile gibt es Hackergruppen, die sich besonders auf diese Ziele spezialisiert haben. Zu den bekanntesten Kampagnen zählen DarkHotel, RevengeHotels sowie ProCC.

Der Antivirensoftware-Hersteller Kaspersky ist insbesondere der RevengeHotels-Kampagne seit einigen Jahren auf der Spur und hat nun seine bisherigen Ergebnisse veröffentlicht. Erstmals tauchte RevengeHotels bereits 2015 auf, hat aber im vergangenen Jahr deutlich an Aktivität zugelegt. Der Fokus der Angriffe liegt dabei auf Hotels, Hostels und anderen touristischen Betrieben vor allem in Brasilien, aber auch in anderen Ländern Südamerikas. Hinzu kommen Attacken auf Unternehmen in Italien, Frankreich, Portugal, Spanien, Thailand und der Türkei. Die Vorgehensweise ist typisch: Zuerst wird eine professionell gestaltete Phishing-Mail an das potenzielle Opfer verschickt, in deren Anhang sich verseuchte Word-, Excel- oder PDF-Dateien befinden. Werden diese geöffnet, nutzt ein Trojaner eine bereits 2017 gepatchte Sicherheitslücke in Microsoft Office aus, um sich einzuschleusen. Das funktioniert natürlich nur auf Computern, auf denen die Sicherheitsupdates nicht gemacht wurden. So können sich die Kriminellen Zugang zu den persönlichen Kundendaten sowie zu Zahlungsinformationen verschaffen. Dabei werden auch Zahlungsdaten abgegriffen, die von Drittanbietern wie Buchungsportalen übertragen wurden. Besonders perfide: Bei den aktuellen Angriffen kommt eine Schadsoftware zum Einsatz, die Screenshots erstellen und verarbeiten kann. Letzteres ist auch bei ProCC, einer weiteren Kampagne in diesem Bereich, der Fall, allerdings geht die Malware hier sogar noch einen Schritt weiter und liest die Spooler von Druckern aus.

Das Sicherheitsrisiko, das von solchen Attacken ausgeht, birgt für Hotelgäste einige Gefahren. Dabei könnten diese durchaus von den Hoteliers selbst deutlich minimiert werden – beispielsweise durch regelmäßige Sicherheitsupdates aller Computer und Systeme. So werden zumindest bekannte Sicherheitslücken geschlossen und können nicht mehr von Hackern ausgenutzt werden. Auch regelmäßige Mitarbeiterschulungen können dabei helfen, die Phishing-Angriffe abzuwehren. Dann steht einem angenehmen Aufenthalt der Gäste, ganz ohne böse Überraschungen, nichts mehr im Weg.

Eine kritische Infrastruktur oder kurz KRITIS ist eine Anlage, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen ist. Dazu gehören Systeme oder Teile davon, die essenziell für die Gesundheit, die Sicherheit und das wirtschaftliche oder soziale Wohlergehen der Bevölkerung sind. Laut Definition des Innenministeriums umfasst der Begriff KRITIS ebenso Energie- und Wasserversorger, die Nahrungsmittelindustrie, Krankenhäuser und Notdienste, Kommunikationsanlagen, Verwaltungsstrukturen, Teile der Finanzindustrie und der Medienlandschaft. Ein Angriff auf solche KRITIS-Strukturen kann gravierende Auswirkungen auf das Leben der Bevölkerung haben. Umso wichtiger ist es, diese Strukturen vor Angriffen sowohl on- als auch offline zu schützen.

Auf der CyberwarCon-Konferenz in Arlington in den USA wurde nun bekannt, dass genau solche systemrelevante Infrastruktur in den Fokus einer bekannten iranischen Hacker-Gruppe geraten ist. Das verkündete Ned Moran von Microsofts Threat Intelligence Group. Mit seinem Team hat er die jüngsten Aktivitäten der iranischen Hacker-Gruppe APT33 analysiert und kommt zu dem Schluss, dass sie sich eine neue Zielgruppe gesucht hat. So attackiert sie aktuell verstärkt Hersteller, Zulieferer und Dienstleister für Industrial Control Systems (ICS). Zwar hat Moran die genauen Ziele nicht namentlich genannt, allerdings äußerte er den begründeten Verdacht, dass diese Unternehmen nicht das eigentliche Ziel der Angriffe sind, sondern deren Kunden, die die Kontroll-Systeme einsetzen. Dazu zählen auch KRITIS-Strukturen, in die auf diesem Wege Schadsoftware eingeschleust wird, um Daten auszulesen und zu manipulieren oder deren Systeme zum Absturz bringen zu können.

Bei den Angriffen setzt APT33 das sogenannte Password Spraying ein. Dabei werden häufig genutzte Passwörter auf gut Glück bei vielen tausend Firmenaccounts durchprobiert, in der Hoffnung, dass ein Mitarbeiter so unvorsichtig war, eines dieser Passwörter zu nutzen. Angesichts der leider noch immer weit verbreiteten Naivität und Bequemlichkeit im Umgang mit Cybersicherheit stehen die Chancen gar nicht schlecht, dass sie damit Erfolg haben. Noch konnten Microsofts Sicherheitsforscher der Hackergruppe keine durchschlagende Cyberattacke nachweisen, sondern fanden nur ihre Spuren in Bezug auf Spionageaktivitäten. Allerdings wurden die Opfer dieser Ausspähversuche in vielen Fällen später durch eine Attacke mit Shamoon getroffen. Diese Malware löscht und vernichtet Daten auf den Systemen der Opfer. Darüber hinaus wurden Hinweise darauf gefunden, dass eine weitere Angriffswelle in der Zukunft vorbereitet werden sollte.

Die Konzentration der iranischen Hackergruppe auf ICS-Strukturen stellt eine echte Gefahr dar. Dass viele Energieversorger und andere KRITIS-Unternehmen bei der Steuerung ihrer Anlagen blind auf die Software vertrauen, erscheint deshalb geradezu fahrlässig. Ein erfolgreicher Angriff könnte angefangen bei Stromausfällen bis hin zu Explosionen alles zur Folge haben. Umso wichtiger ist es, den Hackern das Leben nicht zu einfach zu machen. Ein sicheres Passwort ist dafür ein erster, aber unverzichtbarer Schritt.

Foto: Eisenhans / Adobe Stock

Das Android-Betriebssystem ist bekannt dafür, dass es für Angriffe und Malware anfällig ist. Der Grund hierfür ist seine offene Struktur, die es zwar einerseits vielseitig und individualisierbar macht, aber es eben auch für Hacker vereinfacht, sich Zugang zu verschaffen. Auch Smartphone-Hersteller und Netzbetreiber schätzen an dem Betriebssystem, dass sie Anpassungen vornehmen und eigene Firmware auf die Geräte aufspielen können, bevor die Geräte an die Kunden gehen. Doch genau diese Praxis entpuppt sich jetzt als Problem, wie Sicherheitsforscher von Kryptowire in einem Forschungsprojekt des Department of Homeland Security der US-Regierung herausfanden.

Bei einem Scan von 29 Smartphones auf potenzielle Angriffspunkte im Betriebssystem fanden die Experten ganze 146 Sicherheitslücken. Die meisten der getesteten Geräte kommen hauptsächlich in Asien zum Einsatz, allerdings standen auch Branchenriesen wie Asus und Samsung auf dem Prüfstand. Das Ergebnis: Von nicht-autorisierten Audioaufnahmen bis hin zu manipulierbaren Einstellungen im System wurden Dutzende mögliche Gefahrenquellen gefunden. Für den Smartphone-Nutzer besonders dramatisch ist dabei die Tatsache, dass er die Sicherheitslücken nicht einfach schließen kann. Denn im Gegensatz zu einer kompromittierten App lässt sich Firmware meist nicht ohne Weiteres löschen. Es bleibt also nur zu hoffen, dass die übrigen Schutzmechanismen des Smartphones ausreichen, um die bestehenden Sicherheitslücken abzudecken, wie beispielsweise Samsung nach Bekanntwerden der Problematik versicherte.

Doch ganz so einfach ist es nicht. Ganze 33 Angriffspunkte in sechs Apps fanden die Forscher in Samsung-Geräten. Zwei der Apps waren von externen Partnern des Unternehmens programmiert worden, an die man sich auch wegen der Behebung der Sicherheitslücken wenden solle. Die übrigen vier Apps würden kein Problem darstellen, da die ohnehin vorhandenen Sicherheitssysteme von Android einen Angriff auf diesem Wege verhindern würden. Dem widersprechen die Forscher deutlich. Ihrer Meinung nach könnten sich Dritte über die Samsung Apps Informationen beschaffen, ohne dass der Nutzer des Smartphones davon etwas mitbekommen würde. Das Android-Framework verhindere das aktuell nicht.

Zwar waren nicht alle gefundenen Sicherheitslücken bei den 29 getesteten Geräten gleich dramatisch. Allerdings zeigt das Ergebnis ein großes Problem von Android, oder besser gesagt von Software, an der zu viele Parteien mitmischen können. Google als Mutter des Betriebssystems weiß das und versucht es über einen eigenen Prüfmechanismus, die sogenannte Build Test Suite (BTS), in den Griff zu bekommen. Bereits 242 problematische Firmware-Versionen oder Modifikationen konnten so im ersten Jahr vor Veröffentlichung gefunden werden. Doch der Test von Kryptowire zeigt, dass durchaus noch Raum für Verbesserungen besteht.

Als offenes System hat das Android-Betriebssystem schon seit langem ein Malware-Problem. Mit anderen Worten: Die vielzitierte Flexibilität und Individualisierbarkeit ist mit einem Minus an Sicherheit erkauft. Zwar versucht Google ständig, das zu ändern, doch bei der Vielzahl an Apps, die tagtäglich weltweit von Programmierern in den Play Store hochgeladen werden, passiert es immer wieder, dass es auch die eine oder andere Malware auf die Plattform schafft.

Das soll sich nun ändern und Google hat sich dafür drei externe Partner ins Boot geholt, die mit unterschiedlichen Methoden die hochgeladenen Apps auf Malware scannen, bevor sie für die Nutzer freigeschaltet werden. Zu dieser sogenannten App Defense Alliance gehören die Unternehmen ESET, Lookout und Zimperium, alle drei Hersteller von Antivirensoftware, die sich seit Jahren mit Android-Malware befassen und bereits mit Google zusammengearbeitet haben. Der Unterschied jetzt liegt darin, dass die Sicherheitsscans bereits stattfinden, bevor eine App freigeschaltet wird. So soll das Übel direkt an der Wurzel gepackt werden, anstatt im Nachhinein auf der Plattform nach verdächtigen Apps zu suchen.

Eine Herausforderung dabei dürfte es gewesen sein, die Scanner auf die schiere Flut an Apps auszurichten, die ständig neu hochgeladen werden. Tatsächlich hat die Umsetzung des Projekts nach Unternehmensangaben von der ersten Idee bis zur Umsetzung rund zwei Jahre gedauert.

Bemerkenswert ist diese Zusammenarbeit aus mehreren Gründen. Zum einen gibt der Internetriese Google damit quasi zu, dass es Probleme mit der Sicherheit im Play Store gibt, denen man allein bislang nicht Herr werden konnte. Zum anderen erhalten mit den drei Partnern weitere Unternehmen Zugang zum Backend des Google Play Store. Damit haben kriminelle Angreifer drei weitere Punkte, über die sie versuchen können, sich Zugang zu verschaffen, auch wenn Hersteller von Sicherheitssoftware wohl nicht die einfachsten Ziele sind. Auch die Wahl der Partnerunternehmen, die in der App Defense Alliance arbeiten, wirft Fragezeichen auf. Sicher sind die Hersteller von Antivirenprogrammen Profis, was die Abwehr von Malware angeht. Aber schon jetzt befürchten die Experten, dass die neuen Vorab-Scans die Macher von kriminellen Apps dazu anspornen könnten, immer neue und noch kreativere Methoden zu entwickeln, um diese Scans zu überlisten. An dieser Stelle muss man allerdings auf den Absender dieser Warnung achten. Als Antivirenhersteller liegt den Unternehmen natürlich auch daran, dass die Nutzer sich nicht zu sicher fühlen und weiter ihre Software kaufen. Es bleibt also abzuwarten, wie effektiv die App Defense Alliance tatsächlich ist.

Gafgyt, auch bekannt als Bashlite, tauchte als Malware erstmals 2014 auf. Bereits damals griff sie Geräte des Internet of Things (IoT), vorzugsweise Router, an und schloss die gekaperten Komponenten zu seinem schlagkräftigen Botnet zusammen. Jetzt haben die Sicherheitsforscher von Palo Alto Networks eine neue, verbesserte Variante von Gafgyt entdeckt, die nicht nur eine Scanner-Funktion nutzt, um neue, ungeschützte Router im Netz zu finden, sondern auch die konkurrierende Malware JenX von den infizierten Geräten löscht. Dadurch stehen infizierte Router mit ihrer kompletten Rechenleistung nur noch dem Gafgyt-Botnet zur Verfügung.

Betroffen von der neuen Malware sind drei beliebte Router-Modelle bekannter Hersteller: Der Huawei HG532, Realtek RTL81XX und der Zyxel P660HN-T1A, wobei letzteres Modell erst von der neuesten Gafgyt-Version betroffen ist. Die beiden Huawei- und Realtek-Modelle stehen auch im Fokus des JenX-Botnet. Um also zu verhindern, dass beide Schädlinge auf demselben Gerät aktiv sind und um die Rechenleistung konkurrieren, haben die Programmierer hinter Gafgyt ihrer Malware die Fähigkeit mitgegeben, JenX von den infizierten Geräten zu löschen. So wird nicht nur ihr eigenes Botnet immer mächtiger, sondern das der Konkurrenz immer schwächer. Doch was ist das Ziel des Gafgyt-Botnet? Derzeit sieht es so aus, als ob rein finanzielle Interessen dahinter stecken. Das Gafgyt-Botnet kann für Denial-of-Service-Angriffe gebucht werden, um Webseiten oder Server lahmzulegen. In seiner aktuellen Form scheint es das Botnet besonders auf Spiele-Server abgesehen zu haben, speziell auf solche, die die Valve Source Engine nutzen. Damit sind auch weltweit beliebte Spiele wie Counter-Strike oder Team Fortress 2 betroffen. Viele der attackierten Server werden dabei von Spielern privat gehostet und nicht etwa von Valve direkt.

Und damit kommen wir zu einem weiteren interessanten Fakt zu Gafgyt: Die Buchung des Botnet ist so günstig, dass Spieler sie nutzen, um ihre Gegner und Rivalen im Spiel zu sabotieren. Sicherheitsforscher von Unit 42 haben für diese spezielle Dienstleistung Angebote bereits ab acht US-Dollar gefunden – und das nicht etwa im Darknet, sondern auf der beliebten Social-Media-Plattform Instagram. Die Accounts, die diese Werbung ausgespielt haben, wurden mittlerweile gelöscht, doch es dürfte nur eine Frage der Zeit sein, bis die Kriminellen sich neue Profile zulegen.

Um nicht selbst Teil dieses oder eines anderen Botnet zu werden, sollten Nutzer die zur Verfügung stehenden Sicherheitsupdates auch auf ihren IoT-Geräten aufspielen. In Anbetracht dessen, dass diese immer häufiger im Alltag anzutreffen sind, sollte das ebenso selbstverständlich sein wie das Update des Computers oder des Handys. Hier sind allerdings auch die Hersteller gefragt, die Updates zeitnah und unkompliziert zur Verfügung stellen müssen. Im Fall von Gafgyt könnte man auch darüber nachdenken, neue Hardware anzuschaffen, immerhin sind die betroffenen Modelle bereits einige Jahre alt und im Laufe der Jahre tauchen erfahrungsgemäß immer mehr Sicherheitslücken auf.

(Bild: beebright/Adobe Stock)

Letzte Woche ist das Betriebssystem Windows 7 zehn Jahre alt geworden – und obwohl auch die aktuelle Version Windows 10 mittlerweile seit mehr als vier Jahren auf dem Markt ist, läuft ihr Vor-Vorgänger noch auf unzähligen Rechnern weltweit. Doch für die Nutzer dieser Computer besteht jetzt dringender Handlungsbedarf, denn am 14. Januar 2020 stellt Microsoft den Support für Windows 7 ein. Das bedeutet: Es gibt danach keine Updates mehr, neu entdeckte Sicherheitslücken bleiben offen und Support-Anfragen werden nicht mehr beantwortet. Damit fällt einer der wichtigsten Mechanismen zum Schutz vor Schadsoftware weg und Hacker haben künftig leichtes Spiel. Lediglich Unternehmen und Behörden können einen Supportvertrag abschließen, bei dem Windows gegen Bezahlung weiterhin für die Sicherheit sorgt.

Als Dauerlösung sollten IT-Verantwortliche diese Möglichkeit aber nicht sehen, sondern vielmehr als Sicherheitsnetz, sollte es bis zum Stichtag im Januar nicht gelingen, die alten Rechner und Peripheriegeräte zu ersetzen. Denn die Umstellung auf ein neues Betriebssystem kann sowohl für Unternehmen als auch für Privatpersonen ein teurer und vor allem aufwendiger Spaß werden. Zuerst sollte geklärt werden, wie man wechseln möchte. Hier gibt es grundsätzlich zwei Möglichkeiten: Man nutzt die alte Hardware weiter und installiert nur das neue Betriebssystem oder man ersetzt mit Windows 7 auch direkt den alten Computer. Letzteres ist natürlich einfacher und man kann sicher sein, dass Hard- und Software miteinander kompatibel sind, es ist aber auch teuer, vor allem, wenn in einem Unternehmen gleich ein ganzer Haufen Rechner ersetzt werden muss. Außerdem müssen Daten, benötigte Programme und Nutzereinstellungen übertragen werden.  Bei einem Upgrade auf Windows 10 sollte die Hardware im Normalfall keine größeren Probleme bereiten, allerdings kann es passieren, dass für manche Systemkomponenten keine Treiber mehr existieren und diese ersetzt werden müssen. Das kann beispielsweise die Grafikkarte betreffen. Egal, ob man sich nun für einen Neukauf oder ein Upgrade entscheidet, in beiden Fällen kann es passieren, dass Drucker, Scanner oder andere Peripheriegeräte ersetzt werden müssen, falls diese nicht mit Windows 10 kompatibel sind oder keine Treiber für das neue Betriebssystem zur Verfügung stehen. Auch hier sollte man die Faktoren Zeit und Geld nicht unterschätzen. Auch der Umstieg auf ein völlig anderes Betriebssystem, wie Linux oder iOS, kann eine Option sein. Aber auch hier braucht es Zeit, Manpower und Geld, um eine reibungslose Migration zu gewährleisten.

Gerade für Unternehmen wird ein pünktlicher Umstieg allerdings immer mehr zum Kraftakt, je weniger Zeit zur Verfügung steht. Auch sollte man bedenken, dass über die Weihnachtsfeiertage, Brückentage und Ferienzeiten meist nur eine Notbesetzung arbeitet. Hinzu kommt der Jahresabschluss und eventuell eine Inventur, die Personalkapazitäten binden. Es ist also höchste Zeit, aktiv zu werden und die Auseinandersetzung mit dem unliebsamen Thema nicht mehr weiter aufzuschieben. Ein kleiner Trost: Ende November findet auch in Deutschland wieder der Black Friday statt und erfahrungsgemäß lässt sich an diesem Tag bei Elektronik von Computern bis hin zu Druckern, Scannern und Tastaturen das eine oder andere Schnäppchen machen – wenn man weiß, was man will und braucht.

In der vergangenen Woche stellten Innenminister Horst Seehofer und der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, den Lagebericht zur IT-Sicherheit 2019 vor. Darin zusammengefasst sind alle Erkenntnisse zur Gefährdungslage der IT-Sicherheit in Deutschland, die zwischen dem 01. Juni 2018 und dem 31. Mai 2019 gewonnen wurden.

Wie erwartet haben die Gefahren durch Cyberkriminelle auch diesmal nicht abgenommen. Insbesondere Ransomware birgt ein hohes Risiko nicht nur für Privatpersonen und Unternehmen, sondern auch für staatliche Stellen und kritische Infrastrukturen.  Vor allem über Emotet haben wir an dieser Stelle immer wieder ausführlich berichtet. Klar ist, dass nur eine Kombination aus aufmerksamen Nutzern, technischen Lösungen und regelmäßigen Back-ups dieser Form der Angriffe Einhalt gebieten kann.  

Als zweite große Bedrohung wird Identitätsdiebstahl genannt, insbesondere durch Phishing und Social Engineering. Nach wie vor machen Nutzer es Kriminellen immer noch viel zu einfach, ihre Identität anzunehmen, beispielsweise durch mangelhaft geschützte Cloud-Speicher, fehlerhafte Konfigurationen oder nicht durchgeführte Updates, die den Hackern den Zugriff auf Geräte und Daten ermöglichen. Hinzu kommt die Tatsache, dass viele Online-Shops und Communities die gleiche Software benutzen. Existiert also ein Angriffsskript, können die Kriminellen es auf vielen Webseiten gleichzeitig ausspielen und so immer neue Datensätze abgreifen. Da viele Nutzer noch immer das gleiche Passwort für unterschiedliche Dienste nutzen, erhalten die Angreifer so Zugriff auf eine Vielzahl an persönliche Daten.

Auch Botnetze stellen weiterhin ein signifikantes Risiko dar. Im Berichtszeitraum wurden sie für Identitätsdiebstahl, Onlinebanking-Betrug und zur Verteilung von Malware genutzt. Zudem ist deren Einsatz für Distributed-Denial-of-Service-Angriffe (DDoS) weiterhin ein Sicherheitsproblem. Zwar wurde kein Anstieg der DDoS-Angriffe beobachtet, allerdings stieg die Zahl der Botnetze an, die auf der Schadsoftware Mirai basieren. Außerdem wurde Mirai weiterentwickelt, um zusätzliche Infektionsmöglichkeiten einzubauen. Zusätzlich wurden immer mehr Geräte des Internet of Things und Android-Systeme mit Bot-Software infiziert. Insbesondere bei Ersteren haben die Nutzer kaum eine Chance, ihre Geräte sinnvoll zu schützen, denn leider kommt die Sicherheit bei der Entwicklung von smarten Kaffeemaschinen, Kühlschränken und Lichtanlagen noch immer zu kurz.

Ein klassisches Ärgernis seit den Anfängen des Internets ist Spam. Die gute Nachricht: Der Versand von Spam ist seit dem letzten Bericht um 40 Prozent gesunken, der Versand von Malware-Spam sogar um 97 Prozent. Doch es gibt auch eine schlechte Nachricht, denn trotz der viel geringeren Menge an Spam hat das Bedrohungspotenzial nicht etwa abgenommen, sondern ist sogar gestiegen. Grund hierfür sind insbesondere die gezieltere Verbreitung und die immer besser getarnten Anhänge, die Schadsoftware enthalten. Auch der Einsatz von Social Engineering trägt weiter dazu bei, die Bedrohungslage konstant hoch zu halten.

Als weitere Bedrohungen hat das BSI sogenannte Advanced Persistent Threats (APT) genannt. Dabei handelt es sich zum Beispiel um Angriffe, die sich gegen kritische IT-Infrastruktur richten. Hacker gehen hier sehr zielgerichtet vor und nehmen durchaus einen hohen Aufwand in Kauf, um möglichst tief in die IT-Infrastruktur des Opfers vorzudringen. Ziel ist es, möglichst lange handlungsaktiv zu bleiben und sensible Daten auszuspähen oder die IT-Systeme des Ziels nachhaltig zu schädigen. Gerade APT-Angriffe bergen ein sehr hohes Schadenspotenzial für Unternehmen. Es ist deshalb zwingend erforderlich, in Prävention und Früherkennung zu investieren.

Deutschland ist derzeit im weltweiten Vergleich bezüglich Mobilfunkgeschwindigkeit und -abdeckung weit abgeschlagen. Mit 5G soll sich dies ändern, verkündete die Bundesregierung, doch noch steckt der Ausbau und Einsatz des LTE-Nachfolgers in den Kinderschuhen. Dabei wird das Mobilfunknetz der fünften Generation das Potenzial für bis zu zehnmal schnellere Downloads bieten und die Art und Weise, wie wir kommunizieren, arbeiten und Videos streamen, grundlegend verändern. Doch Sicherheitsexperten gehen auch davon aus, dass die höheren Geschwindigkeiten Hackern die Möglichkeit bietet, mehr Geräte anzugreifen und größere Cyberangriffe zu starten.

Dabei sehen die Experten das Problem nicht in der Sicherheit der 5G-Technologie an sich, obwohl schon offensichtliche Schwachstellen in der Technologie aufgedeckt wurden. Ein Beispiel: Angreifer haben die Möglichkeit, gefälschte mobile Basisstationen zu benutzen, um Informationen zu stehlen. Als schwaches Glied in der Kette wird die Kommunikation zwischen den Geräten gesehen, die mit dem Internet verbunden sind. Als signifikante Verbesserungen gegenüber 4G gelten hingegen die stärkere Verschlüsselung von Daten durch 5G und die bessere Verifizierung von Netzwerknutzern.

Der rasche Vormarsch von IoT-Geräten in Unternehmen und privaten Haushalten bietet Cyberkriminellen eine breite Angriffsfläche. Laut einer Untersuchung des Forschungsunternehmens Gartner, werden die mit dem Internet verbundenen Geräte bis 2021 von weltweit 14,2 Mrd. bis auf 25 Mrd. steigen.

Die schiere Anzahl der vernetzten Geräte erhöht natürlich die Sicherheitsanforderungen. Hacker neigen dazu, sich auf neue Technologien zu konzentrieren, da diese oft anfälliger für Angriffe sind als etablierte Technologien. So ist nicht auszuschließen, dass die Sicherheit bei einigen IoT-Geräten lückenhaft ist, insbesondere bei preiswerten und stromsparenden Geräten. Das bietet Hackern die Möglichkeit das World Wide Web auf Geräte mit Sicherheitslücken oder Fehlkonfigurationen, zum Beispiel voreingestellten Zugangsdaten mit denen sie verkauft wurden, zu scannen. „Die Wahrscheinlichkeit, ein IoT-Gerät zu finden, das nicht richtig eingerichtet wurde oder ein schwaches Passwort hat, ist ziemlich hoch“, weiß Götz Schartner, Geschäftsführer des Cybersicherheitsunternehmens 8com.

In der Vergangenheit dienten IoT-Geräte Hackern schon einige Male als Einfallstor. Vor allem im Falle des Mirai Botnets im Jahr 2016, als Hunderttausende von Kameras, Routern und digitalen Videorekordern eingesetzt wurden, um die Webseiten von Twitter, Spotify und der New York Times mit DDoS-Angriffen lahmzulegen.

5G bietet Cyberkriminellen nun den Vorteil, dass sie von Geräten, die online sind, mit viel höherer Geschwindigkeit sensible Daten oder Kundeninformationen extrahieren und herunterladen können. Da sich IoT-Geräte direkt mit dem mobilen Internet verbinden, müssen Hacker die strengere Sicherheit von Heim- oder Firmennetzwerken nicht umgehen. Darüber hinaus besteht das Risiko, dass Unternehmen, die 5G verwenden, anfälliger werden könnten, wenn die Sicherheitssoftware von Kühlschränken, Rauchmeldern und anderen IoT-Geräten nicht aktuell gehalten wird.

Anfang der 2000er Jahre entwickelte das schwedische Softwareunternehmen Interpeak eine eigene Version der Netzwerkprotokollgruppe TCP/IP namens IPnet, die es Geräten ermöglicht, sich mit dem Internet zu verbinden. Die Software wurde damals für eine ganze Reihe von Kunden lizensiert, darunter einige Entwickler von Betriebssystemen. Als Interpeak 2006 an Wind River verkauft wurde, verschwand IPnet als eigenständige Software – und damit auch der Support für die Kunden, die die Lizenz erworben hatten. Das hielt sie aber nicht davon ab, weiter an ihren eigenen Projekten zu arbeiten und IPnet darin zu verwenden. Im Gegenteil, der Code wurde in eine Vielzahl von Programmen und Betriebssystemen integriert und ist bis heute ein fester Bestandteil davon.

Doch genau das könnte sich jetzt als Problem erweisen, denn IPnet war nicht fehlerfrei und eine kürzlich entdeckte Schwachstelle bedroht nun Milliarden von Geräten weltweit. Bereits im Frühsommer 2019 hatte das Cybersicherheitsunternehmen Armis elf Sicherheitslücken im Betriebssystem VxWorks unter dem Titel Urgent/11 veröffentlicht. Dieses weitverbreitete, aber dem Endverbraucher eher unbekannte Programm wurde speziell für Geräte entwickelt, die ununterbrochen laufen, wie medizinische Geräte, Satellitenmodems oder Fahrstühle. Beliebt ist es auch bei Geräten des Internet of Things und industriellen Anwendungen. Sechs dieser Codefehler könnten einem potenziellen Angreifer Zugriff auf die Geräte geben oder einer Schadsoftware das Eindringen ermöglichen. Zu diesem Zeitpunkt war klar, dass dadurch etwa 200 Millionen Geräte angreifbar sind.

Doch erst jetzt zeigt sich das wahre Ausmaß des Problems: Als im August in einem Krankenhaus eine Infusionspumpe bei einer Routineüberprüfung die gleichen Schwachstellen wie VxWorks aufwies, obwohl ein anderes Betriebssystem installiert war, lag der Verdacht auf einen Fehlalarm nahe. Doch eine genauere Prüfung bestätigte das Testergebnis. Jetzt gaben Armis, die US-Sicherheitsbehörde Homeland Security und die Food and Drug Administration sowie eine Reihe von Unternehmen, die Real-Time-Betriebssysteme (RTO) wie VxWorks vertreiben und produzieren, eine Warnung heraus. Urgent/11 betrifft weit mehr Geräte als ursprünglich angenommen, insbesondere bei Industrieanwendungen und im medizinischen Bereich. Sie alle nutzen immer noch Codeteile von IPnet – inklusive Schwachstellen. Besonders vor Denial-of-Service-Angriffen wird gewarnt, aber auch die vollständige Übernahme der Kontrolle scheint möglich zu sein. Aktuellen Erkenntnissen zufolge sind mindestens sieben RTO-Systeme betroffen und damit eine unvorstellbar große Zahl an Geräten.

Es ist unwahrscheinlich, dass es gelingt, all diese Geräte mit Updates zu versorgen, um die Sicherheitslücken zu schließen, schon allein deshalb, weil das Einspielen der Patches bei vielen IoT-Geräten für einen Laien wahnsinnig kompliziert ist. Zum Schutz müssen die Nutzer betroffener Produkte auf andere Maßnahmen wie spezielle Firewalls zurückgreifen.

Das zeigt, welche Probleme Code verursachen kann, wenn er unverändert über Jahrzehnte in immer neuer Software verwendet wird. Sicherheitsupdates oder Weiterentwicklungen gab es für IPnet seit 2006 schlicht nicht mehr. Trotzdem wurde er von den ehemaligen Lizenznehmern in ihrer eigenen Software genutzt und gelangte so in unzählige Programme und Geräte.

Ein Hackerangriff hat zu erheblichen Produktionsausfällen bei Rheinmetall Automotive geführt. Betroffen sind Werke in den USA, Brasilien und Mexiko. In einer ersten Stellungnahme des Automobilzulieferers, der zum Düsseldorfer Rüstungskonzern Rheinmetall gehört, ist von „schweren Beeinträchtigungen“ der Betriebsabläufe die Rede. Die übrige IT des Konzerns sei jedoch nicht betroffen und die Lieferfähigkeit kurzfristig sichergestellt. Eine genaue Aussage über die Dauer der Störung lässt sich zu diesem Zeitpunkt nicht treffen, das Unternehmen geht jedoch von zwei bis vier Wochen aus. Der Schaden beläuft sich nach Schätzungen von Rheinmetall auf zwischen drei und vier Millionen Euro pro Woche, sollte es länger als zwei Wochen dauern, die Produktion wieder flott zu kriegen. Die Aktie der Düsseldorfer brach nach Bekanntwerden des Angriffs am Freitag um 1,21 Prozent ein.

Die Tatsache, dass lediglich die Produktion in Nord- und Südamerika von der Cyberattacke betroffen ist, lässt darauf schließen, dass es sich um einen gezielten Sabotageakt handelt. Derartige Angriffe sind in Zeiten zunehmender Vernetzung und Digitalisierung keine Seltenheit. Während die Vorteile wie Agilität, Reaktionsfähigkeit und Verschlankung der Strukturen auf der Hand liegen, wird den Risiken dieser Entwicklung oft noch nicht ausreichend Aufmerksamkeit geschenkt. Neue Angriffsvektoren entstehen, die den Einsatz von Schadsoftware lukrativ machen. Sogenannte Disruptionware wird gezielt dazu entwickelt, Abläufe wie die Produktion oder den Informationsfluss zu beeinträchtigen. Der Einsatz von smarten Geräten in Unternehmen erleichtert es den Angreifern zusätzlich, derartige Software einzuschleusen, denn das Internet of Things ist längst nicht ausreichend vor Sabotage geschützt.

Ein weiteres Beispiel für einen Angriff, bei dem die Abläufe gezielt durch Hacker gestört werden sollten, ist der europäische Luftfahrtkonzern Airbus. Allein in den vergangenen 12 Monaten wurde das Unternehmen vier Mal zum Opfer von Cyberattacken. Dabei wurden ganz gezielt Partnerunternehmen ins Visier genommen, um so auch beim eigentlichen Angriffsziel für Beeinträchtigungen zu sorgen. Ebenfalls aktuell ist der Angriff auf die IT-Infrastruktur der Medizinischen Hochschule Hannover mit dem Trojaner Emotet. Etwa 170 Rechner wurden mit der gefährlichen Schadsoftware infiziert, jedoch konnte eine Beeinträchtigung der Patientenversorgung und -daten in diesem Fall abgewehrt werden.

All diese Fälle zeigen, dass die Gefahr durch Schadsoftware und Hackerangriffe weiter steigt und kein Unternehmen, ob groß oder klein und egal aus welcher Branche, sich allzu sicher fühlen sollte. Cybersicherheit muss Chefsache sein und fest in der Unternehmenskultur verankert werden.

Mittlerweile hat sich herumgesprochen, dass WLAN-Netzwerke in Cafés, an Flughäfen oder anderen öffentlichen Plätzen nicht unbedingt sicher sind. Wer hierüber sensible Informationen sendet, läuft Gefahr, dass diese von anderen abgefangen oder manipuliert werden. Wenn man sich hingegen in ein Firmennetzwerk einwählt, rechnet man eher nicht mit solchen Problemen. Doch wie sieht es bei Anbietern von Shared Workspace aus, wo man neben einem Schreibtisch auch die gesamte Büro-Infrastruktur inklusive WLAN mietet?

Teemu Airamo, ein Kunde des demnächst an die Börse strebenden Anbieters WeWork in Manhattan, musste leider feststellen, dass das Netzwerk seines neuen Arbeitsplatzes ähnlich unsicher ist wie ein offenes Flughafen-Netzwerk. Bereits 2015, als Airamo das Büro innerhalb des WeWork-Komplexes bezog, überprüfte er die Sicherheit des zur Verfügung gestellten WLANs – und stellte verblüfft fest, dass er hunderte Geräte und Dokumente anderer Unternehmen im selben Bürokomplex identifizieren konnte. Natürlich meldete er seine Entdeckung direkt dem zuständigen WeWork-Manager, erhielt aber die lapidare Antwort, dass man Bescheid wisse.

Mittlerweile sind vier Jahre vergangen und es hat sich nichts geändert. Noch immer findet Airamo bei seinen regelmäßigen Sicherheitschecks des Netzwerks Finanzdaten, geschäftliche Transaktionen, Kundendatenbanken und E-Mails, aber auch vernetzte Computer, Server und sogar Kaffeemaschinen anderer WeWork-Mieter. Und es kommt noch schlimmer, denn offenbar benutzen verschiedene WeWork-Locations dasselbe WLAN-Passwort – und das wird nicht nur an die regulären Mieter herausgegeben, sondern auch an Kurzzeitmieter, die nur einen Konferenzraum oder einen Schreibtisch für ein paar Stunden mieten. Auch Besucher erhalten dieses Passwort ohne Probleme. Potenzielle Hacker müssten also lediglich einmal einen Raum bei WeWork mieten, um sich Zugriff auf die Daten der Mieter in unterschiedlichen Locations zu verschaffen. Hinzu kommt, dass dieses Passwort als Klartext in der WeWork-App angezeigt wird und darüber hinaus nicht besonders stark ist.

In einer Stellungnahme des Unternehmens heißt es, dass WeWork die Sicherheit und Privatsphäre seiner Mitglieder ernst nehme und alles dafür tue, um sie vor digitalen und physischen Bedrohungen zu schützen. Außerdem gebe es die Möglichkeit, verschiedene Sicherheitsmaßnahmen hinzu zu buchen, wie privates VLAN oder private SSIDs. Doch das kostet extra – eine lukrative Einnahmequelle in Zeiten, in denen Industriespionage und Hackerangriffe allgegenwärtig sind und Unternehmen große Kraftanstrengungen unternehmen, um sich zu schützen. Nutzen die Angestellten, externe Mitarbeiter oder Dienstleister allerdings einen Co-Working-Space mit derart schlechten Sicherheitsvorkehrungen in der Basisversion, ist all diese Mühe vergebens. Denn Airamo fand auch sensible Daten von externen Unternehmen, die nie Mieter von WeWork waren oder deren Dienstleistungen genutzt hatten, darunter zwei Kreditunternehmen, eine Versicherung und ein Personaldienstleister.

Dabei wäre es für WeWork eigentlich gar nicht so schwer, die Probleme zu beheben. Ähnlich wie viele Hotels es tun, könnte man das WLAN so konfigurieren, dass die einzelnen Geräte isoliert werden. So könnte man die Aktivitäten der Nutzer voreinander verbergen. Auch Firewalls würden dabei helfen, unberechtigte Scans des Netzwerks zu verhindern. Dass man nicht dieselben schwachen Passwörter an unterschiedlichen Locations nutzen sollte, versteht sich eigentlich von selbst. Stattdessen bietet WeWork Sicherheit als Zusatz-Feature an – welches sich selbstverständlich nicht so gut verkaufen würde, wenn die Basisversion bereits ein gesundes Maß an Sicherheit böte. Teemu Airamo hat sich mit seinem Unternehmen dafür entschieden, dieses Spiel nicht mitzuspielen und sich selbst um Sicherheitsvorkehrungen bemüht. Für einige Jahre nutzte er einen VPN-Tunnel. Da dieser jedoch die Internetverbindung extrem verlangsamte, baute er einen Raspberry Pi für seine Zwecke um, bei dem die Datenströme durch eine Blockchain-ID authentifiziert werden. Für den Otto-Normal-Mieter von WeWork dürfte das allerdings ohne Hilfe nicht so einfach möglich sein. Ihnen bleibt die langsamere Verbindung über VPN oder die kostenpflichtige Buchung eines Sicherheitspakets. Sicher ist jedoch, dass jeder, der sich in einen Shared Workspace einmietet, genau darauf achten sollte, ob und wie das verwendete WLAN geschützt ist und im Bedarfsfall entsprechende Maßnahmen ergreift.

Der Google-Kalender ist eine praktische Sache und wird von Privatpersonen und Unternehmen gerne genutzt. Termine lassen sich schnell und unkompliziert mit anderen teilen, relevante Dokumente, Links und Telefonnummern können direkt im Kalendereintrag hinterlegt werden und bei Terminverschiebungen werden alle Teilnehmer automatisch benachrichtigt. Dumm nur, wenn dabei der gesamte Kalender inklusive vertraulicher Informationen wie Firmenpräsentationen, Kontaktdaten oder Fotos frei im Netz landet, auffindbar mittels Google-Suche und für jeden zugänglich.

Wie der indische Sicherheitsforscher Avinash Jain berichtet, ist genau das aktuell bei mehr als 8000 Google-Kalendern geschehen. Und damit nicht genug, denn wer möchte, kann diese Kalender nicht nur einsehen, sondern auch Elemente bearbeiten und hinzufügen. Schuld daran ist eine eigentlich beabsichtigte Funktion des Google-Kalenders. Indem man einen Kalender mit anderen teilt, macht man diesen öffentlich. Allerdings dürfte kaum ein Nutzer damit gerechnet haben, dass man damit den gesamten Kalender für jeden frei verfügbar ins Netz stellt. Vielmehr gehen die meisten davon aus, dass zumindest der Einladungslink notwendig ist, um zuzugreifen.

Dabei ist das Problem kein neues, sondern wurde bereits vor zwölf Jahren bei Einführung der Veröffentlichungsfunktion „make it public“ im Kalender thematisiert. Ursprünglich war dieses Feature nämlich dafür gedacht, Events in der Suchmaschine zu platzieren. Doch schon damals nutzten es Unternehmen, um interne Termine zu koordinieren und es wurden sensible Firmendaten im Netz entdeckt. Offenbar haben einige Nutzer die Warnung seitens Google, dass man seinen Kalender buchstäblich mit der ganzen Welt teilt, wenn man die Funktion nutzt, ignoriert oder überlesen.

Da Google den Ersteller eines öffentlichen Kalenders nicht benachrichtigt, wenn jemand darauf zugreift oder ein Ereignis hinzufügt, erschwert die Funktion es den Nutzern zu wissen, ob sie unbeabsichtigt Informationen preisgeben und sogar für Spammer und Phishing-Attacken offen sind. Mit einer erweiterten Google-Suchanfrage (Google Dork) kann man innerhalb von Sekunden alle öffentlich zugänglichen Kalender auflisten und auf alle Informationen zugreifen, einschließlich sensibler Unternehmensdaten.

Ob man seinen Kalender bereits öffentlich gemacht hat, ist auf den ersten Blick nicht zu erkennen. Auch hier fehlt in der Nutzeroberfläche ein entsprechender Hinweis. Hierfür muss man erst in die Google-Einstellungen gehen und dort in den Freigaben nachsehen. Entdeckt man dort ein Häkchen bei „Öffentlich Freigeben“, sollte man es schnellstmöglich entfernen. Darüber hinaus ist diese Funktion nicht die einzige Möglichkeit, Termine zu koordinieren und Kalender freizugeben. Ebenfalls in den Einstellungen findet sich die Möglichkeit, den Kalender mit bestimmten Personen zu teilen, die man per E-Mail einlädt. Hier kann man auch einstellen, welche Berechtigungen die einzelnen hinzugefügten Personen haben, beispielsweise, ob sie Termine nur ansehen oder auch bearbeiten können. Auf diese Art und Weise behält man die Kontrolle über den eigenen Kalender und läuft nicht Gefahr, sensible Daten versehentlich mit der ganzen Welt zu teilen.

„Ich freue mich, dass in meiner Geburtsstadt Neustadt eines der modernsten und innovativsten Cyber Defense Center Europas eröffnet wird“. Mit diesen Worten hat die rheinland-pfälzische Ministerpräsidentin Malu Dreyer die rund 250 Gäste zur feierlichen Neueröffnung des 8com Cyber Defense Centers in Neustadt an der Weinstraße begrüßt. In ihrer Ansprache betonte die Ministerpräsidentin die zunehmende Bedeutung von Managed Security Service Providern wie 8com. Der Hackerangriff auf Krankenhäuser und Altenheime in Rheinland-Pfalz mache deutlich, dass Cyberattacken immer professioneller würden und Unternehmen aller Branchen sich den mit der Digitalisierung eng verbundenen Risiken stellen müssten.

Bis zum feierlichen Startschuss durch die Ministerpräsidentin und die Geschäftsführer von 8com, Sandra und Götz Schartner, erfuhren die Teilnehmer in spannenden Fachvorträgen mehr zum Thema Cybersicherheit. Christian Wollstadt, Dezernatsleiter Cybercrime beim Landeskriminalamt Rheinland-Pfalz, bewertete die Sicherheitslage aus Behördensicht und gab Einblicke in die Durchführung und Aufklärung gängiger Betrugsfälle. „Früher wurden Cyberangriffe von Spezialisten gefahren, heute kann ich mir von der Schadsoftware über die Anleitung für verschiedene Angriffe alles im Internet zusammenkaufen“, berichtet Wollstadt mit Blick auf die steigenden Fallzahlen im Bereich Cybercrime. Der Leiter des CSE Institut für Anlagensicherheit, Prof. Dr.-Ing. Jürgen Schmidt, machte anschaulich, wie groß die Bedrohung für moderne Produktionsanlagen ist. Eberhard Oehler, Geschäftsführer der Stadtwerke Ettlingen, vermittelte seine Einschätzung zur Realität der Cybersicherheit deutscher Stadtwerke. Er gilt als Vorreiter unter den Versorgungsunternehmen, wenn es um Cyber Security geht: „Wir als Stadtwerke Ettlingen haben uns selbst von Profis hacken lassen, um zu wissen, wo wir verwundbar sind“, berichtet Oehler.

Bei der Veranstaltung gab es einmalige Einblicke in das Herzstück des 8com Cyber Defense Center. Der Leiter des Security Operations Centers, Tobias Rühle, richtete bei einer Live-Schalte direkt aus dem Hochsicherheitsbereich Grußworte an das Plenum, bevor die Ministerpräsidentin den offiziellen Startschuss gab. Im Anschluss an den Festakt erhielten die Gäste im großen Festzelt genauere Einblicke in die Arbeit der Cyber-Security-Experten.

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von Unternehmen unterschiedlicher Branchen und Behörden in über 40 Ländern. Dabei erfassen Spezialisten innerhalb von 24 Stunden durchschnittlich knapp 2 Milliarden Security Events, decken Sicherheitslücken in IT-Systemen auf und helfen bei deren Schließung. Die 8com GmbH & Co. KG hat derzeit 55 Mitarbeiterinnen und Mitarbeiter.

Berichterstattung:

https://www.rlp.de/de/aktuelles/einzelansicht/news/News/detail/wichtiger-beitrag-aus-neustadt-fuer-weltweite-cyber-sicherheit/

https://www.swr.de/swraktuell/rheinland-pfalz/ludwigshafen/Einem-guten-Hacker-ueber-die-Schulter-geschaut-Der-Kampf-gegen-Cyberkriminelle,kampf-gegen-cybercrime-100.html

https://www.swr.de/swr1/Hoher-Schaden-durch-kriminelle-Mitarbeiter,arbeitsplatz-2019-09-07-100.html

https://www.1730live.de/neues-cyber-defense-center-in-neustadt-an-der-weinstrasse/

https://www.morgenweb.de/mannheimer-morgen_artikel,-metropolregion-digitale-angriffe-kosten-firmen-milliarden-_arid,1515502.html

https://www.rheinpfalz.de/lokal/neustadt/artikel/neustadt-ein-leuchtturm-gegen-die-internet-kriminalitaet/?tx_rhpnews_shownews[reduced]=true

Cyberangriffe auf Unternehmen nehmen von Jahr zu Jahr zu. Hacker haben es auf Kundendaten, Firmengeheimnisse oder schlicht auf Geld abgesehen. Um dem entgegenzuwirken rüsten sich viele Firmen mit kostspieliger Sicherheitstechnik gegen Angriffe von außen. Doch wird dabei oftmals völlig außer Acht gelassen, dass auch Mitarbeiter unwissentlich zu einer Sicherheitsbedrohung für ihren Arbeitgeber werden können. Das bestätigt auch der Insider Threat Report 2018. Demnach sind 90 Prozent der Unternehmen durch Nachlässigkeit und Unachtsamkeit der eigenen Mitarbeiter bedroht, Opfer einer Cyberattacke zu werden. In 50 Prozent der Unternehmen verschuldeten Insider Hackerangriffe. Allein 44 Prozent der Top-Unternehmen sehen sich dem Risiko eines Eindringlings ausgesetzt, weil Passwörter und Log-in-Daten im Netz kursieren, und eine weitere aktuelle Studie von Shred-it benennt Mitarbeiterfehler als Haupteinfallstor für Kriminelle. Dabei ließe sich das eigentlich durch umfassende Information und Mitarbeitersensibilisierung verhindern.

Um zu verstehen, wie Kriminelle sich sorglose Mitarbeiter zu Nutze machen, lohnt sich ein Blick auf die häufigsten Angriffsvektoren:

1.    Phishing
Durch Phishing und die diversen Variationen dieser Angriffsart gefährden Mitarbeiter oft sensible Informationen, beispielsweise durch die Eingabe von Log-in-Daten auf gefälschten Webseiten.

2.    Ungesicherte Netzwerke
Ob an Flughäfen, in Cafés auf Geschäftsreise oder im Zug – an vielen öffentlichen Orten gibt es mittlerweile öffentliche WLAN-Netze, die gerne genutzt werden. Ungesicherte Netzwerke, die die übertragenen Daten nicht verschlüsseln, stellen jedoch nicht den richtigen Ort dar, an dem man sich in sensible Bereiche des Firmennetzwerks oder auch nur in seine E-Mails einloggen sollte. Die Daten können sehr einfach von Kriminellen abgefangen und kompromittiert werden.

3.    Passwortsicherheit
Dieses Einfallstor sollte mittlerweile eigentlich jedem bekannt sein. Trotzdem nutzen viele Menschen sowohl privat als auch beruflich das gleiche Passwort für mehrere Dienste. Wird nur einer der genutzten Dienste gehackt, haben die Kriminellen Zugang zu einer ganzen Reihe weiterer Daten. Außerdem werden immer noch viel zu oft unsichere Passwörter wie „1234567“, „abcdefg“ oder schlicht die voreingestellten Log-in-Daten genutzt. Auch hier sollte sich inzwischen herumgesprochen haben, dass dies alles andere als sicher ist.  

4.    Nicht durchgeführte Updates
Es gibt durchaus einen Grund, warum Softwareanbieter ihren Kunden regelmäßige Updates zur Verfügung stellen. Denn damit werden Sicherheitslücken geschlossen. Ignoriert oder vergisst man Updates einzuspielen, bleiben diese potenziellen Einfallstore offen und die Gefahr eines Angriffs steigt.

5.    Versehentliche Installation von Schadsoftware
Hier machen sich Kriminelle die Tatsache zu Nutze, dass die wenigsten Menschen vor dem Öffnen eines Dokuments die Dateiendung kontrollieren. Insbesondere, wenn diese Datei als Anhang einer Mail von einer vermeintlich vertrauenswürdigen Quelle kommt. Auch bei der Installation von Apps kann Schadsoftware eingeschleust werden. Hier reicht es, sorglos die geforderten App-Berechtigungen zu genehmigen. Besonders auf Firmengeräten ist ein solcher naiver Umgang natürlich gefährlich.

6.    Ungesicherte und herumliegende Speichermedien
Werden Daten auf USB-Sticks oder anderen Speichermedien abgelegt, sollten diese mindestens mit einem Passwort geschützt werden. Andernfalls kann der Diebstahl oder Verlust dieses Mediums gravierende Folgen haben. Aber auch gesicherte Sticks sollten nicht einfach im Büro oder zu Hause herumliegen. Das Gleiche gilt für Handys, Tablets oder Rechner, die man unbeobachtet und ungesichert allein lässt – sei es auch nur kurz, weil man zu einem Meeting oder in die Mittagspause geht. Schließlich würden auch nur die wenigsten Menschen auf die Idee kommen, vertrauliche Informationen in Papierform offen und für jedermann zugänglich auf dem Schreibtisch liegen zu lassen, oder?

7.    Bring Your Own Device und Homeoffice
Ebenfalls eng mit Punkt 6 verbunden ist die immer häufiger gebräuchliche Möglichkeit, eigene Geräte für die Arbeit zu nutzen, beispielsweise wenn man Aufgaben mit nach Hause nimmt oder einen Home-Office-Tag einlegt. Hier muss sichergestellt sein, dass bei allen Geräten und Verbindungen die gleichen Sicherheitsstandards gelten wie im Büro. Andernfalls kann ein einziges schlecht gesichertes WLAN eines Angestellten die ganze Firma kompromittieren.

Ein Blick auf diese grobe Übersicht der häufigsten Einfallstore lässt erahnen, dass die Schwachstelle Mitarbeiter sich nicht einfach mit technischen Mitteln schließen lässt. Mindestens ebenso wichtig ist es, alle Angestellten – von der Putzfrau bis hin zum Vorstand – für die Gefahren aus dem Netz zu sensibilisieren. Mitarbeiterschulungen, bei denen am eigenen Leib erlebt wird, wie schnell und gewieft Hacker mittlerweile vorgehen, bieten hier eine sinnvolle und nachhaltige Möglichkeit. Aber auch im ganz normalen Büroalltag sollte immer wieder an die Cybersicherheit erinnert werden.

Die IT von Behörden ländlicher Regionen ist oftmals unzureichend ausgestattet, häufig fehlt es an neuer Hardware und aktueller Sicherheitssoftware. Hinzu kommt, dass das Personal schlecht geschult und bei Cyberangriffen schlichtweg überfordert ist. Das konnte man jetzt gerade wieder im US-amerikanischen Bundesstaat Texas beobachten. Hier haben Hacker mit einem geballten Ransomware-Angriff 22 kleine und mittlere Städte lahmgelegt. Betroffen waren Dienste wie die Zahlungsabwicklung oder das Erstellen von Ausweisdokumenten. Der Angreifer, dessen Identität zu diesem Zeitpunkt noch unbekannt ist, schien sich gezielt an Gemeinden zu wenden, die zu klein sind, um über eine eigene IT-Abteilung verfügen zu können. Sollte hinter allen Angriffen tatsächlich die gleichen Kriminellen stecken, wie es das Texas Department of Information Resources verlauten ließ, wäre das der bislang größte koordinierte Ransomware-Angriff auf eine Regierung. Zwar wurden bislang nur kommunale Systeme beeinträchtigt, aber der Angriff folgt einer ganzen Reihe von ähnlichen Angriffen auf US-Städte und Kreise. Allein in diesem Jahr fanden bereits mehr als 60 Attacken statt.

Zwei der betroffenen Städte haben sich bereits öffentlich zu den Fällen geäußert. In Borger sind demnach alle Zahlungsmethoden auf unbestimmte Zeit offline und es können aktuell weder Geburts- noch Sterbeurkunden ausgestellt werden. Ein ähnliches Bild bietet sich auch in Keene, allerdings nutzt man dort offenbar einen Drittanbieter für die Abwicklung der Zahlungen, dessen Software auch in einigen anderen Fällen von betroffenen Städten verwendet wurde. Das deutet stark darauf hin, dass der Vertragspartner die Wurzel der aktuellen Probleme war. Das ist auch in wirtschaftlicher Hinsicht plausibel: Anstatt 22 Einzelziele anzugreifen, mussten die Hacker so nur einmal zuschlagen.

Zusammengenommen verlangt der Angreifer 2,5 Millionen US-Dollar als Lösegeld und auch wenn es bislang keine Hinweise gibt, dass die betroffenen Städte bereit sind zu zahlen, können sich die Hacker Hoffnung auf ein gut gefülltes Konto machen. In vorangegangenen  Fällen in Florida haben sich Städte und Gemeinden bereits dafür entschieden,  Lösegeld zu zahlen, anstatt Monate mit der Wiederherstellung der Systeme zu verbringen.

Bleibt die Frage: Warum sind amerikanische Kleinstädte ein so beliebtes Angriffsziel? Immerhin ist die Zahl der Angriffe in den vergangenen 12 Monaten um 365 Prozent gestiegen. Die Antwort ist eigentlich ganz simpel: Cybersecurity ist eine Frage von Ressourcen, sowohl finanzieller als auch personeller Art. Kleinere Stadt- oder Kreisverwaltungen verfügen schlicht und ergreifend meist über keine eigene IT-Abteilung. Sie nutzen sowohl gemeindeübergreifende Systeme oder greifen wie im aktuellen Fall auf Drittanbieter zurück. Das macht sie aber zu einfachen Zielen. Ändern könnte das eine Erhöhung der eingesetzten Mittel, aber das wäre in vielen Fällen ohne eine Steuererhöhung nicht machbar – und die Notwendigkeit von höheren Steuern den Einwohnern zu vermitteln ist ebenfalls nicht ganz einfach. Daher konzentrieren sich die Städte auf andere, aktuell drängendere Fragen – bis das Kind in den Brunnen gefallen ist und ein Angriff erfolgreich war. Dann fließen die ohnehin schon knappen Ressourcen in dessen Bewältigung, anstatt in Systeme, die den Angriff bereits im Vorfeld abgewehrt hätten. Auch die Datensicherung ist solange kein Thema, wie alles funktioniert. Über Backups in der Cloud oder auf unabhängigen lokalen Servern, wird viel zu spät nachgedacht. Dabei handelt es sich hier um grundlegende Faktoren der Datensicherheit, die sich im privaten Sektor längst auch in kleineren Unternehmen etabliert haben. Hier müsste der Staat aktiv werden und auch auf den unteren Ebenen für Cybersicherheit sorgen. Auch in deutschen Behörden wird mit dem Thema Cybersicherheit  oftmals zu lax umgegangen. Es ist nur eine Frage der Zeit, bis auch sie im Fokus von Cyberkriminellen stehen.  

Im Zuge der digitalen Transformation setzen immer mehr Unternehmen in Deutschland auf Künstliche Intelligenz (KI), um beispielsweise monotone Arbeitsprozesse zu automatisieren. Aber auch im Bereich Cyber Security kann KI sinnvoll sein: Eine aktuelle Studie des Capgemini Research Institute ergab nun, dass Unternehmen vermehrt in KI-Systeme investieren, um sich gegen die nächste Generation von Cyberangriffen zu schützen. So glauben zwei Drittel der befragten Unternehmen, dass sie ohne KI nicht in der Lage sein werden, auf kritische Cybersicherheitsbedrohungen zu reagieren.

KI kann beispielsweise in der Prävention verwendet werden, um Bedrohungen und andere Aktivitätsanomalien frühzeitig zu erkennen. Mehr als die Hälfte der Führungskräfte gab an, dass ihre menschlichen Cybersicherheitsanalysten der Vielzahl der eingehenden Daten nicht mehr Herr werden können. Darüber hinaus hat sich die Art der Cyberangriffe, die ein sofortiges Eingreifen erfordern oder nicht schnell genug behoben werden können, deutlich erhöht. So gaben 42 Prozent der Befragten an, dass die Zahl der Angriffe auf zeitkritische Anwendungen um 16 Prozent gestiegen ist. Herkömmliche Systeme können mit solchen automatisierten Angriffen kaum noch mithalten und sie damit auch nicht mehr rechtzeitig neutralisieren. Angesichts dieser neuen Bedrohungen glaubt eine Mehrheit der Unternehmen, dass sie ohne den Einsatz von KI künftig nicht in der Lage sein werde, adäquat auf Cyberangriffe zu reagieren. 61 Prozent sagen darüber hinaus, dass sie eine KI benötigen, um kritische Bedrohungen zu identifizieren. Jede fünfte Führungskraft erlebte 2018 Cybersicherheitsvorfälle, von denen 20 Prozent das Unternehmen über 50 Millionen Dollar kosteten.

Im Kampf gegen Cybercrime können KI-Systeme so trainiert werden, dass sie selbst das kleinste Verhaltensmuster von Ransomware- und Malware-Angriffen erkennen, bevor diese ein System kompromittieren. Allerdings nutzte nur jedes fünfte Unternehmen KI bereits vor 2019. Die Akzeptanz ist jedoch sprunghaft angestiegen: Fast zwei Drittel der Unternehmen planen, KI bis 2020 einzusetzen, um sich vor Cyberangriffen zu schützen und fast die Hälfte der Befragten gibt an, dass die Budgets für KI in der Cybersicherheit im Geschäftsjahr 2020 um fast ein Drittel steigen werden.

Die größte Herausforderung bei der Implementierung von KI im Bereich Cyber Security ist allerdings das mangelnde Verständnis dafür, wie Anwendungsfälle vom Proof of Concept bis zur vollständigen Implementierung skaliert werden können. 69 Prozent der Befragten gaben zu, dass sie in diesem Bereich zu kämpfen hatten. Darüber hinaus nannte die Hälfte der befragten Unternehmen Integrationsprobleme mit ihrer aktuellen Infrastruktur, ihren Datensystemen und den eigenen Anwendungslandschaften. Obwohl die Mehrheit der Führungskräfte angab, dass sie wissen, was sie mit KI in der Cybersicherheit erreichen wollen, hat nur die Hälfte die Datensätze identifiziert, die für die Operationalisierung von KI-Algorithmen erforderlich sind.

Im Rahmen der Studie „Reinventing Cybersecurity with Artificial Intelligence: the new frontier in digital security“ wurden 850 Führungskräfte aus den Bereichen IT-Informationssicherheit, Cybersicherheit und IT-Betrieb in 10 Ländern und sieben Geschäftsbereichen befragt. Zudem wurden Interviews mit Branchenexperten, Cybersicherheits-Startups und Akademikern durchgeführt.

Was wäre, wenn Betrüger Ihr Passwort nicht durch einen Cyberangriff oder die Übernahme der Hardware erbeuten, sondern einfach, indem sie zuhören, während Sie tippen?

Unwahrscheinlich? Leider nicht! Eine aktuelle Studie fand heraus, dass Hacker Passwörter nur am Klang der Tastenanschläge identifizieren können. So benutzen Cyberkriminelle Mobiltelefone, um ihre Opfer zu belauschen, während sie tippen. Hacker können so tatsächlich Passwörter und sensible Daten stehlen. Möglich wird das durch die Installation einer Malware auf dem entsprechenden Handy, über die Mitschriften mit einer erschreckenden Genauigkeit belauscht werden können, wie Cybersicherheitsexperten der Southern Methodist University in Texas herausfanden. Versteckt wird diese Funktion meist in einer heruntergeladenen App, denn viele Programme fragen nach umfangreichen Zugangsberechtigungen, die die meisten Nutzer ungelesen gewähren.
 
Doch die Gefahr eines solchen Lauschangriffs geht nicht nur vom eigenen Handy aus. Besonders wer seinen Laptop an öffentlichen Orten wie Cafés, Bibliotheken oder in öffentlichen Verkehrsmitteln verwendet, gerät in die Schusslinie, denn hier könnten auch fremde Handys in unmittelbarer Umgebung mithören. Gefährlich wird es zudem für Unternehmen, denn in Zeiten, in denen jeder sein Smartphone ständig bei sich trägt, ist diese Methode durchaus für Wirtschaftsspionage geeignet.

In ihrer Studie fanden die Forscher heraus, dass Schallwellen, die beim Tippen auf einer Computertastatur entstehen, von einem Smartphone aufgenommen und verarbeitet werden können. Vieles von dem, was mit herkömmlichen Tastaturen und Smartphones getippt wurde, konnten die Forscher entschlüsseln – selbst in lauter Umgebung, wie in einem Konferenzraum oder einem Café. So konnten sie mit einer Wahrscheinlichkeit von 41 Prozent ermitteln, was getippt wurde. Wurden zusätzlich die Top 10 der vermuteten Wörter berücksichtigt, konnte die Trefferquote nochmals deutlich gesteigert werden. Die Studie ergab, dass es oftmals nur Sekunden dauert, die getippten Worte zu ermitteln. Die Forscher hoffen nun, dass die Smartphone-Hersteller auf ihre Studie reagieren und die Zugriffsrechte auf relevante Sensoren besser schützen.

Um ein realistisches Szenario zu schaffen, platzierten die Forscher mehrere Personen in einem Konferenzraum, die miteinander sprachen und sich Notizen auf einem Laptop machten. Auf dem Tisch in der Mitte des Raums waren bis zu acht Mobiltelefone platziert. Die Studienteilnehmer erhielten kein Skript, was sie sagen sollten, wenn sie sprachen, und durften beim Tippen entweder Abkürzungen oder ganze Sätze verwenden. Sie durften Tippfehler korrigieren oder sie nach eigenem Ermessen belassen. Das Team der Studie suchte dabei explizit nach Sicherheitslücken bei der immer im Hintergrund laufenden Sensorik von Mobiltelefonen. „Wir wollten wissen, ob das, was sie auf Ihrem Laptop oder einer anderen Tastatur eingeben, von den Handys wahrgenommen werden kann, die auf dem gleichen Tisch liegen. Die Antwort war ein klares Ja“, erklärt Professor Eric Larson.

Das Problem: Mobiltelefone enthalten Sensoren, mit denen sich das Gerät im Raum orientiert und die erkennen, ob sie gerade still auf einem Tisch liegen oder in der Tasche getragen werden. Einige Sensoren erfordern eine aktive Genehmigung des Nutzers, um aktiv zu werden, aber viele sind leider immer eingeschaltet. Daher ist kaum feststellbar, ob man auf diese Weise gerade gehackt wird. Der Rat der Forscher: Bei Firmenmeetings oder der Eingabe relevanter Daten sollte das Handy ausgeschaltet werden. Es lediglich ein Stück entfernt zu platzieren, kann hingegen unter Umständen nicht ausreichen, wie die Studie zeigte.

Immer öfter versuchen Hackergruppen über IoT-Geräte (Internet of Things) auf interne IT-Netzwerke von Firmen zuzugreifen. VOIP-Telefone und Bürodrucker stehen hier besonders im Fokus der Kriminellen. Mangelndes Gerätemanagement macht es den Eindringlingen oftmals zu einfach, an sensible Unternehmensdaten zu kommen.

Ursprünglich wurden Drucker entworfen, um Benutzern eine einfache Möglichkeit zu geben, physische Kopien ihrer Dokumente herzustellen. Doch in den letzten zehn Jahren wandelte sich der Drucker zu einem Netzwerkgerät, welches mehreren Personen in Unternehmen die gleichzeitige Nutzung ermöglichte. Mittlerweile sind Drucker Multifunktionsgeräte, die über WLAN und Mobile-Apps drucken können und via IP-Netz miteinander kommunizieren. Sie gehören damit zu den IoT-Geräten der ersten Stunde. Die zunehmende Vernetzung von „intelligenten“ Geräten sowohl untereinander als auch nach außen bzw. mit dem Internet, birgt allerdings gerade für Unternehmen viele Risiken.

Im Gegensatz zu typischen IoT-Geräten, die für den Anschluss an ein Gastnetzwerk zu Hause und im Büro konzipiert sind, arbeiten fast alle Drucker innerhalb des Hauptnetzwerks.
Auf diese Weise kann das Gerät Druckaufträge von verschiedenen Arbeitsplätzen aus annehmen. Drucker, die mit dem Firmen- oder Heimnetzwerk verbunden und zugleich als IoT-Gerät im Internet verfügbar sind, bieten Cyberkriminellen somit einen Angriffspunkt, um über den Drucker in das interne Netzwerk einzudringen.

Genau dieses Thema wurde von zwei Sicherheitsforschern der NCC Group untersucht. Das Fazit: Netzwerkdrucker sind heute ein bequemer Weg für Cyberkriminelle, um in ein ansonsten privates oder internes Netzwerk von Unternehmen einzudringen. Drucker sind eigentlich nicht als Gateways konzipiert. Doch durch die IoT-Funktionalitäten schlagen Drucker nun die Brücke zwischen öffentlichem Internet und internem Netzwerk. Diese werden nun auch von außen her anfällig, z. B. für DDoS-Angriffe (Distributed Denial of Service). Das Sicherheitsteam der NCC Group hat verschiedene Drucker von Ricoh, HP, Lexmark, Xerox und Kyocera getestet. Fast alle Geräte waren von Buffer-Overflow-Sicherheitslücken in der Webanwendung betroffen, die es einem Angreifer ermöglichen würde, einen Denial-of-Service-Angriff durchzuführen und möglicherweise einen beliebigen Code auf dem Gerät auszuführen. Immerhin konnten von fast allen Anbietern Updates bereitgestellt werden, um die aufgedeckten Schwachstellen zu schließen. Die Ergebnisse der NCC Group stimmen mit der kürzlich veröffentlichten Microsoft-Studie überein, die zeigt, dass es zu immer mehr Missbrauchsfällen von IoT-Geräten kommt. Cyberkriminelle nutzen immer öfter diese künstlichen Gateways, um auf interne Firmennetzwerke zuzugreifen. Hierbei machen sie sich oftmals Unzulänglichkeiten bei einfachen Konfigurations- und Sicherheitseinstellungen zu nutze. „Diese einfachen Angriffe, die sich die Vorteile des schwachen Gerätemanagements zunutze machen, werden sich wahrscheinlich ausweiten, da immer mehr IoT-Geräte in Unternehmen eingesetzt werden“, betont das Cybersicherheitsteam von Microsoft. Viele Cyberkriminelle haben sich bereits darauf spezialisiert, Unternehmen über deren IoT-Geräte zu infiltrieren. So haben erst im April Sicherheitsexperten des Microsoft Threat Intelligence Center, eine der Cybersicherheitsabteilungen des Betriebssystemherstellers, die russische Hackergruppe Strontium bei dem Versuch entdeckt, Firmennetzwerke zu hacken. Die auch unter den Namen APT28 oder Fancy Bear bekannte Gruppe, die dem russischen Geheimdienst GRU zugerechnet wird, versuchte sich über Drucker und VOIP-Telefone einen ersten Zugang zu Unternehmensnetzwerken zu verschaffen. Von dort aus sollte wohl versucht werden, an sensible Unternehmensdaten zu gelangen. Allerdings wurden diese Angriffe von Microsoft in einer frühen Phase identifiziert und blockiert, sodass nicht mehr bestimmt werden konnte, welche Daten genau das Ziel der Hacker waren. Dabei machten es die Unternehmen den Kriminellen denkbar einfach, so wurden etwa Passwörter des Geräteherstellers nicht geändert oder Sicherheitsupdates nicht aktualisiert. Für Firmen ist es daher unabdinglich, ein zentrales Konfigurations- und Patch-Management einzuführen und zu erfassen. Auch sollten alle IoT-Geräte auf anormales Verhalten bzw. Aktivitäten überwacht sowie Protokolle über den Geräteverkehr geführt werden. Des Weiteren ist es ratsam, IoT-Geräte niemals direkt mit dem Internet zu verbinden und benutzerdefinierte Zugangskontrollen einzuführen.

Phishing-Angriffe, die auf Geschäfts-E-Mails abzielen, nehmen weiter zu. So sind zwei Drittel der E-Mail-Angriffe, die auf Unternehmen abzielen, gefälschte Geschenkgutscheinanfragen von vermeintlichen Kollegen oder gar des Geschäftsführers. Breit angelegte Kampagnen werden bei Cyberkriminellen immer beliebter, da sie mit lukrativen Gewinnen besonders viele Opfer in die Falle locken und nur schwer nachzuverfolgen sind.

Geschenkgutscheinbetrug (Gift Card Fraud) ist keine neue Masche und trotz einer niedrigen Erfolgsrate schaffen es Kriminelle immer wieder, an das Geld ihrer Opfer zu gelangen. Dabei ist das Erfolgsrezept eigentlich sehr simpel: Hacker sprechen eine riesige Anzahl von Personen an und ein kleiner Prozentsatz wird reagieren. Oftmals basieren die Angriffe auf gefälschten Anfragen des Geschäftsführers oder vertrauenswürdiger Mitarbeiter. Die E-Mails beziehen sich beispielsweise auf Geschenke für Kollegen. Die Zielperson wird dann gebeten, Geschenkkarten – meist für Google Play, Steam Wallet, Amazon, Apple iTunes oder Walmart – zu kaufen und die Codes dann per E-Mail an den vermeintlichen Mitarbeiter zu senden.

Ein gerade veröffentlichter Bericht des E-Mail-Sicherheitsunternehmens Agari über E-Mail- und Identitätsbetrug kam zu der Erkenntnis, dass Geschenkgutscheinbetrug heute zwei Drittel der Angriffe auf Geschäfts-E-Mails (Business E-Mail Compromise, kurz BEC) ausmacht. Der durchschnittliche Betrag, der bei diesen Angriffen eingenommen wird, liegt bei etwa 1.500 US-Dollar, während ambitioniertere Angreifer sogar bis zu 5.000 US-Dollar erbeuten. Bemerkenswert bei Gift-Card-BEC-Angriffen ist, dass sie alle Mitarbeiter zum Ziel haben. Anstatt sich ausschließlich auf Finanz- oder Personalmitarbeiter zu konzentrieren, wie es bei anderen Formen von BEC-Angriffen der Fall ist, verkörpern Betrüger eine Vielzahl von Identitäten auf der Unternehmensleiter, um den Umfang ihrer Angriffe zu erweitern. So haben Cyberkriminelle aufgrund des Umfangs der Angriffe mehr Möglichkeiten, um an das Geld ihrer Opfer zu gelangen und das, obwohl die Erfolgsrate im Vergleich zu anderen Arten von BEC-Angriffen nicht höher zu sein scheint.

Die Angriffe bieten Cyberkriminellen auch den Vorteil der Anonymität, da es fast unmöglich ist, Geschenkkarten aufzuspüren, die zwar legal erworben wurden, deren Codes jedoch illegal verwendet werden. Die Angreifer können entweder die Codes, die sie kostenlos erhalten haben, für einen Gewinn verkaufen, wobei der Erlös durch den Tausch in Kryptowährung gewaschen wird. Alternativ könnten die Codes auch einfach zum Einkaufen verwendet werden. In einem von Agari analysierten Betrug im August 2018 zielte die afrikanische Hackergruppe Scarlet Widow auf eine australische Universität und betrog einen Administrator, der iTunes-Geschenkkarten im Wert von 1.800 US-Dollar kaufte und versandte. Das Opfer dachte, dass der Antrag vom Leiter der Finanzabteilung der Universität kam. Scarlet Widow verkaufte dann die Karten auf Paxful und wandelte die erhaltenen Bitcoins in Bargeld um, alles innerhalb von 139 Minuten. Diese moderne Form der Geldwäsche hat allerdings auch einen Nachteil: So liegt die Schwankungsbreite beispielsweise für iTunes-Karten zwischen 80 und 40 Cent pro Dollar, wenn man sie auf Plattformen wie Paxful verkauft.

Obwohl erfolgreich und auf dem Vormarsch, sind Gift Card BEC-Angriffe in der Regel einfache Phishing-Kampagnen, die theoretisch leicht zu bekämpfen wären. Eine simple Methode, sich vor diesen Angriffen zu schützen, besteht darin, bei einer Kaufanfrage einfach den vermeintlichen Absender der Mail zu verifizieren, um die Authentizität der Anfrage zu bestätigen. Unternehmen sollten auch das Bewusstsein dafür schärfen, dass die meisten Cyberangriffe heute nicht unbedingt technisch anspruchsvoll sind. Sie sollten daher einen Schwerpunkt auf die Erkennung solcher E-Mails legen und die Mitarbeiter für diese Art von nicht-technischen Social-Engineering-Angriffen sensibilisieren, beispielsweise über Trainings und Schulungen.

BEC-Betrügereien verursachen nach wie vor große finanzielle Verluste für Unternehmen - im vergangenen Jahr verloren allein US-Organisationen 1,3 Milliarden US-Dollar durch diese Angriffe.

Gerade hat das Softwareunternehmen Check Point Software Technologies Ltd. wieder seinen Cyber Attack Trends: 2019 Mid-Year Report veröffentlicht und das Ergebnis ist erschreckend. Kein IT-Bereich ist vor Cyberangriffen sicher. Im Gegenteil: Kriminelle entwickeln immer raffiniertere Methoden, um an sensible Unternehmens-Ressourcen zu gelangen. Besonders betroffen sind jene Daten, die auf einer Cloud-Infrastruktur, auf mobilen Geräten von Einzelpersonen, Anwendungen von Drittanbietern oder beliebten Mail-Plattformen gespeichert sind.

Der Cyber Attack Trends: 2019 Mid-Year Report für das erste Halbjahr gewährt einen genauen Überblick der IT-Bedrohungslandschaft. Die Ergebnisse basieren auf Daten, die zwischen Januar und Juni 2019 der ThreatCloud von Check Point entnommen wurden. Sie zeigen die wichtigsten Taktiken, mit denen Cyberkriminelle derzeit Unternehmen angreifen.

Einer der dominierenden Trends im angelaufenen Jahr sind gezielte Ransomware-Angriffe. Kooperationen zwischen unterschiedlichen Bedrohungsakteuren ermöglichten noch destruktivere Angriffe, die zahlreiche Unternehmen weltweit lähmten. Was mit einem Ransomware-Angriff endet, beginnt in der Regel mit einer stilleren Abfolge von Bot-Infektionen.

„Ob Cloud, Mobile oder E-Mail – keine IT-Umgebung ist immun gegen Cyberangriffe. Altbekannte Bedrohungen, wie gezielte Ransomware-Angriffe, DNS-Angriffe und Cryptominer werden auch im Jahr 2019 relevant sein. Alle Sicherheits-Experten müssen sich daher auf die neuesten Varianten und Winkelzüge dieser Gefahren einstellen, um ihren Unternehmen den besten Schutz zu versichern“, mahnt Maya Horowitz, Director Threat Intelligence & Research Products bei Check Point, zur Vorsicht.

Beim Mobile-Banking konnte ein Anstieg der Malware-Angriffe von 50 Prozent im Vergleich zum Vorjahr verzeichnet werden. Heutzutage ist Malware, die es auf Finanzdienstleister abgesehen hat, in der Lage, gezielt Anmeldeinformationen, Zahlungsdaten und schlussendlich Gelder zu stehlen. Auch Angriffe auf Software Supply Chains sind auf dem Vormarsch. So suchen Hacker nach dem schwächsten Glied in der Kette und versuchen dort, Schadcode zu platzieren, meist bei Software-Updates. Ein prägnantes Beispiel dafür war der Angriff von Shadow Hammer auf den Computer-Hardware-Hersteller ASUS. Cyberkriminellen war es gelungen, einen verseuchten Code in das ASUS Live Update Utility zu schleusen, der sich so auf Millionen von Rechnern installieren konnte.  

Immer mehr Unternehmen verlagern Arbeitsprozesse in die Cloud, weswegen sich 2019 eine steigende Anzahl von Hackerangriffen auf Cloud-Ressourcen richtet. Dabei machen es die Unternehmen den Angreifern oftmals zu leicht. So ist die Fehlkonfiguration von Cloud-Umgebungen eine der Hauptursachen für eine Vielzahl von Datendiebstählen in Unternehmen weltweit. Erst im April veröffentlichten Unbekannte auf ungeschützten Amazon Cloud-Servern mehr als eine halbe Milliarde Datensätze von Facebook-Nutzern. Fehlkonfigurierte Box.com-Konten haben Terabytes an extrem sensiblen Daten von vielen Unternehmen verloren und in einem anderen Fall wurden Finanzinformationen von 80 Millionen Amerikanern, die auf einem Microsoft Cloud-Server gehostet wurden, online veröffentlicht. Neben dem Informationsdiebstahl missbrauchen Bedrohungsakteure bewusst die verschiedenen Cloud-Technologien für ihre Rechenleistung. So wurden im ersten Halbjahr Kryptomining-Kampagnen intensiviert: Ihre Technik wurde verbessert, sodass sie in der Lage waren, grundlegende Cloud-Sicherheitsprodukte zu umgehen, Hunderte von anfälligen Docker-Hosts zu missbrauchen und sogar die Kryptomining-Kampagnen von Wettbewerbern in der Cloud abzuschalten.

Ein weiterer Trend, der sich laut Studie verstärkt, sind E-Mail-Betrügereien. Mit der wachsenden Aufmerksamkeit der Sicherheitsanbieter und dem öffentlichen Bewusstsein für E-Mail-Angriffe haben die Akteure der Bedrohungslage verbesserte Phishing-Taktiken eingeführt, die darauf abzielen, Glaubwürdigkeit bei den Opfern zu schaffen, sowie fortschrittliche Ausweichtechniken, um Mail-Sicherheitslösungen zu umgehen. Die Experten von Check Point stellten bei ihren Untersuchungen fest, dass es gerade in den Bereichen Sextortion-Betrug und Business E-Mail Compromise (BEC) zu einem signifikanten Anstieg kam. Cyberkriminelle bedienen sich dabei immer ausgefeilterer Techniken, um Sicherheitslösungen zu umgehen. Zu den Maschen der Betrüger gehören zum Beispiel verschlüsselte E-Mails, Bilder, die in den E-Mail-Textkörper eingebettetet sind sowie ein komplexer zugrunde liegender Code, der Klartextbriefe mit HTML-Zeichenelementen mischt. Social-Engineering-Techniken und diverse Variationen von Personalisierung des Inhalts der E-Mails sind zusätzliche Methoden, die es den Betrügern ermöglichen, sicher unter dem Radar der Anti-Spam-Filter zu fliegen und den Posteingang ihres Ziels zu erreichen. Mittlerweile ist E-Mail-Betrug zu einem lukrativen Geschäft geworden und Opfer werden in der Regel aufgefordert, hohe Summen in Bitcoin zu zahlen, damit verschlüsselte Daten wieder freigegeben werden oder sensible Daten nicht an die Öffentlichkeit gelangen. Solange Opfer allerdings bereit sind, „Lösegeld“ zu bezahlen, wird sich die Branche weiter professionalisieren und wachsen.

Veraltete Technik, zu wenig qualifiziertes Personal, zu geringe Budgets und immer ausgereiftere Angriffsmethoden – Unternehmen weltweit stehen Cyberangriffen noch immer unzureichend gerüstet gegenüber. Das ergibt eine aktuelle Studie des auf Sicherheitslösungen spezialisierten Software-Unternehmens Sophos.

Eigentlich hat sich mittlerweile herumgesprochen, wie wichtig Cybersecurity für Unternehmen ist, ganz egal welcher Größe und unabhängig von der Branche. Doch noch immer sorgen Kriminelle bei konzertierten Angriffen für immense Schäden. Die Studie „The impossible Puzzle of Cybersecurity“ von Sophos wollte herausfinden, wo es in den Unternehmen hakt und welche Einfallstore Kriminelle besonders gerne ausnutzen. Dafür wurden 3.100 IT-Entscheider von Mittelständlern in Deutschland, Frankreich, Großbritannien, Australien, Japan, Südafrika, Brasilien, Kolumbien, Kanada und den USA zu ihren Erfahrungen und ihren Problemen bei der Sicherung der eigenen Systeme befragt.

Eines der Ergebnisse: Aufgrund der Vielfalt der möglichen Angriffsarten fällt es Verantwortlichen schwer, sich gegen sie zu wappnen. Besonders beliebt sind kompromittierte E-Mails als Einfallstor für Kriminelle. Mit 33 Prozent erreichen Angriffe dieser Art den ersten Platz. Auffällig hier: Deutsche Unternehmen scheinen besonders verletzlich zu sein, denn hierzulande kamen E-Mail-Attacken auf stolze 48 Prozent. Bei der internationalen Nummer zwei, der Angriffe über infizierte Websites, ist Deutschland hingegen mit lediglich 17 Prozent recht gut aufgestellt. Weltweit kommt diese Art des Angriffs auf 30 Prozent.

Ein besonderes Problem scheinen Phishing-Angriffe zu sein, die wiederum bei den E-Mail-Attacken den Löwenanteil von 53 Prozent ausmachen. Auf den Plätzen zwei und drei folgen Datenverlust mit 41 Prozent und Ransomware mit 30 Prozent. Im weltweiten Vergleich schneidet Deutschland gerade beim Phishing und der Ransomware mit 67 Prozent bzw. 41 Prozent relativ schlecht ab. Dafür scheinen wir unsere Daten besser zu sichern: Beim Datenverlust liegen wir mit nur knapp 30 Prozent unter dem internationalen Durchschnitt.

Die Studie hat auch untersucht, welche Angriffsvektoren die IT-Verantwortlichen als besonders gefährlich ansehen. Dabei stellte sich heraus, dass zwar Software-Exploits, nicht gepatchte Schwachstellen und Phishing-Angriffe durchaus im Fokus stehen, allerdings eine immer beliebtere Masche nur bei den wenigsten bereits angekommen ist. Bei der sogenannten Supply-Chain-Attacke greifen Kriminelle nicht direkt das eigentliche Ziel an, sondern einen ihrer Datenzulieferer, wie beispielsweise eine Werbe- oder Designagentur mit Zugriff auf deren Server oder Webseite. Da diese oft weniger gut geschützt sind als das Ziel selbst, fällt dieser Angriff den Kriminellen auf indirektem Wege deutlich leichter. Ein weiterer „positiver“ Nebeneffekt für die Hacker: Auch andere Kunden des attackierten Unternehmens könnten interessante Opfer darstellen.

Zuletzt ging die Untersuchung auch der Frage nach, mit welchen Problemen IT-Verantwortliche zu kämpfen haben. So waren sich 86 Prozent der Befragten einig, dass man die Sicherheitskompetenz im Unternehmen verbessern könnte. 80 Prozent gaben an, dass das IT-Team ausgebaut werden sollte, um angemessen reagieren und arbeiten zu können. Doch das ist nicht so einfach: 79 Prozent der Verantwortlichen haben Probleme, adäquate Mitarbeiter zu rekrutieren. Hinzu kommt die Herausforderung, die vorhandene Technologie auf den neuesten Stand zu bringen und zu halten. 75 Prozent sind sich einig, dass dies elementar für den Schutz des Unternehmens wäre. Auch mit der finanziellen Ausstattung zeigten sich 66 Prozent unzufrieden. Sie benötigen dringend mehr Geld, um Personal und Technik angemessen zu bezahlen.

Die aktuelle Studie zeigt deutlich, dass das Bewusstsein für Cybersecurity mittlerweile durchaus in den Köpfen der Verantwortlichen verankert ist. Sie zeigt aber auch wieder einmal, dass immer noch zu wenig getan wird, um den Kriminellen angemessen entgegenzutreten. Allein die Tatsache, dass eine veraltete und ungepatchte Software überhaupt zum Einsatz kommt und die IT-Abteilung vieler mittelständischer Unternehmen aus ein oder zwei Mitarbeitern besteht, die sich neben der Cybersicherheit auch noch um die IT- und Software-Probleme der Mitarbeiter kümmern sollen, zeigt, dass in diesem Bereich noch ein gutes Stück Arbeit vonnöten ist.

In einer emotionsgeladenen Bewerbungsrede beschwor die frischgebackene Kommissionspräsidentin Ursula von der Leyen die EU-Parlamentarier, dass eine EU-länderübergreifende Cybersicherheitsstrategie unabdinglich sei. Eine Forderung, die in Anbetracht der aktuellen Ereignisse und Bedrohungen längst überfällig scheint.

Fast zeitgleich trat der bulgarische Innenminister Mladen Marinov vor die Kameras des TV-Senders BTV und musste zugeben, dass es einen erfolgreichen Hackerangriff auf Bulgariens staatliche Finanzbehörde National Revenue Agency (NAP) gegeben hat. Offensichtlich erbeuteten Kriminelle mehrere Millionen Datensätze bulgarischer Steuerzahler. Über die Anzahl der gestohlenen Datensätze gibt es allerdings widersprüchliche Angaben. Bulgariens Innenminister Marinov sprach davon, dass rund eine Million Menschen und Institutionen betroffen sein sollen. Die Hacker selbst, welche Download-Links zu den gestohlenen Daten per E-Mail an lokale Medien geschickt hatten, schreiben hingegen, dass sie rund fünf Millionen Datensätze erbeuteten – also deutlich mehr. Was mehr als beachtlich wäre, da in dem Land am Schwarzen Meer nur circa sieben Millionen Menschen leben.

Die Hacker gaben an, 110 Datenbanken aus dem Netzwerk der NRA entwendet zu haben, was einer Größe von fast 21 GB entspricht. Davon wurden 57 Datenbanken, etwa 11 GB, mit den lokalen Nachrichtenagenturen geteilt. Die restlichen Datensätze sollen in den nächsten Tagen veröffentlicht werden.

Die geleakten Daten enthielten Klarnamen, persönliche Identifikationsnummern (PINs), Privatadressen sowie finanzielle Erträge der Bürger, die bis in das Jahr 2007 zurückreichen. Darüber hinaus erbeuteten die Hacker Datensätze aus dem Department Civil Registration and Administrative Services (GRAO), wo Daten wie beispielsweise die Sozialversicherungsnummer von Bulgarischen Staatsbürgern gespeichert werden. Es wurden auch Informationen gefunden, die der bulgarischen Zollagentur gehörten, nämlich Daten aus dem bulgarischen Verbrauchsteuerinformationssystem (BECIS). Des Weiteren wurden laut Informationen lokaler Medien sowohl Datensätze der Nationalen Krankenkasse (NZOK) als auch Daten der Bulgarischen Agentur für Arbeit entwendet. Das Ausmaß der gestohlenen Datensätze ist schlicht erschreckend und der Angriff auf bulgarische Behörden nur ein Vorgeschmack auf das, was in den nächsten Jahren auf die EU zukommen könnte.

Liebesgrüße aus Moskau?

In einem Interview mit einem bulgarischen Fernsehsender behauptete der Hacker, ein Russe zu sein, der mit einer bulgarischen Frau verheiratet sei, wobei diese Aussagen nicht für bare Münze genommen werden sollten. Angeblich habe er schon seit 11 Jahren Zugang zu staatlichen Datenbanken. Die E-Mail der Hacker wurde laut bulgarischen Medien von Servern des russischen Mail-Anbieters Yandex verschickt – was allerdings auch ein Versuch sein könnte, eine falsche Spur zu legen. Das bulgarische Innenministerium vermutet einen politischen Hintergrund für den Angriff.

Erst im vergangenen Monat hatten die bulgarischen Behörden einen bulgarischen IT-Experten verhaftet, weil er Details darüber veröffentlicht hat, wie man eine Schwachstelle in einem staatlich verwalteten Kindergarten-Webportal ausnutzen kann, um die GRAO-Daten aller Bulgaren zu sammeln.

Die Cloud erfreut sich unter Firmen immer größerer Beliebtheit. Mittlerweile nutzen sie bereits 96 Prozent der Unternehmen für einen Teil ihrer Geschäftstätigkeit. Damit verlagern sich Workloads immer mehr ins Netz und Cybersicherheitsexperten erkennen zunehmend die Komplikationen beim Schutz dieser Workloads. Laut Cloud Security Report 2019, der gerade von Cybersecurity Insiders herausgegeben wurde, sind die größten Bedrohungen der Cloud-Sicherheit unbefugter Zugriff und unsichere Schnittstellen mit jeweils 42 Prozent. Sie belegen in der diesjährigen Umfrage den ersten Platz als größte Einzelschwachstelle für die Cloud-Sicherheit. Es folgen auf den weiteren Plätzen Fehlkonfigurationen der Cloud-Plattform mit 40 Prozent sowie das Kapern von neuen Accounts mit 39 Prozent.

Doch für Unternehmen ist es gar nicht so einfach, die Cloud-Sicherheit zu gewährleisten. In der Umfrage gaben 34 Prozent der befragten Unternehmen an, Probleme mit der Umsetzung von Compliance-Richtlinien zu haben, 33 Prozent gaben mangelnde Transparenz der Infrastruktursicherheit als Grund an. Die Festlegung konsistenter Sicherheitsrichtlinien in Cloud- und lokalen Umgebungen war für 31 Prozent der Unternehmen ein Problem. Ebenfalls 31 Prozent hatten Probleme, qualifiziertes IT-Sicherheitspersonal zu finden.

Trotz zunehmender Cloud-Akzeptanz heben viele IT-Experten die Cloud als die primäre Schwachstelle in ihrem Unternehmen hervor. So gaben 49 Prozent der befragen Firmen an, in den nächsten 12 Monaten ihre Cloud-Sicherheitsbudgets erhöhen zu wollen. Nicht wenige davon setzen künftig auf Lösungen aus den Bereichen künstliche Intelligenz (KI) und maschinelles Lernen (Machine Learning), um ihre Cloud-Sicherheit zu verbessern.

Künstliche Intelligenz kann Problemstellungen selbstständig lösen und in einer Art und Weise denken, die der des Menschen sehr ähnlich ist.  Machine Learning ist ein Teilbereich der KI, welcher Algorithmen verwendet, um aus Daten zu lernen. Je mehr Datenmuster der Algorithmus analysiert, desto mehr passt er sich auf der Grundlage dieser Muster selbst an und desto wertvoller werden seine Erkenntnisse.

Obwohl  KI und maschinelles Lernen keine Wunderwaffen oder Allheilmittel sind, können sie doch genutzt werden, um Unternehmen von der Prävention auf die Echtzeit-Bedrohungserkennung umzustellen. Stichwort Big Data: Cybersicherheitssysteme produzieren riesige Datenmengen – mehr als jedes menschliche Team jemals erfassen und analysieren könnte. Neue Technologien aus dem Bereich maschinelles Lernen nutzen all diese Daten, um Bedrohungsereignisse zu erkennen. Je mehr Daten verarbeitet werden, desto schneller lernt der Algorithmus und kann so Veränderungen im normalen Musterfluss erkennen. Dafür nimmt der Algorithmus etwa zur Kenntnis, was als normales Verhalten gilt. Das können Daten darüber sein, wann und wo sich die Mitarbeiter in ihre Systeme einloggen, was sie regelmäßig aufrufen und was andere Verkehrsmuster und Benutzeraktivitäten sind. Abweichungen von diesen Normen, wie z. B. das Einloggen in den frühen Morgenstunden, werden markiert. Dies wiederum bedeutet, dass potenzielle Bedrohungen aufgezeigt und schneller angegangen werden können.

Event Prediction

Durch einen stärker datengesteuerten Ansatz kann künstliche Intelligenz auch dazu genutzt werden, Schwachstellen proaktiv zu erkennen und zu melden, die derzeit oder möglicherweise in Zukunft ausgenutzt werden. Dies geschieht durch die Analyse von Daten, die in und von geschützten Endpunkten ein- und ausgehen, wobei sowohl Bedrohungen auf der Grundlage von bekanntem Verhalten erkannt, als auch bekannte Bedrohungen auf der Grundlage von prädiktiven Analysen identifiziert werden. Dieser eher vorhersagende Ansatz sammelt alle Aktivitätsdaten der Endpunkte und reichert sie mit anderen Quellen an, um die Ursachen eines potenziellen Angriffs zu beheben, anstatt nur die Auswirkungen zu minimieren. Ein solches System kann auch dazu beitragen, den Zyklus zwischen dem Erkennen und der Behebung einer Bedrohung zu verkürzen, indem es sicherstellt, dass ein Sicherheitsteam in der Lage ist, schneller zu reagieren. Diese sogenannte Anomalie Detection kann IT-Mitarbeiter warnen und potenzielle Gefahren ausschalten. Cyberangriffe werden so oft innerhalb weniger Stunden erkannt und blockiert, wodurch der Fluss von potenziell gefährlichem Code in das Netzwerk unterbrochen und ein Datenverlust verhindert wird.

Künstliche Intelligenz unterstützt die IT-Mitarbeiter in Unternehmen, indem sie die Routineaufgaben und Sicherheitsanalysen der ersten Stufe übernimmt. Der „menschliche Mitarbeiter“ kann sich so auf kritischere oder komplexere Bedrohungen konzentrieren. Gerade KMUs können so den Personaldruck verringern, indem sie die erste Analysestufe an Bots delegieren, sodass sich die Sicherheitsexperten auf die Bekämpfung schwierigerer Angriffe konzentrieren können. Noch kann eine KI den Menschen nicht ersetzen, sie ermöglicht Analysten jedoch, ihre Arbeitsbelastung zu priorisieren und ihre Aufgaben effizienter zu erledigen.

Cyberkriminalität ist eines der größten Probleme in der vernetzten Welt – auch weil viele Nutzer es den Hackern und Betrügern immer noch zu einfach machen. Das Unternehmen IDnow, das sich auf sichere Identifikationslösungen im Netz spezialisiert hat, hat nun in einer Studie untersucht, welche Strategien dabei am häufigsten zum Einsatz kommen.

Wer im Internet ein Nutzerkonto eröffnet, weiß, dass dabei eine Menge Daten abgefragt werden. Vor- und Zuname, E-Mail-Adresse, Handynummer, Geburtsdatum und Wohnort sind dabei oft nur die Spitze des Eisbergs. Fallen diese Daten Kriminellen in die Hände, ist das oft der Anfang einer langwierigen Odyssee, an deren Ende man vielleicht wieder die Kontrolle über seine Daten und seine Identität erlangt. Bis dahin kann viel passieren: von Straftaten im Netz, die mit der gekaperten Identität verübt werden, bis hin zu Bestellorgien mit horrenden Kosten, die plötzlich bei den arglosen Opfern eingetrieben werden sollen. Dann bleibt einem nichts anderes übrig, als nachzuweisen, dass man selbst nicht beteiligt war und die eigenen Daten gestohlen wurden. Den Schaden haben sowohl die Opfer als auch die Unternehmen, die mitunter auf den Kosten sitzen bleiben.

Wie die Hacker an diese Daten kommen, hat die Münchner Sicherheitsfirma IDnow untersucht. Das Unternehmen bietet Identifikationslösungen im Netz, wie VideoIdent, das mittlerweile von vielen Unternehmen als bequeme Alternative zum PostIdent-Verfahren eingesetzt wird. In ihrer Studie, über die zuerst die Wirtschaftswoche berichtete, zeigen die Münchner, dass vor allem drei Strategien zum Einsatz kommen: Mit 73 Prozent wurden am häufigsten Fälle von Social Engineering beobachtet. Dabei werden Nutzer beispielsweise über Anzeigen für extrem günstige Kredite oder für hochdotierte Jobs auf Portale der Kriminellen gelockt. Dort müssen sie dann ein Konto eröffnen und dafür ihre Daten eingeben, die damit direkt in die Kontrolle der Hacker übergehen.  

Die übrigen 27 Prozent teilen sich Betrügereien mit gefälschten (16 Prozent) und mit gestohlenen Ausweisen (11 Prozent). Und die Kriminellen haben aufgerüstet, denn die falschen Ausweise sind qualitativ deutlich besser geworden. Besonders häufig betroffen sind Personalausweise aus Österreich, Tschechien und Deutschland. Sie machen 76 Prozent aller Fälle aus, wohingegen Reisepässe nur in 24 Prozent der Fälle zum Einsatz kamen.

Sich vor Identitätsdiebstahl zu schützen ist also sowohl für Unternehmen als auch für jeden Einzelnen essenziell – und das funktioniert nur, indem man wachsam bleibt. Unternehmen sollten ganz genau hinsehen, mit wem sie Geschäfte machen und lieber einmal zu viel als einmal zu wenig kontrollieren. So vermeidet man nicht nur, auf Identitätsdiebe hereinzufallen, sondern kann auch andere Spielarten des Social Engineering wie Fake-President-Angriffe unterbinden. Privatpersonen hingegen sollten genau hinsehen, bevor sie ihre Daten einer Webseite oder einer Person anvertrauen. Hinweise, dass es sich nicht um ein seriöses Unternehmen hinter einem verlockenden Angebot handelt, können beispielsweise eine fehlende https-Verschlüsselung oder ein fehlendes Impressum sein. Einige Betrüger geben sich auch als renommiertes Unternehmen im Netz aus. Hier geben kleine, aber feine Unterschiede im Design, eine schlechte Auflösung des Logos oder eine abweichende URL Aufschluss, ob es sich um eine seriöse Seite handelt oder ob Kriminelle am Werk sind.

Laut einer aktuellen Umfrage der Boston Consulting Group (BCG) treffen Cyberattacken Finanzdienstleistungsunternehmen 300 Mal häufiger als andere Unternehmen. Die meisten Finanzinstitute sind trotz enormer Investitionen schlecht gerüstet, um auf Cyberbedrohungen gegen ihre IT-Infrastruktur zu reagieren. Die Kosten für den Umgang mit den Folgen eines Cyberangriffs sind für Vermögensverwalter und Banken besonders hoch. Umso wichtiger wäre es, die Cybersicherheit in die Unternehmenskultur einzubinden, denn der Gesamtschaden für den Finanzsektor wird auf Hunderte Milliarden Dollar pro Jahr geschätzt.

Cyberangriffe sind eine wachsende Bedrohung für die globalen Finanzinstitute, aber die meisten von ihnen sind laut Bericht der Boston Consulting Group schlecht darauf vorbereitet, zu reagieren. Für ihre Studie hat die BCG mehr als 150 Vermögensverwalter befragt. Der Bericht kommt zu dem Schluss, dass der Konkurrenzdruck im Segment er Vermögensverwaltung immer stärker zunimmt und sich dort auch immer mehr nicht-traditionelle Marktteilnehmer und Fintech-Unternehmen tummeln. Das wiederum führt dazu, dass gerade in Fragen der Cybersicherheit oft gespart wird.
„Ich hätte erwartet, dass Vermögensverwalter im Bereich Cybersicherheit viel breiter aufgestellt, viel agiler und viel mehr auf Zack sind“, sagte Anna Zakrzewski, die Herausgeberin des Berichts, in einem Interview. Das Hauptproblem sei mangelndes Sicherheitsbewusstsein. Laut BCG ist es 300 Mal wahrscheinlicher, dass sich ein Cyberangriff gegen die Finanzdienstleistungsbranche richtet als an Unternehmen in anderen Branchen.
Die Autoren bewerteten die Bereitschaft der Vermögensverwalter zur Abwehr von Cybersicherheitsbedrohungen auf einer Skala von 1 bis 5: kein Setup, ein unzureichendes Setup, ein Basis-Setup, ein akzeptables Setup und ein optimales Setup. Die Ergebnisse zeigten, dass keiner der befragten Vermögensverwalter die Kriterien für akzeptables Setup oder optimales Setup erfüllt. Zu den wichtigsten Schwachstellen gehörten das Versagen, die Cybersicherheit als Top-Management-Thema zu priorisieren, ein mangelndes Sicherheitsbewusstsein in der Unternehmenskultur und operativer Stress als Folge der Bewältigung einer steigenden Zahl von Angriffsfällen. Vielleicht am kritischsten zu sehen sei, dass sich zu wenige Unternehmen darauf konzentrierten, Mitarbeiter und Partner darauf vorzubereiten, während und nach einem Angriff effektiv zu handeln.
Die Securities and Exchange Commission (SEC) veröffentlichte Ende 2018 einen Untersuchungsbericht, in dem neun öffentliche Unternehmen verschiedener Sektoren, einschließlich der Finanzbranche, untersucht wurden, die durch Cyberbetrug Millionen von Dollar verloren hatten. Die SEC warnte davor, dass „öffentliche Unternehmen bei der Implementierung interner Rechnungslegungskontrollen Cyberbedrohungen berücksichtigen sollten“, nachdem sie sich auf Fälle konzentriert hatten, in denen es um kompromittierte Geschäfts-E-Mails ging. Der SEC-Vorsitzende Jay Clayton forderte die Aktiengesellschaften auf, dieses Risiko ernst zu nehmen. „Cyberbetrügereien sind eine allgegenwärtige, bedeutende und wachsende Bedrohung für alle Unternehmen, einschließlich unserer öffentlichen Unternehmen“, sagte er in einer Erklärung. „Investoren verlassen sich darauf, dass unsere öffentlichen Emittenten interne Rechnungslegungskontrollen einrichten, überwachen und aktualisieren, die diesen Bedrohungen angemessen begegnen.“
Aktuelle Branchentrends wirken leider nicht zu Gunsten der Banken und Finanzdienstleister. Die zunehmende Digitalisierung führt dazu, dass die früher isolierten Systeme immer offener werden. So bleiben Cyberattacken die größte Bedrohung für die Stabilität der Finanzsysteme.
JPMorgan und andere Finanzinstitute waren 2014 von einen massiven Cyberangriff betroffen, den Preet Bharara, der ehemalige US-Staatsanwalt für den New Yorker Southern District, als den „größten Diebstahl von Kundendaten von einem US-Finanzinstitut in der Geschichte“ bezeichnete. Das US-Unternehmen wendet jährlich fast 600 Millionen Dollar für Cybersicherheitsmaßnahmen auf, wobei sich mehr als 3.000 Mitarbeiter in irgendeiner Weise dieser Mission widmen.
Trotz des Wettrüstens mit den Angreifern gibt es mehrere Möglichkeiten, die die Bedingungen künftig verbessern können. KI-Systeme, die Betrug erkennen und zur Identifizierung von Cyberangriffen eingesetzt werden können, befinden sich bereits in einem frühen Stadium der Integration und werden in Zukunft ein Hauptbestandteil vieler Gegenmaßnahmen sein. Auf Blockchain basierende Technologien haben auch das Potenzial, vor verschiedenen Angriffen zu schützen, insbesondere wenn die Zusammenarbeit zwischen den Finanzinstituten noch weiter ausgebaut wird. Auch eine stetige Schulung der Mitarbeiter macht es Angreifern schwerer, an sensible Daten zu kommen. Denn auch wenn es keine hundertprozentige Sicherheit gibt, kann man sich selbst durch Aufmerksamkeit, Vorsicht und technische Absicherung zu einem unattraktiven Ziel für Angreifer machen.

Das Domain Name System (DNS) ist einer der wichtigsten Dienste in vielen IP-basierten Netzwerken. Als Schnittstelle zum Unternehmensnetzwerk kann ein hochsicheres DNS fehlerhaften Datenverkehr erkennen und blockieren. Angreifern wird so der unbefugte Zugriff zum System, der anschließende Datenklau oder die Kontrolle über einen Arbeitsplatz oder Server verweigert. Das Problem: Viele Unternehmen haben nur unzureichende Abwehrmechanismen, um Hacker-Angriffe auf genau diese Strukturen zu unterbinden.

Der am Dienstag veröffentlichte Global DNS Threat Report 2019 von EfficientIP zeigt nun, dass das DNS zum primären Ziel von Cyberangriffen geworden ist. Für Unternehmen ist dies oft mit enormen Ausfallzeiten der IT-Infrastruktur und hohen finanziellen Einbußen verbunden.  Im vergangenen Jahr waren 82 Prozent der im Bericht befragten Unternehmen von einem DNS-Angriff betroffen. Durchschnittlich versuchten Hacker neun Mal in das DNS zu gelangen, was einem Anstieg von 34 Prozent im Vergleich zum Vorjahr entspricht. Die finanziellen Verluste der betroffenen Unternehmen stiegen im gleichen Zeitraum um 49 Prozent an, da jedes fünfte Unternehmen mehr als eine Million Dollar bei den Attacken verlor.

Als Folge der verstärkten DNS-Angriffe erlitten 63 Prozent der Unternehmen Ausfallzeiten für interne Anwendungen, 45 Prozent sahen ihre Websites beeinträchtigt, 27 Prozent erlebten Geschäftsausfallzeiten, 26 Prozent waren von Schäden an ihrer Marke betroffen und 13 Prozent beklagten den Diebstahl vertraulicher Informationen. Die Daten zeigen auch eine Zunahme bestimmter Arten von DNS-Angriffen, darunter Phishing, DNS-basierte Malware, DDoS-Angriffe und DNS-Tunneling.
DNS-Attacken richten sich gegen eine Vielzahl von Branchen. Finanzdienstleistungen waren der am stärksten betroffene Sektor, Telekommunikation und Medien litten am stärksten unter einer Schädigung der Marke, Behörden verzeichneten das höchste Maß an Diebstahl sensibler Informationen und die Versorgungsunternehmen erlitten die höchsten Verluste durch solche Angriffe, so der Bericht.
Um gegen DNS-Angriffe vorzugehen, arbeiten Unternehmen typischerweise im reaktiven Modus. Das heißt: Wenn ein Angriff stattfindet, schalten Unternehmen in der Regel betroffene Prozesse und Dienste ab, deaktivieren einige oder alle betroffenen Anwendungen und stellen sogar die Geschäftstätigkeit ein. Doch an dieser Stelle ist das Kind meist schon in den Brunnen gefallen. Laut EfficientIP benötigen Unternehmen heute einen proaktiven Ansatz, um Angriffe zu verhindern oder vorherzusagen, bevor sie auftreten und erhebliche Schäden verursachen können. Unternehmen beginnen nun, genau das zu tun. Das Bewusstsein für die Bedeutung des DNS scheint endlich in den Unternehmen angekommen zu sein. Viele betrachten das Domain Name System als wichtigen Teil ihrer Sicherheitsstrategie, um bei der Bedrohungsaufklärung, Richtlinienkontrolle und Automatisierung zu helfen.

Von den befragten Unternehmen gaben 64 Prozent an, dass sie DNS-Analysen verwenden, um gefährdete Geräte zu erkennen, 35 Prozent ergänzen ihre Bedrohungsinformationen durch interne Analysen des DNS-Verkehrs und 53 Prozent nutzen maschinelles Lernen, um nach bösartigen Domains zu suchen. Darüber hinaus nimmt Zero Trust eine aktivere Rolle ein, da Unternehmen zunehmend sowohl internen als auch externen Traffic und Ressourcen als nicht vertrauenswürdig einstufen. 17 Prozent der Unternehmen gaben an, dass sie bereits eine Zero-Trust-Architektur eingebunden haben, während 48 Prozent sie als Teil ihrer Sicherheitsstrategie betrachten.

Doch wie sieht ein effektiver Schutz vor DNS-Attacken aus? Echtzeit-DNS-Analysen können helfen, fortgeschrittene Angriffe wie DGA (Domain Generation Algorithmus) Malware und Zero-Day-Balicious-Domains zu erkennen und zu verhindern. Die Integration von DNS mit IPAM (IP Address Management) in Netzwerksicherheitsorchestrierungsprozesse kann dazu beitragen, die Verwaltung von Sicherheitsrichtlinien zu automatisieren und sie aktuell, konsistent und prüfbar zu halten. Die Implementierung der verhaltensorientierten Bedrohungserkennung in Echtzeit über den DNS-Verkehr stellt sicher, dass qualifizierte Sicherheitsereignisse und nicht Protokolle an die SIEM-Software (Security Information and Event Management) gesendet werden.

Um Regierungs- und Industrieorganisationen dabei zu unterstützen, Cyberangriffe zu verhindern, haben Wissenschaftler der University of Texas at San Antonio im Rahmen eines Forschungsprojekts für die U.S. Army das erste Framework entwickelt, welches die Agilität von Angreifern und Verteidigern bewertet.

Mehr als ein Jahr lang stahl die russische Hackergruppe GozNym Zugangsdaten und Passwörter von Amerikanern und leerte deren Bankkonten. Um solche Cyberangriffe künftig früher zu erkennen und schneller darauf zu reagieren, haben Forscher der University of Texas at San Antonio (UTSA) das erste Framework entwickelt, um die Agilität von Angreifern und Verteidigern zu bewerten. Das Cyberagilität-Projekt wurde vom Army Research Office der U.S.-Armee finanziert.

Bei der Cyberagilität geht es nicht nur darum, eine Sicherheitslücke zu schließen, sondern auch darum, zu verstehen, was im Laufe der Zeit passiert. Die Möglichkeit vorherzusagen, wie sich die Gegner wahrscheinlich verhalten werden, bietet Möglichkeiten zum Schutz und zur frühzeitigen Einleitung von Gegenmaßnahmen. „Manchmal, wenn man eine Schwachstelle schützt, setzt man sich zehn anderen aus“, sagte der Informatiker Jose Mireles, der heute für das US-Verteidigungsministerium arbeitet und das Framework als Teil seiner UTSA-Masterarbeit mitentwickelt hat. „Es ist viel schwieriger, die Cybersicherheit zu quantifizieren, da die Wissenschaftler noch nicht herausgefunden haben, welchen Regeln sie unterworfen ist. Unsere formalen Metriken und Messungen zum Verständnis der auftretenden Angriffe werden einem breiten Spektrum von Cyberprofis zugutekommen.“

Um quantifizierbare Metriken zu entwickeln, arbeitete Mireles mit seinem Kommilitonen Eric Ficke, Forschern von Virginia Tech und einem Forscher von CCDC ARL und dem U.S. Air Force Research Laboratory zusammen.

Das Projekt wurde von Professor Shouhuai Xu, Direktor des UTSA Laboratory for Cybersecurity Dynamics, geleitet. Gemeinsam nutzten sie einen Honeypot, also ein Computersystem, das echte Cyberangreifer anlockt, um bösartigen Datenverkehr nach Zeit und Effektivität zu analysieren. Da sowohl Angreifer als auch Verteidiger immer neue Techniken entwickelten, konnten die Forscher besser verstehen, wie sich eine Reihe von Vorgängen in ein neues adaptives und reaktionsfähiges agiles Muster verwandelte, was sie eine Evolutionsgeneration nannten.

„Das Cyberagilität-Framework ist das erste seiner Art und ermöglicht es Cyberverteidigern, zahlreiche und vielfältige Reaktionen auf einen Angriff zu testen“, sagte Xu. „Dies ist eine herausragende Arbeit, da sie die Untersuchung und Praxis der Cyberagilität für die kommenden Jahre prägen wird.“

Das von den Forschern erarbeitete Framework wird Regierungen und Industrieunternehmen dabei helfen, zu visualisieren, wie gut sie Angriffe ausmanövrieren. Die bahnbrechende Arbeit wird in einer kommenden Ausgabe von IEEE Transactions on Information Forensics and Security, einem führenden Cybersicherheitsjournal, veröffentlicht.

Neustadt an der Weinstraße/Bielefeld – 8com und OEDIV Oetker Daten- und Informationsverarbeitung KG sind eine gemeinsame Partnerschaft im Bereich Cyber Security und IT-Sicherheit eingegangen. Schwerpunkt der Partnerschaft wird vor allem die Zusammenarbeit im Bereich Cyber Security in Kombination mit dem 8com Cyber Defense Center sein.

„Neue Formen von Cyberangriffen sowie unerkannte Sicherheitslücken in IT-Systemen sind die Hauptursachen der gestiegenen Bedrohung durch Cyberkriminelle – auch im Mittelstand. Wir freuen uns deshalb, dass wir mit 8com einen Spezialisten im Cyber-Security-Umfeld gefunden haben, der uns eng begleitet und unser Serviceportfolio strategisch ideal erweitert“, erklärt Martin Stratmann, Geschäftsführer der OEDIV KG.

8com bietet als spezialisierter Cyber-Security-Dienstleister umfassende Schutzkonzepte, die vom wirksamen Präventivschutz über die permanente Überwachung (Detektion) der Systeme bis zur schnellen Analyse und Reaktion bei Sicherheitsvorfällen reichen. Auch Götz Schartner, Geschäftsführer von 8com, freut sich über die neue Partnerschaft: „Mit OEDIV haben wir einen erfolgreichen Premiumpartner dazugewonnen, der unsere Leistungen für den Mittelstand durch professionelle und sichere Hosting-Lösungen optimal ergänzt.“ Die gemeinsam entwickelten Lösungskonzepte sollen in weiteren Ausbaustufen auf die Kundensysteme der OEDIV KG ausgerollt werden, um das Sicherheitslevel des Managed Services Providers weiter zu erhöhen. Das 8com Cyber Defense Center überwacht dabei weltweit die digitalen Infrastrukturen der Kunden. Ziel der Überwachung ist das Entdecken und Bekämpfen von Sicherheitsvorfällen, bevor diese hohe oder kritische Geschäftsauswirkungen verursachen.

Über 8com
8com ist der Cyber-Security-Partner für den Mittelstand. Seit 2004 überwacht und schützt 8com die digitalen Infrastrukturen seiner Kunden in über 40 Ländern weltweit. Das Unternehmen bietet unterschiedlichste Prüfungs- und Awareness-Leistungen für Informationssicherheit an. Seit über 15 Jahren ist es das Ziel von 8com, seinen Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen.

Über OEDIV KG
OEDIV Oetker Daten- und Informationsverarbeitung KG ist der Premiumanbieter von Infrastrukturlösungen und Managed Services für den deutschen Mittelstand. Seit über 20 Jahren ist es das Ziel von OEDIV, Kunden mit großer technischer Expertise und hoher Flexibilität in allen IT-Themen zu unterstützen und zu beraten. Der Schwerpunkt liegt dabei vor allem auf Microsoft und SAP Technologien. Als Unternehmen der Oetker-Gruppe, die mit mehr als 26.000 Mitarbeitern und rund 6 Milliarden Euro Umsatz weltweit zu den großen europäischen Familienunternehmen gehört, steht OEDIV für verlässliche Werte: Langfristige Partnerschaft mit den Kunden, eine hohe Produkt- und Servicequalität sowie die Zusammenarbeit mit Menschen auf Augenhöhe.

Datenschutz ist eines der großen Themen unserer Zeit. Keiner will, dass sensible Informationen, wie Gesundheits- oder Finanzdaten, Bilder oder Unternehmensdaten, frei verfügbar im Netz stehen. Umso unverständlicher ist es, dass immer mehr Menschen und Unternehmen genau solche Daten der Cloud anvertrauen. Es ist aber auch zu praktisch, wenn man immer und überall auf alle Informationen und Dateien zugreifen kann. Doch dabei gibt es ein Problem: Nicht immer sind diese Daten sicher, denn fehlerhafte Konfigurationen der Server machen es Cyberkriminellen oft leicht, an sensible Daten zu kommen.

Eine neue Studie von Digital Shadows zeigt nun, dass die Zahl der Daten auf solchen verwundbaren Servern im vergangenen Jahr um 50 Prozent auf rund 2,3 Milliarden angestiegen ist. Das Risiko, Opfer von kriminellen Aktivitäten im Netz zu werden, steigt damit immer weiter. Zu den ungeschützten oder unzureichend geschützten Servern zählen SMB File Shares, RSync Server und Amazon S3 Buckets. Die Security-Experten fanden bei ihrer Untersuchung rund 4,4 Millionen offen im Netz zur Verfügung stehende medizinische Akten, wie beispielsweise Röntgenbilder zusammen mit persönlichen Patienten- und Versicherungsdaten. Selbst IT-Firmen sind nicht vor falsch konfigurierten Servern gefeit. Eine britische IT-Beratung hatte versehentlich über 212.000 Datensätze ihrer Kunden, inklusive Benutzernamen und Passwörtern, unzureichend geschützt im Netz stehen. Und nicht nur Unternehmen, sondern auch Privatpersonen machen es Cyberkriminellen einfach. Von Fotos über Bankdaten bis hin zu Scans der Ausweispapiere – es gab kaum etwas, das die Sicherheitsforscher nicht entdeckten.

Für manche Nutzer kommt die Warnung jedoch zu spät: Auch mehr als 17 Millionen bereits von Ransomware kompromittierte Daten wurden entdeckt. Insbesondere die Krypto-Trojaner NamPoHyo, eine Variante der Ransomware MegaLocker, und Samsam scheinen sich auf solche unzureichend geschützte Server spezialisiert zu haben.

Die Studie zeigt auch, in welchen Ländern man es mit dem Datenschutz am wenigsten genau nimmt. Die meisten Daten fanden die Sicherheitsforscher in den USA, gefolgt von Frankreich und Japan. Fortschritte im Vergleich zur Vorjahresuntersuchung gab es hingegen in den Niederlanden und in Luxemburg. Das sei auch auf das in Kraft treten der DSGVO in Europa zurückzuführen, die Nutzern und Kunden mehr Macht über die eigenen Daten einräumt. Dieser positive Effekt scheint jedoch nicht überall zu wirken, denn dann wäre Frankreich nicht in den Top 3 der schlimmsten Datenschutzsünder gelandet. 

Trotzdem gibt es auch Anlass für verhaltenen Optimismus: Während man im vergangenen Jahr noch 16 Millionen Datensätze auf Amazons S3 Buckets fand, waren es in diesem Jahr nur noch wenige Tausend Files.

Der Social-Sharing-Dienst und Nachrichten-Aggregator Flipboard musste Millionen von Benutzerkennwörtern zurücksetzen, nachdem sich Hacker über einen Zeitraum von neun Monaten mehrmals Zugriff auf die Systeme und Datenbanken des Unternehmens verschaffen konnten. Noch ist unklar, wie viele Konten von dem Angriff betroffen sind. Nutzer werden bei der Anmeldung aufgefordert, ein neues Kennwort zu erstellen.

Die Nachrichten-App Flipboard erfreut sich einer immer größeren Beliebtheit und scheint mit ihrer Art der Nachrichtenaufbereitung bei vielen Newsjunkies den Nerv der Zeit getroffen zu haben. Die Geschäftsidee ist einfach: Das Unternehmen aus dem kalifornischen Palo Alto sammelt von sozialen Medien, angeschlossenen Publishern und Websites Nachrichten zu unterschiedlichen Themen und präsentiert die Inhalte in Form eines Magazins, das jeder Nutzer nach seinen eigenen Vorlieben und Präferenzen selbst zusammenstellen kann. Der Nutzer wird per App auf seinem mobilen Endgerät laufend mit tagesaktuellen News versorgt. Er kann Personen und Alben auf Flipboard folgen, Feeds von Webseiten abonnieren oder selbst via Flipboard publizieren. Heute verwenden bereits über 150 Millionen Menschen Flipboard, Tendenz steigend.

Unternehmen wie Flipboard, die viele Nutzerdaten vorhalten, werden in letzter Zeit verstärkt von Hackergruppen und Cyberkriminellen heimgesucht. Erst am Dienstag musste der Betreiber Flipboard Inc. in einer offiziellen Mitteilung zugeben, dass es Hackern zwischen dem 2. Juni 2018 und dem 23. März 2019 sowie zwischen dem 21. und 22. April 2019 gelungen war, Nutzerdaten zu erbeuten. So wurden Benutzernamen, E-Mail-Adressen, Kennwörter und Account-Token für Dienste von Drittanbietern gestohlen. Es wurden keine Sozialversicherungsnummern, Kreditkarteninformationen oder andere Finanzdaten preisgegeben, da die App diese Informationen nicht sammelt. Der Mitteilung zufolge waren nicht alle Nutzerkonten von der Hackerattacke betroffen, allerdings wurde der Diebstahl erst einen Tag später, am 23. April 2019, von Flipboard festgestellt.

„Vorsichtshalber haben wir alle Benutzerpasswörter zurückgesetzt, obwohl die Passwörter kryptografisch geschützt waren und nicht alle Kontoinformationen der Benutzer betroffen waren“, teilt Flipboard in einer FAQ auf seiner Website mit. Benutzer müssen somit beim nächsten Versuch, sich in ihrem Konto anzumelden, ein neues Kennwort erstellen.

Darüber hinaus wurden alle digitalen Token, die zum Herstellen einer Verbindung zu Konten von Drittanbietern, wie Facebook, Google und Samsung, verwendet wurden, ersetzt oder gelöscht, um einen Missbrauch zu verhindern.

„Wir fühlen uns der Sicherheit und Sorgfalt unserer Benutzer und Partner verpflichtet, und der Schutz ihrer Kontodaten hat für uns höchste Priorität“, heißt es in einer Erklärung von Flipboard. „Wir haben verstärkte Maßnahmen zur Sicherung unserer Systeme ergriffen und zusätzliche Sicherheitsvorkehrungen getroffen, um dies zu verhindern.“ Bisher wurden wohl keine Beweise dafür gefunden, dass nicht-autorisierte Personen auf Konten von Drittanbietern zugegriffen haben, die mit den Flipboard-Konten verbunden sind.

Nicht alle Benutzerkonten waren laut Flipboard betroffen, aber es war nicht sofort klar, wie viele es nun tatsächlich waren. Derzeit ist das Unternehmen noch dabei, die genaue Anzahl zu ermitteln.

Flipboard ist nicht der erste Technologiekonzern, der in diesem Monat von Hackern heimgesucht wurde. Canva, eine der größten Online-Designplattformen, wurde ebenfalls Opfer.  In der vergangenen Woche gab das in Australien ansässige Unternehmen zu, dass die Hackergruppe GnoticPlayers die Datensätze von 139 Millionen Nutzern gestohlen hatten. Aufgefallen war das allerdings erst, als die Cyberkriminellen ihren Angriff via ZDNet selbst öffentlich machten.

Eine Sicherheitslücke auf WhatsApp wurde für Hacker-Angriffe ausgenutzt, bei denen Menschenrechtsaktivisten und politische Dissidenten ausspioniert wurden. Durch einen Anruf über die Messenger-App wurde Schadsoftware auf dem Handy der Nutzer installiert, die es ermöglichte, auf die Geräte zuzugreifen. Die Spionagesoftware stammt vermutlich von der israelischen Sicherheitsfirma NSO Group.

Der Messenger-Dienst WhatsApp, der seinen 1,5 Milliarden Nutzern eine verschlüsselte Kommunikation ermöglicht, wurde bereits Anfang Mai auf die Sicherheitslücke aufmerksam. Ein Anwalt hatte den Verdacht, dass sein Handy gehackt wurde, nachdem er zu seltsamen Uhrzeiten Anrufe aus Schweden erhielt. Er wendete sich an das Citizen Lab der University of Toronto, das dabei half, die Hacker-Angriffe aufzudecken. Im selben Zeitraum bemerkten Mitarbeiter bei WhatsApp verdächtige Aktivitäten bei den Sprachanrufen. Nachdem die Sicherheitslücke entdeckt wurde, hat das Unternehmen Menschenrechtsorganisationen über die Gefahr informiert und sich an das zuständige Justizministerium gewendet.

Sicherheitsexperten gehen davon aus, dass die Spionagesoftware von der israelischen Sicherheitsfirma NSO Group entwickelt wurde, da für die Firma typische Charakteristika in der Software gefunden wurden. Die NSO Group weist die Anschuldigungen zurück, für den Hacker-Angriff verantwortlich zu sein. In einem Statement bekräftigt die Firma, ihre Spionagesoftware in Übereinstimmung mit ihrem Ethik-Komitee nur an ausgewählte Regierungen weiterzugeben und nicht an der Auswahl der Angriffsziele beteiligt zu sein.

Bei den Anrufen wurde die Schadsoftware auch installiert, wenn die Nutzer den Anruf nicht angenommen haben. Der Angriff war schon erfolgreich, wenn die App nur im Hintergrund aktiv war. Anrufe über WhatsApp funktionieren mithilfe von Voice over IP (VoIP), also der Internettelefonie. VoIP-Anwendungen zeichnen grundsätzlich alle eingehenden Anrufe auf und informieren die Nutzer darüber, egal ob man den Anruf angenommen hat oder nicht. Da der Messenger-Dienst eine Ende-zu-Ende-Verschlüsselung für die Nachrichten- und Anruffunktion etabliert hat, sind die dahinterstehenden Prozesse im Fall von WhatsApp zusätzlich komplex und leichter anzugreifen. Es ist bekannt, dass die Ende-zu-Ende-Verschlüsselung von WhatsApp unter anderem auf dem Signal Protocol basiert, das aber laut Signal nicht für diese Attacken anfällig war.

Laut Sicherheitsexperten von Facebook lässt sich die Sicherheitslücke auf einen sogenannten Buffer Overflow zurückführen – eine häufig auftretende Schwachstelle aktueller Software. Bei dieser Art von Angriff überlasten zu große Datenmengen den dafür vorgesehenen Speicherplatz, sodass andere Speicherstellen überschrieben werden. Ein Buffer Overflow kann das betroffene System zum Absturz bringen oder Angreifern Zugang zum System verschaffen, wie es bei den Hacker-Angriffen über WhatsApp der Fall war.

Mittlerweile hat WhatsApp ein Update veröffentlicht, das die Sicherheitslücke schließt. Die aktuellen, sicheren Versionsnummern lauten 2.19.134 für Android und 2.19.51 für iOS. Sowohl Android als auch iOS-Nutzer sollten das Update zu ihrer Sicherheit installieren. Zusätzlich gab WhatsApp bekannt, an einer verbesserten Infrastruktur zu arbeiten, um sicherzustellen, dass Nutzer künftig nicht durch ähnliche Attacken angreifbar sind.

Der Informationssicherheitsspezialist 8com wird von LogPoint zum Gold Partner erhoben, um deutschen Unternehmen eine Echtzeit-Übersicht über die Netz-werksicherheit auf Basis der LogPoint SIEM-Lösung anzubieten. 8com betreibt ein eigenes 24-7 Cyber Defense Center und wird LogPoint als Managed Service sowie beim Kunden vor Ort anbieten.

Kopenhagen & München – 21. Mai 2019 – LogPoint, Anbieter von Next Genera-tion SIEM, UEBA und Big Data Analytics, gibt 8com als zertifizierten Gold-Partner in Deutschland bekannt. Mit LogPoint wird 8com in der Lage sein, seinen Kun-den eine SIEM-Lösung anzubieten, die fortschrittlich, einfach zu implementieren und eine unvergleichliche Time-to-Value offeriert.

„Deutsche Unternehmen investieren in Cybersicherheit, einschließlich Firewalls und Detektionssysteme, aber oft fehlt das Gesamtbild, da sie keine vollständige Transparenz über die IT-Infrastruktur haben“, sagt Götz Schartner, Gründer und CEO von 8com. „Während SIEM oft als kompliziert empfunden wird, können wir mit der LogPoint SIEM-Lösung unseren Kunden innerhalb einer Woche verwert-bare Informationen liefern. Etwas, das bei älteren SIEM-Lösungen oft Monate dauert.“

Die LogPoint SIEM-Lösung erhöht die Cybersicherheit und vergrößert die Trans-parenz durch Echtzeit-Datenanalyse über die gesamte Netzwerkinfrastruktur mit Hilfe von UEBA und Advanced Machine Learning. Sie bietet Bedrohungserken-nung und Früherkennung von Datenschutzverletzungen und unterstützt den IT-Betrieb, Compliance und Business Analytics.

Ursprünglich spezialisiert auf Penetration Testing und Vulnerability Management, ist 8com heute ein Full-Service-Cybersecurity-Anbieter. Das 2004 gegründete Unternehmen mit Hauptsitz in Neustadt bei Mannheim in Rheinland-Pfalz be-schäftigt 55 Cybersicherheits-Spezialisten. Seit 2010 betreibt 8com ein eigenes Cyber Defence Center, ein Security Operations Center und ein Computer Emer-gency Response Team, das 24-7 Cybersecurity Services für mehr als 40 Kunden anbietet.

„Nach umfangreichen Auswertungen haben wir uns aus fünf Hauptgründen für LogPoint entschieden. LogPoint wird in Europa hergestellt und ist die einzige EAL 3+ zertifizierte SIEM-Lösung auf dem Markt. Während sich andere Anbieter auf die Cloud konzentrieren, widmet sich LogPoint weiterhin lokalen Lösungen und bietet die perfekte Plattform für Managed Security Services. Und schließlich ist das LogPoint-Lizenzmodell sehr attraktiv“, ergänzt Götz Schartner.

Im Gegensatz zu anderen Anbietern bietet LogPoint ein Note-basiertes Lizenz-modell und nicht ein volumenbasiertes (EPS/GB). Dies verbessert die Fähigkeit der Kunden, die Gesamtbetriebskosten für ihr SIEM vorherzusagen und zu kon-trollieren - sei es vor Ort oder als Service.

„Wir freuen uns sehr, 8com als Gold-Partner an Bord zu holen. Mit ihren tiefen CyberSecurity-Kompetenzen und ihrem Fokus auf Kundengrößen ab 5.000 An-wendern adressieren sie ein Schlüsselsegment für LogPoint. Ihre Kompetenzen und Unternehmenswerte passen hervorragend zu LogPoint, so dass unsere ge-meinsamen Kundenbeziehungen durch einen professionellen und hochkompe-tenten Partner unterstützt werden“, erklärt Pascal Cronauer, Regional Director für C EMEA bei LogPoint.

LogPoint hat seinen Hauptsitz in Kopenhagen und unterhält Niederlassungen in London, Paris, München, Stockholm und Boston. Der SIEM-Anbieter ist ein Part-nerschaftsunternehmen, das mit mehr als 50 zertifizierten Partnern, MSSP's und Distributoren auf der ganzen Welt zusammenarbeitet, um den wachsenden SIEM-Markt zu bedienen.

Im Jahr 2018 wurde LogPoint im Gartner Magic Quadrant für SIEM als einziger europäischer Anbieter ausgezeichnet. Die LogPoint-Lösung wird von Cybersi-cherheitsexperten in Gartner Peer Insight Reviews mit 4,5 von 5 Punkten gelobt und zählt zu den führenden Unternehmen der globalen SIEM-Branche.

Im Juni wollen die G7-Staaten, Deutschland, Frankreich, Kanada, Japan, Italien, Großbritannien und die USA, erstmals gemeinsam die Widerstandsfähigkeit ihrer Finanzsysteme testen. An der dreitägigen Simulation nehmen 24 Behörden des Finanzsektors teil, darunter Zentralbanken, Ministerien und Finanzaufseher. Auch Vertreter der Privatwirtschaft sind dabei.

Die Finanzwirtschaft ist unter Cyberkriminellen ein besonders beliebtes und lohnendes Ziel. Laut dem kürzlich veröffentlichten IBM Intelligence Threat Report 2019 entfallen 19 Prozent aller Cyberangriffe auf den Finanz- und Versicherungssektor. Auf dem zweiten Platz rangiert mit 13 Prozent der Transportsektor. Nun wollen die führenden westlichen Industrienationen mit einem simulierten Hackerangriff grenzüberschreitend die Sicherheit und Stabilität des Finanzsektors testen.

Die Organisation der Simulation wird von der französischen Zentralbank übernommen, wie die für Finanzstabilität zuständige Direktorin Nathalie Aufvaure mitteilte. Der Test simuliert für eine Zeitspanne von drei Tagen ein Szenario, in dem eine in der Branche häufig genutzte technische Komponente grenzübergreifend mit schädlicher Software infiziert wird. Bei der Simulation sind 24 Behörden aus dem Finanzsektor von sieben Ländern beteiligt. Darunter befinden sich unter anderem Zentralbanken, Ministerien und Vertreter von Aufsichtsbehörden. Aber nicht nur die staatlichen Institutionen, sondern auch einige Vertreter aus der Privatwirtschaft in Deutschland, Frankreich, Italien und Japan nehmen teil, um den Ernstfall zu erproben.

Einige Institutionen, wie beispielsweise die Europäische Zentralbank und die Bank of England haben bereits ähnliche Tests durchgeführt. Dies wird jedoch die erste grenzübergreifende Simulation dieser Art sein, zu der sich die führenden westlichen Industrienationen zusammenschließen. Der französische Finanzminister Bruno Le Maire begründete die Zusammenarbeit damit, dass Cyberbedrohungen mehr Multilateralismus und eine engere Kooperation zwischen den Staaten erforderlich machen.

Der Finanzsektor ist für viele kriminelle Hacker ein beliebtes Ziel, da sich die entwendeten Datensätze, wie beispielsweise Informationen über Bankkonten oder Zahlungskarten, schnell zu Geld machen lassen. Insbesondere nach der aufsehenerregenden Cyberattacke in Bangladesch im Jahr 2016 ist die Problematik immer mehr ins Bewusstsein der Finanzaufseher und Zentralbanken gerückt. Damals hatten sich Kriminelle über das SWIFT-Netzwerk Zugang zur Zentralbank von Bangladesch verschafft und 81 Millionen Dollar erbeutet. Bislang hatten es Cyberkriminelle meist auf das schwächste Glied in der Kette abgesehen – den Endverbraucher. Ein leichtes Opfer für halbwegs erprobte Hacker. Doch auch die Beute ist hier vergleichsweise gering. Der Cyberangriff auf die Zentralbank von Bangladesch markiert dagegen eine ganz neue Dimension.

Auch wenn viele Länder ihre Sicherheitsvorkehrungen in den letzten Jahren deutlich erhöht haben, bemängeln Finanzaufseher aus Deutschland und Frankreich, dass einige Länder außerhalb der G7-Staaten weniger streng regulierten. So würden sie den Firmen einen Anreiz bieten, ihren Standort ins Ausland zu verlegen, um sich den vorgeschriebenen Sicherheitsstandards zu entziehen. Die angekündigte Simulation zeigt, dass zumindest die führenden westlichen Industrienationen diese Gefahren ernst nehmen und sich gemeinsam gegen potenzielle Angriffe absichern wollen.

Der amerikanische Geheimdienst National Security Agency (NSA) hat bei einer Cyberattacke offensichtlich von ihm entwickelte Hacking-Tools an chinesische Hacker verloren.  Die der chinesischen Regierung zuzuordnende Hacker-Gruppe Buckeye nutzte diese Software, um amerikanische Verbündete und weitere Ziele in Europa und Asien anzugreifen. Die Angriffe fanden bereits 2016 statt, wurden aber erst kürzlich durch die amerikanischen Sicherheitsexperten des Softwareunternehmens Symantec aufgedeckt.

Laut einem Bericht von Symantec hat die Hacker-Gruppe Buckeye optimierte Versionen der NSA-Hacking-Tools Eternal Synergy und Doublepulsar in ihren Angriffen verwendet. Einige Hacking-Tools der NSA waren bekanntermaßen ab August 2016 durch die Hackergruppe Schadow Brokers veröffentlicht worden. Die Angriffe durch Buckeye fanden aber bereits im März 2016 statt, also einige Monate bevor die Gruppe Shadow Broker ihre gesamten gestohlenen NSA-Tools verbreitete. Da sich die Versionen von Buckeye und Shadow Broker unterscheiden, scheinen die beiden Gruppen unabhängig voneinander agiert zu haben.

Die Forscher von Symantec nehmen an, dass Buckeye den Code entweder durch Artefakte eines NSA-Angriffes rekonstruiert oder von einem nicht ausreichend gesicherten Server der NSA gestohlen hat. Die als gefährlich eingestufte Hackergruppe wird seit Jahren beobachtet und ist für mehrere Angriffe auf sensible US-amerikanische Ziele in den Bereichen Weltraum, Satelliten und Atomtechnologie verantwortlich.

Mit der von der NSA entwickelten Backdoor Doublepulsar hat die Gruppe Buckeye Cyberattacken in Belgien, Luxemburg, Vietnam, den Philippinen und Honkong durchgeführt. Sie zielte dabei auf Forschungsorganisationen, Bildungseinrichtungen und das Computernetzwerk von mindestens einem Regierungsverbündeten der USA ab. Die Hacker haben die gestohlenen Werkzeuge aber nicht gegen die USA selbst verwendet. Dies liegt wahrscheinlich zum einen daran, dass sie den Diebstahl nicht offenlegen wollten. Weiterhin ist anzunehmen, dass die NSA als Entwickler ihre Systeme gegen das eigene Hacking-Werkzeug schützen kann.

Obwohl man dachte, dass die Gruppe Buckeye ihre Aktivitäten bereits 2017 eingestellt hat, wurden die gestohlenen Tools bis Ende 2018 für Angriffe genutzt. Das lässt darauf schließen, dass die Gruppe entweder länger aktiv war, als bisher angenommen, oder dass sie das Werkzeug an andere Gruppen weitergegeben hat. In den letzten Jahren sind immer wieder US-amerikanische Hacking-Werkzeuge und sensible Informationen über Cybersicherheitsprogramme in die Hände von anderen Ländern und kriminellen Gruppen geraten. So wurde beispielsweise auch die Schadsoftware, die für die Zerstörung iranischer Nuklear-Zentrifugen genutzt wurde, später in Angriffen auf die amerikanische Wirtschaft identifiziert. Auch sensible Daten zur US-amerikanischen Cybersicherheit wurden durch Whistleblower wie Edward Snowden und Veröffentlichungen auf WikiLeaks an unautorisierte Parteien weitergegeben.

Kritiker fordern deshalb, dass bei der Entwicklung von Hacking-Werkzeugen die Möglichkeit einer feindlichen Zweckentfremdung in die Risikoanalyse mit eingehen sollte. Auch der sogenannte Vulnerabilities Equities Process (VEP) ist in diesem Zusammenhang höchst umstritten. Im Rahmen dieses Prozesses kann die Regierung entscheiden, ob die eigenen Geheimdienste eine entdeckte Sicherheitslücke für ihre Zwecke nutzen und das Sicherheitsrisiko verheimlichen dürfen, oder ob der Fehler veröffentlicht und somit von den Softwareherstellern behoben werden soll.

Der Fall macht deutlich, wie hoch die Gefahr ist, die von staatlichen Hackern ausgeht – auch in westlichen Demokratien. Cyberkrieg ist schon lange kein Mythos mehr, sondern Realität!

Immer mehr Unternehmen investieren viel Geld und Energie in ihre Cybersicherheit. Doch allzu oft werden diese Bemühungen durch die eigenen Mitarbeiter zunichte gemacht. Gerade durch die Nutzung von nicht autorisierten Geräten, die sich in das Firmennetzwerk einwählen und die Verwendung von zusätzlicher Software entsteht in vielen Unternehmen eine gefährliche Schatten-IT. Diese schwächt die Cybersicherheit und macht Firmen anfälliger für Schadsoftware wie den Mirai-Virus, der seit Kurzem gezielt schlecht geschützte Geräte in Unternehmensnetzen angreift.

Schon im letzten Jahr warnte eine Studie von Infoblox, bei der insgesamt 1.000 IT-Verantwortliche in den USA, dem vereinigten Königreich, den Vereinigten Arabischen Emiraten und Deutschland befragt wurden, vor den gefährlichen Auswirkungen von Schatten-IT in Unternehmen. So wählen sich bei 35 Prozent der Unternehmen täglich über 5.000 Geräte in das Firmennetzwerk ein, die nicht dem Unternehmen gehören. Von diesen Geräten werden zirka 40 Prozent dazu verwendet, um soziale Netzwerke aufzurufen oder Apps, Spiele und Filme herunterzuladen. Die sich so etablierte Schatten-IT macht viele Firmen besonders anfällig für Social Engineering, Phishing und Malware-Infektionen.

Das größte Problem der Schatten-IT ist, dass die Geräte der Mitarbeiter für gewöhnlich nicht den Sicherheitsstandards des Arbeitgebers entsprechen. Auch die Nutzung von Software und Apps, von denen die IT-Abteilung nichts weiß, stellt ein Risiko für die Sicherheit dar. Denn auch wenn Apps harmlos erscheinen und millionenfach runtergeladen worden sind, können Sie trotzdem Schadsoftware enthalten. So haben McAfee-Forscher schon 2017 im Google Play Store 144 Apps gefunden, die mit der Schadsoftware Grabos infiziert waren und die insgesamt über 17 Millionen Mal runtergeladen wurden.

Im Grunde ist Schatten-IT häufig Teil eines größeren Problems: Mitarbeiter behelfen sich selbst mit externen Geräten oder Software-Applikationen, um ihre Arbeit effizienter gestalten zu können. Vor dem Hintergrund ist es nicht weiter verwunderlich, dass Instant-Messenger und Filesharing-Apps zu den am häufigsten ohne Absprache genutzten Apps gehören. Vor allem die unautorisierte Nutzung von Cloud-basierten Anwendungen kann dazu führen, dass vertrauliche Dokumente für einen längeren Zeitraum und im schlimmsten Fall schlecht geschützt online bleiben. Hinzu kommt, dass in manchen Branchen eine Datenübertragung durch unautorisierte Kanäle zu Problemen mit der Einhaltung der Datensicherheit und der Datenschutzgrundverordnung führen kann.

Zukünftig wird sich die Problematik rund um das Thema Schatten-IT durch das „Internet der Dinge“ voraussichtlich noch verstärken. Denn wenn im Unternehmen immer mehr Geräte eine Verbindung zum Firmennetzwerk aufbauen, steigt auch die Angriffsfläche für Hacker immens. Erst kürzlich wurde eine neue Version des Mirai-Virus entdeckt, der bereits 2016 für aufsehenerregende Distributed-Denial-of-Service-Attacken gesorgt hatte. Die neuere Version greift nun gezielt schlecht geschützte Geräte im Unternehmensnetzwerk an, zu denen häufig Präsentationssysteme und Fernseher zählen.

Trotz all der negativen Aspekte der Schatten-IT gibt es auch Unternehmen, die ihre Mitarbeiter dazu ermuntern, ihre eigenen Geräte mitzubringen, um die Effizienz zu steigern. Diese Unternehmen zeigen uns, wie man auch mit ungewollter Schatten-IT besser umgehen kann. Denn Sicherheitsrisiken beugen sie gezielt vor, indem sie verstärkt in Weiterbildung von Mitarbeitern investieren. So wird ein besseres Bewusstsein für sichere Passwörter und die Wichtigkeit von regelmäßigen Updates gefördert. Außerdem kann eine klare Kommunikation darüber, welche Apps zum Arbeiten benötigt werden und welche die IT-Abteilung als sicher einstuft, ungewollter Schatten-IT vorbeugen.

Gerade hat der internationale Spezialversicherer Hiscox seinen Cyber Readiness Report 2019 herausgegeben und die Zahlen lassen aufhorchen. So gaben 61 Prozent der befragten Unternehmen an, in den letzten 12 Monaten Opfer eines Cyberangriffs geworden zu sein. Sowohl die Häufigkeit von Hackerattacken als auch die daraus resultierenden finanziellen Schäden steigen rapide an. Unternehmen erhöhen ihre Sicherheitsbudgets.

Am Dienstag gab der Spezialversicherer Hiscox seinen alljährlichen The Hiscox Cyber Readiness Report heraus. Hierfür befragte Hiscox fast 5.400 Geschäftsleute und IT-Manager in den USA, Großbritannien, Deutschland, Belgien, Frankreich, Spanien und den Niederlanden.

Die Quintessenz der Umfrage bestätigt einen Trend, der sich bereits seit Jahren abzeichnet: Cyberangriffe auf Unternehmen nehmen weltweit stark zu und verursachen ernstzunehmende Kosten in der Wirtschaft. So gaben 61 Prozent der Befragten an, dass ihr Unternehmen in den letzten 12 Monaten von einem Cyberangriff betroffen gewesen sei, verglichen mit noch 45 Prozent im Vorjahr. 24 Prozent der Unternehmen seien einem Computervirus oder Computerwurm zum Opfer gefallen, 17 Prozent von einer Ransomware-Attacke getroffen worden. Die Anzahl der Befragten, die einen DDoS-Angriff (Distributed Denial-of-Service) gemeldet hatten, stieg von 10 Prozent im Vorjahr auf 15 Prozent.

Unter den 3.300 von Angriffen betroffenen Unternehmen berechneten rund 2.250 die Kosten durch Cyberangriffe für ihr Unternehmen. In den vergangenen 12 Monaten beliefen sich diese durchschnittlich auf 360.000 USD. Im letzten Jahr waren es noch durchschnittlich 229.000 USD. Darüber hinaus stiegen die durchschnittlichen Kosten des größten Einzelvorfalls pro Unternehmen von 34.000 USD auf 200.000 USD deutlich an.

Um der zunehmenden Anzahl von Cyberangriffen entgegenzuwirken, gaben 72 Prozent der Befragten an, dass ihr Unternehmen im kommenden Jahr die Ausgaben für Cybersicherheit erhöhen wolle. Etwa 50 Prozent sagten, sie würden mehr Geld für Technologie ausgeben wollen. Das sind allerdings 7 Prozent weniger als noch im letzten Jahr. Dafür erhöhen viele Unternehmen die Budgets für Mitarbeiterschulungen, IT-Sicherheitsberater und Dienstleistungen durch Drittanbieter (Outsourcing von IT-Sicherheit) erheblich.   

Außerdem sehen viele Unternehmen die IT-Sicherheit ihrer Lieferantennetzwerke sehr kritisch. So gaben 65 Prozent der Befragten an, einen oder mehrere Cyberangriffe aufgrund eines schwachen Gliedes in ihrer Lieferkette erlitten zu haben. Rund 74 Prozent der Unternehmen würden vierteljährlich oder spontan die Sicherheit ihrer Lieferantennetzwerke überprüfen.  Allerdings hätten nur 8 Prozent die Häufigkeit ihrer Untersuchungen nach einem Cyberangriff im vergangenen Jahr erhöht.

Unternehmen werden sich zunehmend der Risiken bewusst und investieren mehr Ressourcen in Cyber Security. Trotzdem besteht noch immer eine große Kluft zwischen Problembewusstsein und wirksamer Abwehr.

Der gefährliche Trojaner „Emotet“ hält Unternehmen, Behörden und Privatpersonen auf Trab. Bereits im Dezember 2018 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals vor der Malware. Stoppen konnte den Trojaner bisher niemand, er breitet sich unaufhaltsam weiter aus.

Emotet wurde ursprünglich als Banking-Schadsoftware konzipiert, die in fremde Computer eindringen und dort vertrauliche Daten sammeln sollte. Bereits 2014 entdeckten IT-Sicherheitsexperten den Trojaner. Emotet ist in der Lage, herkömmliche Antivirenprogramme zu täuschen und so den Computerschutz zu umgehen. Er verbreitet sich wie ein Computerwurm, kopiert sich immer wieder selbst und verteilt sich so beispielweise über das Intranet von Unternehmen. Da Emotet stetig weiterentwickelt wird, konnte der Verbreitung bisher nicht Einhalt geboten werden.

Medienberichten zufolge haben Hacker sehr authentische Phishing-Mails verschickt, in deren Anhang sich der Trojaner befindet. Die Nachrichten waren im Namen von Microsoft, Vodafone und der Telekom verfasst und lockten so bereits unzählige Menschen in die Falle.

Sobald die beigefügte Datei oder URL aktiviert wird, erfasst die Software sämtliche Kontakte und Konversationen aus E-Mail-Postfächern. Diese Informationen nutzen die Hacker wiederum dazu, das Schadprogramm innerhalb des gehackten Netzwerks weiter zu verbreiten. Durch zuvor exportierte Namen, Mailadressen und Signaturen werden die Empfänger mittels perfekt gefälschter Mails schnell dazu verleitet, die Malware ebenfalls zu aktivieren.

Ist ein Rechner erst infiziert, lädt Emotet weitere Schadprogramme herunter, die Zugangs- und Zahlungsinformationen exportieren können. Dadurch bemächtigt sich der Trojaner nicht nur einzelner Rechner, sondern kann in kürzester Zeit ganze Firmennetzwerke in seine Gewalt bringen. Dem BSI zufolge kam es in diesem Zusammenhang bei verschiedenen Unternehmen bereits zu schwerwiegenden Produktionsausfällen, die erhebliche finanzielle Schäden zur Folge hatten.

Verschiedene Faktoren können dabei helfen, PCs und andere elektronische Geräte vor Emotet zu schützen. Zunächst sollten bereitgestellte Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme, wie Webbrowser oder E-Mail-Clients, installiert werden. Vorhandene Antivirenprogramme sollten außerdem immer auf dem neusten Stand gehalten und dafür regelmäßig aktualisiert werden. Zudem ist das Sichern wichtiger Daten in Form von regelmäßigen Back-ups im heutigen digitalen Zeitalter ein Muss. Abschließend kann nicht oft genug betont werden, dass auch bei vermeintlich bekannten Absendern Vorsicht ratsam ist und Dateianhänge oder URLs nie leichtfertig angeklickt werden sollten.

Doch was ist zu tun, wenn der Rechner oder das Unternehmensnetzwerk bereits betroffen sind? Am wichtigsten ist eine schnelle Kommunikation. Das Umfeld sollte unverzüglich über die Infektion eines Rechners oder Netzwerks in Kenntnis gesetzt werden, da vor allem die darin enthaltenen Mailkontakte gefährdet sind. Außerdem sollten alle Zugangsdaten, die auf den betroffenen Systemen gespeichert sind, umgehend geändert werden. Da durch Emotet heruntergeladene Schadprogramme teilweise sicherheitsrelevante Änderungen an infizierten Systemen vornehmen, ist es zudem ratsam, den infizierten Rechner neu aufzusetzen.

Noch im letzten Jahr stand das Vorprogramm der Münchner Sicherheitskonferenz unter dem Motto „The Force Awakens“. Was sich, in Anlehnung an Star Wars, futuristisch anhört, ist heute längst Realität geworden. Die zunehmende Abhängigkeit von der digitalen Welt führt dazu, dass Konflikte immer öfter im Cyberspace ausgetragen werden. Experten sprechen hier, neben Land, Luft, Wasser und Weltall, von der fünften Dimension der Kriegsführung.

Das Oxford English Dictionary beschreibt den Begriff „cyber warfare“ (dt.: Cyberkrieg) wie folgt: „Die Verwendung von Computertechnologien zur Unterbrechung der Aktivitäten eines Staates oder einer Organisation, die Angriffe auf deren Informationssysteme zu strategischen oder militärischen Zwecken ermöglichen.“

Wurde der Krieg bisher als bewaffneter, gewalttätiger Konflikt zwischen mindestens zwei Kollektiven definiert, wird diese Beschreibung dem Vorgang in der virtuellen Realität nicht mehr gerecht. Die Grenzen verwischen im Cyberwar: Alle kämpfen gegen alle – verdeckt, ohne Kriegserklärung und jenseits der Wahrnehmung der Öffentlichkeit.

Und so kommt es in der heutigen Zeit immer häufiger vor, dass Regierungen andere Länder beschuldigen, ihre Bürger mit Cyberwaffen angegriffen zu haben. Allerdings besteht die eigentliche Gefahr des Cyberkriegs vor allem darin, dass Hacker Regierungssysteme dazu bringen können, die eigenen Leute, Technologien und Computersysteme zu attackieren.

Die Methoden des Cyberkriegs unterscheiden sich dabei nicht von „normalen“ Cyberangriffen. So nutzen Täter u. a. Distributed Denial-of-Service-Attacken (DDoS), bei denen mehrere Computer gleichzeitig eine Webseite oder eine ganze Netzwerkinfrastruktur angreifen. Sie können so zu Komplettausfällen der Server führen. Auch Social Engineering und Spear-Phishing sind Instrumente der digitalen Kriegsführung, da sie Angreifer durch Täuschung in das System des Gegners einschleusen. Eine weitere Methode stellen Zero-Day-Exploit-Attacken dar, die Schwachstellen in Software ausnutzen, noch bevor diese vom Softwarehersteller durch einen Fix wieder geschlossen werden können.

Auch klassische Maulwürfe, sogenannte Insider, stellen ein großes Risiko des Cyberkriegs dar. Ein Beispiel hierfür ist der Fall Stuxnet aus dem Jahr 2010. Das Schadprogramm wurde speziell zum Angriff auf ein Steuerungsüberwachungssystem des Herstellers Siemens entwickelt. Es wurde dazu genutzt, die Motorengeschwindigkeit mehrerer Siemens-Computer zu manipulieren und so zu zerstören. Da der Großteil der infizierten Computer im Iran zu finden war, soll Stuxnet wohl darauf ausgelegt gewesen sein, die Leittechnik der Urananreicherungsanlage in Natans oder das Kernkraftwerk in Buschehr zu zerstören und so den Fortschritt des Nuklearwaffenprogramms zu verzögern – mithilfe eines Insiders.

Ein anderes Beispiel stammt aus Russland – dem immer wieder staatliche Cyberangriffe vorgeworfen werden. So soll Russland Medienberichten zufolge mehrfach mit Cyberattacken gegen die Ukraine vorgegangen sein: Der BlackEnergy-Trojaner wurde 2015 für DDoS-Angriffe, Cyberspionage und Datenvernichtung genutzt und verursachte in 700.000 ukrainischen Haushalten Stromausfälle.

Das Problem bei der Cyberkriegsführung ist, dass die Angreifer nur sehr schwer zu identifizieren sind. Obwohl in einigen Fällen Hacker-Gruppen sehr schnell die Verantwortung für Cyberattacken übernehmen, bleiben die dahinterstehenden Täter in der Regel anonym. Außerdem können militärische Organisationen oder Geheimdienste Hacker-Gruppen engagieren, um bei Attacken selbst unentdeckt zu bleiben. Deutlich wird, dass die Methoden des Cyberkriegs zwar bekannt sind, die Vorfälle aber nur selten rechtswirksam aufgeklärt werden können.

Bei einem Hackerangriff auf den japanischen Automobilhersteller Toyota Motor Corporation sind persönliche Daten von über 3 Millionen Kunden gestohlen worden. Es ist bereits der zweite Angriff innerhalb kürzester Zeit.

Für den Autogiganten ist es kein leichter Start ins neue Jahr. Bereits Ende Februar wurde Toyotas Niederlassung in Australien Opfer einer Cyberattacke. Gerade mal fünf Wochen später meldet das Unternehmen einen weiteren Angriff – dieses Mal jedoch auf den Hauptstandort in Japan.

In einer Stellungnahme gab das Unternehmen an, dass Hacker die Schutzsysteme durchbrochen und auf Daten von mehreren Vertriebsgesellschaften zugegriffen hätten. Betroffen seien Toyota Tokyo Sales Holdings, Tokyo Tokyo Motor, Tokyo Toyopet, Toyota Tokyo Corolla, Nets Toyota Tokyo, Lexus Koishikawa Sales, Jamil Shoji und Toyota West Tokyo Corolla.

Auf dem gehackten Server seien zudem persönliche Daten von rund 3,1 Millionen Kunden gespeichert, darunter Namen, Geburtsdaten und Beschäftigungsinformationen. Kreditkarten- und Zahlungsinformationen sollen sich glücklicherweise auf einem anderen Server befunden haben – der Konzern gab allerdings nicht genau an, welche Kundendaten erbeutet wurden. Ermittlungen sollen nun klären, um welche Daten es sich handelt und ob es den Hackern gelungen ist diese zu extrahieren und abzuspeichern.

Es handelt sich bereits um die zweite Cyberattacke innerhalb kürzester Zeit, die Toyota in diesem Jahr gemeldet hat. Vor rund einem Monat hat es einen ähnlichen Vorfall bei der australischen Niederlassung gegeben. Er sei vor allem deshalb schwerwiegend gewesen, weil die Verkäufe und Lieferungen von Toyota Australia deutlich eingeschränkt waren.

Die erste Hackingattacke wurde der vietnamesischen Cyberspionageeinheit APT32 zugeschrieben, die auch unter dem Namen OceanLotus bekannt ist. Experten gehen nun davon aus, dass APT32-Hacker die australische Niederlassung zuerst angegriffen haben, um dadurch Zugang zum zentralen Netzwerk von Toyota Japan zu erlangen. Toyota hat einen Zusammenhang beider Angriffe bisher allerdings nicht bestätigt.

Da die in Japan gestohlenen Informationen nach aktueller Erkenntnis aus der Verkaufsabteilungen stammen, könnten diese in den Tochtergesellschaften gespeicherten Daten dazu genutzt werden, gezielte Angriffen auf Kunden durchzuführen. Deshalb sollten Toyota-Kunden in Zukunft verstärkt darauf achten, dass jeder Kontaktversuch seitens des Konzerns auch tatsächlich von Toyota selbst stammt.

Der russische Sicherheitsanbieter Kaspersky Lab hat einen zielgerichteten Hackerangriff auf ASUS aufgedeckt. Über die eigenen Updateserver des Unternehmens verteilten Unbekannte einen Trojaner, dem inzwischen zehntausende Nutzer zum Opfer gefallen sind.
Viele Computerhersteller bieten auf ihren Rechnern eigene Updatesoftware an. Diese bietet den Nutzern die Möglichkeit, Treiber-Updates schnell aus einem zentralen Hub zu beziehen. Der russische Sicherheitsanbieter Kaspersky Lab berichtete von einem Angriff auf die Softwarelieferkette des taiwanischen Herstellers ASUSTeK Computer Inc. (ASUS). Im Rahmen der sogenannten „Operation ShadowHammer“ nutzen Kriminelle das ASUS Software Live Update, um unter den Nutzern eine Malware zu verbreiten, die eine Backdoor auf den betroffenen Rechnern installiert und so einen unbefugten Zugang ermöglicht.
ASUS Live Update ist ein auf den ASUS-Geräten vorinstalliertes Tool, mit dem bestimmte Komponenten wie BIOS, UEFI, Treiber und Anwendungen automatisch aktualisiert werden. Über eben dieses Tool haben die Angreifer eine schädliche Datei auf die Kundencomputer übertragen. Es handelte sich dabei um eine drei Jahre alte Updatedatei, die mit einem Trojaner infiziert wurde. Die schädliche Software blieb lange unerkannt, da die Hacker ein legitimes Zertifikat nutzten und die manipulierten Updates über den offiziellen ASUS Updateserver verteilt wurden.
Laut Kaspersky Lab deutet die Verwendung einer alten Updatedatei mit einem aktuellen und legitimen Zertifikat darauf hin, dass die Angreifer Zugriff auf den Server hatten, auf dem ASUS seine Dateien signiert. Ein Zugriff auf das gesamte ASUS-Netzwerk werde allerdings ausgeschlossen, da die Hacker in einem solchen Fall nicht jedes Mal dieselbe Updatedatei verwendet hätten.
Des Weiteren ergeben die Untersuchungen, dass der Angriff auf bestimmte Personengruppen abzielte, die anhand ihrer MAC-Adressen ausgesucht wurden. Die Hacker hatten eine Liste dieser MAC-Adressen in den Trojaner einprogrammiert, anhand derer die Zielpersonen der Operation eindeutig identifiziert und gehackt werden konnten.
Kaspersky Lab hat rund 57.000 Nutzer seiner Software identifiziert, die die Backdoor-Version von ASUS Live Updates heruntergeladen und installiert haben. Der Sicherheitsanbieter geht allerdings davon aus, dass weltweit möglicherweise über eine Million Anwender betroffen sind. Der Großteil der identifizierten Betroffenen, etwa 18 Prozent, ist laut Statistik in Russland ansässig, dicht gefolgt von Deutschland (16 Prozent) und Frankreich (13 Prozent). Allerdings gab Kaspersky Lab an, dass die Verteilung der Betroffenen stark von der Verbreitung von Kaspersky-Produkten abhängig ist, da dem Unternehmen bisher nur eigene Zahlen vorliegen.
Die Untersuchungen zur Operation ShadowHammer laufen aktuell noch – die vollständigen Ergebnisse der Hackerattacke sollen im April auf dem Kaspersky Security Analyst Summit in Singapur veröffentlicht werden. Bis dahin kann über das wahre Ausmaß des Angriffs und das eigentliche Ziel der Hacker nur spekuliert werden.

Island Hopping hört sich wie ein spannender Urlaub in Thailand oder Griechenland an – leider bezeichnet dieser Begriff aber eine fortgeschrittene Cyberangriffstechnik, die eine ernsthafte Bedrohung für Unternehmen darstellt. Hierbei handelt es sich zwar um kein neues Phänomen, allerdings kam diese Art der Angriffe nach Angaben der IT-Sicherheitsfirma Carbon Black im Jahr 2018 verstärkt vor und soll auch in Zukunft weiter zunehmen.

Eigentlich ist Island Hopping eine militärische Strategie, die die Vereinigten Staaten während des zweiten Weltkriegs im Pazifik einsetzten. Die amerikanischen Streitkräfte eroberten zunächst kleinere, strategisch günstig gelegene Inseln, um auf ihnen neue Militärbasen zu errichten. Anstatt das japanische Festland von einer einzelnen Front aus anzugreifen, konnten sie so von verschiedenen Stützpunkten aus vorrücken und ihren Gegner quasi umzingeln. Dadurch wuchsen ihre Überlegenheit und ihr Einfluss auf das eigentliche Hauptziel.

In der Cyberwelt gehen Kriminelle ähnlich vor. Das von den Hackern ausgesuchte Zielunternehmen wird durch kleinere Unternehmen infiltriert. Dabei handelt es sich beispielsweise um externe Personal-, Gehaltsabrechnungs-, Marketing- oder Gesundheitsunternehmen, die eng mit dem Hauptunternehmen zusammenarbeiten. Da kleinere Firmen häufig über anfälligere Sicherheitssysteme verfügen, sind sie für Hacker ein leichtes Ziel. Wenn die Kriminellen erst einmal ein Partnerunternehmen gehackt haben, können sie durch E-Mails oder gestohlene Zugangsdaten viel leichter an sensible Daten des Hauptunternehmens gelangen.

Dem Quarterly Incident Response Threat Report der IT-Sicherheitsfirma Carbon Black zufolge werden 50 Prozent aller Cyberattacken weltweit dazu genutzt, kleine Firmen für Island Hopping zu missbrauchen. Diese Zahl soll jedoch noch weiter zunehmen, da die Sicherheitssysteme großer Unternehmen verstärkt ausgebaut werden und sie selbst dadurch nicht mehr direkt angreifbar sind.

Eines der bekanntesten Beispiele für Island Hopping ist der Angriff auf den US-Einzelhändler Target. Cyberkriminelle hatten sich in das Point-of-Sale-System eingehackt und Kredit- und EC-Karteninformationen von rund 40 Millionen Kunden gestohlen, woraus dem Unternehmen ein Schaden von fast 300 Millionen US-Dollar entstand. Der Angriff begann jedoch nicht auf den Servern von Target – er begann bei Fazio Mechanical Services, einem Unternehmen, das für die Heizung und Klimatisierung bei Target verantwortlich ist. Durch eine eingeschleuste Malware hatten Hacker dort E-Mail-Zugangsdaten gestohlen und diese wiederrum für den Zugriff auf die Netzwerke von Target verwendet.

Der Schutz von persönlichen Daten muss für Unternehmer eine hohe Priorität haben. Um Daten effektiv vor Kriminellen zu schützen, ist ein erster Ansatz die Schulung und Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit. Ein Unternehmen sollte Richtlinien und genaue Vorgehensweisen festlegen, um Sicherheitsverstößen vorzubeugen. Zudem ist die Einführung einer Zwei-Faktor-Authentifizierung ratsam, um Angreifern das Eindringen in Systeme zu erschweren. Außerdem sollte ein Daten-Back-up auf anderen Speicherorten als dem Arbeitsrechner vorhanden sein. Hierfür können beispielsweise Clouds oder USB-Speichermedien genutzt werden. Auch andere Endprodukte müssen beim Thema Hacking berücksichtigt werden, da nicht nur Computer und Laptops, sondern auch Mitarbeitertelefone, Tablets und andere IoT-Geräte anfällig für Cyberattacken sind. Auch bei Phishing-Mails ist Vorsicht geboten. Mitarbeiter sollten im Vorfeld erfahren, wie sie verdächtige Hyperlinks und Anhänge identifizieren, damit potenziell schädliche E-Mails sofort erkannt und gemeldet werden können.

Generell sollten Software und Antivirenprogramme immer aktuell gehalten werden, um Daten vor Malware zu schützen. Herstellern und Kunden sollte zudem kein direkter Zugriff auf ein Unternehmensnetzwerk gewährt werden, sofern dies nicht unbedingt notwendig ist. In diesem Zusammenhang gehen immer mehr Unternehmer sogar dazu über, für Geschäfte bestimmte Cybersicherheitsstandards in vertraglichen Vereinbarungen festzulegen.

Seit geraumer Zeit registrieren Sicherheitsforscher chinesische Hacker-Gruppen, die weltweit verstärkt versuchen, an sensible Daten zu gelangen. Im Fadenkreuz der Hacker sind dabei nicht nur internationale Konzerne, sondern offenbar vor allem Militärgeheimnisse der Marine.

Laut eines Berichts von iDefense, dem Sicherheitsforschungszweig des Technologie-Dienstleisters Accenture, hatten die Hacker hauptsächlich Universitäten aus den USA im Visier, die Unterwasserforschungen durchführen. In Spear-Phishing-E-Mails gaben sie sich als Partneruniversitäten aus und verbreiteten so eine Malware, durch die sie auf gespeicherte Recherchedaten zugreifen konnten. Bei dieser Art von Phishing-Kampagne werden potenzielle Opfer gezielt angesprochen. Die Angreifer verwenden hierbei persönliche Informationen, wie den Namen, Titel oder Positionen im Unternehmen, um eine gewisse Vertrautheit zu erzeugen. Ziel ist es, das Opfer dazu zu verleiten, entweder einen scheinbar harmlosen Dateianhang herunterzuladen oder auf einen Link zu klicken, der zu einer mit einem Exploit oder einem Schädling verseuchten Webseite führt. Spear-Phishing-E-Mails enthalten in der Regel häufig verwendete Dateitypen, wie zum Beispiel .XLS, .PDF, .DOC, .DOCX und HWP. Die Opfer sind den tagtäglichen Umgang mit diesen Dateitypen gewohnt und vertrauen diesen somit.

Betroffen waren unter anderem das Massachusetts Institute of Technology (MIT) und die University of Washington, aber auch Universitäten aus Kanada und Südostasien. Die Angreifer haben diese Ziele offenbar gewählt, weil sie auf dem Gebiet der Unterwasserkriegsführung forschen und über Fakultäten mit verwandten Themengebieten verfügen. Zudem haben viele Universitäten Kontakt zu dem größten ozeanographischen Institut der USA, welches wiederrum direkt an das Kriegsführungszentrum der US-Marine gebunden ist.

Die Sicherheitsforscher nehmen an, dass die Hacker zu der vermeintlich chinesischen Cyberspionage-Gruppe TEMP.Periscope gehören, die auch unter dem Namen Levithian oder MUDCARP bekannt ist. Bei der zuletzt gemeldeten Attacke sollen sie sensible Daten entwendet haben, die spezielle U-Boot-Technologien verschiedener Verteidigungsunternehmen umfassen, so der Bericht. Jede Technologie und jedes Programm, das sich mit Waffenlieferungen und -abschüssen durch U-Boote oder andere Unterwassergefährte befasst, sei für TEMP.Periscope von großem Interesse. Ob die Gruppe von der chinesischen Regierung gefördert wird, ist fragwürdig. Allerdings schließt iDefense eine solche Regierungsspionage im Rahmen militärischer Machenschaften nicht aus.

Aus einem weiteren kürzlich veröffentlichten Bericht des Netzwerksicherheitsanbieters FireEye geht hervor, dass dieselbe Hacking-Gruppe auch in anderen Themenbereichen aktiv ist. Abgesehen von U-Boot-Technologien wurden offenbar auch Regierungen, Rüstungsindustrien sowie Konzerne aus dem Telekommunikations-, Transport- und Chemiesektor ausspioniert. Auffällig war hierbei, dass sich die Spionage-Angriffe vor allem auf Länder konzentrierten, die für die sogenannte Belt and Road Initiative – also den geographischen Handelsraum Chinas – von strategischer Bedeutung sind.

In den letzten Monaten wurden der Volksrepublik China mehrfach kriminelle Cyberaktivitäten vorgeworfen. So beispielsweise der Angriff auf die Hotel-Kette Marriott, bei der bis zu 500 Millionen Kundendaten gestohlen wurden, oder die aktuellen Huawei-Spionagevorwürfe – Behauptungen, für die allerdings noch keine konkreten Beweise vorliegen.

Tagtäglich analysieren IT-Sicherheitsexperten von Microsoft 6,5 Billionen sicherheitsrelevante Meldungen, die durch die Microsoft Cloud laufen. Die wichtigsten Trends im Bereich Cyber Security wurden nun, zusammen mit den Erkenntnissen profilierter Experten, im 24. Microsoft Security Intelligence Report (SIR) veröffentlicht. Dieser zeichnet ein aktuelles Bild der weltweiten Sicherheitslandschaft. 

Täglich durchlaufen Millionen Sicherheitssignale die Microsoft Cloud. Das interne Cyber Security Team hat diese Signale für das Jahr 2018 aufbereitet und daraus vier Kernresümees gezogen: Ransomware-Attacken gehen zurück, Kryptowährungs-Mining hat sich weltweit ausgebreitet, infiltrierte Software-Lieferketten stellen ein großes Risiko dar und Phishing bleibt für Hacker die beliebteste Angriffsmethode.

Ransomware-Attacken gehen stark zurück
Der Rückgang der Ransomware-Angriffe um 73 Prozent, der in den Daten von 2018 sichtbar wurde, ist ein Beispiel dafür, wie die Online-Sicherheitsindustrie Cyberkriminelle zur Anpassung zwingt. Im Jahr 2017 stellte Ransomware – auch Erpressungstrojaner genannt – noch eine große Bedrohung dar. Kriminelle verschickten per E-Mail Schadprogramme, mit deren Hilfe Daten eines einzelnen Rechners oder gar eines ganzen Netzwerks verschlüsselt wurden. Dadurch wird den eigentlichen Eigentümern der Daten der Zugriff auf sie verwehrt. Zur Entschlüsselung forderten die Cyberkriminellen in der Regel ein Lösegeld. Mittlerweile sehen Angreifer immer häufiger von solchen Methoden ab. Zum einen, weil Internetnutzer inzwischen sensibler mit Spam umgehen, zum anderen weil Betrüger bei einer Erpressung ihre Identität nur schlecht verstecken können. Die Ergebnisse des Berichts zeigen, dass sie stattdessen zu anonymen Attacken wie Cryptojacking oder Phishing übergegangen sind.

Kryptowährungs-Mining ist weit verbreitet
Auch wenn der Rückgang von Ransomware-Attacken auf der einen Seite eine gute Nachricht ist, zeigt die Analyse, dass sich Krypto-Mining auf der anderen Seite immer weiter ausbreitet. Für Mining, also das Schürfen nach Bitcoin & Co., ist eine hohe Rechenleistung erforderlich, die einen enormen Stromverbrauch erzeugt. Miner werden für ihre Rechenleistung großzügig entlohnt, im Fall Bitcoin erhalten sie pro Block 12,5 Coins, was beim aktuellen Kurs rund 42.000 Euro entspricht. Wegen erhöhter Strompreise lohnt sich das Mining jedoch nur noch in vereinzelten Ländern – es sei denn, man lässt andere für sich rechnen. Deshalb installieren Angreifer Malware auf fremden Computern und können so die erforderliche Rechenleistung für ihr Mining stehlen und auf fremden PCs Coins schürfen. Dadurch sparen sie sich den benötigten Strom, erhalten aber trotzdem den Lohn für ihre Mining-Dienste. In der Security-Szene spricht man bei solchen Hacking-Angriffen vom sogenannten "Cryptojacking".

Infiltrierte Software-Lieferketten stellen ein großes Risiko dar
Angriffe auf Software-Lieferketten sind ein weiterer Trend, den Sicherheitsexperten seit mehreren Jahren verfolgen. Eine von Angreifern angewendete Lieferketten-Taktik besteht darin, eine Malware-behaftete Komponente in ein Anwendungs- oder Aktualisierungspaket zu integrieren, das über die Software unter den Nutzern verbreitet wird. Anders als bei Ransomware-Angriffen gelangen die schädlichen Programme hier also nicht per E-Mail, sondern per Update auf fremde Rechner. Angriffe durch infiltrierte Software-Lieferketten sind sehr schwer zu identifizieren, da sie das Vertrauen der Nutzer in ihren Softwareanbieter ausnutzen.

Anzahl der Phishing-Attacken steigt um 250 Prozent
Phishing ist weiterhin die beliebteste Angriffsmethode bei Hackern, um Datendiebstahl oder Betrug zu begehen. Durch gefälschte E-Mails fordern die Kriminellen im Namen eines Unternehmens dazu auf, persönliche Daten freizugeben oder Zahlungen zu tätigen. Von allen E-Mails, die Microsoft im Rahmen des Berichts untersucht hat, waren 0,4 Prozent ein Phishing-Versuch. Und so stieg die Anzahl der Phishing-Attacken im Vergleich zu 2017 um stolze 250 Prozent. Phishing wird bei Hackern immer beliebter, weil es nach wie vor sehr effektiv ist und so rechnet man bei Microsoft mit weiteren Steigerungsraten in den nächsten Jahren. 

Cyberkriminalität stellt im digitalen Zeitalter weiterhin eine Bedrohung dar. Allerdings machen Analysen wie jene von Microsoft deutlich, dass IT-Sicherheit und Awareness für Informationssicherheit Wirkung zeigen: Effektive Security-Tools zwingen Hacker dazu, ihre Taktiken ständig zu ändern, da die alten nach kürzester Zeit nicht mehr funktionieren. Geschulte Mitarbeiter erkennen Attacken und reagieren richtig. Doch Cyberkriminelle denken sich stetig neue Methoden aus und so wird auch die IT-Sicherheitsindustrie nicht zur Ruhe kommen und sich fortlaufend weiterentwickeln.

Persönliche Daten werden im Zeitalter des World Wide Web immer brisanter. So werden sie unter anderem benötigt, um online einzukaufen oder Verträge im Internet abzuschließen. Für Cyberkriminelle sind diese Daten besonders wertvoll, da sie es ihnen ermöglichen, Straftaten mit gestohlenen Identitäten zu begehen. Kein Wunder also, dass gerade Jobbörsen, wo Arbeitssuchende viele persönliche Daten von sich preisgeben, ins Visier von Betrügern geraten sind. 

Die Fälle häufen sich, bei denen Jobsuchende auf Arbeitsvermittlungsplattformen Opfer von Datendiebstahl werden. In der Not, einen passenden Job zu finden, gehen viele Arbeitssuchende oftmals zu unbedarft mit ihren persönlichen Daten um. Und genau dieser Umstand lockt viele Cyberkriminelle an. Der Online-Stellenmarkt wird zum Tatort. Laut Informationen der WELT soll es jedes Jahr etwa zwölf Millionen Identitätsbetrugsfälle geben, die unterm Strich einen finanziellen Schaden in Milliardenhöhe verursachen. Seit langem werden Arbeitssuchende deshalb für die Gefahren der Online-Stellenanzeigen sensibilisiert und darauf hingewiesen, nicht jedem Jobangebot zu trauen. Wie die Polizei in Friedberg nun allerdings meldete, haben sich Betrüger offenbar eine neue Masche ausgedacht, um die Jobbörse für ihre Zwecke zu nutzen.

Ein 41-Jähriger hat online eine Kleinanzeige zur Jobsuche aufgegeben. Daraufhin wurde ihm von einer Münchener Firma per E-Mail ein interessanter Nebenjob im Marketingbereich angeboten. Er wurde angewiesen, die Kopie seines Personalausweises, seinen Lebenslauf und ein Profilfoto für den Arbeitsvertrag einzureichen. Froh darüber, so schnell etwas gefunden zu haben, kam der Friedberger der Aufforderung nach – und hörte nie wieder von der Firma. Nach einer Weile kontaktierte er das Unternehmen, per Telefon wurde ihm dort allerdings mitgeteilt, man wüsste von nichts und hätte ihn nie kontaktiert. Erst da wurde dem Mann bewusst, dass er Opfer eines Betrügers geworden war. Bisher ist nach Angaben der Polizei noch nicht bekannt, ob die Betrüger die persönlichen Daten des Opfers bereits missbraucht haben, oder ob ein Schaden entstanden ist. Sicher ist nur, dass die geklaute Identität nun für Straftaten im Netz benutzt werden kann.

Vorfälle wie diese machen ein weiteres Mal deutlich, wie heikel der Umgang mit personenbezogenen Daten im Internet mittlerweile geworden ist. Leider gibt es keinen hundertprozentigen Schutz gegen Identitätsbetrug. Um dem Missbrauch der eigenen Identität vorzubeugen, sollte man deshalb Vorsicht walten lassen. Bei E-Mails ist es besonders wichtig auf Kleinigkeiten zu achten. Das beginnt bereits bei der Absenderadresse. Klingt diese merkwürdig, oder hat nichts mit dem Unternehmen zu tun in dessen Name sie geschrieben wurde, ist das oftmals ein erster Verdachtsmoment. Auch wenn die Mail in Kopie an mehrere Empfänger verschickt wird, sollte man skeptisch werden. Als nächstes sollte man sich das Layout der Nachricht genauer ansehen. Da gefälschte E-Mails häufig im HTML-Code geschrieben sind, wird der Text oft mit verschiedenen Schriftarten und -größen formatiert. Auch in den Text eingefügte Bilder oder eine E-Mail-Hintergrundfarbe sind in vielen Fällen Hinweise auf Betrüger. Den Inhalt der Nachricht sollte man ebenfalls genau unter die Lupe nehmen: Befindet sich eine Vielzahl an Rechtschreib- und Grammatikfehlern im Text? Wird man direkt nach vertraulichen Daten gefragt? Ein deutliches Warnsignal ist es zudem, wenn in der E-Mail eine genaue und zeitlich knappe Frist für das Einsenden der Daten angegeben wird. Auch sollte man mit Dokumenten oder anderen Daten im Anhang vorsichtig umgehen, da sich darin möglicherweise zusätzliche Schadprogramme befinden, die beispielsweise auf dem Rechner gespeicherte Passwörter auslesen könnten.

Es ist nicht bekannt, ob die fatale E-Mail im Falle des Friedberger Arbeitssuchenden derartige Hinweise enthalten hat. Da Cyberkriminelle allerdings mit immer besseren und perfektionierten Fälschungen arbeiten, ist es besonders bei der Online-Jobsuche ratsam, den direkten Kontakt zu einer Firma zu suchen. Bevor man personenbezogene Daten preisgibt, sollte vorab mindestens ein Telefonat oder besser noch ein persönliches Gespräch stattgefunden haben.

Die Blockchain-Technologie ist gerade in aller Munde. Aufgrund ihrer vielen Vorteile, wie der dezentralen Eigenschaften und der Verschlüsselungsmethoden, galt sie lange Zeit als unhackbar. Das hat sich aber grundlegend geändert: Immer mehr Kryptowährungen und Smart-Contract-Plattformen werden gezielt von Hackern angegriffen. Das Image der Wunder-Technologie scheint angekratzt. 

Blockchain war das Buzzword im letzten Jahr. Hochgepriesen von Presse und IT-Experten, galt sie als zukunftsweisende Technologie schlechthin und Unternehmen jeglicher Branche implementierten sie in ihre Geschäftsprozesse oder entwickelten zumindest eine Blockchain-Strategie. Selbst die Bundesregierung sah sich genötigt, die dezentrale Datenbank, die eine stetig wachsende Liste von Transaktionsdatensätzen (sogenannte Blöcke) vorhält und sich unaufhörlich chronologisch linear erweitert, in einem Strategiepapier für 2019 abzuhandeln. Doch der Nimbus der sicheren und unhackbaren dezentralen Datenbank bekommt erste Kratzer. Erfolgreiche Cyberangriffe auf die Blockchain-Technologie nehmen stetig zu. 

So bemerkte im letzten Monat das Sicherheitsteam des US-amerikanischen Unternehmens Coinbase, eine der weltweit größten Handelsplattformen für Cryptoassets, Unregelmäßigkeiten in ihrer Transaktionshistorie. Diese wurde offensichtlich angegriffen. Irgendwie hatten es Angreifer geschafft, 51 Prozent der Rechenleistung des Netzwerkes zu übernehmen und den Transaktionsverlauf der Ethereum Classic (ETC) Blockchain zu reorganisieren. Eine solche Reorganisation der Blockchain findet statt, wenn ein einzelner Miner oder Pool über die Mehrheit, also mindestens 51 Prozent der Hash-Leistung, in einem Netzwerk verfügt. Dies ermöglicht es dem Hacker eine neue Transaktionshistorie zu definieren. Im Zuge der Attacke soll es zu einer doppelten Ausgabe von rund 88.500 ETC im Wert von insgesamt 442.000 US-Dollar gekommen sein. Coinbase war um Schadensbegrenzung bemüht und teilte mit, dass angeblich keine Kundengelder betroffen seien. Die ETC-Entwickler wollten im Übrigen diese sogenannte 51%-Attacke nicht bestätigen. 

Noch vor einem Jahr war ein solches Albtraum-Szenario noch theoretischer Natur. Die 51%-Attacke auf die ETC-Blockchain ist nur der jüngste Vorfall in einer Reihe von Angriffen auf Blockchains. Die Anfälligkeit für solche Angriffe ist übrigens den meisten Kryptowährungen inhärent. Dies liegt daran, dass die meisten Blockchain-basierten Währungen den Proof of Work als Konsens-Algorithmus für die Überprüfung von Transaktionen verwenden. In diesem Prozess, der auch als Mining bezeichnet wird, muss der Miner sehr viel Rechenleistung aufbringen, einerseits um sich als vertrauenswürdig genug zu erweisen, andererseits um Informationen zu neuen Transaktionen in die Datenbank aufzunehmen und so den nächsten Block zu generieren. 

Die meisten Angriffe werden wahrscheinlich nicht bekannt gegeben, denn für diese aufkeimende Industrie steht viel auf dem Spiel. Man vermutet aber, dass Hacker seit Anfang 2017 fast zwei Milliarden US-Dollar in Kryptowährungen erbeutet haben könnten. Der MIT Technology Review zufolge arbeiten mehrere Unternehmen bereits an verschiedenen Lösungsansätzen, um die Blockchain-Technologie wieder so sicher zu machen, wie sie eigentlich sein sollte. Ansätze dafür sind beispielsweise der Einsatz von Künstlicher Intelligenz und/oder IT-Sicherheitssoftware, die die Blockchain überwachen, um auffällige Transaktionen frühzeitig zu erkennen. 

Obwohl die Dezentralität der Blockchain früher als Sicherheitsgarantie galt, ist genau diese dezentrale Struktur eine Sicherheitslücke, die Hacker für Cyberangriffe ausnutzen können. 51%-Attacken sind in der Theorie seit Beginn der Technologie bekannt, wurden aufgrund der hohen Kosten, die bei der benötigten Rechenleistung aufkommen, allerdings für abwegig gehalten. Nun muss es die noch junge Branche wohl auf die harte Tour lernen.

Erneut ist der Versandhändler Amazon Opfer einer Phishing-Welle geworden. Unbekannte versenden perfekt nachgebildete E-Mails, um persönliche Daten der Kunden zu stehlen.

Mit gefälschten E-Mails haben es Cyberkriminelle aktuell auf deutsche Kunden des bekannten Versandhändlers Amazon abgesehen. Mit Betreffen wie „Mögliche Sperrung Amazon.de“ oder „Amazon | Neue gesetzliche Regulierungen“ verschicken Unbekannte Nachrichten im Namen des Konzerns und fordern die Empfänger dazu auf, ihre persönlichen Daten zu überprüfen. Dabei fällt es den Betroffenen oft schwer auszumachen, dass es sich bei der Nachricht um eine Fälschung handelt – den Betrügern ist es nämlich gelungen, die E-Mail-Adressen und das Design der Nachricht so zu fälschen, dass sie täuschend echt wirken. Derzeit sind verschiedene Phishing-Mails im Namen von Amazon im Umlauf, die alle das gleiche Ziel verfolgen: Datendiebstahl. 

Nach einer personalisierten und korrekten Anrede werden die Kunden dazu aufgefordert, ihre Daten zu verifizieren. Als Erklärung dafür werden Gründe wie die Datenschutz-Grundverordnung (DSGVO), ein aktualisiertes Konzept zum Schutz der Kundendaten oder nicht autorisierte Zahlungen genannt. Deshalb wolle der Versender einen Datenabgleich durchführen. Geschehe dies nicht, müsse der Kunde mit einer Sperrung des Kontos rechnen. Zur Bestätigung der persönlichen Daten soll auf einen Button mit der Aufschrift „weiter zur Bestätigung“ geklickt werden, der wiederum auf eine gefälschte Internetseite führt. Auch diese Webseite ist eine sehr gute Fälschung, die Betroffene schnell in die Falle lockt – dabei sollten Domains wie „kunden-legitimation-de.com/“ oder „amasecur.top/“ stutzig machen. Wer sich einloggt, übermittelt im ersten Schritt seinen Benutzernamen und sein Passwort an die Betrüger. Doch damit nicht genug: Nach dem Log-in wird man dazu aufgefordert, Adresse, Kreditkarteninformationen, Verfügungsrahmen und Bankverbindungen anzugeben, um das Kundenkonto auf den aktuellen Stand zu bringen. Nun ist es den Cyberkriminellen möglich, die übermittelten Daten zu nutzen, um auf Kosten der Betroffenen einzukaufen oder mit den geklauten Identitäten online Straftaten zu begehen.

Was kann man tun, wenn man auf die Masche reingefallen ist und seine persönlichen Daten bereits eingegeben hat? Wichtig ist, schnell zu handeln. Im ersten Schritt sollte man sich mit dem Kundenservice des Versandhändlers in Verbindung setzen und auf den Betrug hinweisen, damit Cyberkriminelle daran gehindert werden, mit den gehackten Amazon-Konten einzukaufen. Danach sollten betroffene Kredit- oder Bankkarten gesperrt werden. Wenn möglich, sollte auch das alte Kennwort geändert und die Zwei-Faktor-Authentifizierung aktiviert werden. Diese macht es Hackern nahezu unmöglich, sich in fremde Konten einzuloggen – sogar, wenn das Passwort bekannt ist.

Leider ist der Empfang von Phishing-Mails nicht hundertprozentig vermeidbar. Es empfiehlt sich allerdings, einen Spam-Filter für seine E-Mail-Konten einzurichten. Werden Sie aufgefordert, sich mit ihrem Benutzerkonto bei einem Onlinedienst anzumelden, nutzen Sie außerdem nicht den in der E-Mail angegebenen Hyperlink. Bei der Zielseite könnte es sich um eine gefälschte Webseite handeln. Melden Sie sich stattdessen immer über die offizielle Webseite des vermeintlichen Absenders an.

Die Digitalisierung erleichtert Menschen aller Branchen die Arbeit – so auch in Krankenhäusern. Auf Klinik-Computern werden alle wichtigen Daten, wie zum Beispiel Patientendaten, Diagnosen und Medikation, gesammelt. Doch auch bei der Behandlung werden Hard- und Software immer wichtiger: So lenken Chirurgen bei Operationen durch OP-Roboter minimalinvasive Eingriffe oder führen in schwierigen Fällen Videogespräche mit Spezialisten. Auch Herzschrittmacher und Insulinpumpen übermitteln per WLAN Informationen direkt an den Computer des behandelnden Arztes. Was auf der einen Seite die Arbeit erleichtert und Menschen unterstützt, kann auf der anderen Seite gravierende Folgen haben. Denn jedes IT-System ist angreifbar.

Obwohl IT-Sicherheitsexperten mit Hochdruck daran arbeiten, den Schutz vor Cyberkriminalität voranzutreiben, gehen Sicherheitsmaßnahmen im hektischen Krankenhausalltag schnell unter. Aktionen, die vielen Menschen wie unwichtige Kleinigkeiten vorkommen, können dem Datenschutz und der Cybersicherheit zum Verhängnis werden. So stellen bereits nicht gesperrte Arbeitsrechner, aufgeschobene Softwareupdates oder die Nutzung von mitgebrachten und ungeprüften USB-Sticks Risiken dar, die besonders in einem Krankenhaus schwerwiegende Folgen haben können.

Hacker könnten etwa mithilfe einer Ransomware, also einem Schadprogramm, das sich meistens per E-Mail verbreitet, die Rechner eines Kliniknetzwerks verschlüsseln und Lösegeld verlangen. Selbst wenn die Erpresser nach der Zahlung die Entschlüsselungscodes liefern – und das tun sie nicht immer –, ist das Entschlüsseln ein zeitaufwändiger Prozess, der in der Zwischenzeit die eingeschränkte Verfügbarkeit wichtiger Daten und Funktionen zur Folge hat. Ganze Notaufnahmen müssten im Extremfall geschlossen und wichtige Operationen verschoben werden.

Zudem könnten bei einem Cyberangriff vertrauliche Daten, wie Gehaltsabrechnungen, Krankheitsprotokolle oder E-Mails, gestohlen und verkauft werden. Patientendaten sind für Versicherungen und die Gesundheitsindustrie von Interesse, da sie zu Analysezwecken genutzt werden können. Generell ist das Veröffentlichen von Krankheitsgeschichten für Prominente sowie Privatpersonen gleichermaßen unangenehm und würde der Vertraulichkeit und Reputation eines Krankenhauses schaden.

Der wohl schlimmste Fall einer Cyberattacke auf medizinische Einrichtungen wäre die Verletzung der Integrität durch Manipulation. Mit einem Zugriff auf interne Server und Systeme hätten Kriminelle die Möglichkeit, Medikationen zu ändern, Herzschrittmacher lahmzulegen oder OP-Roboter zu stören. Somit rücken nicht nur gesundheitliche Schäden, sondern auch (indirekter) Mord in den Bereich des Möglichen.

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Kliniken bisher nicht von gezielten Angriffen betroffen gewesen, sondern „nur“ zufälliger Ransomware zum Opfer gefallen, die per Mail in Umlauf gebracht wurde. Infolgedessen wurden Krankenhäuser wegen ihrer herausragenden Bedeutung für das Wohlergehen der Bevölkerung als sogenannte „kritische Infrastrukturen“ eingestuft. Solche Infrastrukturen haben seit Inkrafttreten des IT-Sicherheitsgesetzes 2015 die Verpflichtung, angemessene organisatorische und technische Maßnahmen zur Vermeidung von Störungen zu treffen. Ziel ist es, die Verfügbarkeit, Integrität und Vertraulichkeit aller informationstechnischen Systeme, Komponenten und Prozesse zu gewährleisten, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen maßgeblich sind. Für medizinische Einrichtungen und Unternehmen ist die IT-Sicherheit somit rechtlich bindend. Doch die Zufallstreffer mit Ransomware zeigen deutlich, dass das nicht so einfach zu bewerkstelligen ist. Sicherheitsmaßnahmen müssen daher immer weiter verschärft und ein erhöhtes Bewusstsein für Datenschutz geschaffen werden, damit sensible Daten auch in Zukunft vertraulich bleiben.

Der Einsatz von Künstlicher Intelligenz (KI) ist ein wachsender Trend bei Hackern. Mit bis zu tausend Cyberattacken werden Unternehmen täglich konfrontiert – könnte die Lösung dafür die KI selbst sein?

Laut einer Studie von MarketsandMarkets wird der weltweite Markt für Machine Learning (ML) bis 2022 auf rund neun Milliarden US-Dollar steigen. Die Forscher gehen davon aus, dass das steigende Angebot an günstigen und leicht zugänglichen KI-Diensten auch im Darknet einen immer beliebteren Trend zur Folge haben wird. Schon jetzt nutzen Hacker eine ganz neue Art der Cyberangriffe: mittels KI-Technologien umgehen sie herkömmliche Sicherheitsvorkehrungen, indem sie menschliches Verhalten nachahmen und so nahezu unsichtbar für viele Sicherheitstools bleiben.

Ein konkretes Beispiel für einen Cyberangriff mithilfe einer KI ist das Umgehen von CAPTCHA-Systemen. Ein CAPTCHA ist ein vollautomatischer Test, der eingesetzt wird, um Computer und Menschen voneinander zu unterscheiden. Er wird von Anbietern beispielsweise genutzt, um ein Newsletter-Abonnement abzuschließen. Dem Nutzer wird z. B. eine Zeichenreihenfolge als Bild angezeigt, die er lesen und in einem dafür vorgesehenen Feld abtippen muss. Verschiedene KI-Softwares sind durch ML allerdings dazu in der Lage optische Zeichen zu erfassen und zu speichern, sodass sie quasi darauf trainiert werden Bilder automatisch zu erkennen, um so CAPTCHAs zu lösen. Sicherheitstools können folglich nicht mehr verlässlich zwischen Menschen und Maschine unterscheiden und sind somit anfälliger für Manipulation und Missbrauch.

Was also tun, um mit Hackern und KI-Spionage mitzuhalten? Eine Möglichkeit wäre, die traditionellen Cyber-Security-Ansätze zu modernisieren und die Hacker mit ihren eigenen Waffen zu schlagen – durch KI-Technologien zur Verteidigung. Allerdings bleibt zu berücksichtigen, dass es zum jetzigen Zeitpunkt riskant wäre, sich im Cyber-Security-Bereich vollends auf eine automatisierte und eigenständige KI-Software zu verlassen. Der Schlüssel könnte somit eine Art erweiterte Intelligenz sein, die IT-Spezialisten bei ihrer Arbeit unterstützt.

Eine KI-Software ist beispielsweise in der Lage enorme Mengen an Daten zu erfassen und Anomalien zu identifizieren. Dadurch kann sie Bedrohungen überprüfen, eindämmen und beseitigen, bevor sie Schaden anrichten. Mithilfe von ML kann eine solche Software außerdem speichern, welche Anomalien in der Vergangenheit Bedrohungen dargestellt haben und welche nicht. Dies ermöglicht das schnellere Erkennen von Gefahren und das Initiieren von automatisierten Reaktionsprotokollen. Durch eine Verbindung von solchen automatisierten Prozessen mit ML und KI könnten IT-Spezialisten sich also wieder auf schwerwiegendere Bedrohungen konzentrieren, ohne dass sie von der riesigen Menge an eintreffenden Informationen überlastet werden.

Leider sind die meisten Unternehmen noch nicht soweit, neuste KI-Technologien zu ihrer Verteidigung einzusetzen. Spezielle Überwachungswerkzeuge für den Datenverkehr, die bei der Identifikation von Sicherheitslücken helfen, werden nur von jedem vierten Unternehmen eigenführt –  das ergibt eine Studie von Sopra Steria Consulting in Zusammenarbeit mit dem F.A.Z.-Institut. Sie zeigt auch, dass trotz bekannter Risiken immer noch viele Unternehmer die Chance, Opfer einer schwerwiegenden Cyberattacke zu werden, für sehr gering halten.

Es wird folglich immer wichtiger, ein Bewusstsein für Cyberattacken durch künstliche Intelligenz zu schaffen, um weiterhin verstärkt gegen Hacker vorgehen zu können.

Das britische Parlament hat das Austrittsabkommen für einen geregelten Brexit mit deutlicher Mehrheit abgelehnt. Kritikern zufolge wird der sogenannte No-Deal-Brexit dadurch immer wahrscheinlicher – die IT-Wirtschaft warnt vor einem Datenchaos in Europa.

Sollte Großbritannien am 29. März 2019 ohne Abkommen aus der EU austreten, müssen deutsche Unternehmen mit britischen Geschäftspartnern, Kunden, Rechenzentren und IT-Dienstleistern umgehen wie mit einem Drittstaat. Dies würde bedeuten, dass der Datenverkehr zwischen EU-Staaten und Großbritannien erschwert wird. Gut möglich, dass die Speicherung und Verarbeitung von Kunden- und Auftragsdaten aus EU-Ländern durch britische Unternehmen und Behörden fortan nicht mehr mit der Datenschutz-Grundverordnung (EU-DSGVO) vereinbar ist. Laut einer Bitkom-Umfrage lassen zahlreiche deutsche Unternehmen ihre personenbezogenen Daten allerdings über externe Dienstleister in Großbritannien verarbeiten. 

Um einen Verstoß gegen die EU-DSGVO nach einem No-Deal-Brexit zu vermeiden, bräuchten europäische Firmen von da an die explizite Einwilligung jedes einzelnen Betroffenen bezüglich seiner personenbezogenen Daten. Außerdem müssten sie ihre Verträge mit Standardvertragsklauseln anpassen und sich als Konzern verbindliche interne Datenschutzvorschriften genehmigen lassen. Da solche Umstellungen sehr aufwendig sind, wären sie besonders für kleine Unternehmen nicht rechtzeitig umsetzbar.

Natürlich ist unter bestimmten Bedingungen ein Austausch personenbezogener Daten von EU-Bürgern mit Drittstaaten möglich: Die EU-Kommission muss dafür eine sogenannte Adäquatsentscheidung treffen – also eine Angemessenheitsentscheidung, die feststellt, ob ein Drittstaat ein mit der EU vergleichbares Datenschutzniveau besitzt. Claire Bradshaw, Mitglied des britischen Digital- und Kulturministeriums, versicherte im September 2018, dass eine solche Adäquatsentscheidung problemlos möglich ist. Es seien nur technische Korrekturen erforderlich, damit die EU-DSGVO nach dem Brexit voll angewandt werde. Damit es nach einem Austritt keine Unterbrechungen beim Datentransfer gibt, drängt das Digital- und Kulturministerium die Politiker dazu, möglichst zeitnah ein Adäquatsverfahren mit der EU-Kommission zu starten. Der Bitkom rechnet aber damit, dass im Falle eines No-Deal-Brexits ein Beschluss nicht rechtzeitig vorliegt.

Auch der IT-Verband Eco fordert ein rasches Verfahren: "Die europäischen und in Europa angesiedelten internationalen Unternehmen der Digitalwirtschaft benötigen dringend Rechtssicherheit und eine verlässliche Grundlage für die reibungslose Fortführung ihrer Geschäftsmodelle und Geschäftsprozesse. Die EU und Großbritannien können die neu gewonnene Zeit effektiv nutzen, um zeitnah praktikable Lösungen zu finden, auf deren Grundlage die rechtskonforme internationale Datenübermittlung weiterhin gewährleistet ist“, sagte Eco-Vorstand Oliver Süme. 

Die EU-Kommission äußerte laut Informationen von golem.de allerdings, dass die Annahme eines Angemessenheitsbeschlusses nicht Teil einer Krisenplanung sei. Neben Adäquatentscheidungen gebe es mehrere andere geeignete Garantien für eine datenschutzkonforme Datenübertragung in ein Drittland.

Obwohl die IT-Wirtschaft nachdrücklich vor einem Wort-Case-Szenario und einem Datenchaos warnt, will die EU-Kommission dennoch keinen Notfall-Beschluss herbeiführen – nun bleibt abzuwarten, ob es rechtzeitig zu einer Einigung zwischen Großbritannien und der EU kommt.

Derzeit ist beim Besuch von einigen Torrent- und Streaming-Seiten besondere Vorsicht geboten, insbesondere dann, wenn durch auffällige Werbebanner im Netz auf sie aufmerksam gemacht wird. Die Sicherheitsforscher von Malwarebytes berichten in einem Blogbeitrag, dass derzeit viele dieser Anzeigen nicht etwa zu den beworbenen Streaming-Seiten führen, sondern die Besucher je nach Standort auf manipulierte Seiten mit mindestens zwei verschiedenen Exploit Kits führen. Diese wiederum schmuggeln dann per Drive-by-Infektion über Sicherheitslücken im Internet Explorer und dem Flash Player zwei unterschiedliche Schadprogramme auf die betroffenen Rechner.

Bei der entdeckten Malware handelt es sich zum einen um Vidar, einen noch relativ neuen, aber sehr vielseitigen Trojaner, der neben Dokumenten, Passwörtern, Browserverlauf und E-Mail-Daten sogar Daten in Software mit Zwei-Faktor-Authentifizierung auslesen kann. Außerdem greift Vidar auch sogenannte Wallets an, also digitale Geldbeutel für Kryptowährungen wie Bitcoin. Bereits früher ist der Schädling dadurch aufgefallen, dass er schwer nachweisbar war und seine Aufgabe, Daten an seinen Command-and-Control-Server weiterzuleiten, hocheffektiv erledigte. Doch während die Infizierten früher „nur“ mit dem Verlust der Datenhoheit kämpfen mussten, ist es bei der aktuellen Angriffswelle damit nicht getan.

In diesem Fall fungiert der Command-and-Control-Server außerdem als Downloader für eine weitere Malware namens GandCrab. Dabei handelt es sich um eine Ransomware, die die Daten auf dem infizierten Computer verschlüsselt, sobald Vidar seine Arbeit beendet hat. Aktuell verwenden die Hintermänner der Attacke die Version 5.04, aber GandCrab ist als Ransomware nicht nur weit verbreitet, sondern wird auch regelmäßig erweitert und verbessert, um es Antivirenprogrammen möglichst schwer zu machen. 

Damit sind die Unglücklichen, die sich mit dem Malware-Doppelpack infizieren, auch doppelt angeschmiert: Sie verlieren die Kontrolle über ihre persönlichen Daten, darunter auch Finanzdaten, und müssen darüber hinaus auch noch Geld dafür bezahlen, überhaupt wieder Zugriff auf den eigenen Rechner zu erlangen. Doch die Entdecker vermuten noch einen weiteren Grund hinter dem gemeinsamen Einsatz der beiden Schädlinge: Vielleicht geht es den Kriminellen hauptsächlich um die erbeuteten Daten und die zweite Software soll das infizierte System zerstören und damit die eigenen Spuren verschleiern. 

Schutz vor einer Infektion mit Schädlingen wie Vidar und GandCrab bieten neben einer guten Antivirensoftware auch regelmäßige Updates des Betriebssystems und der installierten Programme. Auch die aktuelle Welle verbreitet sich über das Fallout Exploit Kit, das Sicherheitslücken im Flash Player und Windows Explorer ausnutzt. Diese wurden eigentlich bereits im Frühjahr vergangenen Jahres per Update geschlossen. Nutzer sollten also dringend prüfen, ob die aktuellste Version der Software auf ihrem Rechner installiert ist. 

Wenn es um hochtechnisierte und gefährliche Waffensysteme geht, sollte man eigentlich davon ausgehen, dass bei der Sicherheit weder gespart noch geschlampt wird. Doch in den USA scheint es hier einige Baustellen zu geben, wie ein Bericht des US Department of Defense Inspector General (DOD IG) kürzlich enthüllte. Prüfer haben fünf zufällig ausgewählte Stützpunkte für das ballistische Raketenabwehrsystem der US-Streitkräfte inspiziert. Diese sollen eigentlich Nuklearangriffe verhindern, indem sie feindliche Raketen abfangen. Die Untersuchung hat allerdings ergeben, dass sowohl bei der technischen als auch bei der physischen Absicherung der Systeme riesige Sicherheitslücken bestehen, die zum Teil auf die über Jahrzehnte gewachsenen Strukturen, aber auch auf schlichte Schlamperei und eine gewisse Mir-Egal-Einstellung zurückzuführen sind. Der Bericht zeigt, dass es gravierende Mängel bei der Verschlüsselung der Systeme, der Multifaktor-Authentifizierung und beim Schutz vor Computerviren gibt.

Einer der größten Kritikpunkte ist der Umgang mit den Zugangsberechtigungen für kritische Waffen- und Verteidigungssysteme. So existierte zwar eine vorgeschriebene Zwei-Faktor-Authentifizierung, allerdings wurde diese in vielen Fällen nicht durchgesetzt. Neue Mitarbeiter erhielten zu Beginn ihrer Tätigkeit einen Nutzernamen und ein Passwort, welche nach Aktivierung durch eine Zugangskarte ersetzt werden sollten. Nach spätestens zwei Wochen sollten diese Karten aktiviert werden, doch das passierte offenbar nicht immer. Ein Mitarbeiter drückte sich laut Bericht ganze sieben Jahre vor der Aktivierung dieser Zwei-Faktor-Authentifizierung! Bei einer anderen überprüften Basis war das ganze Netzwerk nicht darauf ausgelegt, diese Art der Zugangsberechtigung überhaupt zu unterstützen. Darüber hinaus wurden die Zugangsberechtigungen offenbar recht freigiebig verteilt und die Gründe für die Erteilung nirgendwo festgehalten. So ließ sich im Nachhinein kaum noch feststellen, warum einzelne Mitarbeiter den Zugang zu den Systemen überhaupt benötigten und ob man ihnen diesen vielleicht auch nur für eine begrenzte Zeit gewährt hatte.

Ein weiterer Kritikpunkt besteht im Umgang mit Sicherheitspatches, um bekannte Sicherheitslücken zu schließen. In drei der überprüften Standorte klafften große und vor allem weithin bekannte Sicherheitslücken in den Systemen, die mit einem simplen Patch längst hätten geschlossen sein können. Einige der gefundenen Lücken sind sogar seit den 1990er Jahren bekannt. Und damit nicht genug: In einer Basis existierte nicht einmal ein Basisschutz der Systeme durch ein Antivirenprogramm! Die Begründung für dieses Versäumnis schockiert: Der zuständige Mitarbeiter habe zwar einen Antrag eingereicht, allerdings nie eine Freigabe für die nötigen Schritte erhalten. Offenbar hat er es aber innerhalb eines Jahres wiederum nicht für nötig befunden, nochmal danach zu fragen. 

Doch nicht nur die Softwareseite der Sicherheit wird im Bericht kritisiert, sondern auch die physische Sicherheit der Computer und Server. So waren die Server Racks nicht verschlossen und auf Nachfrage erklärten die Verantwortlichen, dass sie sich nicht darüber im Klaren gewesen seien, dass das zum Sicherheitsprotokoll gehöre. Insbesondere in Kombination mit den großen Sicherheitslücken bei der physischen Zugangskontrolle zu diesen Systemen können unverschlossene Server Racks eine große Gefahr darstellen. Der Bericht listet hier mehrere Kritikpunkte auf: von einer unzureichenden Videoüberwachung über defekte Sensoren an Schleusen und Türen bis hin zu absolut desinteressierten Mitarbeitern, die Fremde ohne sichtbare Zugangsberechtigung nicht einmal fragen würden, was sie in den kritischen Bereichen zu suchen hätten. 

Zusätzlich zu all diesen Punkten kritisieren die Prüfer, dass in drei Standorten keine oder keine ausreichende Verschlüsselung genutzt wird, wenn Daten physisch übertragen werden, beispielsweise über einen USB-Stick. Die Begründung: Das über Jahrzehnte gewachsene System sei nicht darauf ausgelegt, große Datenmengen sinnvoll zu verschlüsseln. An einem der Standorte hieß es auch hier wieder: „Wir wussten gar nicht, dass man das tun soll.“ All diese Befunde aus dem Prüfbericht lassen nicht unbedingt ein gutes Gefühl aufkommen, vor allem wenn man an die Kraft der amerikanischen Waffensysteme denkt. Hier muss schleunigst nachgebessert werden, sowohl auf Software- als auch personeller Seite. Einen derart fahrlässigen Umgang mit der Cybersicherheit könnten sich Unternehmen in der freien Wirtschaft überhaupt nicht leisten. 

Weihnachten ist traditionell die Zeit, in der man auch einmal an andere denkt und die eine oder andere Spende macht. Doch auch vor wohltätigen Organisationen machen Hacker nicht halt. So war die angesehene amerikanische Save the Children Federation Opfer einer Phishing-Attacke, bei der fast eine Million US-Dollar erbeutet wurden. Der Vorfall ereignete sich bereits im Mai 2017, wurde aber erst jetzt öffentlich gemacht. 

Laut einer Erklärung der Charity-Organisation hatten Hacker das Postfach eines Angestellten gehackt und darüber falsche Rechnungen und Dokumente verschickt. Die Hacker behaupteten, dass rund eine Million US-Dollar gebraucht würden, um Solarzellen für ein Projekt in Pakistan zu kaufen, für das sich Save the Children bereits seit mehr als 30 Jahren engagiert. Als der Betrug nach einer Überweisung auf ein japanisches Konto aufflog, war es für eine Rückbuchung des Geldes bereits zu spät. Glücklicherweise hatte die Organisation für solche Fälle eine Versicherung abgeschlossen, sodass sich der endgültige Schaden auf „nur“ 112.000 Dollar belief. Für viele Spender – gerade von kleineren Beträgen – dürfte das ein geringer Trost sein, denn für sie ist auch das noch eine riesige Summe.

Neben diesem großen Vorfall kam es in den vergangenen Jahren auch zu kleineren Zwischenfällen. Einmal gaben sich Hacker per Mail als langjähriger Geschäftspartner aus, der seine Rechnungen nun auf ein neues Konto überweisen lassen wollte. Auch in diesem Fall war die Überweisung von rund 9.000 Dollar bereits gebucht, als klar wurde, dass man Betrügern aufgesessen war. Allerdings hatte Save the Children Glück im Unglück und konnte das Geld fast vollständig zurückbuchen. 

Der Betrug mittels gefälschter E-Mails oder gehackter E-Mail-Konten ist eine beliebte Masche unter Hackern. Bereits vor zwei Jahren warnte das FBI vor einer Zunahme solcher Fälle nicht nur in den USA, sondern weltweit. Die Angreifer nutzen die Informationen über Geschäftskontakte oder geplante Projekte, die sie aus den gekaperten E-Mail-Accounts erhalten, um die Opfer mittels Social Engineering zu manipulieren. Aktuell ist ein Fall aus Österreich aus dem Jahr 2016 wieder präsent, bei dem eine Mitarbeiterin des Flugzeugteileherstellers FACC im Zuge eines Fake-President-Betrugs ganze 54 Millionen Euro an Kriminelle überwiesen hat, denn das Unternehmen verklagt nun zwei seiner Ex-Vorstände deswegen. Ihnen wird vorgeworfen, kein Kontrollsystem aufgebaut zu haben, um solche Betrugsfälle zu verhindern. Sollten die beiden zu den geforderten 10 Millionen Euro verurteilt werden, hätte das eine deutliche Signalwirkung auf andere Unternehmen. 

Doch wie kann ein sinnvolles Schutzsystem vor solchen Angriffen aussehen? Diese Frage hat sich auch Save the Children gestellt und Kontrollmechanismen eingeführt. Demnach sollen alle Transaktionen über einem bestimmten Betrag, beispielsweise über 500 Euro, von einer weiteren Person abgesegnet werden. Das verhindert, dass einzelne Mitarbeiter dem Druck der Kriminellen nachgeben. Darüber hinaus soll vor der Überweisung die Richtigkeit der Kontodaten überprüft werden, beispielsweise durch einen telefonischen Abgleich mit dem betreffenden Geschäftspartner. So können legitime Zahlungen nicht umgeleitet werden. Diese Maßnahmen und vor allem deren Gründe sollte man Mitarbeitern klar kommunizieren und sie für derartige Betrugsmaschen ebenso sensibilisieren wie für andere Formen von Cyberangriffen. Zu guter Letzt ist auch eine Cyberversicherung durchaus sinnvoll, wie der Fall von Save the Children zeigt.

Ob Black Friday oder Cyber Monday – bei den Online-Händlern läuft die Rabattschlacht nach dem amerikanischen Feiertag Thanksgiving auf Hochtouren. Ganz vorne mit dabei ist auch Platzhirsch Amazon. Bereits im vergangenen Jahr konnte der Online-Riese am Cyber Monday mehr Waren an einem Tag umsetzen als jemals zuvor. Dieser Erfolg beruht auch darauf, dass Kunden weltweit sich darauf verlassen, dass ein Kauf bei Amazon ohne Probleme und vor allem sicher abgewickelt werden kann. Dieses Vertrauen wurde jetzt erschüttert, ausgerechnet vor der größten Rabattaktion des Jahres: Es gab eine Datenschutzlücke.

Was genau passiert ist, weiß bislang niemand, denn darüber schweigt sich Amazon beharrlich aus. Sicher ist nur, dass tausende Kunden vom Konzern darüber informiert wurden, dass ihre Namen und ihre E-Mail-Adressen durch einen Fehler auf der Webseite von Amazon frei einsehbar gewesen seien. Kennwörter seien nicht betroffen und daher auch keine weiteren Schritte durch die Kunden nötig. Darüber hinaus sei der Fehler mittlerweile behoben. Für Kunden ist solch eine Nachricht – zumal offenbar ohne Anrede – nicht unbedingt vertrauenerweckend. Und so hielten viele Kunden die Nachricht zunächst für einen Phishing-Versuch. Sogar der Kundenservice von Amazon war offenbar nicht informiert. In Großbritannien erhielt ein Kunde auf Nachfrage die Auskunft, dass die Nachricht nicht von Amazon stamme und die Situation sowie Herkunft untersucht würden. Erst später bestätigte das Unternehmen offiziell die Echtheit der Nachricht. 

Doch wer sich jetzt fragt, wann, wo genau, wie lange und für wen die eigenen Daten sichtbar waren, tappt weiter im Dunkeln. Über die genauen Umstände der Datenpanne sind bislang keine Informationen an die Öffentlichkeit gedrungen. Für Betroffene und Datenschützer eine absolut unbefriedigende Situation, zumal Unternehmen nach der Datenschutz-Grundverordnung (DSGVO) seit Mai dieses Jahres dazu verpflichtet sind, ihre Kunden genau über mögliche Sicherheits- und Datenschutzprobleme zu informieren. Außerdem müsste Amazon auch die Datenschutzbehörden darüber in Kenntnis setzen, was genau passiert ist und wie groß der Schaden vermutlich war. Ausnahmen von dieser Regel gelten nur, wenn „die Rechte und Freiheiten“ der betroffenen Kunden nicht beeinträchtigt wurden. Die Krux dieser Regelung offenbart sich im aktuellen Fall, denn ob ein Risiko für die Rechte und Freiheiten bestand, liegt im Ermessen des Unternehmens. Darauf beruft sich Amazon derzeit. Da es sich nicht um einen Angriff oder einen Sicherheitsvorfall im eigentlichen Sinne gehandelt habe, sei selbst die Nachricht an die Kunden nur aus einem Übermaß an Vorsicht verschickt worden. Auch die von Kunden mittlerweile eingeschaltete britische Aufsichtsbehörde sieht aktuell keinen Anlass dafür, tätig zu werden, will die Situation aber weiterhin im Blick behalten. 

Der Fall zeigt deutlich: Beim Umgang mit derartigen Sicherheitsvorfällen  müssen selbst weltweit tätige Unternehmen wie Amazon noch einiges dazulernen. Sie müssen begreifen, dass es nicht nur um die Daten der Kunden geht, sondern auch um das Vertrauen der Konsumenten in das Unternehmen und in die Branche. Offenheit, Transparenz und rasche Aufklärung sollten daher die maßgeblichen Tugenden sein, nicht Geheimniskrämerei.

In dieser Woche fand das jährliche Internet Governance Forum der UNESCO in Paris statt. In seiner Rede am Eröffnungstag kündigte Emmanuel Macron eine neue Initiative zur Schaffung von internationalen Standards für das Internet an. Unter dem Titel „Paris Call for Trust & Security in Cyberspace“ soll das Projekt beispielsweise Normen für Datensicherheit oder Regeln für die Veröffentlichung von Sicherheitslücken erarbeiten. Insgesamt werden neun Ziele verfolgt, darunter auch Punkte wie sichere Wahlen ohne Einmischung durch Hacker oder die Bekämpfung von Hackerangriffen auf Unternehmen.

Unterschrieben haben mehr als 50 Nationen, 90 Non-Profit-Organisationen und Universitäten sowie 130 Unternehmen, darunter Technologieriesen wie Microsoft, Facebook, Google, IBM oder HP. Dabei geht es in diesem ersten Schritt noch gar nicht darum, dass die Unterzeichnenden sich zu irgendetwas verpflichten. Es handelt sich lediglich um eine Absichtserklärung, den Herausforderungen und Gefahren einer vernetzten Welt gemeinsam zu begegnen. Auch Japan zählt zu den Unterstützern der Initiative. Dessen für Cybersicherheit zuständiger Minister hat gerade zugegeben, selbst noch nie mit einem Computer gearbeitet zu haben. Dafür habe er schließlich Mitarbeiter. Nicht mit dabei sind hingegen die USA, Russland, China, der Iran und Israel, von denen einige gerade Einheiten zur Cyberkriegsführung aufbauen.

Neben der Einigkeit darüber, dass sich Cyberkriminalität nur länderübergreifend bekämpfen lässt, enthält die Erklärung noch weitere erfreuliche Details: Nicht nur Staaten als Gesetzgeber und Exekutive beteiligen sich an diesem Kampf, sondern auch Unternehmen. Im aktuellen Fall hat insbesondere Microsoft eigenen Aussagen zufolge eng mit der französischen Regierung zusammengearbeitet. Damit übernimmt die Privatwirtschaft auch immer mehr Aufgaben, die bislang eigentlich den Staaten vorbehalten waren, wie beispielsweise die Sicherung von Wahlen vor Manipulation. Diese Zusammenarbeit ist auch durchaus sinnvoll, immerhin müssen Lösungen technisch von den Unternehmen umgesetzt werden. 

Bereits im April hat Microsoft mit dem Cybersecurity Tech Accord eine ähnliche Initiative ins Leben gerufen, die mittlerweile von 60 Technologieunternehmen unterzeichnet worden ist. Microsoft zufolge soll es sich dabei um eine Art „Digitale Genfer Konvention“ handeln. Und das ist längst nicht die einzige Maßnahme des Unternehmens, um die Möglichkeiten der Technik sicherer und kontrollierbarer zu machen. Auch Microsoft ist nicht allein in diesem Bestreben. Facebook und Google haben im August mit der US-Regierung zusammengearbeitet, um eine Propaganda-Kampagne, die mutmaßlich aus dem Iran stammte, zu stoppen. Facebook hat darüber hinaus während der Zwischenwahlen einen „War Room“ ins Leben gerufen, der gezielt Falschinformationen aufspüren und löschen sollte. 

Der Paris Call mag noch seine Schwächen haben und so mancher Unterzeichner und Leser wird wohl auch nicht mit allen Punkten zu 100 Prozent übereinstimmen, aber es ist ein Schritt in die richtige Richtung. Internationale Verbrechen verlangen auch nach internationaler Zusammenarbeit bei der Bekämpfung. 

Wer sich einen neuen Computer zulegt, geht im Normalfall davon aus, dass er ein quasi jungfräuliches Gerät erhält, abgesehen von Firmware und Betriebssystem versteht sich. Wenn man dann noch ein Schnäppchen macht und den Wunschcomputer zu einem unschlagbar günstigen Preis findet, ist die Freude doppelt so groß. Doch ist das Angebot zu gut um wahr zu sein, sollte man misstrauisch werden. Nicht nur könnte es sich um Ware handeln die klassisch „vom Laster gefallen ist“, man könnte sich auf diese Art auch unangenehme Schädlinge ins Haus, bzw. ins Netzwerk holen. 

Gerade erst hat Microsoft durch eine Reihe von Testkäufen im asiatischen Raum eine erschreckende Feststellung gemacht: Rund 83 Prozent der gekauften und untersuchten Rechner hatten keine Lizenzen für die vorinstallierten Programme und Betriebssysteme, es handelte sich schlicht und ergreifend um Raubkopien. Die meisten dieser Rechner waren jedoch genau damit beworben worden, dass sie nicht nur extrem günstig seien, sondern obendrein ein umfangreiches kostenloses Softwarepaket enthielten. 84 Prozent von diesen Computern mit Raubkopien enthielten wiederum zusätzlich zur Software auch noch vorinstallierte Malware, vornehmlich Viren und Trojaner. Für den Käufer heißt das in vielen Fällen, dass er eigentlich keine Chance hat, die Schädlinge zu finden. Die kriminellen Hintermänner dieser Machenschaften richten das System in der Regel so ein, dass die Infektion schlicht nicht auffällt.

Und selbst wenn man zu den „Glücklichen“ zählt, die nur eine Raubkopie ohne zusätzliche Schädlinge auf dem Rechner haben, darf man sich nicht sicher fühlen – ganz im Gegenteil! Denn raubkopierte Software ist besonders verwundbar. Sie erhält im Normalfall keine Sicherheitsupdates, wodurch auch längst erkannte und eigentlich schon geschlossene Sicherheitslücken bestehen bleiben. Für Kriminelle sind diese Geräte natürlich ein gefundenes Fressen, denn genau für solche Fälle (und Update-Unwillige) entwickeln sie schließlich ihre Malware. 

Nun mag sich manch einer fragen, was das mit ihm zu tun hat. Immerhin sind wir nicht in Asien, wo Urheberrechte generell nicht allzu weit oben auf der Prioritätenliste stehen. Doch über Shopping-Apps wie Wish und Seiten wie Alibaba bieten auch asiatische Händler ihre Ware immer häufiger weltweit und damit auch bei uns an. Während bei einem Laptop für 35 Euro statt 800 Euro bei jedem normal denkenden Menschen die Warnglocken läuten, klingt ein hervorragend ausgestatteter Rechner eines unbekannten chinesischen Herstellers für rund 200 Euro wie ein tolles Schnäppchen, bei dem man zuschlagen sollte. Das erste, eher unrealistische Angebot war bei wish.com zu finden und offenbar für Privatpersonen gedacht. Das zweite gab es so auf Alibaba und richtete sich gezielt an Unternehmen mit einer Mindestabnahme von 10 Stück. Doch hier sollte man genau prüfen, worauf man sich einlässt, sonst kann das vermeintliche Schnäppchen ganz schnell zum Problem werden. Ransomware könnte die Festplatte sperren, Trojaner könnten Daten ausspähen oder ein Virus könnte das gesamte Unternehmen lahmlegen. Selbiges gilt übrigens auch für externe Festplatten, USB-Sticks und andere extrem günstige Speichermedien.

In diesen Tagen feierte das beliebteste Smartphone-Betriebssystem seinen 10. Geburtstag. Ende Oktober 2008 kam das erste Handy mit Android auf den Markt und startete damit seine Erfolgsgeschichte. Dabei war Android eigentlich gar nicht für Telefone konzipiert. Ursprünglich wollte Firmengründer Andy Rubin mit seinem Start-up die Bedienung von Digitalkameras erleichtern. Allerdings wurde das Unternehmen bald von Google übernommen und zum iPhone-Konkurrenten aufgebaut. Mit Erfolg, denn heute verfügt Android über einen Marktanteil von 85 Prozent und hat – bis auf Apple – alle anderen Betriebssysteme von Microsoft über Palm bis hin zu Nokia und Blackberry vom Markt weitestgehend verdrängt.

Ein Grund für den großen Erfolg sind sicherlich die vielen Freiheiten und individuellen Anpassungsmöglichkeiten. Neben dem deutlich günstigeren Preis und der Vielzahl an Herstellern, ein weiterer Vorteil gegenüber dem iPhone. Doch die Vorzüge haben auch einen entscheidenden Nachteil: Android gilt als deutlich unsicherer als iOS. Ein besonderer Kritikpunkt: Viele Hersteller, sowohl von Smartphones als auch von Tablets, verzichten darauf, die von Google zur Verfügung gestellten Updates an die Endnutzer auszuspielen. Dabei tut Google einiges dafür, die Sicherheit seiner Software immer weiter zu verbessern, sucht u. a. mit eigenen Sicherheitsforschern und zusätzlich mit einem Bug-Bounty-Programm aktiv nach Verbesserungsmöglichkeiten. Diese werden anschließend als Update an die Gerätehersteller verteilt. Die müssen das Update auf die jeweilige Firmware und oft auch auf verschiedene Modelle anpassen, bevor die Aktualisierung an die Nutzer weitergegeben werden kann. Das bedeutet für die Hersteller natürlich einen immensen Aufwand, den sie oft nur für die aktuellen Top-Modelle auf sich nehmen wollen. Günstigere oder ältere Geräte fallen da häufiger unter den Tisch.

Dieser Widerwille bei der Verbreitung von Sicherheitsupdates war Google schon lange ein Dorn im Auge, da die Hersteller dem Ansehen des Betriebssystems insgesamt schaden. Hier hat es Apple mit seinem geschlossen iOS-System einfacher. Doch Google, der Software-Riese aus Mountain View, ist sich des Problems bewusst und arbeitet gezielt an Verbesserungen. Wie das Magazin The Verge nun berichtete, verpflichtet Google die Hersteller von Android-Geräten in den aktuellen und eigentlich vertraulichen Lizenzverträgen innerhalb der EU dazu, zwei Jahre lang mindestens vier Sicherheitsupdates mit den monatlich veröffentlichten Patches an beliebte Smartphones auszuspielen. Beliebte Geräte sind gemäß Google jene, die von mehr als 100.000 Nutzern aktiviert wurden. Ob eine entsprechende Regelung auch in den internationalen Verträgen auftaucht, konnte das Magazin nicht prüfen. 

Damit leistet Google einen wichtigen Beitrag zur Schließung kritischer Sicherheitslücken in seinem Android-Betriebssystem und zeigt, dass es die Problematik ernst nimmt. Bereits früher in diesem Jahr hatte ein Google-Sprecher deutlich gemacht, dass ein Bug-Fix innerhalb von 90 Tagen zu den Mindeststandards bei der Sicherheit zählt. Auch das „Android One“-Programm deutet auf ein verstärktes Sicherheitsbewusstsein bei Google hin. Teilnehmende Gerätehersteller haben sich verpflichtet, ihre Geräte ebenfalls für mindestens zwei Jahre mit Updates zu versorgen. Leider profitieren immer noch viel zu wenige Nutzer von diesem Programm. Und auch bei den neuen Lizenzverträgen ist Vorsicht geboten: Wie The Verge berichtet, gilt die neue Update-Regelung nur für Geräte, die nach dem 31. Januar 2018 von mehr als 100.000 Nutzern aktiviert wurden. Wer jedoch bereits jetzt in den Genuss der Updates kommt, sollte nicht zögern, diese auch zu installieren, denn nur so wird Android Stück für Stück ein bisschen sicherer. 

Vor fünf Jahren wurde publik, dass eine chinesische Hackergruppe namens APT1 oder Comment Crew mehr als 100 amerikanische Unternehmen kompromittiert hatte. Entdeckt wurde sie von der Sicherheitsfirma Mandiant, die auch herausfand, dass hunderte Terabyte an Daten von den Chinesen entwendet worden waren. Bereits damals kam der Verdacht auf, dass die Gruppe Rückendeckung durch den chinesischen Staat hatte. Genaueres erfuhr man jedoch nie, denn nachdem ihre Machenschaften bekannt geworden waren, tauchte die Comment Crew ab.

Nun könnte sie jedoch wieder da sein, wie Sicherheitsforscher von McAfee berichten. Sie haben offenbar bei aktuellen Hackerangriffen Code gefunden, der sich der Comment Crew zuordnen lässt. Ganz konkret benennt das Unternehmen einen Code namens Seasalt, der vor gut acht Jahren von der Comment Crew erstmals benutzt wurde. Der Fund von wiederverwendetem Code allein wäre jedoch keine Meldung wert gewesen, denn mittlerweile ist es unter Hackern durchaus üblich, dass man sich aus vorhandenen Code-Versatzstücken aus Datenbanken oder Open-Source-Quellen etwas Passendes zusammenbastelt. Der Code der Comment Crew wurde allerdings nie veröffentlicht, was diese Option eher unwahrscheinlich macht. 

Bei McAfee hat man dem neuen Code den Namen Oceansalt gegeben und fünf Angriffswellen identifiziert. Mit Spearfishing-Mails, in deren Anhang infizierte Excel-Sheets auf Koreanisch verschickt wurden, wurden zuerst vornehmlich südkoreanische Unternehmen ganz gezielt angegriffen. Erst später folgten auch Ziele in den USA und Kanada. Wer den Anhang öffnete, installierte Oceansalt. Ersten Erkenntnissen zufolge wurde die Malware bislang nur zu Spionagezwecken eingesetzt, hätte allerdings durchaus die Fähigkeit, die Kontrolle über die infizierten Geräte und damit verbundene Netzwerke zu übernehmen. 

Im Bericht von McAfee werden jedoch auch einige Unterschiede zwischen Seasalt und Oceansalt beschrieben. Während der alte Schädling auch nach einem Reboot nachweisbar war, verfügt Oceansalt nicht über dieses Durchhaltevermögen. In anderer Hinsicht ist er seinem Vorgänger jedoch überlegen, denn im Gegensatz zu Seasalt sendet er die erbeuteten Daten verschlüsselt an die Hintermänner. 

Darüber, woher Oceansalt nun kommt und wer dahintersteckt, herrscht aktuell noch Unwissenheit. Drei Theorien erscheinen möglich. Erstens, die Comment Crew ist wieder da, was laut McAfee nach fünf Jahren in der Versenkung aber eher unwahrscheinlich ist. Zweitens, der Code wurde von einer neuen Hackergruppe gekauft oder in irgendeiner Form erbeutet. Und drittens besteht die Möglichkeit, dass mit dem Einsatz des Codes die Spur ganz gezielt zur Comment Crew und damit nach China gelenkt werden sollte, um die wahren Täter zu verschleiern. Ein solches Verhalten würde auf gezielte Spionagetätigkeiten hinweisen. 

Die Sicherheitsexperten von Googles Project Zero sind bei ihrer unermüdlichen Suche nach Sicherheitslücken in beliebten Anwendungen erneut fündig geworden, diesmal beim beliebten Messenger-Dienst WhatsApp. Den Erkenntnissen des Teams rund um Natalie Silvanovich zufolge kann ein Videoanruf über die App ausreichen, um das angerufene Smartphone zu kapern. Wie unter Sicherheitsforschern üblich, nutzte die Forscherin den von ihr entdeckten Fehler in einem Beispiel-Exploit, um WhatsApp kontrolliert zum Absturz zu bringen. 

Das Problem: Die Speicherverwaltung des Video-Conferencings lässt sich durch ein übertragenes RTP-Paket so verwirren, dass ein Angreifer eigene Datenpakete hinzufügen kann. Noch scheint es zwar nicht so weit gekommen zu sein, aber man kann davon ausgehen, dass Kriminelle den Exploit problemlos weiterentwickeln können, um wirklich gefährliche Software über WhatsApp auf die Handys zu schleusen.

WhatsApp wurde bereits weit vor der öffentlichen Bekanntmachung der Sicherheitslücke über das Risiko informiert, damit das Unternehmen reagieren und die Lücke zu schließen konnte. Sowohl für iOS als auch für Android hat WhatsApp in der vergangenen Woche entsprechende Updates zur Verfügung gestellt. Nutzer des Messengers sollten nachprüfen, ob sie das Update bereits installiert und somit die Sicherheitslücke geschlossen haben. Die neueste Version trägt für iOS die Nummer 2.18.93, für Android 2.18.302. Welche Version auf dem eigenen Handy installiert ist, lässt sich für Android über die WhatsApp-Einstellungen unter „Hilfe“, „App-Info“ herausfinden, bei iOS steht die Versionsnummer in den Einstellungen unter „Hilfe“ im Header.

Das News-Portal Heise berichtet jedoch von Problemen mit dem Update. Einigen Android-Nutzern wurde offenbar die aktuellste Version noch nicht im Google Play Store zur Installation angeboten. Das kann vorkommen, wenn Updates nach und nach ausgerollt werden, um eine Überlastung der Server zu verhindern. In diesem Fall sollte man nicht versuchen, das Update über andere Quellen zu beziehen, sondern zu einem späteren Zeitpunkt prüfen, ob das Update verfügbar ist. In der Zwischenzeit reicht es, keine Videoanrufe unbekannter Anrufer anzunehmen.

Malware? Für Mac-Nutzer ist das doch gar kein Problem. Und tatsächlich gibt es weit weniger Schadprogramme, die sich auf das Apple-Betriebssystem konzentrieren, als auf Windows. Das liegt zum einen am geschlossenen Apple-System, das es Hackern schwermacht, die vielen Sicherheitsmaßnahmen von macOS zu umgehen. Zum anderen sicher auch an der schieren Zahl der Nutzer, die bei Windows immer noch deutlich höher ist und damit ein lohnenderes und zusätzlich einfacheres Angriffsziel darstellt. Trotzdem: Völlig in Sicherheit sollten sich Mac-User nicht wiegen, denn tatsächlich ist eine ganze Reihe von Schädlingen für macOS unterwegs und Hacker suchen immer neue Wege, Apples Sicherheitsvorkehrungen zu umgehen.

Einen Weg, genau das zu bewerkstelligen, stellte nun der auf Apple spezialisierte Sicherheitsforscher Thomas Reed auf der Virus Bulletin Sicherheitskonferenz in Montreal vor. Bei der Installation neuer Software setzt macOS ein Programm namens Gatekeeper ein. Es prüft, ob die neue Software über eine kryptografische Signatur des Mac App Stores oder eines bei Apple registrierten Entwicklers verfügt. Ist das der Fall, lässt er die Installation zu. Falls nicht, warnt Gatekeeper den Nutzer, dass es sich um potenzielle Schadsoftware handelt. Dieses System ist eigentlich sehr clever, um eine Infektion zu verhindern. Allerdings fand Reed heraus, dass die Signatur genau ein einziges Mal überprüft wird – nämlich im Zuge der Installation. Was danach mit der App passiert, interessiert Gatekeeper nicht, denn es hat seine Pflicht und Schuldigkeit getan. 

Für Angreifer bedeutet das: Wenn sie ein bereits installiertes Programm manipulieren, beispielsweise über eine Sicherheitslücke, können sie sich in aller Ruhe auf dem Gerät einnisten. Eine erneute Überprüfung der Signaturen müssen sie nicht fürchten. Auch Updates triggern nur in wenigen Fällen eine erneute Überprüfung der Signatur, da Entwickler häufig nur einen Check der Signatur des Updates selbst in der Programmierung vorsehen, nicht aber der zugrundeliegenden Software. Auch unrechtmäßig erworbene oder gefälschte Signaturcodes können ein Problem darstellen und Gatekeeper austricksen. Und ist die Software erst einmal da, besteht für die Schädlinge kaum eine Gefahr, entdeckt und vertrieben zu werden. 

Abhilfe könnten die Entwickler schaffen, indem sie regelmäßige Checks der Sicherheitssignaturen in ihre Software implementieren. Das geschehe laut Reed jedoch freiwillig und sei aktuell nur bei sehr wenigen Apps vorgesehen. Auch Apple könnte weitere Überprüfungen nach der Installation in sein Betriebssystem und Gatekeeper einbauen. Noch ist das allerdings nicht der Fall und auch auf Nachfrage der Zeitschrift WIRED gab das Unternehmen keinen Kommentar dazu ab. Die Gefahr bleibt also bestehen, auch wenn Reed bislang keinen Hinweis darauf finden konnte, dass Kriminelle die Sicherheitslücke bereits ausgenutzt haben. 

Ein neuer Computervirus macht derzeit die Runde. Er könnte sich als erster einer völlig neuen Art von Malware erweisen. Denn LoJax nistet sich direkt im BIOS, bzw. im UEFI der infizierten Rechner ein – also noch vor dem eigentlichen Betriebssystem. Für die Hacker hat das einige Vorteile. Erstens: Kaum ein Virenprogramm überprüft diese dunkelsten Tiefen der Computersysteme. Und zweitens: Kaum jemand denkt überhaupt daran, das BIOS oder das UEFI zu überprüfen, denn bisher gab es schlicht keinen Grund für solche Maßnahmen.

Befindet sich der Virus erst einmal auf dem Rechner, hat man ein echtes Problem, denn es besteht eigentlich kaum eine Chance, ihn wieder loszuwerden. Selbst nach einem Austausch der Festplatte soll LoJax laut der Sicherheitsforscher von ESET, die ihn entdeckt haben, weiter auf dem Rechner zu finden sein. Für die kriminellen Hintermänner bedeutet das, dass sie ungestört den Datenverkehr mitschneiden und umleiten können. 

Doch wo kommt der neue Virus überhaupt her? Seine Entdecker verdächtigen die Cyberkriminellen von APT28/Sednit/Sofacy. Diese Hackergruppe steht in dem Ruf, im Auftrag von Regierungen Fremdländer auszuspähen. Dementsprechend sind sich die Sicherheitsforscher auch ziemlich sicher, dass LoJax bereits bei einem Angriff auf Behörden- und Regierungsnetzwerke zum Einsatz gekommen ist. Auf wie vielen dieser Rechner die Gefahr bereits schlummert, ist derzeit kaum abzuschätzen.

Von den Hauptzielen von APT28/Sednit/Sofacy, nämlich Regierungen und Behörden, sollten sich Unternehmen nicht in Sicherheit wiegen lassen. Denn auch für sie könnte LoJax zur Gefahr werden, sollten die Entwickler auf die Idee kommen, ihre Malware beispielsweise zur Industriespionage zu verkaufen. Hinzu kommt, dass nun die Möglichkeit bekannt ist, Malware in die Tiefen der Soft- und Hardware zu injizieren. Da wird es nicht lange dauern, bis erste Nachahmer eine ähnliche Malware entwickelt und in Umlauf gebracht haben. Bleibt nur, für entsprechenden Schutz zu sorgen und ein Antivirenprogramm zu nutzen, das auch das BIOS oder das UEFI durchsucht.

Ein verschlüsseltes Laufwerk ist eine übliche und logische Maßnahme, um Daten vor unbefugtem Zugriff zu schützen. Nun haben jedoch Sicherheitsforscher von F-Secure eine eigentlich sehr alte Methode entdeckt, diese Verschlüsselung auszuhebeln. Zuvor war die Branche davon ausgegangen, dass ein solcher Angriff seit rund zehn Jahren nicht mehr möglich sei. Doch das war offenbar ein Irrtum. Und das Schlimmste: Es funktioniert bei fast jedem Computer!

Basis des neuen Angriffs ist eine altbekannte Technik namens Cold Boot. Dabei wird der Rechner abrupt abgeschaltet, beispielsweise indem man den Stecker zieht. Beim Neustart wird dann ein USB-Stick mit Schadcode genutzt, um die Daten im Arbeitsspeicher des Rechners auszulesen. Daraus wiederum lassen sich die kryptografischen Codes für den Rest der Festplatte ableiten. Vor zehn Jahren haben die Hersteller dem jedoch einen Riegel vorgeschoben und den Arbeitsspeicher besser abgesichert. Dabei setzt das Betriebssystem einen Marker, dass im Arbeitsspeicher noch Daten vorliegen. Wird der Rechner normal heruntergefahren, wird dieser Marker zusammen mit den Daten im Arbeitsspeicher gelöscht. Falls nicht, bleibt er bestehen und signalisiert dem System, dass es erst die Daten löschen muss, bevor weitere Aktionen durchgeführt werden.

Dementsprechend ist die Attacke auch nicht mehr ganz so einfach durchzuführen wie damals und erfordert etwas größere Eingriffe in die Hardware. Zuallererst mussten die Forscher den Marker umgehen. Dabei fiel ihnen ein Problem auf: Wenn sie sich direkt mit dem Chip verbanden, der die Firmware des Computers und damit auch den Marker beherbergt, konnten sie diesen unbemerkt löschen. Dadurch nahm der Computer beim nächsten Neustart an, dass er zuvor korrekt heruntergefahren wurde und dass keine weiteren Daten mehr im Arbeitsspeicher gelöscht werden müssen. Und egal welche Daten der Arbeitsspeicher enthält, die Verschlüsselungscodes für den Rest der Festplatte sind immer darunter. Nachdem die Forscher ihre Angriffsmethode entwickelt hatten, testeten sie sie erfolgreich an den verschiedensten Computermodellen. 

Genau da liegt auch die Gefahr: Der neue, erweiterte Cold-Boot-Angriff funktioniert, wie bereits erwähnt, eigentlich bei jedem Computer – und stellt damit eine potenzielle Gefahrenquelle für jeden Besitzer dar! Zwar braucht man direkten physischen Zugriff auf die Hardware, gerade bei Industriespionage kann das Ergebnis den Aufwand jedoch durchaus wert sein. Ebenfalls kritisch: Nutzen viele Computer in einem Netzwerk die gleichen Verschlüsselungsalgorithmen, können über einen einzigen Rechner das ganze Netzwerk und der Server kompromittiert werden. Es gibt jedoch auch Möglichkeiten, um sich zu schützen, beispielsweise indem man ein zusätzliches Verschlüsselungstool nutzt, das ein Kennwort abfragt, bevor auch nur das Betriebssystem hochfährt. So wird verhindert, dass im Arbeitsspeicher etwas Stehlenswertes zurückbleibt.

Als weltweit wohl bekanntester Hersteller von Elektrofahrzeugen treibt das Unternehmen Tesla auch das selbstständig fahrende Auto immer weiter voran. In diesem Zusammenhang hat Tesla viel Geld in Sicherheitsvorkehrungen investiert, um seine Systeme vor Hackern und Angreifern zu schützen. Doch so sicher der Bordcomputer dadurch auch geworden ist, ein anderer, ebenfalls nicht ganz unwichtiger Bereich wurde dabei scheinbar etwas vernachlässigt: Der Autoschlüssel. Das fand kürzlich ein Team von Sicherheitsforschern der KU Leuven Universität in Belgien heraus.

Mit handelsüblichem Equipment gelang es ihnen, das Model S des Herstellers innerhalb weniger Sekunden zu öffnen und damit wegzufahren. Wie inzwischen viele moderne Autos, werden auch die Fahrzeuge von Tesla mit einem „schlüssellosen“ System geöffnet und per Knopfdruck gestartet. Dazu muss der Fahrer den Autoschlüssel lediglich bei sich tragen und ihn nicht mehr wie früher ins Zündschloss stecken. Der Schlüssel selbst kommuniziert zu diesem Zweck über einen verschlüsselten Code mit dem Auto und teilt ihm mit, dass es die Türen öffnen und starten soll. Das Team der KU Leuven hat bereits im vergangenen Sommer entdeckt, dass das bei Tesla verbaute System der Firma Pektron lediglich eine vergleichsweise schwache 40-bit Verschlüsselung nutzt. 

Die weiteren Nachforschungen ergaben dann, dass lediglich zwei verschiedene Codes von einem beliebigen Schlüssel des Model S benötigt werden, um dann per Versuch und Irrtum diejenige Verschlüsselung zu finden, die das Auto entriegelt. Im Anschluss daran ließen sie den Computer alle möglichen Verschlüsselungen für jede Codekombination berechnen und erstellten so eine riesige Datenbank mit vorgefertigten Entriegelungscodes. Mit dieser konnten sie dann jedes Model S in nur 1,6 Sekunden knacken. Dafür war es lediglich nötig, bei einem Entriegelungsvorgang des legitimen Eigentümers in der Nähe zu sein, um mit dem entsprechenden technischen Gerät zwei unterschiedliche Codes des Schlüssels abzufangen. Diese schickten sie dann durch ihre Datenbank und erhielten so die geheime Verschlüsselung. Damit konnten sie dann den Autoschlüssel fälschen und das Auto entwenden. 

Bereits im August 2017 informierten die Sicherheitsforscher Tesla über ihre Ergebnisse. Bis zum Juni dieses Jahres änderte sich jedoch nichts an der schwachen Verschlüsselung. Erst dann gab es ein Upgrade und kurz darauf wurde als zusätzliche Maßnahme eine optionale PIN eingeführt, die die Verschlüsselung um eine weitere Sicherheitsstufe ergänzte. Diese Funktion ist besonders bei Fahrzeugen wichtig, die vor dem Juni 2018 gebaut und ausgeliefert wurden.  Denn hier wird die Sicherheitslücke nur dann behoben, wenn sich der Besitzer für einen neuen, sichereren Autoschlüssel entscheidet – kostenpflichtig, versteht sich. Wer also kein zusätzliches Geld ausgeben will, muss dafür die Eingabe der PIN künftig in Kauf nehmen, wenn er nicht riskieren will, dass das Auto am Abend nicht mehr dort steht, wo er es am Morgen abgestellt hat.

Googles hauseigenen Sicherheitsforscher von Project Zero sind mittlerweile bekannt dafür, immer wieder gravierende Sicherheitslücken in den unterschiedlichsten Soft- und Hardwareprodukten zu entdecken. Dabei machen sie auch vor ihrem eigenen Arbeitgeber nicht halt. Auf einer Sicherheitskonferenz stellte David Tomaschik kürzlich eine physische Sicherheitslücke an Googles smartem Zugangssystem zur Zentrale in Sunnyvale vor, die jedoch noch weit mehr Unternehmen betreffen dürfte. 

In der Google-Zentrale kommt ein Sicherheitssystem des Unternehmens Software House zum Einsatz. Mitarbeiter erhalten personalisierte Schlüsselkarten, die mittels RFID mit den Türschlössern und der dahinterstehenden Software kommunizieren. Damit werden Türen geöffnet und es wird protokolliert, wer wann welche Zugänge bedient hat. Die dabei übertragenen Daten werden verschlüsselt über das interne Netzwerk verbreitet. Diese Datenströme hat sich Tomaschik genauer angesehen und festgestellt, dass sie nicht randomisiert werden. Außerdem stolperte er über einen fest kodierten Verschlüsselungscode, der scheinbar in allen Geräten von Software House steckt. Diesen konnte er vervielfältigen und damit das Sicherheitssystem in Sunnyvale kapern. Getestet hat er das in seinem eigenen Büro. Er verschickte einen speziell entwickelten Schadcode über Googles Netzwerk und tatsächlich wechselten die Lichter an seinem Türschloss von Rot zu Grün. Selbst mit einer der RFID-Zugangskarten ließ sich Tomaschiks Kontrolle nicht umgehen. 

Das Problem bei den Produkten von Software House: Außer dem Verschlüsselungscode gibt es keine weitere Authentifizierung der Signale, wodurch sich die Zugangskarten kompromittieren lassen. So könnten sich Angreifer ohne Weiteres Zugang zu Unternehmensräumen, Akten oder Labors verschaffen. Auch Industriespionage durch einen Insider wäre denkbar, denn die Zugangsprotokolle zu den einzelnen Räumen lassen sich ja auch umgehen. Und es gibt ein weiteres Problem. Die Sicherheitslücke betrifft nicht nur Googles Zentrale, sondern auch die anderen Kunden von Software House. Und zu allem Überfluss lässt sie sich in vielen Fällen nicht so einfach durch ein Update beheben, da ältere Versionen nicht über ausreichend Speicherplatz verfügen, um neue Firmware aufzuspielen. Das würde neue Hardware voraussetzen und immensen Aufwand bedeuten. Daher ist davon auszugehen, dass Software House das angekündigte Update zur Fehlerbehebung nur für neuere Modelle bereitstellen wird.

Add-ons erfreuen sich einer immer größeren Beliebtheit. Die häufig auch als Plug-in bezeichneten optionalen Software-Lösungen erweitern bestehende Hauptprogramme oftmals mit nützlichen Features. Nutzer können so beispielsweise Firefox auf ihre Bedürfnisse anpassen. Allerdings sollte man bei der Installation Vorsicht walten lassen und sich vorher genau über das Plug-in der Wahl informieren. 

So hat Mozilla gerade 23 Firefox-Add-ons aus seinem Download Center entfernt, die persönliche Daten von Nutzern ausspähten und an Remote-Server schickten. Im Mittelpunkt der Kontroverse um diese blockierten Add-ons stand das sicherheitsrelevante Plug-in „Web Security“. Die Software, welche von der deutschen Firma Creative Software Solutions entwickelt wurde, erfreute sich bis dato mit 220.000 Downloads äußerster Beliebtheit. 

Zunächst hatte Mozilla die Web-Security-Erweiterung in seinem Blog in einem Beitrag mit dem Titel „Machen Sie Ihren Firefox-Browser zu einer Datenschutz-Supermacht“ noch in den höchsten Tönen gelobt. Denn eigentlich soll „Web Security“ bösartige Webseiten, insbesondere Phishing-Seiten, blocken. Nachdem der deutsche Sicherheitsforscher Mike Kuketz allerdings enthüllt hatte, dass die Software die Daten der User teilweise unverschlüsselt über HTTP an einen Server in Deutschland sendet und die Nutzer damit potenzielle Opfer eines Man-in-the-Middle-Angriffs (MITM) sind, wurde der Blog-Beitrag bearbeitet und das Add-on still und heimlich entfernt. Das Konzept hinter MITM-Attacken ist erstaunlich simpel: In seiner einfachsten Form muss sich der Angreifer nur zwischen zwei Parteien schalten, die miteinander kommunizieren, und kann dann die übertragenen Daten mitlesen. 

Nachdem „Web Security“ von Mozilla gesperrt wurde, schlugen Firefox-Nutzer eine Reihe weiterer Add-ons vor, die ebenfalls entfernt werden sollten, weil sie ähnliche Aktivitäten durchgeführt hatten. Alle Add-ons, die von Mozilla gesperrt wurden, sind nach ID-Nummer auf der Webseite aufgelistet. Darunter befinden sich einige der beliebtesten Plug-ins, wie Browser Security, SmartTube, Popup Blocker Ultimate, DirtyLittleHelper, YTTools und Quick AMZ.

Nachdem die betreffenden Add-ons von Mozillas Sicherheitsexperten untersucht worden waren, stellte sich heraus, dass sie alle denselben Code beinhalteten, der auch bei „Web Security“ verwendet wird. Die fragwürdigen Add-ons stehen nun nicht mehr zum Download zur Verfügung und die Nutzer dürften mittlerweile bemerkt haben, dass sie auch in ihrem Browser deaktiviert wurden.

Mittlerweile haben sich die Web-Security-Entwickler zu Wort gemeldet und erklärt, dass die Übermittlung der Daten notwendig sei, um eine besuchte Website mit der globalen Blacklist des Add-ons abzugleichen. Nichtsdestotrotz entschuldigte man sich bei den Nutzern und kündigten an, das Add-on überarbeiten zu wollen.

Wenn man sich Cyberangriffe auf kritische Infrastrukturen wie die Stromversorgung vorstellt, hat man meist Hacker vor dem inneren Auge, die sich immer tiefer in die IT-Infrastrukturen eines Kraftwerks vorarbeiten und dort Schäden anrichten. Doch auch ein ganz anderes Szenario ist denkbar: Gerade erst präsentierte eine Gruppe Sicherheitsforscher der Princeton University auf der Usenix Security Konferenz eine Simulation, was passieren würde, wenn Hacker statt der Angebotsseite die Nachfrageseite manipulieren würden, beispielsweise durch ein Botnetz. Das Ergebnis ist mindestens so erschreckend wie der Angriff eines einzelnen Hackers – wenn nicht sogar noch mehr, denn es ist kaum möglich, sich dagegen zu verteidigen.

In ihrem Szenario simulierten die Forscher ein Botnetz mit mehreren tausend energieintensiven Smart-Home-Geräten, wie beispielsweise Wasserkochern, Klimaanlagen oder Elektroheizungen. Diese sollten sich alle innerhalb eines gewissen Gebiets befinden und auf einmal anfangen zu arbeiten, um so große Strommengen innerhalb eines Versorgungsabschnitts zu verbrauchen. Ab einer bestimmten Größe dieses Botnetzes kommt es dann zur örtlichen Überlastung des Stromnetzes, was zu Ausfällen und Schäden führt. Die Verantwortlichen in der Steuerung der Stromversorgung müssten dann die Versorgung über alternative Leitungen wiederherstellen, wodurch dort ebenfalls eine deutlich höhere Belastung bestünde als normalerweise. Das wiederum könnten sich die Angreifer zu Nutze machen und mit ihrem Botnetz gezielt diese Regionen des Stromnetzes ansteuern, um weitere Ausfälle zu provozieren. Am Ende könnte es zu einer Kettenreaktion kommen, bei der zehntausende Menschen ohne Energieversorgung dastehen würden.

Die Sicherheitsforscher aus Princeton geben zwar zu, dass ein derart großes, genau zu steuerndes Botnetz mit Geräten, die genug Strom aus dem Netz abziehen könnten, um tatsächlich Schäden anzurichten, im Moment eher noch eine hypothetische Möglichkeit ist. Auch andere Experten halten einen solchen Angriff aktuell eher für unwahrscheinlich. Allerdings müssen auch die größten Skeptiker zugeben, dass die Gefahr stetig steigt, je mehr Smart-Home-Geräte in den Haushalten Einzug halten und potenzielle Angriffsziele abgeben. Der Angriff des Botnetzes Mirai vor über zwei Jahren könnte ein Vorgeschmack darauf sein, was uns künftig in dieser Hinsicht erwartet. Ein großes Problem bei Botnetzen im Internet der Dinge ist die Tatsache, dass die Besitzer der gekaperten Geräte gar nicht unbedingt merken, dass gerade ein anderer sie steuert. Das wiederum führt dazu, dass sie auch nichts unternehmen, um die Geräte aus dem Botnetz zu entfernen. Schutz bietet in diesem Fall nur eine entsprechend absicherbare Software von Herstellerseite und deren sinnvoller Einsatz auf Anwenderseite. Dazu gehört auch, regelmäßig Updates durchzuführen.

Das gute alte Fax hat ausgedient, möchte man meinen. Schließlich gibt es E-Mails und Scanner, mit denen sich Dokumente genauso einfach verbreiten lassen. Trotzdem verfügen die meisten Büros und Behörden weiterhin über eine Faxnummer und setzen diese zumindest für einige Vorgänge auch weiterhin ein. Oft verbirgt sich die altmodische Technik in den großen Multifunktionsdruckern mit Scanner und Kopierer. Diese sind bekannterweise bereits seit einigen Jahren im Fokus von Hackern, da sie eine gute Angriffsfläche bieten, sowohl eine Verbindung zum Firmennetzwerk als auch zum Internet haben, und in vielen Fällen nur unzureichend geschützt sind. Um Angriffe aus dem Netz zu verhindern, lassen sich jedoch Maßnahmen ergreifen, beispielsweise durch eine Authentifizierung für die Auftragsfreigabe.

Nun haben Sicherheitsforscher von Check Point eine weitere Möglichkeit gefunden, über solche Multifunktionsgeräte ein Netzwerk zu infiltrieren: Das Fax, an das wohl kaum jemand denkt, wenn es um Cybersicherheit geht. Dabei ist der Gedanke gar nicht so abwegig, aus verschiedenen Gründen: Zum einen weil die Protokolle beim Versand und beim Empfang in den letzten Jahrzehnten kaum oder gar nicht geändert wurden und zum anderen, weil es seit der Erfindung des Fax nur einen sehr ungenauen Industriestandard für diese Protokolle gibt, der dazu geführt hat, das er in vielen Geräten nur unzureichend eingehalten wurde. Als dritter Faktor kommt hinzu, dass Faxe nie verschlüsselt übertragen werden. Wer also die Telefonleitung anzapfen kann, kann auch alle per Fax geschickten und empfangenen Daten abfangen. 

Den Sicherheitsforschern gelang es außerdem, mit einem manipulierten Fax einen Stack Overflow zu provozieren. Dabei wird das System des angegriffenen Geräts überlastet und schließlich zum Absturz gebracht. Das wiederum können Angreifer ausnutzen, um sich Rechte zu sichern und weiter ins System vorzudringen. Im Test dauerte es weniger als eine Minute, ein Fax mit entsprechendem Schadcode zu versenden. Das Problem: Faxnummern fast aller Unternehmen lassen sich mit wenigen Klicks im Impressum finden – und weitere Schutzmaßnahmen wie ein Spamfilter oder ein Virenschutzprogramm gibt es für den Faxempfang nicht. 

Die Angriffe funktionierten bei allen Officejet-Druckern von HP. Der Hersteller hat nach der Warnung durch die Sicherheitsforscher mittlerweile ein Update herausgegeben, das den Stack Overflow unterbindet. Viele, gerade neuere, Geräte sollten dieses auch automatisch herunterladen und aufspielen. Wirklichen Schutz vor Angriffen über manipulierte Faxe bietet allerdings nur ein eigenständiges Faxgerät, das über keine Internetanbindung und auch keine Anbindung zum internen Netz verfügt.  

In den vergangenen Jahren ist es üblich geworden, sein Geld in die eigenen Hände zu nehmen und sich vom heimischen Computer aus um seine Bank- und Versicherungsgeschäfte zu kümmern. Wer dabei nicht nur hin und wieder mit Aktien, CFDs oder anderen Finanzprodukten handeln will, gelangt bei der eigenen Hausbank und deren Online-Banking-Plattform oft schnell an seine Grenzen. Für diese Trader gibt es spezielle Online-Broker, die ihren Kunden in den meisten Fällen deutlich umfangreichere Handelsplattformen zur Verfügung stellen. Hier gibt es Analysetools, Charts und oft die Möglichkeit, Strategien in Form von automatisierten Handelssystemen zu hinterlegen. 

Wir sehen: Durchaus sensible Informationen werden bei der Kommunikation mit diesen Handelsplattformen hin und her geschickt. Daher sollte der Sicherheit der Software mindestens genauso viel Aufmerksamkeit gewidmet werden wie der Usability und dem Funktionsumfang. Ob das auch tatsächlich der Fall ist, hat der Sicherheitsforscher Alejandro Hernándes von IOActive bei den 40 bekanntesten Plattformen untersucht. Sein Test umfasste dabei Mobile-, Desktop- und Webanwendungen der Broker. Sein Ergebnis: Die Cybersecurity der getesteten Systeme lässt sehr zu wünschen übrig. 

Mehr als die Hälfte der getesteten Plattformen übertrug zumindest einen Teil der Daten unverschlüsselt, was einen Man-in-the-Middle-Angriff ermöglichen kann. Ein Teil der Programme speicherte unverschlüsselte Passwörter lokal auf dem Rechner, wodurch sie mittels direktem Zugriff, beispielsweise über eine Fernwartungssoftware, ausgelesen werden könnten. Wieder andere übertrugen die Passwörter im Klartext. In zwei Fällen beendete die Software eine Sitzung auf Serverseite erst Stunden nach dem Log-out des Nutzers. Wäre in dieser Zeit das Session-Cookie in die falschen Hände gefallen, hätte ein Angreifer vollen Zugriff auf das Trading-Konto erhalten, Gelder auf die eigenen Konten überweisen oder das Trading-Konto sogar schließen können.

Ein weiterer Kritikpunkt des Sicherheitsforschers ist, dass eine Zwei-Faktor-Authentifizierung zwar von den Systemen angeboten wird, aber nicht zu den Standardeinstellungen zählt. Zu guter Letzt sieht Hernández auch in einer durchaus beliebten Funktion vieler Trading-Plattformen ein Problem: Der Erstellung und Verbreitung von vorprogrammierten Handelsstrategien als Plug-ins für die Plattform. Diese können beispielsweise von erfolgreichen Tradern erstellt und an Follower vergeben werden. Dieses sogenannte Social Trading hat in den vergangenen Jahren an Beliebtheit gewonnen, birgt aber auch Gefahren. Laut Hernández könnte sich in den Plug-ins zusätzlicher Schadcode verstecken. Besonders der Einsatz einfacher Programmiersprachen wie C++ oder Pascal macht es Kriminellen einfach, sich auf diese Weise eine Hintertür zu öffnen. 

Alejandro Hernández hat in dieser Woche seine Ergebnisse im Detail auf der Konferenz Black Hat USA in Las Vegas vorgestellt und nun auch erstmals die meisten der untersuchten Broker beim Namen genannt. Eine verkürzte Version seines Berichts war bereits im Herbst erschienen, allerdings wollte der Sicherheitsforscher den Anbietern der Handelsplattformen die Chance geben, die Sicherheitslücken vor der Veröffentlichung zu schließen. 

Webseiten-Betreiber, die noch eine http-Seite unterhalten, dürften sich in diesen Tagen darüber wundern, dass plötzlich deutlich weniger Besucher den Weg zu ihnen finden. Ein Grund könnte die finale Phase von Googles ambitioniertem Plan sein, das Internet sicherer zu machen. Seit dem 24. Juli 2018 werden Nutzer, die eine Seite ohne SSL-Zertifikat besuchen wollen, von Googles Browser Chrome nicht mehr direkt zur Seite geleitet, sondern erhalten eine Warnung, dass sie eine unsichere Webseite aufrufen wollen. Von dieser Meldung dürfte sich ein nicht geringer Anteil der potenziellen Besucher abschrecken lassen, was zu deutlich geringerem Traffic auf der betroffenen Seite führt. 

Google hat diesen Schritt bereits im Januar 2017 angekündigt. Seit der damals veröffentlichten Version 56 von Chrome erschien eine kleine „Nicht sicher“-Warnung in der Adressleiste des Browsers, wenn eine http-Webseite aufgerufen wurde. Rund zehn Monate später folgte Phase zwei mit der Veröffentlichung von Version 62. Seither wurden alle Seiten, die über Eingabefelder verfügten und diese Daten über eine http-Verbindung verschickten, auf die Sicherheitswarnung umgeleitet. Jetzt folgte der letzte Schritt, nach dem alle Seiten ohne SSL-Zertifikat nicht mehr ohne Weiteres aufgerufen werden können. 

Mittlerweile haben laut einer Studie von Google rund 75 Prozent der Webseiten im Internet ein SSL-Zertifikat, leicht zu erkennen am „https“ in der Adresszeile. Das Ziel von Googles Kampagne ist es, diese Zahl auf 100 Prozent zu steigern – notfalls auch durch Zwang, denn ohne SSL-Zertifikat droht den Seiten bereits seit einiger Zeit eine Abwertung bei der Google-Suche und seit dieser Woche eben auch die Sicherheitswarnung in Chrome. 

Grundsätzlich ist Googles Anliegen durchaus zu begrüßen, denn das http-Protokoll ist schlicht und ergreifend nicht sicher, ganz besonders, wenn sensible persönliche Daten übertragen werden. Es erleichtert außerdem Man-in-the-middle-Angriffe, um Kennwörter, Session-Cookies oder Kreditkarteninformationen zu erbeuten. Mit einer https-Verbindung hingegen werden die Daten verschlüsselt übertragen, ein Abgreifen des Datenstroms ist daher nicht mehr so einfach möglich. Trotzdem fürchten vor allem Betreiber kleinerer Webseiten Kosten und den Aufwand einer Migration auf eine sichere https-Verbindung. Ihnen sei jedoch gesagt: https ist kostenlos! Über Seiten wie CloudFlare oder Let’s Encrypt kann man kostenlose SSL-Zertifikate erhalten. Und auch der Umzug der Seite ist nicht allzu kompliziert. Eine detaillierte Anleitung hat beispielsweise Google in einem Video im Zuge der Kampagne zur Verfügung gestellt. 

Wer sich also bislang noch nicht durchringen konnte, den Schritt zu https zu wagen, sollte das schnellstmöglich nachholen – nicht nur zum Schutz der Nutzer, sondern auch im eigenen Interesse. Denn welcher Kunde möchte schon auf einer unsicheren Webseite seine Daten hinterlassen?

Hören Apps wie Facebook oder Amazon uns stets zu? Nehmen sie unsere privaten Gespräche auf und werten diese aus, um uns optimal zugeschnittene Werbung zu zeigen? Diese Fragen stellen sich in Zeiten von smarten Sprachassistenten immer mehr Menschen. Ein Team von Computerwissenschaftlern der Northeastern University wollte genau wissen, was an den immer wieder aufflackernden Gerüchten über lauschende Apps dran ist und hat ein Experiment gestartet. Über ein Jahr lang haben sie mit zehn Android-Telefonen 17.260 populäre Apps getestet, um festzustellen, ob Sprachaufnahmen erstellt und verschickt werden. Über 9.000 dieser Apps könnten das zumindest in der Theorie, denn sie haben sich bei der Installation das Recht einräumen lassen, auf das Mikrofon und/oder die Kamera zuzugreifen. 

Um herauszufinden, ob Aufnahmen an die Herausgeber der Apps gelangen wurde der Datenverkehr der Versuchshandys über ein Jahr lang streng überwacht und ausgewertet. Besonders gesendete Dateien mit Media-Inhalt standen dabei im Vordergrund der Untersuchungen. Die gute Nachricht: In keinem Fall konnten die Wissenschaftler ein Soundfile finden, das die Smartphones heimlich aufgezeichnet oder verschickt hatten. Die Wissenschaftler wollen nicht vollständig ausschließen, dass es in einigen Fällen doch geschieht. Dennoch ist nach dem Test davon auszugehen, dass die Praxis des lauschenden Smartphones nicht allzu weit verbreitet ist, wenn sie denn überhaupt vorkommt.

Die schlechte Nachricht: Die Forscher haben Screenshots und Videomitschnitte des Bildschirms entdeckt, die an Drittanbieter gesendet wurden. Ein Beispiel: Die App eines Fast-Food-Lieferdienstes zeichnete auch Eingaben von persönlichen Daten auf und gab diese dann an eine Domain von Appsee weiter. Dabei handelt es sich um eine Marktforschungsfirma, die auf mobile Anwendungen spezialisiert ist und auf ihrer Homepage unumwunden zugibt, dass sie in der Lage sei, die Aktivitäten der Nutzer in Apps aufzuzeichnen und auszuwerten. Das Unternehmen betont allerdings, dass Apps, die diese Technik einsetzten, ihre Kunden darauf hinweisen müssten, dass Daten erhoben und an Dritte weitergereicht würden. Im Fall des Fast-Food-Lieferanten war das nicht der Fall, bis die Wissenschaftler auf diesen Umstand hinwiesen. Darüber hinaus sind die App-Entwickler laut Appsee dazu angehalten, bestimmte Bereiche in ihren Apps zu blacklisten, etwa Eingabemasken für persönliche Daten. Dann würden diese nämlich von der Überwachung durch die Appsee-Software ausgenommen. 

Damit hatten die Entwickler übrigens nicht nur Appsees Geschäftsbedingungen verletzt, sondern auch die von Google Play. Auch hier ist klar nachzulesen, dass Kunden darüber informiert werden müssen, wie Daten erhoben und gesammelt werden. Den Nutzern hilft das freilich wenig, denn sie haben kaum eine Möglichkeit, en Detail zu überprüfen, welche Daten eine App an welche Empfänger weiterleitet. Eine Funktion, bei der das Android-Gerät selbst seinen Besitzer warnt, wenn solch ein Verhalten einer App auftritt, oder die Möglichkeit besitzt, Aufnahmen des Displays zu unterbinden, existiert (noch) nicht. Besonders bedenklich ist das, wenn man an kompromittierte Apps denkt, die persönliche Daten wie Kennwörter aufzeichnen und an Kriminelle schicken könnten.  Daher sollte man vorsichtig sein, welche Rechte Apps einräumt werden und bei der Installation nur die Berechtigungen gewähren, die die App tatsächlich zum Betrieb benötigt. 

Die Hotelsoftware FastBooking wurde offenbar gehackt. Das Programm wird laut Unternehmensangaben von rund 4.000 Hotels in 100 Ländern für die Verwaltung ihrer Buchungen verwendet. Mit über 1,2 Millionen Transaktionen pro Jahr, die über die Server von FastBooking laufen, bietet das Unternehmen einen reichhaltigen Datenbestand, der von persönlichen Informationen der Hotelgäste wie Kontaktdaten und Reiserouten bis hin zu Zahlungsinformationen reicht. Diesen Datenschatz haben sich nun scheinbar Kriminelle angeeignet, wie das Portal Bleeping Computer diese Woche berichtete.

Der Angriff erfolgte dem Bericht zufolge Mitte Juni in zwei Wellen. Während bei der ersten Attacke Namen und Kontaktinformationen das favorisierte Diebesgut der Hacker waren, wurden bei der zweiten Welle auch Kreditkartendaten abgegriffen. Möglich war der Beutezug wegen einer Schwachstelle in einer Anwendung, die auf dem Server des Unternehmens gehostet wurde. Darüber hatten die Angreifer einen Remote-Access-Trojaner eingeschleust und anschließend die Daten exportiert.

Aktuell steht besonders der Umgang des Unternehmens mit dem Sicherheitsvorfall in der Kritik. Lediglich die betroffenen Hotels wurden informiert, nicht jedoch die Hotelgäste, deren Daten gestohlen wurden, geschweige denn die Öffentlichkeit. Weder auf der Webseite noch in den Social-Media-Kanälen ist von einem Hackerangriff zu lesen. Auf Anfrage von heise Security wurde lediglich erklärt, dass man die Schwachstelle beseitigt hätte und mit IT-Security-Experten zusammenarbeite. Darüber, ob man die betroffenen Hotelgäste informieren wolle, schweigt sich das Unternehmen aus. Offenbar will FastBooking die Verantwortung für die Informationsweiterleitung an seine Kunden delegieren. Den Hotels hat das Unternehmen scheinbar eine E-Mail-Vorlage zur Verfügung gestellt, die diese an die Gäste schicken können – oder auch nicht, das liegt in deren eigenem Ermessen. In der E-Mail wird der Vorfall benannt und besonders vor möglichen Phishing-Mails gewarnt, denn mit den erbeuteten Daten könnten die Kriminellen versuchen, weitere vertrauliche Informationen abzufragen.

Die japanische Hotelkette Prince hat das Template genutzt und mehr als 125.000 ihrer Gäste über den Vorfall informiert. Das gibt einen ungefähren Eindruck vom Ausmaß des Angriffs, denn diese Zahl verteilt sich auf nur rund 80 Häuser der Kette. Bedenkt man, dass FastBooking nach eigenen Angaben in 4.000 Hotels verwendet wird, dürften wohl deutlich mehr Hotelgäste betroffen sein. 

Ein vermutlich von einer Hackergruppe aus Russland stammendes Computervirus hat das deutsche Regierungsnetzwerk infiltriert. Das ist bereits seit langem bekannt. Nun haben die zuständigen Ermittler auch das mutmaßliche Einfallstor des Schädlings entdeckt und öffentlich gemacht. Offenbar haben die Mitglieder einer Gruppierung namens Uroburos, die auch unter dem Namen Snake bekannt ist, eine Abwandlung des Social Engineering eingesetzt, um ihren gleichnamigen Virus einzuschleusen. Der Fall zeigt einmal mehr, dass diese Vorgehensweise auch in vermeintlich bestens geschützten und überwachten Netzwerken eine echte Bedrohung darstellt.

Um den Weg der Schadsoftware ins Regierungsnetz nachzuverfolgen, haben die Ermittler das Virus monatelang genau beobachtet und seine Arbeitsweise analysiert. So stießen sie schließlich auf den Patient Zero, also den Rechner, auf dem es erstmals im Netzwerk auftauchte. Dieser gehörte zu einem Mitarbeiter des Auswärtigen Amtes, der vor einiger Zeit an einer Schulung der Hochschule des Bundes für öffentliche Verwaltung oder der Bundesakademie für öffentliche Verwaltung teilgenommen hatte. Beide Bildungseinrichtungen gelten als Schwachstellen des Regierungsnetzes, denn sie bieten ihren Studenten einen Fernzugang zum Intranet. Und nicht nur ihm wurde das Virus über eine Sicherheitslücke in diesem Fernzugang untergejubelt, sondern auch 17 weiteren Teilnehmern. Bei diesen jedoch wurde Uroburos nicht aktiviert. 

An dieser Stelle stand nämlich eine Herausforderung für die Hacker: Das Regierungsnetz wird streng überwacht. Ein normales Virus, das nach der Infektion selbst aktiv wird und Kontakt zu seinen Programmierern aufnimmt, um sich Anweisungen zu holen, wäre deutlich schneller aufgefallen. Deswegen wartete es still und leise auf dem infizierten Rechner auf eine Kontaktaufnahme durch die Hacker. Dafür scannte es lediglich alle eingehenden E-Mails in Outlook auf den Absender. Hier kommt nämlich eine Besonderheit in diesem Fall ins Spiel: Die Hacker wussten offenbar ganz genau, wessen Rechner sie da infiziert hatten und spähten diesen Mitarbeiter ganz gezielt aus. So erfuhren sie auch den Namen seiner Lebensgefährtin – und gaben dem Virus einfach die Aufgabe, nach E-Mails mit diesem Namen im Absender Ausschau zu halten. Für die Aktivierung brauchten sie dann nur noch eine kurze Mail, um Kommandos von einer entsprechend eingerichteten E-Mail-Adresse zu schicken, und der Schädling wachte auf. Seine erste Amtshandlung war es dann, die Kommando-Mail zu löschen. So war sie nur kurz zu sehen und fiel dank des Namens der Lebensgefährtin als Absender auch niemandem in der Überwachung des Netzwerkes auf. 

Diese raffinierte Methode birgt noch ein anderes Risiko für das Regierungsnetzwerk: Solange das Virus schlummert und nicht aktiv wird, lässt sich nicht ausschließen, dass noch weitere der rund 60.000 Computer im Netzwerk infiziert sind. In Punkto Sicherheit ist das natürlich eine tickende Zeitbombe, die sich nur entschärfen lässt, indem noch strengere Maßnahmen ergriffen werden, um eine Aktivierung zu verhindern. Private Mails der Lebensgefährtin auf dem Arbeitsrechner sollten dann auf jeden Fall der Vergangenheit angehören, ebenso wie jegliche andere private Korrespondenz.

Die Wörter „Cambridge“ und „Facebook“ scheinen einfach nicht zusammenzupassen. Erneut wird der Social-Media-Riese von einem Datenskandal erschüttert, allerdings ist diesmal nicht das Unternehmen Cambridge Analytica, sondern die renommierte Universität Cambridge daran beteiligt. Das Wissenschaftsmagazin New Science, welches das neue Datenleck öffentlich gemacht hat, berichtet von rund drei Millionen betroffenen Nutzern, von denen teils hochgradig sensible Informationen etwa vier Jahre mehr oder weniger öffentlich zugänglich im Netz verfügbar waren. Wie bereits im Fall von Cambridge Analytica, wurden diese Daten über eine App mit einem Persönlichkeitstest, diesmal mit dem Namen myPersonality, gesammelt. Im aktuellen Fall wurden die Daten jedoch nicht bewusst weitergegeben, sondern waren durch schlampige Sicherheitsvorkehrungen nur unzureichend vor unbefugtem Zugriff geschützt worden. 

Hintergrund des neuen Skandals ist ein Forschungsprojekt von Wissenschaftlern der Fachrichtung Psychologie der Cambridge University, einer eigentlich renommierten und hochangesehenen Universität. Um Daten zu den Themen Gewissenhaftigkeit, Hilfsbereitschaft und Verletzlichkeit zu sammeln, hatten die Forscher besagte App entwickelt und im Netz zur Verfügung gestellt. Rund sechs Millionen Nutzer füllten im Laufe der Zeit den virtuellen Fragebogen aus und gaben den Forschern einen sehr persönlichen Einblick in ihr Seelenleben. Etwa die Hälfte dieser Nutzer stimmte zu, dass myPersonality auch auf die Daten ihres Facebook-Profils zugreifen darf. Die Psychologen in Cambridge wiederum speicherten die Antworten, zusammen mit den personenbezogenen Daten aus dem Profil, in einer Datenbank, die auf einer Internetseite der Universität hinterlegt war. Hier wurden die Datensätze anonymisiert veröffentlicht, um auch anderen Forschungsprojekten die Nutzung zu erleichtern. Über eine Registrierung erhielten so rund 280 Personen von verschiedenen Institutionen und Unternehmen Zugriff auf die Datenbank. 

Dabei kam es jedoch offensichtlich zu einem Problem, denn laut New Science war es überhaupt kein Problem, die Namen der Nutzer wieder kenntlich zu machen. Zwar mussten die registrierten Nutzer bei der Anmeldung versichern, dass sie die Daten nicht entanonymisieren würden, allerdings kann man sich denken, wie viel solch ein Häkchen in einem Zustimmungsfeld im Internet manchmal wert ist. Zudem wurde ein weiterer Fehler gemacht, denn ein funktionierender Zugangscode mit Nutzername und Passwort stand ungeschützt auf der Seite GitHub im Netz. Das konnte passieren, weil ein wohl etwas naiver Professor seinen Studenten den eigenen Zugangscode weitergab. Und die handhabten ihn offensichtlich nicht so vertraulich, wie er es erwartet hatte. Eine einfache Suche im Web reichte daher aus, um sich sämtliche verfügbaren Daten in der Datenbank zu verschaffen. Das heißt konkret: Wer wollte, konnte auf die Daten von 3,1 Millionen Facebook-Nutzern zugreifen, sich durch 22 Millionen Statusupdates von 150.000 Nutzern klicken und Geschlecht, Alter und den Beziehungsstatus von weiteren 4,5 Millionen Nutzern erfahren.

Der neue Datenskandal kommt für Facebook zur Unzeit, denn gerade erst war der internationale Aufschrei nach dem Datenskandal um Cambridge Analytica etwas verhallt. Nun muss sich Mark Zuckerberg nach dem US-Parlament auch dem Europaparlament stellen. 

Sicherheitsforscher haben im Netz ein Lehrstück entdeckt, wie man es besser nicht macht. Statt Best Practice in Punkto IT-Sicherheit hat die Betreibergesellschaft einer Seilbahn in der Nähe von Innsbruck nämlich ein wahres Worst-Practice-Beispiel abgeliefert. Und dabei war die hochmoderne Gondelbahn gerade erst Ende 2017 eröffnet worden. Pro Stunde soll sie 2.000 Besucher zum Gipfel transportieren. Offensichtlich wurde allerdings die neue Fernwartungsanlage nicht auf Herz und Nieren überprüft. Bei einem routinemäßigen Scan des Internets nach verwundbaren Anlagen, ist den beiden White-Hat-Hackern Sebastian Neef und Tim Philipp Schäfers vom Projekt Internetwache.org die Patscherkofeler Bahn aufgefallen.

Nicht nur war die Steuerungsanlage der neuen Gondelbahn auf den Patscherkofel ohne Sicherheitsmaßnahmen im Netz zu finden, wodurch ein Hacker sie wohl ohne Weiteres hätte übernehmen können, sondern auch die Steuerkommandos wurden unverschlüsselt gesendet. Die Innsbrucker Kommunalbetriebe als Betreiber sollen auf eine alte Steuer-Software namens Connect des Gondelbauers Doppelmayr vertraut haben. Der Geschäftsführer der Patscherkofelbahn, Martin Baltes, bestätigte, dass man „kurzfristig die Daten einsehen konnte“. Dies sei aber nicht eine Sache des Betreibers, sondern der Herstellerfirma, also der Firma Doppelmayr. Kurz nach Bekanntwerden der Sicherheitslücke versuchte sich das Unternehmen noch in Schadensbegrenzung. Ein Sprecher von Doppelmayr äußerte sich gegenüber golem.de wie folgt: "Es hat nie in Sicherheitsproblem gegeben, die Steuerung der Bahn war auf diesem Weg nicht möglich."

Die beiden Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers, die das Sicherheitsleck entdeckten, sehen das allerdings völlig anders. Der Zugang zu Bedienelementen wie Fahrtrichtung oder Sicherheitsabstand stand ihnen anscheinend offen. Auch die Steuerung der Notbremse sei einsehbar gewesen. Ausprobiert haben das die zwei Computerexperten allerdings nicht, da die Gondelbahn zum Zeitpunkt der Entdeckung der Sicherheitslücke in Betrieb war. Die beiden Hacker teilten den Fund der Sicherheitslücke gleich am 16. März 2018 dem zuständigen CERT mit. Das eigentliche Problem war aber, dass die Steuerkommandos völlig unverschlüsselt, also ohne den Einsatz von TSL gesendet wurden. Offensichtlich war eine Authentifizierung in dem System nicht vorgesehen, außerdem ist die Webapplikation anscheinend für Cross-Site-Scripting (XSS) anfällig. Die Schwachstelle ist wohl schon länger bekannt. Bereits 2016 hatten Neef und Schäfer den Systemintegrator Certec über die Schwachstelle informiert. Geschehen ist aber offensichtlich nichts. Laut Neef und Schäfer kommt es nicht selten vor, dass Betreiber von unzureichend konfigurierten IoT-Geräten versuchen, die Bedeutung von Sicherheitslücken herunterzuspielen. Oftmals wird scheinbar ein Schaden billigend in Kauf genommen. 

Einen Tag nach der Entdeckung soll die Lücke von den Verantwortlichen geschlossen worden sein. Bevor die Anlage im Sommer wieder in Betrieb geht, wollen die Innsbrucker Kommunalbetriebe ein Sicherheitskonzept vorlegen.

Manchmal braucht es weder Hackerangriff noch Schad-Software, um die IT-Systeme eines Unternehmens lahmzulegen. Immer wieder gibt es Fälle, in denen die Verantwortlichen das ganz alleine schaffen – ohne „Hilfe“ von außen. Die Gründe sind vielfältig: Mal wird schlampig gearbeitet, mal wird an der falschen Stelle gespart, mal spielen die Geräte verrückt. Und manchmal sind die Ziele einfach zu ambitioniert, die Deadlines zu knapp bemessen und der Wille des Managements wird über das gestellt, was die technischen Gegebenheiten und Möglichkeiten hergeben. Welche Auswirkungen das haben kann, muss derzeit die britische Bank TSB erleben. Seit Anfang vergangener Woche haben die mehr als 1,9 Millionen Kunden der Bank keinen Zugriff mehr auf ihre Konten. Unternehmen konnten den Berichten zufolge die Gehälter ihrer Angestellten nicht zahlen, andere Kunden waren im Urlaub ohne funktionierende Kreditkarte und ohne Bargeld gestrandet. Schuld an der Misere war der misslungene Versuch, die Daten der TSB-Kunden in ein neues Computersystem zu überspielen. Zwar feierten sich die Verantwortlichen in den sozialen Medien für den Erfolg, allerdings häuften sich nur wenige Stunden danach die Probleme. Schließlich mussten die Zuständigen nach zwei Tagen eingestehen, dass es noch dauern könnte, bis die Bank wieder voll einsatzfähig ist. Mittlerweile haben zwar viele Kunden wieder Zugriff auf ihre Konten, doch was sie da vorfanden, dürfte für die eine oder andere Überraschung gesorgt haben. Einige Hypotheken-Konten waren ganz verschwunden, auf manchen Konten befand sich deutlich mehr Geld als gedacht. Andere landeten auf völlig fremden Konten, von denen sogar Abbuchungen möglich gewesen wären. Kurz: Eine Katastrophe. Doch was genau war passiert? 

Die TSB-Bank war vor 2013 aus der Lloyds Banking Group (LBG) ausgegliedert worden. Trotzdem stellte LBG der TSB weiterhin die IT-Infrastruktur, eine gespiegelte Version ihrer eigenen Software, zur Verfügung und berechnete dafür jährlich 100 Millionen Pfund. Dieses Geld wollte der neue Eigentümer, die spanische Sabadell-Bank, sparen und die Daten auf sein eigenes System Proteo migrieren. Das war speziell für derartige Zusammenschlüsse entwickelt worden. Doch hier lauerte bereits Problem Nummer eins: die Software, die die TSB-Bank nutzte, war ein wild zusammengeschustertes System, das durch die Verschmelzung mehrerer Banken im Laufe der Zeit gewachsen war. Ein Insider bezeichnete es gegenüber der britischen Zeitung Guardian als absolut unpassend für die Bedürfnisse von TSB. Und dieses System sollte nun aufgelöst und die Daten in das Proteo-System überführt werden. 

Ein besonders ambitionierter Zeitplan wurde erarbeitet und ein sehr knappes Budget zur Verfügung gestellt. Bereits an diesem Punkt warnten Experten davor, dass diese Vorgaben zu einem Desaster führen könnten. Doch diese Bedenken wischte man beiseite, da man ja bereits Erfahrung mit der Integration von kleineren spanischen Banken in Proteo hatte. Und so nahm das Unglück seinen Lauf. Nach Angaben des Insiders zeichnete sich bereits im März 2017 ab, dass es bei dem Projekt zu größeren Problemen kommen würde. Außerdem bekam das Team von Sabadell nicht die volle Kontrolle über das TSB-System, da das von LBG zur Verfügung gestellt wurde. Und so konnten sie das System auch nicht vollständig durchleuchten. Es herrschten also denkbar schlechte Voraussetzungen für einen erfolgreichen Projektabschluss. Trotzdem hielt man am Projekt fest und erweiterte den Zeitrahmen nur um wenige Monate, da jede Verzögerung massiv Geld kosten würde (man bedenke die 100 Millionen Pfund, die an LBG zu zahlen sind). Die Quittung für dieses Vorgehen erhalten jetzt sowohl Sabadell als auch TSB: Die britischen Aufsichtsbehörden haben Ermittlungen eingeleitet. Und die Vertrauens- und Reputationsverluste dürften der Bank noch eine ganze Weile schaden. 

Beim Thema IT-Sicherheit denken die meisten als erstes an Trojaner, Hackerangriffe oder Ransomware. Doch auch von ganz anderer Seite drohen Gefahren für die Datensicherheit: Staub, Feuer, Feuchtigkeit oder sogar Lärm können ebenfalls immense Schäden anrichten, wie ein Fall in Schweden kürzlich gezeigt hat. 

Dort hatte ein Feueralarm im Rechenzentrum Digiplex dazu geführt, dass Löschgas versprüht wurde. In den meisten Rechenzentren gibt es hochsensible Sensoren, die die kleinsten Veränderungen in der Temperatur, der Luftfeuchtigkeit oder der Luftzusammensetzung, etwa durch Löschgas, registrieren und entsprechend reagieren. Das ist an sich auch eine gute Sache, denn so wird vermieden, dass Wasser oder Schaum die empfindlichen Server zerstören. In Schweden kam es trotzdem zu umfangreichen Schäden an den Geräten, denn beim Versprühen des Gases entstand offenbar ein derart lauter Ton, dass die Schallwellen die Festplatten beschädigten. Zu den betroffenen Unternehmen, deren Systeme durch die defekten Server beeinträchtigt waren, zählten neben einigen Banken auch die amerikanische Börse Nasdaq. In der Folge war der Handel an diesem Tag zwischen 08:00 und 14:00 Uhr stark eingeschränkt. Trotzdem scheint die Börse einiges richtig gemacht zu haben, denn die Folgen hätten noch wesentlich gravierender ausfallen können. Sie konnte auf Back-up-Systeme bei anderen Rechenzentren zurückgreifen und nach deren Aktivierung wieder relativ normal arbeiten.

Während sich in den meisten Unternehmen mittlerweile zumindest ein Problembewusstsein für die Absicherung der IT-Infrastruktur vor Angriffen etabliert hat, fristen gerade in kleineren Firmen die Server immer noch ein Dasein in tristen Kellerräumen oder Abstellkammern ohne besondere Sicherheitsvorkehrungen. Zwar gibt es in neueren Bürogebäuden oft einen Serverraum, in dem zumindest eine Klimaanlage vor Temperaturschwankungen schützt, doch weitere Systeme und Sensoren, abgesehen vom obligatorischen Feuermelder, sind häufig nicht vorhanden. Auch eine nachvollziehbare und restriktive Zugangskontrolle findet in vielen Fällen nicht statt. Schon ein Türschloss und Videoüberwachung sind ein wichtiger Schritt in Richtung Sicherheit.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem Leitfaden ein Kapitel zum Schutz vor Katastrophen und Elementarschäden aufgenommen – und das nicht ohne Grund! Darin empfiehlt das Amt einen detaillierten und allgemein im Unternehmen bekannten Notfallplan für den Schadensfall, der neben allen relevanten Telefonnummern auch konkrete Zuständigkeiten und Abläufe enthalten sollte. Darüber hinaus sollte regelmäßig ein Back-up aller im Unternehmen vorhandenen Geräte erstellt werden, inklusive Handys, Laptops und sonstigen Speichermedien. Die Back-up-Festplatten sollten räumlich getrennt und ohne eine ständige Verbindung zu den Hauptsystemen aufbewahrt werden, um auch bei Bränden, Überflutung oder einer Kompromittierung der Systeme mit Schadsoftware funktionsfähig zu bleiben. Um solche Schäden von vornherein zu vermeiden, sollte der Serverraum zumindest mit einigen technischen Extras, wie einer unabhängigen Stromversorgung mit Überspannungsschutz, ausgestattet sein. 

Dass durch das unbedachte Klicken auf Links oder Dateien in E-Mails und im Internet Gefahr droht, hat sich mittlerweile bei den meisten Internetnutzern herumgesprochen. Wer also ein E-Mail mit dem Inhalt „Schau dir mal dieses witzige Video an: "http://www.schaedlinghierherunterladen.de/exe“ bekommt, wird im Normalfall nicht darauf hereinfallen. Zum einen ist der Link unbekannt, zum anderen fehlt vorne ein https, das auf eine verschlüsselte Datenübertragung hindeuten würde und zu guter Letzt weist das .exe nach der URL auf eine ausführbare Datei hin. Internetnutzer haben angesichts der vielen Meldungen über Schadsoftware in den letzten Jahren durchaus dazugelernt und sind dadurch immer schwerer von Hackern hinters Licht zu führen.

Doch auch die Kriminellen schlafen nicht und haben sich einen neuen Trick ausgedacht, wie Sicherheitsforscher von Barracuda Networks herausfanden. Mit ihrer neuen Masche wird kein normaler http-Link auf eine Webseite verschickt, sondern ein Link mit einer Datei. Die hat eine unbekannte Endung und beginnt mit file://. Auf den ersten Blick ist das für den unbedarften Empfänger – und auch für die meisten Antivirenprogramme – nicht als externer Link erkennbar, denn file:// wird nicht mit einem Browser, sondern mit Samba verknüpft. Es handelt dabei um ein Netzwerkprotokoll, das den Dateitransfer zwischen Windows-Rechnern und UNIX-Systemen erlaubt. Klickt man auf den Link, führt das Systemprogramm Windows Script Host die im Link enthaltene Datei aus, ohne dass zusätzlich ein Browserfenster geöffnet wird. Anschließend lädt diese Datei den bereits bekannten Trojaner Quant Loader herunter und kümmert sich um dessen Installation. Quant Loader wiederum kann dann weitere Schadsoftware auf den Computer schmuggeln und so gewaltige Schäden anrichten. Schon die Ransomware Locky wurde mittels Quant Loader verbreitet.

Um sich vor solchen Bedrohungen zu schützen, ist es umso wichtiger, mit den Kriminellen Schritt zu halten. Im Klartext heißt das: Aufklärung über Cyberrisiken sollte keine einmalige Sache sein, sondern kontinuierlich gefördert und gefordert werden. Gerade dann, wenn neue Verbreitungswege bekannt werden, empfiehlt es sich, diese Informationen weiterzugeben. Unternehmen sollten zusätzlich die technische Absicherung auf dem neuesten Stand halten. Nur so kann man kriminellen Hackern das Leben so schwer wie möglich machen und ihre Erfolgsquote weiter senken.

Kryptowährungen sind derzeit in aller Munde. Doch während sich das sogenannte Schürfen, also das Erzeugen von neuem Geld mittels Rechenleistung, beim Platzhirsch Bitcoin auf normalen Computern kaum noch lohnt, existieren mittlerweile andere digitale Währungen, bei denen weit weniger Power vonnöten ist. So wie beispielsweise Monero, das bereits von einem handelsüblichen Smartphone erzeugt werden kann. Was für Menschen, die sich bewusst auf das Abenteuer Kryptowährungen einlassen, durchaus von Vorteil ist, machen sich aber auch Kriminelle zunutze. Experten sprechen in diesen Fällen von Kryptojacking. Kürzlich entdeckten Sicherheitsforscher des amerikanischen Unternehmens Crowdstrike eine neue Schad-Software, die sie „WannaMine“ tauften. Sie befällt fremde Computer und zweigt dort Rechenleistung ab, um Monero zu erzeugen. Dabei ist WannaMine bei Weitem nicht der erste Schädling, der auf diese Art arbeitet. Insbesondere Smartphones sind im Visier der kriminellen Goldgräber, denn sie sind tendenziell schlechter geschützt als Heimcomputer und werden seltener abgeschaltet. Gleiches gilt auch für Firmennetzwerke, die ebenfalls ein beliebtes Ziel sind.Der Verbreitungsweg ist dabei relativ einfach: Mining-Programme können über Apps auf das Smartphone gelangen, mittels gefälschter Werbebanner auf Webseiten eingeschmuggelt werden, die dann den Code nachladen oder über infizierte Webseiten verbreitet werden. Die dabei verwendeten Funktionen werden übrigens auch von legitimen Webseiten genutzt, beispielsweise vom amerikanischen Newsportal Salon, das Besuchern die Wahl lässt ob Monero geschürft oder Bannerwerbung eingeblendet werden soll. Ist das Mining-Programm erst einmal gestartet, macht es sich gierig über die Rechenleistung her. Besonders bei Computern mit weniger leistungsfähigen Chips und bei Smartphones kann das zu einem deutlichen Leistungsabfall führen. Bei mobilen Geräten kommt hinzu, dass der Akku geradezu leer gesaugt wird und heiß läuft, was durchaus zu Schäden führen kann. Mobilfunknutzer gelangen so zudem recht schnell an die Grenzen ihres inklusiven Datenvolumens. Auch bei Unternehmensnetzwerken könnten die restlichen Kapazitäten der Server nicht mehr reichen, um die regulären Operationen korrekt auszuführen. Der vor Kurzem entdeckte Schädling WannaMine hat es z. B. ganz speziell auf solche Netzwerke abgesehen, die er dann regelrecht versklavt und ausnutzt, bis unter Umständen die IT-Infrastruktur zusammenbricht. Damit stellen die Kryptominer eine ganz reale Gefahr für die Unternehmenssicherheit dar. 

Die Microsoft Malware Protection Engine (MMPE) ist eigentlich eine gute Idee. Sie soll Windows-Rechnern einen Basisschutz vor dem Eindringen von Schadsoftware bieten, auch ohne den Einsatz eines zusätzlichen Antivirenprogramms. Doch leider hat sich auch hier in der Programmierung ein Fehler eingeschlichen, der es Angreifern ermöglicht, Rechner komplett zu übernehmen. In dieser Woche hat Microsoft die Sicherheitslücke mit einem Update geschlossen.

Genauere Informationen hat Microsoft nicht herausgegeben, um es Hackern nicht zu einfach zu machen. Offenbar werden jedoch bestimmte Dateiformate oder präparierte Dateien beim Scan durch die MMPE nicht ordnungsgemäß verarbeitet. Das führt dazu, dass Schadsoftware sich während des Prozesses einnisten kann. Nach einer erfolgreichen Infektion seien Angreifer in der Lage, den kompromittierten Rechner komplett zu übernehmen. Das heißt, sie könnten Programme installieren, Daten kopieren oder verändern und neue Profile mit Admin-Rechten einrichten. Laut Microsoft ist es dazu allerdings noch nicht gekommen. Ein Angriff, der diese Sicherheitslücke ausnutzt, ist bislang nicht bekannt.

Microsoft-Nutzer sollten sich dennoch schleunigst vergewissern, dass sie das aktuellste Update der MMPE mit der Nummer 1.1.14700.5 installiert haben. Wer automatische Updates aktiviert hat, müsste hier auf der sicheren Seite sein, denn Microsoft hat den Patch bereits Mitte der Woche verteilt. Wer nicht auf diese Funktion zurückgreifen will oder eine Freigabe für die Installation benötigt, sollte versuchen, die Angelegenheit zu beschleunigen. Fakt ist: Jetzt, da die Lücke bekannt ist, werden Hacker versuchen, den Fehler zu reproduzieren und sich dann auf die Suche nach Rechnern machen, bei denen das Update noch nicht eingespielt wurde. 

Teile der Stadtverwaltung von Atlanta befinden sich seit dem 22. März in der Hand von Geiselnehmern. Die Kriminellen haben nicht etwa mit Waffengewalt das Rathaus gestürmt, sondern schleusten lediglich eine bislang noch nicht näher beschriebene Ransomware in die Computersysteme der Stadt ein. Mittlerweile befindet sich die Stadt nach Aussage von beteiligten IT-Sicherheitsspezialisten in einer frühen Erholungsphase. Allerdings sind viele Abläufe weiterhin stark verlangsamt, da sie manuell erledigt werden müssen. Darüber hinaus erfordern einige Vorgänge, wie das Bezahlen der Stromrechnung oder die Anmeldung neuer Wasseranschlüsse, derweil den persönlichen Gang in die jeweilige Behörde, denn die Online-Services sind nicht verfügbar. Auf die Frage eines Journalisten, wie lange die Stadt auf diese Weise arbeitsfähig bleiben könne, antwortete die Bürgermeisterin fatalistisch und mit einem Funken Galgenhumor, dass es vor der Einführung der Computersysteme ja auch funktioniert habe und die aktuelle Situation besonders für jüngere Angestellte der Stadt eine gute Übung für ihre Handschriften sei. 

Ob das geforderte Lösegeld von 51.000 US-Dollar, gefordert in Bitcoin, gezahlt werde oder vielleicht sogar schon gezahlt wurde, ist nicht bekannt. Darüber schweigen sich die Stadtverwaltung und die Sicherheitsbehörden aus. Auch die eingeschaltete externe Sicherheitsfirma SecureWorks, die ihren Sitz in der amerikanischen Metropole hat, beruft sich auf den frühen Stand ihrer Untersuchungen. Sie gibt keine weiteren Informationen darüber heraus, wie der Angriff ablief und welche Ransomware zum Einsatz gekommen ist. Klar ist allerdings, dass es noch eine Weile dauern dürfte, bis alle Systeme in Atlanta wieder so funktionieren wie vor der Attacke.

Der Fall macht einmal mehr deutlich, wie sehr die fortschreitende Digitalisierung auch staatliche Organe angreifbar machen kann. In Atlanta waren die wichtigen Notfallsysteme, wie die Notrufnummer 911 oder die Feuerwehr, sowie kritische Strukturen wie Kraftwerke, Verkehrsleitsysteme oder Krankenhäuser nicht betroffen und funktionieren weiter uneingeschränkt. Doch das muss und wird aller Voraussicht nach nicht so bleiben. Das haben im Zuge der Attacke auch die Verantwortlichen in Atlanta und hoffentlich auch in anderen Städten weltweit erkannt. Doch solange jede Behörde ihr eigenes Süppchen kocht, Schnittstellen zwischen den unterschiedlichen Systemen weder standardisiert noch vernünftig abgesichert werden und die Mitarbeiter nicht ausreichend in IT-Sicherheit geschult werden, bleibt die Gefahr bestehen.

UPDATE: Wie heise.de berichtet, kann Atlanta das Lösegeld momentan nicht zahlen, weil die Erpresser das Zahlungsportal gelöscht haben. Nachdem die Zahlungsaufforderung für das Lösegeld im lokalen Fernsehen gezeigt wurde, inklusive der URL des Kontakt- und Zahlungsportals, wurden die Kriminellen mit Spam-Mails überschüttet. Als Reaktion nahmen sie das Portal offline.

Facebook sieht sich derzeit mit dem größten Datenskandal seiner Geschichte konfrontiert. Über 50 Millionen Nutzerprofile sollen unrechtmäßig in die Hände von Cambridge Analytica gefallen sein, einem Unternehmen, das auf die Analyse von Daten spezialisiert ist. Dort brüstete man sich damit, sowohl die Brexit-Abstimmung als auch die Wahl in den USA maßgeblich beeinflusst zu haben. Facebook hingegen entschuldigte sich und sieht sich selbst als Opfer. Doch was ist eigentlich passiert?

2010 führte Facebook seine Open Graph API für Entwickler ein. Damit konnten sich App-Anbieter von ihren Nutzern das Recht einräumen lassen, auf Daten ihrer Facebook-Profile zuzugreifen. Dazu gehörten neben Namen, Geschlecht, Wohnort und Facebook-ID auch biografische Daten wie Schulbildung, Zugehörigkeit zu Organisationen, Beziehungsstatus, Religion sowie gelikte und geteilte Seiten und Beiträge. Dieser Zugriff beschränkte sich nicht auf das eigene Profil, sondern galt auch für die Daten der Facebook-Freunde – der Grundstein der aktuellen Debatte.  

Drei Jahre später programmierte Psychologieprofessor Aleksandr Kogan eine Umfrage-App und bezahlte Medienberichten zufolge rund 270.000 Personen dafür, sie auszufüllen. Das ist an und für sich nicht ungewöhnlich, wenn im universitären Umfeld Daten im großen Stil erhoben werden sollen. Doch dank der damals gültigen Datenschutzbestimmungen bei Facebook gelangte Kogan nicht nur an die Daten seiner Teilnehmer. Gleichzeitig erhielt er die ihrer Kontakte – in Anbetracht der Anzahl der „Freunde“, die viele bei Facebook haben, verwundern dann auch die 50 Millionen Datensätze nicht mehr.

2015 beendete Facebook die Nutzung seiner Open Graph API. Hintergrund waren Negativschlagzeilen über die extensive Datenerfassung von externen Apps und immer mehr Beschwerden von Nutzern, die den Kontrollverlust über ihre Daten fürchteten. Seither können Nutzer selbst bestimmen, welche Daten sie zusätzlich herausgeben wollen. 

Doch um den Skandal zu verhindern, war es bereits zu spät. Im gleichen Jahr wurde bekannt, dass Kogan die Daten aus seiner App an die Firma Cambridge Analytica verkauft hatte. Facebook verklagte das Unternehmen, denn die Weitergabe der Daten war ein klarer Verstoß gegen die Richtlinien, denen Kogan zugestimmt hatte. Das Ergebnis: Cambridge Analytica wurde gezwungen, die unrechtmäßig erworbenen Daten zu löschen. Facebook erhielt eine beglaubigte Erklärung als Beleg für die Löschung und verließ sich darauf. Ein Fehler, wie sich jetzt herausgestellt hat. 

Vor einigen Tagen berichteten die New York Times und der Guardian übereinstimmend, dass die Profildaten der Nutzer weiterhin bei Cambridge Analytica vorliegen. Ein Whistleblower bestätigte dies gegenüber verschiedenen Zeitungen. Eine Katastrophe für Facebook, denn die Nutzer geben dem sozialen Netzwerk die Schuld, nicht besser auf ihre Daten aufgepasst zu haben. Auch die US-Verbraucherschützer der Federal Trade Commission und das deutsche Justizministerium sehen Anhaltspunkte, dass Facebook zumindest eine Mitschuld hat. 

Mit der Schuldfrage wird sich die Justiz befassen. Derweil ist aber klar: Facebook hat das Vertrauen vieler Nutzer endgültig verspielt. Bereits seit Tagen geistert der Hashtag #DeleteFacebook durch die sozialen Medien. Auch die Ankündigung Facebooks, Maßnahmen gegen eine Wiederholung des Vorfalls ergreifen zu wollen, dürfte den Shitstorm kaum abmildern. Nutzern, die sich nicht direkt abmelden wollen, bleibt nur, sich mit dem Teilen und Preisgeben von Informationen zurückzuhalten, um die Datenkrake nicht weiter zu füttern. Der Fall macht einmal mehr deutlich, welche Macht soziale Netzwerke mittlerweile haben und dass es zumindest fraglich ist, ob sie sich ihrer würdig erweisen.

Am Donnerstagabend erschienen auf dem Fernsehgerät von Nordrhein-Westfalens Agrarministerin plötzlich Aufnahmen aus dem Landtag. Schon seit einiger Zeit wird die CDU-Politikerin außerdem über ihr persönliches Profil in einem sozialen Netzwerk massiv bedroht.

Offensichtlich haben sich vergangene Woche Hacker Zugang zum privaten Datennetz Schulze Föckings verschafft und so die Aufnahme einer Fragestunde aus dem Landtag auf dem TV-Gerät der Ministerin eingespielt. Mittlerweile hat das Landekriminalamt Ermittlungen aufgenommen.

Seit vergangenem Jahr wird die Politikerin bedroht. Tierschützer hatten heimlich Videoaufnahmen im Mastbetrieb der Familie Schulze Föcking gemacht und veröffentlicht. Die Bilder zeigten Schweine mit abgerissenen Schwänzen und entzündeten Gelenken. Der Fall zeigt einmal mehr, dass die vermeintlich smarten Geräte Kriminellen zusätzliche Einfallstore bieten. 

Über Konfigurationsprofile lassen sich auf Apple-Geräten Funktionen sperren, Apps installieren und bestimmte Einstellungen speichern. Was für Unternehmen eine praktische Funktion ist, um beruflich genutzte Geräte genau für den vorgesehenen Einsatz zu konfigurieren und die Nutzung privater Apps zu unterbinden, stellt jedoch ganz nebenbei eine gewaltige Sicherheitslücke dar. Bereits im vergangenen Jahr verbreitete sich eine Malware mit dem etwas umständlichen Namen iXintpwn/YJSNPI über Konfigurationsprofile, die sich in den sozialen Medien als Jailbreak für iPhones und iPads ausgaben. 

Wer damals auf der Suche nach einem sogenannten Jailbreak war, also einer Möglichkeit, Sicherheits- und Nutzungsschranken bewusst zu umgehen, landete unter Umständen bei einem unsignierten iOS-Konfigurationsprofil. Einmal installiert, lud es eine App nach und platzierte ein entsprechendes Icon auf dem Home-Bildschirm. Beim Öffnen der App erschienen plötzlich dutzende weitere Icons, die den Homescreen und somit das Gerät lahmlegten. Löschen ließ sich das Konfigurationsprofil nur über Umwege, denn es war als „nicht entfernbar“ gekennzeichnet.

Mittlerweile sind auch Spammer auf diese Funktion aufmerksam geworden. In zahlreichen Apps und auf Webseiten, die ihre Werbung über Googles Netzwerk AdMob beziehen, werden immer wieder Werbebanner eingeblendet. Sie sollen die Nutzer dazu bringen, ein neues Konfigurationsprofil zu installieren. Ein falscher Klick genügt dazu – und wer schon einmal versucht hat, nebenbei ein störendes Pop-up auf dem Smartphone wegzuklicken, weiß, wie schnell man das kleine X in der Ecke verfehlt. Ist das neue Profil auf dem Gerät, wird zum Beispiel eine neue E-Mail-Adresse installiert, über die man massenweise Werbemails und Spam erhält. Aber auch neue Malware kann darüber eingeschleust werden.

Von Google können iOS-Nutzer wenig Schutz erwarten. AdMob wird der Menge an infizierten Werbebannern kaum noch Herr und ständig kommen neue hinzu. Apple bietet ebenfalls keine Abhilfe, denn die Kriminellen nutzen ja eine eigentlich sinnvolle Funktion des Betriebssystems. Nutzer sollten also möglichst vorsichtig beim Klicken sein und keinesfalls Konfigurationsprofile aus unbekannten Quellen installieren. Auch ein Jailbreak ist keine gute Idee, denn den vermeintlich erweiterten Funktionsumfang erkauft man sich mit dem Garantieverlust für sein Gerät und riskiert erhebliche Einbußen in puncto Sicherheit. Ist das Kind aber doch einmal in den Brunnen gefallen, lassen sich zumindest die Spam-Profile relativ einfach in den allgemeinen Einstellungen des Geräts löschen und verwalten. Schwieriger gestaltet es sich bei iXintpwn/YJSNPI. Hier müssen Nutzer das Apple-Tool Configurator 2 einsetzen, das allerdings nur auf Mac-Computern läuft.

Ein E-Mail-Programm ist eine praktische Sache. Es prüft das Postfach automatisch auf neue Nachrichten und ruft sie ab, die Ansicht ist auf das jeweilige Endgerät zugeschnitten – kurz: es vereinfacht die digitale Kommunikation. Da zumindest die grundsätzlichen Funktionen bei fast allen E-Mail-Clients sehr ähnlich sind, ist es für viele Nutzer eigentlich reine Geschmackssache, welches Programm sie auswählen. Doch diese Einstellung sollte man nochmal genauer prüfen, denn der Sicherheitsforscher Mike Kuketz hat nun eklatante Sicherheitslücken bei einigen der kostenlosen Apps für Android-Geräte gefunden.

So übertragen mindestens sechs beliebte E-Mail-Clients die eingegebenen Kennwörter an den jeweiligen App-Anbieter, und das zum Teil sogar unverschlüsselt. Konkret nennt Kuketz die Programme Blue Mail, Type App, my Mail, Email App for Any Mail, Mail.ru und E-Mail – Fast & Secure mail for Gmail Outlook & more. Bei Blue Mail hätte ein Blick in die AGB ausgereicht, um das festzustellen. Denn in der Datenschutzerklärung lässt sich die App vom Nutzer das Recht zum Sammeln der Anmeldedaten einräumen. Dass damit allerdings gemeint ist, dass das Kennwort unverschlüsselt übertragen wird, konnten wohl auch die wenigen Nutzer, die diese Erklärung tatsächlich gelesen haben, nicht erahnen.

Wer nun denkt, dass das Problem nur wenige Nutzer von eher unbekannten Apps betreffen dürfte, irrt. Ein Blick auf die Download-Zahlen im Play Store zeigt bei allen genannten Programmen zwischen einer und fünf Millionen Downloads, bei myMail und Mail.ru sogar mindestens 10 Millionen. Das Problem: Es muss sich dabei nicht um aktuelle User handeln. Es reicht, wenn der Client einmal eingerichtet und dabei das Kennwort übertragen wurde. Ob man ihn dann nutzt oder wieder löscht, ist egal, der Schaden wurde bereits angerichtet. Daher sollten alle, die eines der genannten E-Mail-Programme irgendwann einmal in Benutzung hatten, schnellstmöglich die Kennwörter für das betroffene Konto ändern und auf eine vertrauenswürdige App umsteigen.

Der Anbieter von Blue Mail hat übrigens die Erkenntnisse des Sicherheitsforschers in einer Pressemeldung dementiert. Das hält die App allerdings nicht davon ab, weiterhin Kennwörter zu übertragen. Das hat Kuketz nach der Veröffentlichung der Meldung erneut überprüft.

Der Cyber-Angriff auf die Bundesregierung zeigt einmal mehr, wie wichtig es ist, im Bereich Informationssicherheit zu investieren – und zwar nicht nur finanziell, sondern auch personell. Andere Nationen wie China, Russland oder die USA sind in diesem Bereich wesentlich besser aufgestellt als Deutschland. Um das deutsche Regierungsnetz zu sichern, bedarf es mehrerer tausend Beschäftigter, nicht wie bisher 700 Mitarbeiter im Bundesamt für Sicherheit in der Informationstechnik.

Besonders brisant: Betroffen vom Hacker-Angriff, der im Netz unter dem Hashtag #bundeshack verfolgt werden kann, sind wohl vor allem das Auswärtige Amt sowie das Verteidigungsministerium. Professionelle Hacker haben nach derzeitigem Informationsstand eine Schad-Software über das Netz der Bundesakademie für öffentliche Verwaltung der Fachhochschule des Bundes eingeschleust. Über die Server-Netze des Bundes habe man sich dann den Weg zu weiteren Netzwerken gebahnt. So sei es theoretisch auch möglich gewesen, an höchst vertrauliche Informationen zu außenpolitischen Strategien zu gelangen.

Einige Bundestagsabgeordnete sind empört darüber, dass sie erst aus den Medien vom Hacker-Angriff erfahren haben. Strategisch macht die Geheimhaltung über einen längeren Zeitraum allerdings durchaus Sinn. Solange der Täter nicht weiß, dass er entdeckt wurde, hat das Opfer zwei entscheidende Vorteile: Einerseits ist die Wahrscheinlichkeit, den Angriff zurückzuverfolgen, wesentlich höher, solange dieser noch andauert. Andererseits können bewusst falsche Informationen gestreut werden, die den Erfolg der Attacke ins Gegenteil verkehren und Spionageversuche vereiteln.

Das Parlamentarische Kontrollgremium (PKGr) hält sich mit genaueren Informationen zum Vorfall bisher zurück, zumal der Angriff noch andauert. Als Täter vermutet man die russische Hackergruppe „Snake“, die dafür bekannt ist, weltweit Regierungsnetze anzugreifen. Nach Informationen der dpa könnte die Gruppe bereits seit Ende 2016 Zugriff auf das Netz der Bundesregierung haben. Möglich ist allerdings auch eine ganz andere Tätergruppe, die bewusst falsche Fährten legt. Für eine russische Beteiligung spricht allerdings die Tatsache, dass der Kreml gezielt versucht, die EU zu destabilisieren. Mit geheimen Informationen zur Außenpolitik wäre es Russland möglich, die politische Stimmung zu beeinflussen.

Das Internet soll sicherer werden. Dieser Mission hat sich Google mit dem Slogan „A secure web is here to stay“ verschrieben. Um dem Ziel näher zu kommen, hat der Internetriese nun angekündigt, dass ab Juli 2018 alle Webseiten, die weiterhin keine SSL-Verschlüsselung nutzen, im hauseigenen Browser Chrome als unsicher gekennzeichnet werden. Bislang wird solchen Seiten nur das grüne Sicherheitsschloss in der Adressleiste vorenthalten, ab Sommer soll zusätzlich der Schriftzug „Not secure“ erscheinen. Diese Entwicklung hat sich schon vor Jahren angekündigt. So werden http-Seiten ohne SSL-Verschlüsselung bereits seit 2014 in den Ergebnissen der Suchmaschine heruntergestuft. 

Wer das vermeiden will, sollte sich schnellstmöglich darum kümmern, seine Webangebote auf https umzustellen. Das ist auch längst nicht so kompliziert und teuer, wie die meisten vermuten. Google stellt den Nutzern hierfür sogar Werkzeuge zur Verfügung, mit denen sich beispielsweise sogenannter Mixed Content aufspüren lässt. Damit wird sichergestellt, dass die Verschlüsselung auch tatsächlich das gesamte Webangebot umfasst und nicht einzelne Inhalte von der Verschlüsselung ausgenommen werden. Auch die Kosten halten sich in Grenzen. Die Initiative Let’s Encrypt von Google, der Electronic Frontier Foundation (EFF), Mozilla und weiterer Software-Unternehmen bietet kostenlose SSL-Zertifikate an, und auch deutsche Hoster halten für ihre Kunden gebührenfreie Alternativen bereit.

Für Webseiten-Betreiber ist dieser Schritt von Google ein weiterer Anreiz, ihre Webseiten auf Vordermann zu bringen und eine sichere Verschlüsselung zu implementieren. Werden Kundendaten erhoben, wie bei einem Kontaktformular, einer Newsletter-Anmeldung oder einem Mitgliederbereich mit Log-in, ist dies mit Blick auf die im Mai in Kraft tretende EU-Datenschutz-Grundverordnung ohnehin geboten. Denn die Verordnung fordert „geeignete“ Maßnahmen zum Schutz der übertragenen Daten. Und das heißt im Klartext: Verschlüsselung ist Pflicht.

Die feierliche Eröffnungszeremonie der Olympischen Spiele in Pyeongchang in Südkorea wurde von technischen Problemen überschattet. So war die Webseite zwischenzeitlich nicht erreichbar, wodurch offenbar einige Besucher der Feier ihre Tickets nicht ausdrucken konnten. Auch der WLAN-Empfang im Stadion und die TV-Übertragung waren gestört. Schuld an der Technikpanne war eine neue Malware mit dem durchaus passenden Namen „Olympic Destroyer“, wie die Sicherheitsforscher von Ciscos Talos-Team herausfanden. Seine schon im Namen erklärte Mission, die Olympischen Spiele zu zerstören, hat der Schädling glücklicherweise nicht erreicht, allerdings könnte er in Zukunft dank der Fähigkeit zu lernen noch für Ärger sorgen.

Ziel der Malware ist es, Windows-Rechner komplett lahmzulegen. Dafür geht sie in mehreren Schritten vor. Wird ein Computer infiziert, wird zuerst eine Datei mit einem zufälligen Dateinamen installiert, die anschließend versucht, das Netzwerk weiter zu infiltrieren, also alle verbundenen Rechner ebenfalls zu befallen. In einem zweiten Schritt sammelt der Schädling Daten. Dabei greift er sowohl die im Browser gespeicherten Kennwörter als auch System-Log-ins ab. Diese Informationen werden anschließend an einen Command-and-Control-Server gesendet, von wo sie dann wiederum an andere Installationen der Schad-Software weitergegeben werden. Diese lernen so ständig dazu.

Hat der Destroyer die Daten abgeschöpft, geht er an seine nächste Aufgabe und legt die aktuelle Installation lahm. Um das zu erreichen, wird für alle aktiven Prozesse ein Wert von „4“ in der ChangeServiceConfig W-API eingetragen, um zu verhindern, dass diese beim Hochfahren des Rechners erneut gestartet werden können. Außerdem verändert die Malware verschiedene Dateien über die Windows-Kommandozeile cmd.exe. Ist auch dieser Vorgang abgeschlossen, wird der infizierte Computer heruntergefahren und kann nicht ohne Weiteres wieder gestartet werden. Noch unbekannt ist bisher der Verbreitungsweg.

Die Techniker in Pyeongchang konnten ihr System nach rund einem halben Tag wieder zum Laufen bringen. Fest steht nach der Attacke allerdings, dass diejenigen Stimmen, die bereits im Vorfeld der Olympischen Spiele vor einer möglichen Bedrohung durch Hacker gewarnt hatten, Recht behalten haben. Jetzt bleibt nur zu hoffen, dass der Rest der Winterspiele friedlich und ohne weitere Cyber-Angriffe abläuft. 

Selbst kleine Geldbeträge werden mittlerweile immer häufiger mit Karte gezahlt. Das hat kriminelle Programmierer offenbar dazu gebracht, eine neue Schad-Software zu entwickeln. Denn es ist nicht zu erwarten, dass die Zahl der Anhänger der Kartenzahlung kleiner wird – im Gegenteil. In absehbarer Zeit dürfte es immer mehr Kartenlesegeräte in der Gastronomie und im Einzelhandel geben. Und auf genau die hat es der neue Schädling abgesehen. 

Entdeckt wurde UDPoS von der Sicherheitsfirma Forcepoint. Dort war aufgefallen, dass einige Kartenlesesysteme einen ungewöhnlich hohen DNS-Traffic produzierten. Bei der Untersuchung der Geräte stießen die Experten auf den neuen Schädling. Dieser nistet sich in Kassensystemen mit Kartenlesegeräten ein und versucht dort, an die Magnetstreifendaten der eingelesenen Karten zu kommen. Anschließend schickt er die gesammelten Informationen per UDP-Paket getarnt als DNS-Anfrage an einen Kontrollserver. Kriminelle könnten diese Daten dazu verwenden, Kreditkarten zu klonen. 

Geräte am Point of Sale (PoS), also dort, wo ein Produkt oder eine Dienstleistung gekauft und bezahlt wird, sind für Kriminelle ein beliebtes Ziel. Das liegt auch daran, dass viele Kassensysteme noch mit veralteten Betriebssystemen wie Windows XP laufen. Zwar wird die Version mit Anbindung an den PoS noch von Microsoft mit Updates beliefert, aber oft sind die Systeme schlecht gepflegt. Das macht es für Kriminelle einfacher, Malware einzuschleusen. 

Trotzdem gibt es vorerst zwei (zumindest halbwegs) gute Nachrichten für Kartenzahler in Deutschland: Bei der genaueren Untersuchung des Schadcodes fanden die Forscher Textzeilen, die offenbar dazu dienen sollten, Antivirenprogramme in den Systemen zu umgehen. Weil allerdings schlampig gearbeitet wurde, greifen diese Funktionen nicht. Oder besser gesagt: noch nicht. Denn bei Forcepoint befürchtet man, dass die entdeckte Version sich noch in der Testphase befindet.

Die zweite gute Nachricht: Die Kriminellen können mit den erbeuteten Daten lediglich den Magnetstreifen nachbilden. In Deutschland kommt dieser jedoch kaum noch zum Einsatz, da die meisten Lesegeräte auf den in den Karten enthaltenen Chip zugreifen oder die Daten per Near-Field-Communication (NFC) übertragen werden. Auch Online-Transaktionen sind mit den geklonten Karten nicht möglich, da die aufgedruckte Prüf- oder Sicherheitsnummer nicht in den Daten auf dem Magnetstreifen enthalten ist. Von daher kann man davon ausgehen, dass sich der Einsatz von UDPoS in Deutschland für die Kriminellen nicht lohnt. Anders sieht es jedoch in den USA aus, wo immer noch viele Kreditkarten ohne Chip ausgegeben werden. Hier ist es tatsächlich noch möglich, nur mit dem kopierten Magnetstreifen auf Einkaufstour zu gehen.

Die geheimen Einsatzbasen des Militärs haben auf der ganzen Welt eines gemeinsam: Ihre genaue Lage ist – wie der Name schon sagt – streng geheim. Es dürfte also absolut nicht im Sinne der Militärführung sein, wenn die Standorte bekannt werden oder sogar Straßenpläne im Netz auftauchen. Doch genau das ist passiert und es war noch nicht einmal ein Whistleblower oder Hacker am Werk. 

Doch wie konnte es zu diesem eklatanten Verstoß gegen die Geheimhaltung kommen, der nun auch die Sicherheit der in Kriegsgebieten stationierten Soldaten bedroht? Nun, das ist eigentlich sehr einfach und auf den ersten Blick erschreckend harmlos: Fitnesstracker in Kombination mit dem sozialen Netzwerk Strava, das speziell für Sportler entwickelt wurde, waren die Ursache. Strava wurde entwickelt, damit Jogger und Radfahrer auf der ganzen Welt ihre liebsten Lauf- und Fahrstrecken aufzeichnen und mit anderen Nutzern des Netzwerks teilen können. Zusätzlich hat die App eine kompetitive Funktion. So können Trainingsteams gebildet, Wettkämpfe organisiert und Zeiten verglichen werden. Die Strecken werden im Netzwerk aufgezeichnet und beispielsweise an Städteplaner verkauft. Außerdem wurden sie im November in einer sogenannten Heatmap, einer weltweiten, extrem detaillierten Karte, im Netz veröffentlicht. Hier werden auf einer schwarzen Karte alle Laufstrecken der Nutzer abgebildet, je nach Nutzungshäufigkeit von rot (selten) über gelb bis hin zu weiß (oft). 

Besonders gut scheint die App offenbar bei Soldaten der Eliteeinheiten anzukommen, die sich auf geheimen Missionen in verschiedenen Kriegsgebieten befinden und hier ihre Trainingspläne innerhalb der Einheiten organisieren können. Und genau hier liegt das Problem: Sowohl Fitnesstracker als auch Nutzer der App sind bei der einheimischen Bevölkerung in Afghanistan oder in Bürgerkriegsregionen in Afrika eher spärlich gesät. Erscheint also in einem gewaltigen Umkreis eine einzelne grellweiße Strecke, die scheinbar von vielen Nutzern sehr regelmäßig genutzt wird, liegt der Schluss nahe, dass sich hier vielleicht ausländische Einheiten in einer Militärbasis aufhalten könnten. Und da diese meist nicht allzu groß sind, nutzen die Jogger natürlich auch alle vorhandenen Straßen, was zu einer schönen Karte der Camps führt. Angreifen brauchen sich also im Prinzip nur die Heatmap anzusehen und können so genau nachvollziehen, wann sie wo vermutlich nichtsahnende Soldaten bei ihrer Joggingrunde antreffen werden. 

Es bleibt für die stationierten Truppen zu hoffen, dass sich Strava schnellstmöglich der Praxis anderer Kartendienste wie Google Maps anschließen wird. Die zensieren derartige Orte freiwillig und zeigen die Militärbasen in ihren Karten nicht. Doch bis es soweit ist, sollte die App nach Möglichkeit nicht mehr zum Einsatz kommen – auch wenn es dafür jetzt eigentlich zu spät ist.

„Worte sind des Dichters Waffen“, schrieb einst Johann Wolfgang von Goethe. Heute könnte man diesen Ausspruch in etwa so erweitern: „Worte sind des Hackers Waffen“. Das trifft besonders auf sogenannte Textbomben zu, auch wenn es sich dabei mehr um reine Zeichenfolgen als um tatsächliche Wörter handelt. Solche Textbomben nutzen Programmierfehler aus, über die sich Anwendungen oder Betriebssysteme mit einer bestimmten Zeichenfolge zum Absturz bringen lassen. Besonders Apple-Geräte scheinen für diese Art der Manipulation anfällig zu sein. Bereits vor einem Jahr gelangte eine Emoji-Zeichenkombination in Umlauf, die die Nachrichten-App iMessage lahmlegte, und vor ein paar Monaten ließ ein nur vier Sekunden langes Video iOS-Geräte einfrieren.

Jetzt macht eine neue Textbombe mit dem Namen chaiOS die Runde, bei der ein Link zum Absturz von iPhone, iPad & Co. führt. Zu finden ist der Link auf der Seite github.io. Wird dieser über die Nachrichten-App iMessage verschickt, stürzt das Empfängergerät ab. Und nicht nur das: Auch beim Senden kann es zum Crash der Software kommen, genau wie beim Aufruf des entsprechenden Links in Google Chrome. Selbst ein Neustart hilft in einigen Fällen nicht weiter, denn manche Geräte sind in einer Crash-Schleife gefangen.

Das Problem: iMessage lädt bei der Eingabe oder dem Empfang eines Links automatisch eine Vorschau der Seite – Vorsicht beim Klicken hilft hier also nicht weiter. Um der Textbombe zu entgehen, muss also die gesamte Konversation mit dem Absender gelöscht und am besten auch die Verbindung mit dem Internet getrennt werden. Dann kann iMessage die Vorschau nicht laden. Alternativ kann man github.io auch über die Sicherheitseinstellungen im Browser Safari sperren. Das funktioniert über die Einschränkung von „Jugendfreien Inhalten“, kann aber auch zur Blockade völlig legitimer Webseiten führen. Es bleibt also nur zu hoffen, dass Apple github.io serverseitig blockiert und das Problem über ein Update in den Griff bekommt.

Patchday bei Microsoft – nach dem ungeplanten Sicherheitsupdate im Zusammenhang mit den Sicherheitslücken Meltdown und Spectre (wir berichteten), folgt damit nun  eine geplante Aktualisierung der Microsoft-Programme. Und das ist aktuell auch dringend nötig, denn Hacker nutzen derzeit eine Schwachstelle in Microsoft Office aktiv aus, die mit dem neuesten Patch behoben werden soll.

Dafür setzen sie einen Verarbeitungsfehler ein, den Office im Umgang mit RTF-Dateien begeht. Das sind Daten im sogenannten Rich-Text-Format, das seit rund 20 Jahren als Austauschformat zwischen unterschiedlichen Textverarbeitungsprogrammen dient. Um die Sicherheitslücke auszunutzen, müssen die Kriminellen lediglich entsprechend manipulierte Daten im Netz platzieren und Nutzer dazu bringen, diese anzuklicken. Eine andere Variante setzt auf die Verbreitung der Dateien per Mail, wofür sich Methoden des Social Engineering anbieten. Hat der Nutzer das präparierte Dokument ausgeführt, können sich die Hacker ohne weitere Legitimation Zugang zum Rechner des Nutzers verschaffen. Dort breiten sie sich mit den Rechten des angemeldeten Nutzers aus, spionieren oder installieren weiteren Schadcode.

Glück hat in diesem Fall, wer nur mit einem Benutzerkonto ohne Admin-Rechte im Internet surft, denn dann kann zumindest keine weitere Malware installiert werden. Und auch abseits vom aktuellen Fall ist es ganz grundsätzlich eine gute Idee, nicht ständig mit vollen Lese- und Schreibrechten im Internet unterwegs zu sein. Allein diese Maßnahme trägt schon einiges zum Schutz vor Schädlingen aus dem Netz bei, denn die Programme können sich nicht unbemerkt im Hintergrund installieren.

Insgesamt stopft Microsoft mit dem Januar-Update 56 Sicherheitslücken. Davon wurden 16 als kritisch eingestuft, darunter Fehler in den Browsern Internet Explorer und Edge. Weitere 39 Patches fallen in die Kategorie „Wichtig“, so wie auch das Update zur oben genannten Sicherheitslücke in Office. Daher empfehlen wir, den Patchday nicht ausfallen zu lassen!

„Spectre“ und „Meltdown“: Dabei handelt es sich nicht etwa um Filme aus der James-Bond-Reihe, sondern um schwerwiegende Sicherheitslücken, die Daten auf Millionen von Rechnern weltweit bedrohen. Betroffen ist dabei der Prozessor, das Herzstück eines jeden Computers, zuständig für sämtliche Rechenoperationen und die Ausführung von Befehlen und Programmen. Die meisten dieser Computerchips arbeiten mit einem Verfahren, das sich „speculative execution“ nennt. Dabei werden Daten bereits vorgeladen, die wahrscheinlich bald benötigt werden. So können die Prozessoren Befehle schneller umsetzen und Verzögerungen werden vermieden. Und genau in diesem Verfahren liegt das Problem, wie die Sicherheitsforscher bei Googles Project Zero bereits im Sommer herausgefunden haben.

Einem möglichen Angreifer stehen grundsätzlich zwei Varianten zur Verfügung. Wählt er „Meltdown“ als Attacke, wird die Trennung zwischen Programmen und Betriebssystem durchbrochen. Dann werden Daten aus dem Speicher mittels einer Schad-Software abgeschöpft. Für diese Art des Angriffs dürften fast alle Intel-Computerchips seit dem Jahr 1995 anfällig sein – also realistisch betrachtet fast jeder Rechner mit Intel Inside, der aktuell noch in Betrieb ist. Die gute Nachricht: Die Gefahr von „Meltdown“ lässt sich durch ein Software-Update beheben.

Bei „Spectre“ sieht die Sache etwas anders aus. Hierbei werden Programme mit einer Schad-Software dazu gebracht, sich gegenseitig zu bespitzeln. Diese Art des Angriffs ist schwieriger in der Umsetzung. Im Gegensatz zu „Meltdown“ konnten die Sicherheitsforscher „Spectre“ allerdings auf Prozessoren weiterer Hersteller nachweisen, unter anderem auch auf denen von ARM-Design, die in vielen Smartphones zum Einsatz kommen. Ist die eingesetzte Malware bereits bekannt, lässt sich diese Angriffsart ebenfalls durch ein Sicherheits-Update beheben.

Auf die Frage, ob die Sicherheitslücken bereits ausgenutzt wurden, lässt sich derzeit keine zufriedenstellende Antwort geben. Weder „Spectre“ noch „Meltdown“ hinterlassen Spuren. Da hilft es auch nicht, dass Intel davon ausgeht, dass sie bislang nicht zum Einsatz gekommen sind. 

Die Software-Riesen Microsoft, Apple, Google und Amazon haben bereits erste Maßnahmen ergriffen und arbeiten an der weiteren Absicherung ihrer Geräte und Dienste durch Software-Aktualisierungen. Weniger gut sieht es mit der Update-Versorgung bei mobilen Geräten aus, da viele Hersteller ältere Modelle außen vor lassen. Aber auch die Nutzer sind gefragt: Sie müssen Updates auch tatsächlich installieren, denn nur so lassen sich die Lücken schließen.

Haben Sie über die Feiertage auch viele schöne Erinnerungen gesammelt und mit dem Smartphone oder der Kamera festgehalten? Dann stößt die Speicherkarte Ihrer Kamera oder der interne Speicher Ihres Smartphones wahrscheinlich langsam aber sicher an Kapazitätsgrenzen. Wer Platz für Bilder schaffen möchte, zum Beispiel vom anstehenden Weihnachtsfest oder dem Silvesterfeuerwerk, greift häufig auf andere Speichermedien zurück.

Auf Amazon gibt es dafür so einiges zur Auswahl. Doch zwischen den überwiegend seriösen Angeboten, bei denen man mit Sicherheit auch das eine oder andere Schnäppchen machen kann, lauern auch Speicherkarten und USB-Sticks, die eigentlich gar nicht existieren dürften: Kompakte Geräte mit der unglaublichen Speicherkapazität von zwei Terabyte für unter 50 Euro! Wer sich ein wenig mit dem aktuellen Stand der Technik befasst, kann dabei nur den Kopf schütteln, denn aktuell gibt es genau einen USB-Stick mit einer derart hohen Speicherkapazität – und der kostet sage und schreibe 1.300 Euro und ist deutlich größer als die Sticks im Amazon Marketplace.

Die Angebote haben auch die Redaktion des Computermagazins Heise stutzig gemacht, die deshalb einige der Geräte bestellt haben, um zu sehen, wie viele Daten nun tatsächlich auf den Stick passen. Interessanterweise ließen sich eine ganze Menge an Daten aufspielen – allerdings zu einem hohen Preis. Denn als der Speicher voll war, wurden die Daten einfach weiter übertragen und das, was sich bereits auf dem Stick befand, wurde schlichtweg überschrieben. Datenverlust ist also bei diesen Geräten vorprogrammiert! Weitere Informationen zum Test von Heise finden Sie hier: http://bit.ly/2krylbI 

Lassen Sie sich also nicht von Angeboten locken, die zu gut sind, um wahr zu sein. Dann können Sie auch in den kommenden Jahren noch in den Erinnerungen an Weihnachten und Silvester 2017 schwelgen. In diesem Sinne wünschen wir Ihnen einen guten Rutsch ins neue Jahr!

Die Sicherheitsforscher von Kaspersky haben einen neuen Trojaner entdeckt, der ein wahrer Hansdampf in allen Gassen zu sein scheint. Getarnt als App für Erwachsene oder ironischerweise als AntiViren-Software lauert Loapi in App Stores von Drittanbietern auf seine Opfer. Und die können sich auf einiges gefasst machen, denn Loapi ist unheimlich leistungsfähig. Im Test von Kaspersky war der Schädling sogar so aktiv, dass das infizierte Testgerät in nur zwei Tagen derart heiß gelaufen ist, dass der Akku sich aufgebläht und so das Handy komplett deformiert hat. Eine solche Auslastung der Rechenleistung des Handys kann in der Praxis auch dazu führen, dass ein Gerät Feuer fängt. So wird die virtuelle zur ganz realen Gefahr für Leib und Leben!

Doch was kann Loapi nun eigentlich alles? Bereits bei der Installation fordert er Administrator-Rechte. So kann er auf alle Bereiche zugreifen und sogar weitere Funktionen nachladen. Im Test fanden die Sicherheitsforscher ein Adware-Modul, mit dem Werbeeinblendungen heruntergeladen werden können, ein Web-Crawler-Modul, das im Zusammenspiel mit einem SMS-Modul kostenpflichtige SMS-Abos abschließen kann, ohne dass der Nutzer etwas davon mitbekommt, ein Modul, mit dem DDoS-Attacken ausgeführt werden können und zu guter Letzt auch noch ein Mining-Modul, mit dem die Kryptowährung Monero geschürft wird.

Sieht man sich den Funktionsumfang des Trojaners an, so stellt man fest, dass die Hacker gleich mehrere Möglichkeiten zum Geldverdienen eingebaut haben: Sie verdienen an der eingeblendeten Werbung, an den SMS-Abos, haben ein weiteres Gerät für ihr Botnetz, das zudem noch vermietet werden kann, und zur Krönung des Ganzen wird konstant Rechenleistung abgezweigt, um weitere Einheiten von Monero zu erzeugen. Kein Wunder also, dass Loapi den Akku des Testgeräts so schnell in die Knie gezwungen hat!

Im Google Play Store wurden bislang noch keine mit Loapi infizierten Apps festgestellt. Wer sich schützen will, sollte auf den Download von Apps aus Drittanbieter-Quellen verzichten. Das ist auch ganz grundsätzlich eine gute Idee, denn neben Loapi lauern in diesen Shops auch noch diverse andere Schädlinge.

Wenn Computerprogramme auf den Markt kommen, haben sie immer die eine oder andere Sicherheitslücke. Das ist eine unumstößliche Tatsache, denn auf zehntausenden Seiten Code schleichen sich unweigerlich Fehler ein, die selbst die strengsten Qualitätskontrollen nicht verhindern können. Im Laufe eines Produktlebenszyklus‘ arbeiten die Hersteller daher daran, diese Fehler durch Updates zu beheben. Doch die Suche nach solchen Sicherheitslücken ist aufwändig, zeitintensiv und verschlingt Personalressourcen und so verwundert es nicht, dass nahezu alle großen Unternehmen in diesem Bereich sogenannte Bug-Bounty-Programme ins Leben gerufen haben. Mit diesen wird die Suche nach fehlerhaftem und potenziell schädlichem Code quasi outgesourct, denn die Software-Hersteller loben Prämien für diejenigen aus, die ihnen Schwachstellen melden.

Für diese Programme spricht, dass man externe Sicherheitsforscher so dazu bringt, nach Sicherheitslücken zu suchen. Dadurch werden die eigenen Mitarbeiter bei der Qualitätskontrolle unterstützt und entlastet. Zudem wird – so die Argumentation der Software-Unternehmen – ein Anreiz geschaffen, die entdeckten Lücken nicht selbst zu nutzen oder auf dem Schwarzmarkt an Kriminelle zu verkaufen. Letzteres ist allerdings zumindest fraglich, denn warum sollte sich ein Hacker mit etwa 15.000 Dollar zufrieden geben, wenn er auf illegalen Wegen das Zehnfache mit seiner Entdeckung verdienen könnte? Kritiker der Bug-Bounty-Programme bemängeln, dass die gezahlten Summen einfach zu gering sind, um Menschen mit krimineller Energie davon abzuhalten, entweder selbst aktiv zu werden oder die Exploits gewinnbringend zu verkaufen.

Ein weiteres Problem ist, dass die Meldung einer neuen Angriffsmöglichkeit nicht immer ganz einfach ist und die Auszahlung der Prämie an bestimmte Bedingungen, wie beispielsweise eine sehr ausführliche Dokumentation, geknüpft ist. Auch die Summen unterscheiden sich je nach untersuchtem Angriffsvektor ganz gewaltig. Bei Apple beispielsweise ist das Auffinden eines Bugs im Secure-Boot-Modus des iPhone mit 200.000 Dollar wesentlich lukrativer als die Ausführung von Prozessen außerhalb der Sandbox mit nur 25.000 Dollar. Und auch bei Microsoft reicht die Spanne von 5.000 Dollar für eine neue Methode einer Denial-of-Service-Attacke bis hin zu 15.000 Dollar für Remote-Code-Execution. Vergleicht man diese Summen mit dem, was durch einen erfolgreichen Angriff oder den Verkauf an kriminelle oder staatliche Hacker verdient werden kann, wird klar, dass die Prämien wohl tatsächlich zu niedrig sind, um jemanden mit krimineller Energie von einem Missbrauch abzuhalten. Für ehrliche Sicherheitsforscher sind sie trotzdem ein schöner Nebeneffekt – auch wenn sie nicht dafür geeignet sind, damit reich zu werden.

Cyber-Kriminelle haben sich eine neue Masche ausgedacht, mit der sie ISDN-Nutzern das Geld aus der Tasche ziehen können. ISDN? Ist das nicht veraltet und soll bis spätestens Ende 2018 abgeschafft werden? Wenn es nach der Telekom geht schon, aber andere Anbieter ermöglichen Bestandskunden aktuell noch einen Aufschub bis 2022. Und insbesondere in Unternehmen und Behörden ist der ISDN-Standard immer noch weit verbreitet. Umfragen des Informationsdienstleisters ama aus den Jahren 2016 und 2017 zufolge nutzen immer noch rund 2/3 der befragten Unternehmen und Behörden einen analogen oder ISDN-Anschluss. Eine weitere Erhebung im Frühjahr 2017 ergab allerdings, dass 88 Prozent einen Wechsel beabsichtigen, allerdings ganze 38 Prozent noch mitten in der Bedarfsermittlung stecken und daher noch keinen konkreten Plan für die Umstellung der Infrastruktur vorweisen können. Das ist nämlich in vielen Fällen gar nicht so einfach und mit hohen Kosten verbunden, insbesondere, wenn Telefonanlagen, Türöffner, Frankiermaschinen und Alarmanlagen umgerüstet oder ersetzt werden müssen. Für die Kriminellen heißt das: Es gibt aktuell noch viele Tausende ISDN-Anschlüsse, an denen sie verdienen können.

Vor der aktuellen Masche warnte zuerst der Anlagenhersteller Auerswald, nach Hinweisen von betroffenen Kunden. Offenbar verschaffen sich die Betrüger per Fernzugriff Zugang zu den ISDN-Geräten und bringen diese dazu, teure Auslandsanrufe über sogenannte Call-By-Call-Nummern zu tätigen. Die Experten von Auerswald beschreiben die Vorgehensweise wie folgt: Die Kriminellen rufen von einer ausländischen Nummer an und hinterlassen eine Nachricht auf der Mailbox des ISDN-Anschlusses. Anschließend versuchen sie über Try-and-Error das Kennwort der Mailbox herauszufinden. Und genau hier liegt der erste Teil des Problems: Handelt es sich um ein besonders einfaches Kennwort sind die Hacker schnell im System der Telefonanlage. Von dort können sie ganz einfach die Auslandsanrufe per Rückruf der übertragenen Nummer initiieren. Dabei machen sie sich Problem Nummer zwei zu Nutze: In Deutschland gibt es rund ein Dutzend verschiedene Anbieter von sogenannten Call-By-Call-Nummern, also Vorwahlen, mit denen man sich in den Dienst eines Telefonanbieters einwählt. Diese Nummern haben zwar alle Mechanismen mit denen solche Betrügereien ausgeschlossen werden sollen, jedoch gleichen sie sich nicht untereinander ab. Erkennt also der erste Anbieter, dass es sich bei den ständigen Anrufversuchen der Kriminellen um Betrug handelt, wird einfach zum nächsten gewechselt und so weiter und so fort. Bis alle möglichen Anbieter die Anrufe unterbunden haben, kann über ein langes Wochenende in einem unbesetzten Büro durchaus eine fünfstellige Telefonrechnung zustande kommen.

Die gute Nachricht: Man kann sich relativ leicht schützen. Wer sowieso keine Call-By-Call-Vorwahlen nutzt, kann diese direkt beim eigenen Telefonanbieter deaktivieren lassen, dann hat die Masche der Hacker keine Chance. Auch die Schnittstellen für den Fernzugriff lassen sich in der Anlage deaktivieren, wenn sie nicht gebraucht werden. Falls das doch der Fall ist, sollte man bei der PIN etwas mehr Vorsicht walten lassen und vielleicht nicht 1111 oder ähnliches wählen.

Den meisten Menschen ist mittlerweile bewusst, dass sie im Internet unter ständiger Beobachtung stehen. Der Versandhändler verfolgt, welche Produkte man ansieht, die Suchmaschine beobachtet, nach welchen Begriffen man sucht, der Kartendienst weiß ganz genau, wo man sich gerade befindet und der Browser merkt sich, welche Internetseiten man besucht hat. Soweit, so bekannt. Doch manche Seiten gehen noch ein ganzes Stück weiter, wie Forscher der Universität Princeton nun herausgefunden haben.

Grundlage ihrer Untersuchung ist eine Technik namens Session Replay. Anbieter wie Clicktale, Fullstory, Hotjar, UserReplay, SessionCam, Smartlock oder Yandex bieten ihren Kunden Skripte, die diese auf ihren Webseiten implementieren können. Solche Programme zeichnen alles auf, was der Nutzer auf der Seite macht, sei es bei der Texteingabe oder mit dem Cursor. Ziel ist es, herauszufinden, wie sich Nutzer auf der Website verhalten, um diese noch besser auf die Bedürfnisse der Zielgruppe zuschneiden zu können. Eigentlich ein legitimes Ziel, möchte man meinen. Doch es gibt ein Problem: Die Datensammler-Programme sind ein wenig übereifrig und zeichnen wirklich alles auf, also auch die Eingabe von persönlichen Daten wie Kennwörtern, Nachrichten, Kreditkartendaten oder E-Mail-Adressen. Sogar Texte, die nicht abgeschickt, sondern nur eingegeben oder versehentlich in ein Textfeld kopiert werden, sind vor der Datenkrake nicht sicher. Und es kommt noch schlimmer, denn die gesammelten Informationen werden in vielen Fällen über eine ungesicherte Verbindung in Echtzeit weitergeleitet. Selbst wenn eine Seite die Daten vor dem Senden ordnungsgemäß verschlüsselt, können Angreifer sie abfischen, ohne dass der Nutzer oder der Webseitenbetreiber etwas davon mitbekommt.

Wie viele der meistbesuchten Webseiten weltweit diese Technologie einsetzen, wollten die Forscher aus Princeton genauer herausfinden. Auf mindestens 482 Seiten konnten sie schließlich eines der oben genannten Skripte feststellen, darunter auch auf den Internetauftritten von Microsoft und Adobe. Besonders ärgerlich ist, dass in der Regel kein Hinweis auf den Einsatz erfolgt. So können die Nutzer aber auch nicht selbst entscheiden, ob sie das Risiko eingehen wollen oder nicht. Einen einfachen Schutz per Antivirenprogramm, Ad-Blocker oder Privatsphäre-Einstellung vor den Datensammlern gibt es nicht, lediglich Skript-Blocker hindern sie an ihrer Arbeit. Diese lassen sich als Add-on für viele Browser herunterladen. Allerdings kann es passieren, dass gutartige Skripte ebenfalls blockiert und manche Seiten in ihrer Funktionalität eingeschränkt werden.

Vor wenigen Tagen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Bericht „Lage der IT-Sicherheit in Deutschland 2017“ vorgelegt. Die Ergebnisse zeigen, dass sich die Bedrohungslage im Vergleich zum letzten Lagebericht 2016 nicht verbessert hat. Im Gegenteil: Das Internet of Things (IoT) hat den Cyber-Kriminellen weitere Angriffsmöglichkeiten eröffnet, die diese auch fleißig nutzen. Als die wichtigsten Einfallstore identifiziert das BSI fünf große Bereiche:

1. Sowohl Soft- als auch Hardware ist in vielen Fällen in Bezug auf die Sicherheit qualitativ mangelhaft.
   
   
2. Der Zeitraum zwischen der Entdeckung von Sicherheitslücken und deren Behebung ist zu lang. Das hat mehrere Gründe. Erstens dauert es zu lange, bis die Lücken gemeldet werden, zweitens brauchen die Hersteller zu lange, um Updates zur Verfügung zu stellen. Drittens lassen sich die Nutzer zu viel Zeit, bis sie die Updates einspielen.
   
   
3. Die Bedrohung durch Botnetze nimmt weiter zu. Das liegt auch daran, dass immer mehr IoT-Geräte an die Netzwerke angeschlossen werden. Für Hersteller wie für Konsumenten spielt die Cyber-Sicherheit allerdings keine große Rolle.
   
   
4. Ransomware ist für Kriminelle eine lukrative Einnahmequelle. Das wird durch die sprunghaft angestiegenen Fallzahlen deutlich. Die Anonymität der Zahlung mit Kryptowährungen befeuert diese Entwicklung weiter. Das BSI spricht gar von einer „digitalen Geiselnahme“.
   
   
5. Der Mensch ist und bleibt eine Fehlerquelle für die IT-Sicherheit. Social Engineering, also die gezielte Manipulation von Nutzern, ist weiterhin ein beliebtes Mittel der Cyber-Kriminellen. Besonders die Zahl der Phishing-Angriffe auf einzelne Unternehmen und ihre Mitarbeiter haben in den vergangenen Monaten zugenommen.

Die zunehmende Digitalisierung aller Lebensbereiche – vom Haushalt über den Job bis hin zur eigenen Gesundheit – bringt also nicht nur eine Steigerung von Effizienz und Komfort, sondern stellt uns alle vor neue Herausforderungen und bietet Kriminellen vielfältige Angriffsmöglichkeiten. Der aktuelle Lagebericht zeigt, dass wir an vielen Stellen noch besser aufpassen müssen, um den Hackern das Leben so schwer wie möglich zu machen.

Den kompletten Bericht finden Sie auf der Seite des BSI: https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

Es hat sich mittlerweile herumgesprochen, dass Antiviren-Software allein keinen ausreichenden Schutz vor Malware bietet. Das liegt zum einen daran, dass kriminelle Programmierer sehr schnell arbeiten und immer neue Schädlinge entwickeln oder bereits bekannte Malware so modifizieren, dass sie von den Antivirenprogrammen nicht mehr identifiziert werden kann. Zwar reagieren auch die Hersteller der Schutzprogramme auf diese Entwicklungen. Trotzdem entstehen kurze Zeitfenster, in denen sich die Viren und Trojaner verbreiten können. Zum anderen müssen sich  die lokalen Kopien der Viren-Software auf den einzelnen Computern die neuen Informationen erst einmal holen. Kurz: Es muss ein Update durchgeführt werden, damit die neuste Malware erkannt wird. Ein dritter Faktor wurde bislang jedoch weitgehend unterschätzt, denn viele der Schädlinge verfügen über legitime digitale Unterschriften oder Zertifikate, mit deren Hilfe sie Schutzmaßnahmen umgehen können.

Wie weit der Missbrauch der Unterschriften und Zertifikate geht, haben jetzt Forscher der Universität von Maryland untersucht. Ihre Ergebnisse präsentierten sie auf der ACM Conference of Computer and Communications Security (CCS) in Dallas. Bei 189 Malware-Proben wurden legitime Zertifikate gefunden. Damit können Hacker viele Schutzmechanismen austricksen, indem sie ihre Schadprogramme als harmlose Software ausgeben. Doch wie kann es sein, dass Malware Zertifikate erhält, die ihr Unbedenklichkeit bescheinigen?

In einigen seltenen Fällen, haben die Aussteller der Zertifikate offenbar schlampig gearbeitet. Sie haben zu wenig Sorgfalt bei der Verifizierung walten lassen und sind scheinbar einem Identitätsschwindel aufgesessen, bei dem sich die Hacker als große und seriöse Unternehmen ausgegeben haben. In anderen Fällen wurden Zertifikate einfach übertragen, mit denen bereits eine völlig andere Software legitimiert wurde. Hier ist davon auszugehen, dass die ursprünglichen Besitzer keine Kontrolle mehr über ihre Zertifizierungsschlüssel haben. Ein dritter Faktor betrifft die digitalen Unterschriften. Hier existiert keine zentrale Datenbank, die von den Herstellern von Sicherheitssoftware genutzt werden könnte. Das macht es Kriminellen natürlich einfacher, solche Unterschriften zu fälschen.

Schließlich untersuchten die Forscher, wie wirksam Schutz-Software gegen illegitime Zertifikate ist. Ihr Ergebnis macht leider wenig Hoffnung: Keines der Programme konnte alle präparierten Schädlinge erkennen. Wer sich also beim Schutz des Computers auf eine rein technische Absicherung verlässt, muss sich nicht wundern, wenn er plötzlich doch einen Virus oder einen Trojaner auf dem Computer  hat.

Die Cyber-Kriminellen haben es diesmal auf Personalabteilungen abgesehen: Der Trojaner Ordinypt verschlüsselt scheinbar die Daten auf den Rechnern der Opfer, um Lösegeld zu erpressen. Scheinbar deshalb, weil die Sicherheitsfirma G-Data berichtet, dass es sich bei Ordinypt um einen sogenannten Wiper handelt. Der Trojaner gibt also nur vor, die Daten zu verschlüsseln. In Wahrheit löscht er aber deren Inhalt. Damit haben die Opfer auch nach der Zahlung des Lösegelds keine Chance, ihre Daten wiederzubekommen.

Ordinypt verbreitet sich über Phishing-Mails, die in nahezu fehlerfreiem Deutsch verfasst und direkt an personalverantwortliche Mitarbeiter geschickt werden. Allerdings sind wohl nur Windows-Rechner im Visier der Kriminellen. Ob es ihnen wirklich um das Lösegeld geht oder eher darum, möglichst großen Schaden anzurichten, ist noch nicht klar.

Angesichts der neuen Bedrohungslage sollten Sie jede eingehende E-Mail genau unter die Lupe nehmen. Seien Sie besonders vorsichtig, wenn Sie E-Mails von unbekannten Absendern oder mit ungewöhnlichem Inhalt bekommen.

Darüber, wie wichtig Updates sind, haben wir an dieser Stelle bereits mehrfach berichtet. Nur wer seine Geräte – Handy, Laptop, Fernseher, Tablet etc. – regelmäßig auf den neusten Stand bringt, kann davon ausgehen, dass alle bekannten Sicherheitslücken behoben wurden und die Geräte so gut wie möglich geschützt sind. Problematisch wird es allerdings, wenn keine Updates (mehr) verfügbar sind oder die Aktualisierung nicht automatisch läuft, wie sich bei der kürzlich bekannt gewordenen Sicherheitslücke im WPA2-Verschlüsselungsprotokoll gezeigt hat.

Über die Probleme mit dem WPA2-Sicherheitsstandard haben wir bereits am 17.10.2017 berichtet. Auch darüber, dass neben den Millionen WLAN-Netzwerken weltweit alle Geräte von der Sicherheitslücke betroffen sind, in denen ein WLAN-Chip verbaut ist, war hier schon zu lesen. Grundsätzlich wäre es also kein Problem, diese Lücke mit einem Update zu schließen, was mittlerweile auch viele Hersteller getan haben. Doch gerade bei Routern und Geräten des Internet of Things müssen Aktualisierungen teilweise manuell eingespielt werden, wenn die automatische Update-Funktion nicht aktiviert ist. Damit sind offenbar viele Menschen überfordert.

Zudem problematisch: Längst nicht alle Hersteller haben Updates bereitgestellt und es gibt sie auch nicht für alle Geräte. Insbesondere Android-basierte Smartphones und Tablets, die älter als ein paar Jahre sind, erhalten oft keine frische Software mehr. Bei all diesen Geräten bleibt die Sicherheitslücke bestehen. Und die Nutzer sind sich dessen in vielen Fällen nicht einmal bewusst. Ihnen rät der Entdecker der Lücke, Mathy Vanhoef, nur Verbindungen über HTTPS herzustellen, da diese weiterhin sicher seien. Ein anderer Schutz existiert für Geräte ohne Updates bislang leider nicht. Vanhoef hat außerdem angekündigt, demnächst ein Tool zu veröffentlichen, mit dem man testen kann, ob die Lücke bei den eigenen Geräten bereits geschlossen wurde.

In der vergangenen Woche musste die russische Nachrichtenagentur Interfax ihren Betrieb vorübergehend einstellen. Der Grund: Offenbar haben Kriminelle es geschafft, das Unternehmen mit der neuen Erpresser-Software Bad Rabbit zu infizieren. Um das Programm auf den Rechnern der Nachrichtenagentur einzuschleusen, nutzten sie einen sogenannten Watering-Hole-Angriff. Dabei werden gezielt Webseiten kompromittiert, die die anvisierte Zielgruppe regelmäßig besucht. Wären beispielsweise Versicherungsvertreter im Visier der Hacker, würden sie versuchen, ihren Schadcode auf Seiten wie versicherungsmonitor.de oder pfefferminzia.de zu platzieren. Wie die Tiere in der Steppe ans Wasserloch kommen die Zielpersonen immer wieder zu dieser infizierten Webseite – und fangen sich dort das Virus ein. Der Schadcode kann etwa zu einem Update des Flash-Players auffordern und eine .exe-Datei mit entsprechendem Namen laden. Unnötig zu sagen, dass dahinter natürlich kein Flash-Update steckt. Wer diese Datei ausführt und mit Administratorenrechten unterwegs ist, hat sich den Kryptotrojaner eingefangen.

Auch im Fall von Bad Rabbit gingen die Hintermänner auf diese Weise vor: Sie schmuggelten den falschen Hasen über legitime News-Seiten auf die Rechner der Opfer. Aus den infizierten Webseiten lässt sich ein Schwerpunkt auf osteuropäische Unternehmen ablesen, allerdings ist sich ESET, ein Hersteller von Sicherheits-Software, sicher, dass auch Deutschland in den Fokus der Angriffe rücken könnte. Bislang wurde der Code nur auf einigen wenigen Webseiten festgestellt, wie das Unternehmen Kaspersky berichtet. Inwieweit die Hacker ihre Attacke auf Deutschland ausdehnen werden, bleibt also abzuwarten. 

Auch eine Analyse von Bad Rabbit blieben die Sicherheitsexperten von Kaspersky und ESET nicht schuldig. Dabei zeigte sich, dass das Schadprogramm ein buntes Sammelsurium an bereits bekannter Ransomware sowie legitimer Software ist. In einem Screenshot, der von Kaspersky veröffentlicht wurde, ist beispielsweise ersichtlich, dass einige Codezeilen von Bad Rabbit mit denen von NotPetya (wir haben im Blog darüber berichtet) fast komplett übereinstimmen. Hinzu kommt eine Verschlüsselungsroutine des von ESET hergestellten Verschlüsselungsprogramms DiskCryptor. Bislang ist noch keine Möglichkeit bekannt, einmal mit Bad Rabbit codierte Daten wieder lesbar zu machen, ohne das verlangte Lösegeld zu bezahlen – wovon viele Sicherheitsexperten in solchen Fällen üblicherweise abraten. 

Schutz vor Watering-Hole-Angriffen dieser Art bieten in den meisten Fällen aktuelle Virenscanner. Trotzdem: Wenn ein neuer Schadcode auftaucht, wird dieser vielleicht nicht sofort erkannt. Daher ist es wenig sinnvoll, sich allein auf die Technik zu verlassen. Wer auf Nummer sicher gehen will, installiert keine unbekannten Programme oder Updates, die nicht von offiziellen Seiten stammen und surft nicht mit Administratorenrechten. Wenn dann noch eine gesunde Portion Vorsicht hinzukommt, sollte man vor Ransomware weitestgehend sicher sein.

Wie Sicherheitsforscher nun festgestellt haben, ist es Cyber-Kriminellen erneut gelungen, eine altbekannte Sicherheitslücke auszunutzen, um Schad-Software zu verbreiten.

Nutzern von Smart-Home-Technologien dürfte das Problem bekannt sein: Viele vernetzte Geräte werden mit rudimentären Sicherheitseinstellungen ausgeliefert und anschließend nicht mehr weiter upgedatet. Während das Mirai-Botnetz 2016 noch bestehende Standard-Kennwörter ausnutzte, um Schad-Software zu verbreiten, setzt das neue Netz namens IoT_reaper bzw. IoTroop auf Sicherheitslücken bei IoT-Geräten, die noch nicht gepatcht wurden. Rund 2 Millionen Systeme sollen betroffen sein.

Experten konnten zwar noch keine Attacken feststellen, die von dem neuen Botnetz ausgehen, befürchten jedoch eine massive Angriffswelle. Problematisch diesmal: Nutzer können sich nicht einfach durch geänderte Kennwörter, sondern nur durch Patches schützen. Diese werden jedoch vor allem für günstige Modelle nach Auslieferung gar nicht mehr bereitgestellt.

Ob Bio-Label, TÜV- oder Fair-Trade-Prüfsiegel – Menschen mögen Zertifikate. Solche Qualitätsnachweise geben uns ein gutes Gefühl. Und wir vertrauen darauf. Schließlich würden schlechte Produkte niemals ein Prädikat erhalten, oder? Grundsätzlich richtig, doch bei so manchem Siegel lohnt es sich, genauer hinzusehen. Manchmal können Prüfmethoden Schwächen haben. Das musste jetzt auch das Münchner Unternehmen Infineon feststellen.

Computerchips von Infineon kommen in vielen Produkten zum Einsatz. Von Laptops über die Verschlüsselungstokens YubiKey bis hin zu offiziellen Dokumenten wie dem Personalausweis in Estland oder der Slowakei – sie alle enthalten die Chip-Technik made in Germany. Dort ist sie für verschiedene Verschlüsselungsfunktionen zuständig und nutzt das sogenannte RSA-Verfahren. Das verwendet einen der gängigsten und sichersten Algorithmen für die Codierung von Daten – allerdings nur, wenn es korrekt angewendet wird. Und genau hier liegt das Problem der Infineon-Technologie, wie Sicherheitsforscher aus Tschechien und Slowenien im November auf einer Konferenz zeigen wollen.

Um den Fehler zu verstehen, muss man wissen, wie die RSA-Verschlüsselung funktioniert. Zur Erzeugung eines RSA-Schlüssels werden zwei zufällige Primzahlen generiert. Diese bleiben geheim und müssen so groß sein, dass sie von einem Angreifer nicht einfach erraten werden können. Das Problem dieser Vorgehensweise: Sie braucht ihre Zeit. Um den Vorgang zu beschleunigen, hat Infineon sein eigenes System entwickelt. Obwohl Einzelheiten nicht bekannt sind, wurden dabei offenbar nur bestimmte Primzahlen für die Codierung genutzt – und genau das ist der Haken. Angreifer müssen nur noch diese vom System verwendeten Primzahlen durchprobieren und können so die Verschlüsselung knacken. Das ist zwar teuer und braucht viel Rechenleistung, doch die Investition könnte sich bei sensiblen Zielen lohnen und von denen gibt es viele. Denn auch wenn die bisherigen Schlüssel nicht mehr zum Einsatz kommen, betrifft die Sicherheitslücke sämtliche bislang verschlüsselten Daten.

Doch warum ignorierte Infineon eine der Grundregeln der Verschlüsselung? Nach der sollte ein Algorithmus sich über einen längeren Zeitraum bewährt haben. Ganz einfach: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Infineons Verfahren überprüft und mit einem Zertifikat abgenickt. Und damit wären wir wieder am Anfang: Menschen vertrauen auf solche Prüfsiegel. In diesem Fall kamen zwei Prüfverfahren zur Anwendung: FIPS 140-2 und Common Criteria EAL 5+. Unklar ist, wie das Infineon-Verfahren diese beiden Tests bestanden hat. Noch schweigt das BSI, warum es in diesem Fall den Fehler bei der Erzeugung der RSA-Schlüssel nicht erkannt hat. Auch die Demonstration der beiden Forscher im November steht noch aus. Trotzdem zeigt der Fall, dass auch bei der Vergabe von Sicherheitssiegeln von Zeit zu Zeit Fehler gemacht werden.

Bisher galt WPA2 als sicherste Methode, um den eigenen WLAN-Router vor unbefugtem Zugriff zu schützen. Sicherheitsforscher haben es nun geschafft, mithilfe einer sogenannten Key Reinstallation Attack (KRACK-Attacke) den Sicherheitsstandard zu überlisten.

Angreifer können sich aufgrund eines Fehlers im WPA2-Protokoll in kennwortgeschützte Netzwerkverbindungen einklinken und den kompletten Datenverkehr mitlesen. Neben Millionen WLAN-Netzwerken weltweit sind auch alle Geräte betroffen, die einen WLAN-Chip verbaut haben. Die Lücke kann nur durch Patches der Router-Hersteller behoben werden. Zusätzlich über SSL gesicherte Datenübertragungen sind nicht betroffen. Ebenso kann das WLAN-Kennwort nicht geknackt werden.

Bis Sicherheits-Updates verfügbar sind, sollten Sie insbesondere zur Übertragung sensibler Daten auf verschlüsselte Verbindungen zurückgreifen. Für zusätzliche Sicherheit können Sie eine VPN-Software einsetzen.

Als vor mehr als 100 Jahren in Alaska der Goldrausch ausbrach, machten sich tausende Menschen auf den beschwerlichen Weg über schneebedeckte Berge und eisige Flüsse, um sich ein Stück des sagenhaften Goldschatzes am Klondike- und Yukon-River zu sichern. Unter ihnen waren Glücksritter und Menschen, die sich ein besseres Leben erhofften – aber auch Kriminelle, die meinten an schnelles Geld kommen zu können. Im Internet ist in den letzten Jahren ein neuer Goldrausch ausgebrochen. Allerdings ist das Objekt der Begierde heute kein Goldnugget mehr, sondern Cyberwährung. Dafür muss zwar keiner mehr in die Wildnis ziehen. Doch Bitcoin, Ethereum und Co. werden ebenfalls in mühevoller Kleinarbeit geschürft, nur kommen keine Siebe und Waschpfannen zum Einsatz, sondern tausende von Computern, deren Rechenleistung nach und nach winzige Stücke der Kryptowährungen erzeugt.

Und noch etwas ist ähnlich: Auch der neue Goldrausch lockt Kriminelle an. Bereits vor einigen Wochen haben wir an dieser Stelle auf Angriffe auf MyEtherWallet, einer Art Geldbörse für Bitcoin, aufmerksam gemacht. Jetzt haben Sicherheitsforscher herausgefunden, dass Hacker nicht nur mittels Diebstahl an die digitalen Währungen kommen, sondern auch, indem sie Rechenleistung für das Schürfen der Cyberwährungen abzweigen. In den aktuellen Fällen kam dafür die Software Coinhive zum Einsatz, die von kriminellen Hackern in den Quellcode von Webseiten eingeschleust wurde. Ursprünglich war Coinhive als Programm gedacht, mit dem Webseitenbetreiber Geld verdienen können, ohne auf Werbung oder Bezahlschranken zurückgreifen zu müssen. Doch offenbar funktionierte das fast ein bisschen zu gut, denn die größten Profiteure der Software sind aktuell Hacker. Und Coinhive ist längst nicht das einzige Tool, das für diesen Zweck eingesetzt werden kann. So meldete Kaspersky Lab, dass sie allein in diesem Jahr auf 1,65 Millionen Computern ihrer Kunden versteckte Mining-Tools gefunden hätten.

Nun macht ein wenig gekaperte Rechenleistung von ein paar Computern noch keinen Menschen reich. Doch mittlerweile existieren riesige Bot-Netze, die sich nur dem Mining widmen. Die Fachleute von Kaspersky schätzen, dass sich deren Einkünfte auf rund 30.000 Dollar pro Monat belaufen – eine eher konservative Schätzung. Und noch etwas muss man beachten: Solange der Goldrausch anhält, sind die Verlockungen groß. Einem Mitarbeiter des Sicherheitsteams von IBM zufolge häufen sich in letzter Zeit auch Fälle, in denen Insider die Netzwerke von Firmen zu Schürfzwecken missbraucht haben. Oft handle es sich dabei um Mitarbeiter der IT, die entsprechendes Wissen und die nötigen Zugriffsrechte haben, um die Infrastruktur dafür zu manipulieren.

Die gute Nachricht ist, dass sich Privatpersonen relativ einfach gegen solche Angriffe schützen können, indem sie eine Antiviren-Software mit entsprechender Erweiterung installieren. Dann werden Tools wie Coinminer erkannt. In Netzwerkstrukturen ist es nicht ganz so einfach. Hier hilft nur regelmäßige Kontrolle durch das Mehraugenprinzip.

Der Internetriese Yahoo verfügt in puncto spektakuläre Hackerangriffe über einen beachtlichen Track Record. Beachtlich deshalb, weil das Unternehmen neben den beiden größten bekannten Fällen von Datendiebstahl noch einen dritten Millionenhack verzeichnen musste. Beginn der „Pechsträhne“ war bereits im Jahr 2013, doch erst jetzt wurde das wahre Ausmaß des damaligen Beutezugs im Rahmen einer Untersuchung durch den neuen Eigentümer Verizon bekannt.

Im Dezember vergangenen Jahres musste Yahoo zugeben, dass das Unternehmen 2013 Opfer eines Hackerangriffs geworden war. Betroffen sei etwa ein Drittel der Nutzerkonten, hieß es zu diesem Zeitpunkt. Doch in dieser Woche wurde bekannt, dass dies nur die Spitze des Eisbergs war, denn einer neueren Untersuchung zufolge konnten die Hacker damals die Daten sämtlicher Nutzerkonten in ihren Besitz bringen. Inklusive aller Yahoo-Dienste wie Flickr sind das rund drei Milliarden Datensätze, bestehend aus Namen, E-Mail-Adressen, Geburtsdaten und Telefonnummern. Kreditkartendaten und Klartext-Kennwörter sind offenbar nicht betroffen, dafür allerdings sogenannte Kennwort-Hashes der Kodierung MD5. Dabei handelt es sich um die Prüfsumme einer Zeichenkette, die eigentlich nicht zurückgerechnet werden kann. Allerdings gilt die MD5-Verschlüsselung heute nicht mehr als sicher, da sie bereits geknackt wurde. Zumindest teilweise wurden scheinbar auch verschlüsselte sowie unverschlüsselte Sicherheitsfragen inklusive Antworten zur Wiederherstellung der Konten erbeutet. Bislang ist das der größte bisher bekannte Hack aller Zeiten.

Auch 2014 sollte es für Yahoo nicht wirklich besser laufen, denn erneut wurde das Unternehmen Opfer von Hackern. Mit einer halben Milliarde Nutzerkonten kann dieser Angriff den zweiten Platz der größten Hacks für sich beanspruchen. Erbeutet wurden im Wesentlichen dieselben Daten wie im Jahr zuvor. Und auch 2015 und 2016 entschärfte sich die Lage nicht, denn zum dritten Mal wurde Yahoo gehackt, diesmal mittels gefälschter Yahoo-Cookies. Auch in diesem Fall wurde das wahre Ausmaß der erbeuteten Daten erst später deutlich: Während anfangs noch die Rede von einzelnen gekaperten Konten war, stellte sich später heraus, dass ganze 32 Millionen Konten betroffen waren. Laut Yahoo handle es sich zumindest in den letzten beiden Fällen bei den Hackern um „staatlich finanzierte Angreifer“.

Was können Yahoo-Kunden jetzt nach Bekanntwerden der Hacks tun? Zum einen sollten sie schnellstmöglich ihre Kennwörter und Sicherheitsfragen aktualisieren, damit Kriminelle im Zweifelsfall mit den erbeuteten Daten nichts mehr anfangen können. Gleiches gilt für alle Dienste, bei denen man eventuell die gleichen Fragen oder Kennwörter benutzt hat. Letzteres sollte man im Übrigen gänzlich vermeiden und immer unterschiedliche Kennwörter nutzen, denn sonst erleichtert man kriminellen Hackern das Leben ungemein. 

Schon wieder ist eine neue Ransomware in Umlauf und sorgt für Angst und Schrecken. RedBoot verschlüsselt den Master Boot Record (MBR) von Windows-PCs und modifiziert die Partitionstabelle der Geräte. Das führt dazu, dass Windows nicht starten kann. Stattdessen bekommen die Opfer eine Meldung des Erpressers angezeigt, dass alle Dateien verschlüsselt seien.

Experten haben bislang keine Möglichkeit gefunden, einen Code zur Entschlüsselung einzugeben. Deshalb gehen sie davon aus, dass von RedBoot verschlüsselte Dateien nicht wiederherstellbar sind. Wie genau sich die Ransomware verbreitet, ist derzeit noch unklar. In der Regel verbreitet sich Ransomware allerdings über infizierte E-Mail-Anhänge. 

Moderne Browser haben viele praktische Funktionen, die das Leben für den Nutzer vereinfachen sollen. Dafür speichern sie allerdings allerhand Nutzerdaten – und das kann wiederum zu Datenschutzproblemen führen! So auch beim beliebten Browser Firefox, wie sich jetzt herausstellte. Die Chronik des Browsers kann nämlich nur über Umwege vollständig gelöscht werden, was zur Folge hat, dass Webseiten auf gespeicherte Daten weiterhin zugreifen können.

Firefox nutzt die Speichertechnologie IndexedDB, die im Gegensatz zu Cookies deutlich komplexere Informationen zu Webseiten speichern kann. Und hier liegt das erste Problem: Eigentlich sollte diese Technik vermutlich aktiv vom Nutzer in den Einstellungen aktiviert werden können. In der Realität sieht es jedoch anders aus, denn der Haken beim Feld „Standard verwenden“ lässt sich nicht einfach abwählen. So kommt IndexedDB automatisch zum Einsatz. Das zweite Problem besteht darin, dass sich die gespeicherten Daten nicht einfach über die Chronik löschen lassen. Nutzer müssen dafür einiges Wissen. heise online beschreibt drei Wege, die zum Ziel führen.

Der erste, sehr zeitaufwendige Weg besteht darin, sich die Seiteninformationen im Kontextmenü einer Webseite anzeigen zu lassen. Hier findet sich unter dem Reiter „Berechtigungen“ die Option „Offline-Speicher anlegen“ und darunter wiederum ein Menüpunkt, der die lokale Datenbank löscht. Dieses Spiel muss dann für jede einzelne Webseite wiederholt werden, denn es lassen sich immer nur die zur aktuell aufgerufenen Seite gehörenden Daten löschen. Die zweite Möglichkeit nutzt die Entwicklerwerkzeuge des Firefox. Hier kann man über den Menüpunkt „Storage“ die IndexedDB-Informationen ansehen und zurücksetzen. Zu guter Letzt können Dateien aber auch über den Datei-Manager gelöscht werden, da jede IndexedDB al SQLite-Datenbank gespeichert wird. Darüber hinaus sieht man so, welche Webseiten Informationen auf dem Rechner abgelegt haben.

Wer die IndexedDB-Datenbanken vermeiden will, kann in den privaten Modus des Browsers wechseln, denn dann verweigert dieser die Zusammenarbeit mit IndexedDB. Eine andere Möglichkeit ist, auf die Konfiguration des Firefox zuzugreifen und unter „about:config“ den Schlüssel „dom.indexedDB.enabled“ in „false“ abzuändern. Ansonsten bleibt der Umstieg auf einen anderen Browser, denn die machen zumindest an dieser Stelle weniger Fehler. Doch auch Mozilla entwickelt sich weiter und der Firefox 57 soll die Probleme mit IndexedDB beheben.

Nach dem Bericht der Internetsicherheitsfirma Talos, hat der britische Software-Hersteller Piriform vermutlich wochenlang eine Version seiner Wartungs-Software CCleaner ausgeliefert, in der Unbekannte eine gefährliche Malware versteckt hatten.

Talos schätzt, dass Millionen Geräte betroffen sein könnten. Die Software habe, sobald sie aktiv war, auf den befallenen Systemen Daten gesammelt und versendet. Eigentlich ist der CCleaner ein Programm, das die Leistung von PCs und Android-Smartphones verbessern soll. 

Die Sicherheitsfirma Symantec warnt erneut vor Cyber-Angriffen auf Energiekonzerne durch das Spionagenetzwerk Dragonfly. Bereits 2014 waren die Hacker aufgefallen, weil sie Energieunternehmen ausspioniert und Malware in industrielle Steuerungssysteme eingeschleust hatten. Seit rund zwei Jahren läuft jetzt eine neue Angriffswelle, die in den letzten Monaten an Intensität zugenommen hat. Deutlich wurde der Zusammenhang auch bei einem Vergleich mit der 2014 genutzten Malware, der deutliche Übereinstimmungen ergab. Aus diesem Grund gab Symantec der neuen Attacke auch den Namen Dragonfly 2.0.

Um ihre Ziele zu erreichen, nutzen die Hacker sowohl Spear-Phishing-Strategien als auch infizierte Webseiten, um ihre Spionage-Software zu verbreiten. Damit sollen Log-In-Daten der kompromittierten Systeme abgegriffen werden, die anschließend für Folgeangriffe verwendet werden können. Ein Sprecher von Symantec erklärte außerdem, dass die eingeschleuste Schad-Software Screenshots der industriellen Steuerungssysteme anfertigen kann, wodurch die Kriminellen weitere Informationen für künftige Angriffe erhalten. Darüber hinaus gehören zur Beute von Dragonfly auch PDF- und Word-Dateien, darunter Aufbaupläne der Steuersysteme. Zusammengenommen könnten die Informationen ausreichen, um die Sicherheitssysteme der Energieversorger zu überlisten.

Rund 27 erfolgreiche Angriffe konnte Symantec der neuen Dragonfly-Angriffswelle bisher zuordnen. Mit 20 Energieunternehmen sind vor allem die USA betroffen, aber auch in der Türkei konnten die Hacker mit sechs Unternehmen und in der Schweiz mit einem Unternehmen Erfolge verzeichnen. In Deutschland, den Niederlanden und Belgien waren sie hingegen nicht in der Lage, in die Netzwerke einzudringen. Und beruhigenderweise waren bislang offenbar keine Atomanlagen unter den gehackten Netzwerken. Trotzdem: Energieversorger müssen jederzeit auf einen Angriff vorbereitet sein. Und dabei reicht es nicht, allein die Technik immer weiter auszubauen. Denn im Zentrum effektiver Schutzmaßnahmen steht immer noch der Mensch. Genau hier setzen wir mit unseren Awareness-Schulungen an, denn nur wer sich der Gefahr bewusst ist, kann entsprechend handeln!

Schon seit März 2017 senden Betrüger vermehrt E-Mails mit irreführenden Absenderangaben an mittelständische Unternehmen der Metall-, Automobil- und Lebensmittelindustrie. Sie schlüpfen in die Rolle seriöser britischer Unternehmen und geben Großbestellungen auf. Die Polizei bezeichnet die Methode als „Fake Customer-Trick“.
Dazu benutzen die Täter E-Mail-Absenderadressen, die täuschend echt wirken und auf den ersten Blick kaum als Fälschungen zu erkennen sind. Mit Fachbegriffen und branchenüblichen Formulierungen täuschen sie ernsthaftes Kaufinteresse vor. Ihre sofortige Zahlungsbereitschaft und notwendige Bonität belegen die Betrüger mithilfe gefälschter Bilanzen. 
Die Täter beauftragen via Internet internationale Speditionen und lassen sich die Bestellungen nach Großbritannien liefern – die Zahlungen dafür bleiben allerdings aus.
Nach Informationen des Landeskriminalamts treten die Betrüger verstärkt in Baden-Württemberg auf. Seit Juni 2016 sind allein dort neun Firmen auf den Trick hereingefallen.
Die Opfer lieferten Waren im Wert von rund 25 bis circa 300.000 Euro an die Betrüger – der Gesamtschaden allein in Baden-Württemberg liegt bei knapp einer Million Euro.

Wie können Sie sich vor gefälschten Kundenbestellungen aus dem Ausland schützen?

• Verifizieren Sie Kunden bzw. Bestellungen durch Kontaktaufnahme über Telefon oder E-Mail.
• Wichtig: Benutzen Sie dafür nur Daten, die Sie der Homepage des Kunden entnehmen.
• Benutzen Sie keinesfalls die Kontaktdaten oder den Antwort-Button aus der Mail.
• Informieren Sie die Beschäftigten Ihres Unternehmens über diesen Fake Customer-Trick.
• Erstatten Sie Anzeige bei der Polizei, wenn Sie Opfer wurden oder derartige Bestellungen per E-Mail bei Ihnen eingegangen sind.

Haben Sie in den letzten Tagen mehr Spam-Nachrichten als normalerweise oder sogar Werbeanrufe unbekannter Nummern erhalten? Und verwenden Sie vielleicht Instagram? Dann könnten Sie einer der sechs Millionen Instagram-Nutzer sein, deren Daten vor ein paar Tagen von Hackern erbeutet wurden. Denn eine ungewöhnlich hohe Anzahl an Werbe-Mails von Unternehmen, mit denen man noch nie etwas zu tun hatte, könnte ein Anzeichen dafür sein, dass eine E-Mail-Adresse plötzlich in dubiosen Datenbanken aufgetaucht ist.

Hinter dem aktuellen Instagram-Hack steckt offenbar die Hacker-Gruppe „DoxAGram Team“, die die erbeuteten Datensätze mit Email-Adressen und Telefonnummern im Darknet zum Kauf anbietet. Die Preise starten bei rund 10 US-Dollar, zahlbar in der Kryptowährung Bitcoin. Dafür erhält der Käufer Zugang zur hauseigenen Datenbank von DoxAGram Team, in der sich laut der Webseite „The Daily Beast“ neben den rund sechs Millionen normalen Adressen auch Kontaktdaten von prominenten Nutzern wie Emma Watson, Britney Spears oder Christiano Ronaldo finden lassen.

Doch wie kam es überhaupt zu dem Datenleck? Schuld war offenbar ein Programmierfehler in einer Schnittstelle von Instagram. Dieser wurde zwar unmittelbar nach Bekanntwerden des Angriffs behoben, doch die Kriminellen haben die Zeit bis dahin sinnvoll genutzt und mehrere Millionen Datensätze erbeutet. Zunächst war man bei Instagram noch davon ausgegangen, dass lediglich wenige Promi-Accounts betroffen sind, doch nachdem die DoxAGram-Datenbank im Darknet auftauchte, wurde das gesamte Ausmaß des Hacks sichtbar.

Ob die eigene E-Mail-Adresse ebenfalls betroffen ist, können Instagram-Nutzer beispielweise mit dem HPI Identity Leak Checker des Hasso-Plattner-Instituts überprüfen. Das Tool führt einen Datenbankabgleich durch und stellt fest, ob und welche Daten kompromittiert sind. Wer also die eingangs erwähnten Aktivitäten bei sich feststellt, sollte einen solchen Check in Erwägung ziehen.

Es ist eine gruselige Vorstellung: Der installierte Sprachassistent antwortet scheinbar aus dem Nichts auf unhörbare Befehle, seltsame Fotos der Wohnung tauchen in der Cloud auf, Musik beginnt plötzlich zu spielen und auf der Einkaufsliste finden sich Dinge, die man ganz sicher nicht selbst daraufgesetzt hat. Da kann es einem doch ein wenig mulmig zumute werden. Hat sich jemand in die Wohnung geschlichen? Oder hat sich am Ende sogar ein technikaffiner Geist eingenistet? Wohl eher nicht, denn auch wenn diese Phänomene sich anhören wie ein mittelschwerer Fall von Spuk, könnten sie einfach das Werk von Hackern sein.

Forscher der Universität Georgetown haben bereits vor zwei Jahren auf einer Konferenz gezeigt, dass man die digitalen Assistenten mit Sprachsteuerung durch Befehle manipulieren kann, die für Menschen wie sinnloses Kauderwelsch klingen. So machte der Android-Assistent „Cocain Noodles“ zu „OK, Google“, also dem Befehl, auf weitere Spracheingaben zu warten. Ein Jahr später folgte der Nachweis, dass das auch in einer Umgebung mit Hintergrundgeräuschen möglich ist. In diesem Jahr setzten Forscher der Princeton Universität noch einen drauf. Sie steuerten Android-Handys und den Amazon Echo mit Ultraschallwellen, die zwar von den Mikrofonen der Assistenten und Smartphones aufgefangen und verarbeitet werden können, jedoch für das menschliche Ohr nicht hörbar sind. 

Durchaus hörbar sind hingegen die Reaktionen des Handys oder des Assistenten. Weil diese sich aber nicht wesentlich verändern und damit vorhersagen lassen, könnten Kriminelle sie zumindest in der Theorie durch Gegenschall unterdrücken. Möglich ist das, da ohnehin bereits ein Lautsprecher unter der Kontrolle der Hacker sein muss, um die Befehle per Ultraschall überhaupt erst zu senden. Wie weit entfernt ein solcher Lautsprecher sein muss und ob es vielleicht bei geöffnetem Fenster schon von der Straße aus möglich ist, erwähnen die Forscher nicht. Dafür weisen sie darauf hin, dass ein solches Vorgehen durch die Verwendung von registrierten Stimmprofilen deutlich schwieriger wird. Allerdings nicht unmöglich, denn eine Sprachaufnahme lässt sich bei vielen Menschen einfach durch einen kurzen Anruf machen, entweder durch ein kurzes Gespräch oder einfach von der personalisierten Ansage auf dem Anrufbeantworter. 

Auch wie man sich vor solchen Lausch- und Schallattacken schützen kann, ließen die Wissenschaftler offen. Doch wie überall gilt auch hier: Software aktuell halten, Updates einspielen und grundsätzlich Vorsicht walten lassen.

Cyber Security ist wichtig. Das ist mittlerweile den meisten Unternehmen bewusst. Doch ein hundertprozentiger Schutz ist in der Praxis kaum zu verwirklichen, selbst wenn man eine ausgefeilte Sicherheitsstrategie implementiert, klare Verantwortlichkeiten festgelegt und die Mitarbeiter für die Risiken sensibilisiert hat. Das Restrisiko ließe sich jedoch mit einer sogenannten Cyber-Versicherung abdecken – wenn man eine passende Police fände. Doch damit tun sich die Versicherer noch schwer, wie das Branchenmagazin Versicherungsbote berichtet. 

Laut der Zeitschrift habe zwar eine Studie der Unternehmensberatung KPMG ergeben, dass der Markt mit Cyber-Policen in weniger als 20 Jahren einen ebenso hohen Umsatz erbringen könnte wie heute KFZ-Versicherungen. Trotzdem sei das Angebot noch recht überschaubar. Und Unternehmen scheinen der Notwendigkeit einer entsprechenden Versicherung noch skeptisch zu gegenüberzustehen, denn die Durchdringungsquote liegt bei mageren neun Prozent. Dabei steigen die Risiken – und auch die Kosten – für Hackerangriffe und Schäden durch Schad-Software seit Jahren konstant, bedingt durch die voranschreitende Digitalisierung. Leider wird sich dieser Trend nicht umkehren, sondern im Gegenteil eher noch zunehmen. 2018 tritt zusätzlich eine Neuordnung der Datenschutz-Grundverordnung in Kraft, die die Meldepflichten deutlich verschärfen und die Zahl der Haftungsfälle erhöhen wird.

Nun sind also die Versicherer am Zug: Sie müssen entsprechende Policen konzipieren und auf dem Markt etablieren. Ihr Problem ist allerdings die Risikoeinschätzung. Die aktuellen statistischen Modelle, die in der Versicherungsbranche zur Berechnung von Risikoeinschätzungen zum Einsatz kommen und damit auch die Höhe der Prämien bestimmen, lassen sich auf Cyber-Vorfälle nur bedingt übertragen. Diese Unsicherheit zeigt sich auch bei den derzeit verfügbaren Versicherungen. Während die einen sehr hohe Beiträge fordern und mit einem Puffer arbeiten, haben andere sehr knapp kalkuliert.

Ein weiteres Problem ist der Versicherungsumfang. Sollen nur tatsächliche Schäden abgedeckt werden? Wie sind Haftungsfragen geregelt? Werden Schäden bei Dritten abgedeckt? Und sollte die Versicherung auch bei der Prävention helfen? Experten fordern von einer guten Cyber-Versicherung all diese Komponenten – und haben damit Recht! Insbesondere die Prävention ist ein wichtiger Faktor, der in der Police enthalten sein sollte. Denn damit tun die Versicherer nicht nur ihren Kunden, sondern letztendlich auch sich selbst einen Gefallen.

Die Fake-President-Masche nutzen Kriminelle normalerweise dazu, Gelder von Unternehmen zu erbeuten. Dabei geben sie sich als Mitglied der Unternehmensleitung aus, das z. B. an einem streng vertraulichen Geschäft arbeitet und das Opfer nun mit der Abwicklung einer Transaktion betrauen möchte. Die Kontaktaufnahme erfolgt u. a. per E-Mail; sowohl die Absenderadresse als auch die Signatur sind auf den ersten Blick einwandfrei. Doch das ist nur ein Detail des hinterlistigen Betrugs, der meist sehr gut vorbereitet und hochprofessionell durchgeführt wird. Bei einer gut gemachten Fake-President-Masche arbeiten die Betrüger auch auf der psychologischen Ebene. Sie analysieren die Schreib- und Ausdrucksweise des Chefs und imitieren ihn. Nun wird das Opfer dazu aufgefordert, unter strikter Geheimhaltung einen hohen Betrag auf ein Konto im Ausland zu überweisen.

Nun hat offenbar ein Hacker, der sich auf Twitter @SINON_REBORN nennt, den Fake-President-Trick leicht abgewandelt genutzt um hochrangige Mitarbeiter des amerikanischen Präsidenten Donald Trump hereinzulegen. Laut dem Fernsehsender CNN, der auch die nahezu vollständigen Dialoge veröffentlicht hat, sind sowohl US-Heimatschutzberater Tom Bossert als auch der kurzfristige Kommunikationschef Trumps, Anthony Scaramucci, auf den Scherzkeks hereingefallen. Das Weiße Haus musste die Vorfälle mittlerweile bestätigen.

Im Fall von Bossert gab sich der Hacker als niemand geringeren als Jared Kushner aus, seines Zeichens Berater und Schwiegersohn von Donald Trump. Der falsche Kushner lud Bossert zu einer Soirée ein und versprach „Essen in mindestens vergleichbarer Qualität zu dem, was wir im Irak gegessen haben“. Und natürlich freut sich Bossert über die Einladung und sagt gerne zu. Gleichzeitig gibt er dem vermeintlichen Bekannten auch noch seine private E-Mail-Adresse. Besonders pikant: Tom Bosserts Fachgebiet als Heimatschutzberater ist die Online-Sicherheit.

Bei Anthony Scaramucci machte sich der Betrüger die allgemein bekannte Fehde mit dem ehemaligen Stabschef Trumps, Reince Priebus, zunutze. Unter dem Namen und mit der E-Mail-Adresse von Priebus schrieb er Scaramucci einen Tag nachdem der echte Priebus sein Amt niedergelegt hat:

„Ich hatte mir selbst versprochen, dass ich mir nicht die Hände schmutzig machen würde, aber nachdem ich heute deinen Tweet ‚Bald werden wir sehen, welche Medien Klasse haben und welche nicht‘ gelesen habe, kann ich einfach nicht anders. Dieser Tweet war sogar für deine Verhältnisse atemberaubend heuchlerisch. Du hast dich zu keiner Zeit auch nur halbwegs so verhalten, als hättest du Klasse.“ 

Damit ließ sich der als durchaus heißblütig bekannte Scaramucci natürlich aus der Deckung locken und stieg voll auf die Kommunikation mit dem vermeintlichen Priebus ein. Den ganzen Dialog kann man bei CNN nachlesen. Und damit nicht genug: Der Hacker hatte mit dem ehemaligen Kommunikationschef offenbar ein gutes Opfer gefunden, denn er gab sich in einem weiteren E-Mail-Verlauf als Jon Huntsman Jr. aus, der designierter US-Botschafter in Russland ist.

Der einzige, der scheinbar nicht auf den Hacker hereingefallen ist, ist Eric Trump, der Sohn des Präsidenten. Ihm hatte @SINON_REBORN unter dem Namen seines älteren Bruders Donald Trump Jr. geschrieben, wurde aber schnell enttarnt. Das zeigt: Mit ein wenig Vorsicht und einem gesunden Maß an Misstrauen kann man solche Betrüger entlarven. 

Die Sicherheitsexperten von Kaspersky haben eine neue Version des Banking-Trojaners Svpeng entdeckt. Er befällt Android-Geräte, indem er sich als Flash-Player-App ausgibt und sich bei der Installation die Rechte als Geräteadministrator einräumen lässt. Anschließend hat der Schädling zwei Optionen: Entweder er funktioniert als Keylogger, der jede Eingabe mitprotokolliert und als Bildschirmfoto an die Hintermänner schickt oder er tarnt sich als Standard-SMS-App und kann so SMS versenden und empfangen, Anrufe tätigen und die Kontakte auslesen. Dank der eingeräumten Admin-Rechte erhält der Trojaner aber auch Zugriff auf andere Apps, bei denen er dann mitlesen kann – insbesondere bei Banking-Apps, die sensible Daten verarbeiten, ein riesiges Problem. Das funktioniert sogar bei Apps, bei denen die Screenshot-Funktion ausgeschaltet ist. Daran lässt sich ablesen, wie tief die Malware ins Android-System eingreift.

Besonders erschreckend an dieser neuen Variante von Svpeng: Sie befällt alle Versionen des Android-Betriebssystems, also auch die aktuellste Software Nougat 7.1.2 mit allen Sicherheits-Updates. Laut Kaspersky sind die Fallzahlen derzeit noch gering, doch bereits jetzt ist eine Konzentration auf Russland (29 Prozent) und Deutschland (27 Prozent) zu erkennen. Hat man sich Svpeng eingefangen, sucht das Programm offenbar ganz gezielt nach Apps großer europäischer Banken und fängt die Kommunikation ab. Versucht man den Schädling zu deinstallieren und ihm die Admin-Rechte wieder zu entziehen, hat er beeindruckende Verteidigungsmechanismen an Bord, die jeden Versuch in diese Richtung unterbinden. 

Um sich vor einem derart potenten Schadprogramm zu schützen, muss man einige Sicherheitsregeln beachten. So sollte man nur Apps aus den offiziellen App-Stores herunterladen. Hier haben es Schadprogramme deutlich schwerer. Darüber hinaus sollte man nicht einfach alle Berechtigungsanfragen bei der Installation bestätigen, sondern genau überlegen, ob die App die geforderten Zugriffsrechte tatsächlich braucht. Eine Antiviren-Software auf dem Handy zu installieren und immer auf dem neuesten Stand zu halten ist ebenso empfehlenswert. In diesem speziellen Fall hilft es auch zu wissen, dass der Flash-Player von Android-Geräten schon lange nicht mehr unterstützt wird – eine Flash-Player-App ist daher sinnlos!

Was wiegt schwerer? Das Recht auf informationelle Selbstbestimmung oder die Interessen eines Wirtschaftsunternehmens an der Verwertung personenbezogener Daten? Diese Frage stellt sich aktuell bei den Online-Verzeichnissen von Das Telefonbuch und Das Örtliche. Beide haben sich massenhaft und ungefragt an den Profildaten von Millionen Nutzern verschiedener sozialer Netzwerke bedient und in ihre eigenen Verzeichnisse aufgenommen. Dazu gehören neben den frei zugänglichen Daten wie Namen oder Profilfoto auch Informationen wie Sprachkenntnisse oder der aktuelle Arbeitgeber, die nicht so einfach sichtbar sind. Als Quellen dienen Facebook, Twitter, foursquare und Plattformen mit beruflichen Daten wie Xing oder LinkedIn. Außerdem werden bei telefonbuch.de Bewertungen der hauseigenen Bewertungsplattform GoLocal angezeigt.

Sind die Daten gesammelt, erstellt Das Örtliche einen eigenen Link zur Personenseite. Dieser steht dann bei Suchmaschinen wie Google in direkter Konkurrenz zu den Profilen bei Xing oder LinkedIn und wird womöglich auch noch höher gewichtet, taucht also weiter oben in den Suchergebnissen auf. Für Jobsuchende nicht unbedingt ideal. Hinzu kommt, dass diese Praxis von den Telefonbuchanbietern kaum kommuniziert wird – und wer rechnet schon damit, dass seine Social-Media-Profile nach Daten durchforstet werden, nur weil man der Eintragung ins Telefonbuch zugestimmt hat? 

Die Frage, die sich nun stellt, lautet: Ist dieses Vorgehen der Datenkraken überhaupt legal, insbesondere was die nicht öffentlichen und nur über Umwege erhältlichen Daten anbelangt? Fragt man den zuständigen hessischen Datenschutzbeauftragten, ist das alles kein Problem. Prof. Dr. Michael Ronellenfitsch erklärte gegenüber bild.de, man könne das etwas veraltete Datenschutzgesetz entsprechend „biegen“, damit es dem heutigen Informationszeitalter entspricht. Das zeige auch das Urteil des Bundesverfassungsgerichts zur Lehrer-Bewertungsplattform spickmich.de. 2009 hatte eine Lehrerin mit einer Klage gegen das Portal erreichen wollen, dass die negativen Bewertungen nicht mehr öffentlich zu sehen sind.  

Dieser Einschätzung widerspricht Prof. Dr. Peter Wedde von der Frankfurt University of Applied Sciences im selben Artikel. Er hätte sich gerade vom Datenschutzbeauftragten eine „sehr viel differenziertere Auslegung der einschlägigen Datenschutzvorschriften gewünscht, die das Recht auf informationelle Selbstbestimmung in den Vordergrund stellt und nicht das wirtschaftliche Interesse eines Unternehmens.“ Darüber hinaus wäre das Urteil von 2009 ebenfalls veraltet. Die Unternehmen erklären, dass man lediglich Daten nutze, die in öffentlichen Profilen ersichtlich seien. Darüber hinaus hätten die Nutzer die Wahl, ob sie die Auffindbarkeit in Suchmaschinen erlauben wollen oder nicht. Prof. Dr. Wedde bezweifelt allerdings, ob diese Genehmigung auch Telefonverzeichnisse beinhalte, da diese sich auch nicht Suchmaschine, sondern eben Verzeichnis nennen würden. Daher ist die aktuelle Praxis seiner Einschätzung nach nicht datenschutzkonform.

Das Vorgehen von Das Telefonbuch und Das Örtliche im Netz zeigt einmal mehr, dass man sehr vorsichtig sein sollte, welche Informationen man online zur Verfügung stellt und wozu man seine Genehmigung erteilt. Auch wird klar, wie sehr der Datenschutz im Internet noch in den Kinderschuhen steckt, wenn zwei Fachleute zum selben Sachverhalt so unterschiedliche Meinungen haben. Hier sind Legislative und Judikative gefragt, um derartige Praktiken zu unterbinden. In Frankreich ist das bereits geschehen: Hier dürfen die Online-Verzeichnisse bereits seit 2010 keine Daten aus sozialen Netzwerken sammeln und auf der eigenen Seite aggregieren. 

Wenn man streng nach Anleitung bei der Datensicherung und Erstellung von Back-ups vorgeht, kann eigentlich nichts schiefgehen. Sollte man zumindest meinen. Doch ganz so einfach ist es leider nicht. Das musste auch IT-Journalist Hanno Böck kürzlich feststellen: Er fand eine Datenbank mit rund 200.000 Adressen frei und für jedermann verfügbar im Netz. Die Daten stammten von dem Portal umziehen.de, das von der Deutschen Post betrieben wird. Dort können Nutzer Umzugsmitteilungen mit der neuen Adresse hinterlegen, die dann automatisch an Banken, Versicherungen und andere Dienstleister weitergeleitet werden. Da dieser Service überaus praktisch ist, wird er offenbar gerne genutzt – und entsprechend groß ist die Datenbank der Webseite.  

Auf Nachfrage bestätigte die Post die Sicherheitslücke. Offenbar gelangte die Datenbank im Zuge eines Sicherheits-Updates der Datenbank-Software MySQL durch ein Versehen ins Netz, obwohl man streng nach Anleitung vorgegangen war. Das Problem: In der Dokumentation der Software wird ein Beispiel gezeigt, in dem die Sicherungsdatei dump.sql genannt wird. Dieser Name wurde auch von umziehen.de gewählt. Diese Datei landete durch einen Fehler im Netz und konnte anschließend einfach unter umziehen.de/dump.sql heruntergeladen werden. 

Nach einem Hinweis von Böck entfernte die Post-Tochter die Datenbankkopie schnell aus dem Netz. Allerdings ist umziehen.de längst nicht das einzige Unternehmen, das diesen Fehler begangen hat. Eine Recherche ergab rund 2.000 weitere Fälle weltweit, bei denen Datenbankkopien auf genau die gleiche Weise ins Netz gelangten und heruntergeladen werden konnten. Unter den betroffenen Unternehmen befand sich neben verschiedenen Versandhändlern auch eine Online-Apotheke aus Australien mit 600.000 Datensätzen, die neben der Adresse auch noch die Details der Bestellungen enthielt! 

Nachdem es für Böck nicht besonders schwer war, tausende Datenbanken mit dem Namen dump.sql zu finden, ist davon auszugehen, dass die entsprechenden Dateien in der Vergangenheit bereits heruntergeladen wurden. Diese Vermutung wird auch dadurch gestützt, dass eine Überprüfung der Logdateien seiner eigenen Webseite mehrere entsprechende Suchanfragen ergab. Über seine Ergebnisse informierte der Journalist die betroffenen Unternehmen, auch wenn nicht alle auf seine Warnung reagierten. 

Der Fall zeigt einmal mehr, dass gut gemeint leider nicht immer gut gemacht ist. Selbst wenn man streng nach Anleitung vorgeht und Updates einspielt, kann es zu solchen gefährlichen Missgeschicken kommen. Daher sollte man nicht nur stupide nach Schema F vorgehen, sondern auch bei der IT-Sicherheit mitdenken. 

Ein normaler Staubsauger kommt für viele Hightech-Haushalte heute nicht mehr in Frage. Ein Staubsaugroboter muss es sein. Der Markt bietet mittlerweile viele verschiedene Geräte mit unterschiedlichster Ausstattung – vom einfachen Basisgerät, das nicht allzu intelligent ist, bis zum smarten Superroboter, der immer genau weiß, wo im Raum er sich befindet, sich selbstständig auflädt und die gründliche Reinigung der gesamten Wohnung plant. Zu letzterer Kategorie zählt der Roomba von iRobot, eines der bekanntesten Modelle weltweit. 

Um einwandfrei zu funktionieren, kartiert die Luxus-Variante des Roomba beim Saugen die gesamte Wohnung mittels Infrarot, Laser und anderen Sensoren. „Slam“ nennt iRobot diese Technik, kurz für „Simultaneous localization and mapping“. So weiß der Roboter immer, welche Stellen er bereits gesaugt hat und wo er nach der nächsten Ladepause weitermachen muss. So entstehen Datensätze, die auch von anderen smarten Geräten wunderbar genutzt werden könnten – wohlgemerkt: könnten, denn aktuell dienen sie nur dem Roomba zur Orientierung.

Genau das will iRobot-Chef Colin Angle jetzt ändern und die Daten gewinnbringend verkaufen. Die Anwendungsmöglichkeiten wären vielfältig, erklärt er. Smarte Lautsprecher könnten den Klang an die Akustik des Raums anpassen, smarte Glühbirnen steuern das Licht in Abhängigkeit von Uhr- und Jahreszeit sowie der Lage der Fenster. Der Fernseher passt seine Bildeinstellungen entsprechend an. Das klingt im ersten Moment sinnvoll. Aber damit sind die Anwendungsmöglichkeiten der smarten Grundrisse noch lange nicht erschöpft. Richtig Geld verdienen könnte iRobot, wenn es die Daten an Werbetreibende verkauft. Gesteuert werden soll das ganze Ökosystem mit einer Kommandozentrale wie Amazon Echo, Google Home oder dem Apple HomePod. 

Noch ist das Zukunftsmusik, allerdings hat Angle bereits angekündigt, mit einem dieser drei Anbieter in Verhandlungen über den Kauf der Datensätze zu treten. Ein erster Schritt ist schon getan, denn der Roomba lässt sich bereits über Echo und Google Home steuern. 

Immerhin: Die Daten will iRobot nur mit Einwilligung der Nutzer weiterverkaufen. Doch das Unternehmen hat sich eine Hintertür für solche lukrativen Deals offen gelassen. In seiner Privacy Policy hat es eine Klausel versteckt, die ihm erlaubt, die Daten der Nutzer auch für Werbezwecke an verbundene Unternehmen weiterzugeben. Auch andere Firmen dürfen die Daten mit Einverständnis der Nutzer für Werbung nutzen. Wer dem nicht zustimmen will, darf die firmeneigene App nicht nutzen. 

Ein kleiner Lichtblick für Kunden in Europa ist die EU-Datenschutzverordnung: Sie besagt, dass Nutzer eine freiwillige und vor allem auf den Fall bezogene informierte Einwilligung geben müssen. Zumindest die bisherige Privacy Policy ist damit nicht mehr ausreichend.

Die Schäden durch Cyber-Attacken nehmen immer weiter zu. Allein 2016 lagen sie weltweit bei rund 450 Milliarden Dollar. Trotzdem sind Unternehmen in Europa in diesem Bereich deutlich unterversichert. Zu diesem Ergebnis kommt eine Studie des britischen Versicherungsmarkts Lloyds of London. Für die Untersuchung wurden zwei unterschiedliche Szenarien simuliert: Im ersten Fall wurde der Angriff auf einen Cloud-Anbieter wie Amazon oder IBM angenommen, wodurch die Server der Kunden ausfallen. Den dadurch entstehenden Schaden beziffert Lloyds mit bis zu 53 Milliarden Dollar – also in etwa der Summe, die der Hurrikan Sandy im Jahr 2012 in den USA angerichtet hat. Im zweiten Szenario nutzen Kriminelle Schwachstellen in weit verbreiteter Software aus, wie es bei den kürzlich erfolgten Attacken von WannaCry und NotPetya der Fall war. Die geschätzten Schäden liegen hier bei rund 28,72 Milliarden Dollar.

So erschreckend diese Zahlen an sich bereits sind, es geht noch schlimmer, wenn man sich ansieht, wieviel Prozent der Schadenssumme tatsächlich versichert ist. Bei Szenario eins sind es mit 8,14 Milliarden Dollar gerade mal 17 Prozent. Noch schlimmer sieht es bei Szenario zwei aus: Hier sind es mit nur 2 Milliarden Dollar nochmal 10 Prozent weniger. Greift man die Analogie mit den Naturkatastrophen wieder auf, zeigt sich, wie stark europäische Unternehmen gegen Cyber-Schäden unterversichert sind. Bei Sandy, Katrina und Co. waren zumindest 30 Prozent der Schäden versichert. Das steht in krassem Gegensatz zur Bedrohungslage, immerhin hat das Weltwirtschaftsforum Cyber-Attacken auf Platz 12 der größten Gefahren für Unternehmen eingestuft. Naturkatastrophen liegen hingegen nur auf Platz 20.

Betrachtet man die aktuellen Entwicklungen und die Frequenz, mit der sich schwere Angriffe mittlerweile häufen, sollten sich Unternehmen wesentlich stärker mit dem Thema Versicherungsschutz befassen. Doch auch die Versicherer haben Nachholbedarf und müssen entsprechende Produkte entwickeln. Das ist nicht einfach, da ständig neue Bedrohungen aufkommen und die Datenlage dementsprechend mager ist. Trotzdem: Der Markt für solche Versicherungen ist vorhanden und wird in Zukunft noch weiter wachsen.

Digitale Währungen, auch Kryptowährungen genannt, sind aktuell für viele Anleger das „next big thing“. Während Bitcoin den meisten Menschen inzwischen ein Begriff ist, waren Ripple, Litecoin oder Ethereum bislang hauptsächlich Eingeweihten bekannt. Das ändert sich jedoch allmählich – insbesondere durch die enorme Wertsteigerung, die Ethereum seit Anfang des Jahres erfahren hat (auch wenn der Kurs kürzlich deutlich gefallen ist). Doch es ist nun einmal Fakt: Wo Profite locken, sind Kriminelle nicht weit.

Derzeit versuchen Betrüger verstärkt an Ethereum, kurz Ether, zu gelangen. Ihr Masche: Sie verleiten Nutzer der Wallet-App MyEtherWallet dazu, ihre Zugangsdaten auf einer Fake-Seite einzugeben. Damit können sie dann ganz bequem die digitalen Konten abräumen. Da der Transfer von Kryptowährung weitgehend anonym von statten geht, ist die Gefahr erwischt zu werden relativ gering.

Die Kriminellen machen sich für ihre Masche die Kommunikationsgewohnheiten der Kryptowährungs-Community zu Nutze und sprechen ihre Opfer über reddit und den Teammessenger Slack an. Beide Dienste sind in der Szene sehr beliebt, um sich auszutauschen, zu diskutieren, neue Projekte anzustoßen oder mit Investoren und Nutzern zu kommunizieren. Die verschickten Nachrichten folgen alle demselben Schema: Ein Nutzer warnt davor, dass MyEtherWallet gehackt wurde und er dadurch eine hohe Summe Ethereum verloren hätte. Um sich davor zu schützen, solle man sich auf myetherwallet.com einloggen und das Guthaben auf ein anderes Konto transferieren. Wer auf den Link in der Nachricht klickt und sich auf der Seite anmeldet, schickt seine Zugangsdaten allerdings direkt an die Kriminellen, die dann den letzten Schritt – die Überweisung des Geldes auf ein anderes Konto – übernehmen.

Die Entwickler von MyEtherWallet warnen vor den Nachrichten, bei denen es sich eigentlich um nichts anderes handelt als eine ganz normale Phishing-Masche. Nur landen die Nachrichten nicht per Mail direkt im Spam-Ordner, sondern werden über von der Zielgruppe genutzte Kanäle verschickt, hier also Slack und Reddit. Auch wenn einem Außenstehenden dieser Unterschied marginal vorkommt, so scheint er doch zum Erfolg zu führen. So unglaublich das bei vermeintlich internetaffinen Menschen auch erscheint.

Aktuell sucht MyEtherWallet nach einem Anwalt, der die in Russland registrierte URL wegen Urheberrechtsverstößen blockieren lassen kann. Bis dahin bleibt den Nutzern des Dienstes nur, wachsam zu sein und derartige Nachrichten zu ignorieren. Hilfe kommt allerdings auch aus den eigenen Reihen: Mehr als 200 Nutzer haben die Seite der Kriminellen mit falschen Daten gefüttert, um sie damit zu beschäftigen, echte von unechten Daten zu unterscheiden. So haben die Opfer ein wenig Zeit, ihr Geld in Sicherheit zu bringen. 

Nicht immer muss ein Hacker-Angriff gleich böse Folgen haben. Manchmal handelt es sich auch nur um einen Warnschuss. Einen solchen erhielt die Supermarktkette Rewe kürzlich von Dominik, der auf Twitter unter dem Namen @DomsePlay aktiv ist. Ihm war auf einem Monitor in seinem lokalen Rewe-Markt ein Pop-up-Fenster der Software TeamViewer aufgefallen, in dem Benutzername und Kennwort für das interne Rewe-System sichtbar waren, für alle Passanten gut les- und nutzbar.

Für Dominik war das quasi eine Einladung, sich doch einfach mal mit den angegebenen Daten anzumelden. Doch anstatt im System Schaden anzurichten oder Schabernack zu treiben, hinterließ der nette Hacker von nebenan nur eine gutgemeinte Nachricht:

„Liebes Rewe-Team:

Bitte achten Sie doch auf Ihre IT-Security.

Gerne bin ich Ihnen dabei behilflich.

Viele Grüße,

Dominik“

Doch ganz so glimpflich sollte der Supermarkt dann doch nicht wegkommen, denn aus Schaden wird man bekanntlich klug: Die freundliche Nachricht war nach dem Senden auf allen Bildschirmen der Filiale zu sehen – und die entsprechenden Fotos der Aktion verbreitete @DomsePlay mit der Nachricht „Bitte steckt mich nicht in den Knast“ über Twitter, wo er für seinen „Hack“ gefeiert wird. Die Supermarktkette reagierte schnell, ebenfalls über Twitter, und fragte nach der Marktadresse und Dominiks Kontaktdaten, um den Hinweis entsprechend weiterzuleiten. Wie es danach weiterging, ist leider nicht bekannt. Die Bilder finden sich auf Twitter unter https://twitter.com/DomsePlay.

So lustig sich die Geschichte jetzt anhört, so ernst ist der Hintergrund. Hacker-Attacken werden zunehmend zu einem Problem und der allzu sorglose Umgang mit der IT-Sicherheit macht es den Kriminellen leider immer noch viel zu leicht. So ein Fauxpas darf einfach nicht passieren, denn ein weniger wohlmeinender Kunde hätte den Zugang zum internen Rewe-System auch ganz anders nutzen können. Von daher kann man dem Rat „Bitte achten Sie doch auf Ihre IT-Security.“ nicht genug zustimmen.

Wieder sorgt ein Kryptotrojaner für massive Probleme – und zeigt gleichzeitig, dass zu viele Unternehmen und Behörden trotz der deutlich verschärften Bedrohungslage immer noch unvorbereitet auf diese Art der Kriminalität sind. Derzeit scheint sich der Verdacht zu erhärten, dass bei dem Angriff eine neue Version der bereits bekannten Ransomware Petya zum Einsatz kommt – die u. a. dieselbe, längst bekannte Schwachstelle ausnutzt wie der Kryptotrojaner WannaCry, der im Mai hunderttausende Rechner infizierte.

Wie wichtig es für Unternehmen ist, neben einem professionellen Patch-Management auch ein professionelles Rechtemanagement für Admin- und Systemkonten umzusetzen, wird seit Anfang der Woche mehr als deutlich: Eine Angriffswelle mit einem sogenannten Kryptotrojaner, also einer Schad-Software, die die Daten der gekaperten Rechner und Netzwerke verschlüsselt, führt seit Dienstag zu weltweiten Ausfällen. Neben großen Unternehmen wie dem Lebensmittel-Riesen Mondelez, dem russischen Ölkonzern Rosneft und dem Pharmaunternehmen Merck in den USA sind auch zahlreiche Banken und Behörden betroffen. Rund 60 Prozent der Angriffe spielten sich in der Ukraine ab, wo nicht nur die Geldautomaten der staatseigenen Sparkassen und der Flughafen in Kiew von Ausfällen betroffen sind. Auch die Agentur für die Verwaltung der Sperrzone in Tschernobyl – also diejenige Agentur, die den Austritt der Radioaktivität am havarierten Reaktor überwacht und dort für die Sicherheit zuständig ist. Zwar wurde schnell betont, dass alle wichtigen technischen Systeme normal funktionierten. Trotzdem ist die Vorstellung eines Hacker-Angriffs auf ein Atomkraftwerk nicht gerade beruhigend.

Das Perfide an diesem Trojaner ist, dass er nicht nur die Daten verschlüsselt, sondern zum Teil auch verhindert, dass Computer booten. Bei einigen unserer Kunden sind fast 100% der Rechner befallen und nicht einmal die Back-up-Systeme booten mehr. Dann besteht häufig nur noch eine Chance: Das Lösegeld zu zahlen und auf die Freigabe der Daten zu hoffen – Garantien gibt es keine.

Und vor diesem Hintergrund ist die Sperre des Postfachs der Kriminellen durch den Anbieter Posteo zwar verständlich. Kriminalität möchte man nicht unterstützen, allerdings kann dieser Schritt den Unternehmen, die keinerlei Zugriff mehr auf ihre Daten haben und deren letzte Hoffnung die Zahlung des Lösegelds gewesen wäre, den letzten Rettungsanker nehmen.

Die Sperrung des Postfachs und damit verbunden die Unmöglichkeit der Lösegeldzahlung ist für viele Unternehmen eine Katastrophe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt zwar, keinesfalls die geforderten 300 Dollar in Bitcoin zu zahlen, da man das Geschäftsmodell nicht unterstützen soll. Doch dieser Aufruf geht leider an der Realität vorbei. Wenn Unternehmen keinen Zugriff mehr auf ihre Daten haben, sind existenzbedrohende Konsequenzen zu befürchten.

Angesichts der schnellen Ausbreitung und gravierenden Folgen des neuen Trojaners rief das BSI Unternehmen außerdem dazu auf, ihre Systeme schnellstmöglich auf den neusten Stand zu bringen, um alle bereits bekannten Sicherheitslücken zu schließen. BSI-Präsident Arne Schönbohm erklärte: „Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben.“ Damit hat Herr Schönbohm recht, denn in vielen Fällen von Cyber-Kriminalität hapert es nicht an den technischen Möglichkeiten, um die Attacke abzuwehren, sondern an deren Umsetzung in der Praxis und an leider allzu menschlichen Fehlern. Natürlich ist es aufwendig, Updates in einem großen Netzwerk einzuspielen und ja, manchmal muss man danach auch andere Programme entsprechend anpassen. Auch Schulungen, bei denen die Mitarbeiter für das Thema sensibilisiert werden, sind erstmal ein gewaltiger Zeitaufwand. Diese Investitionen lohnen sich aber doppelt und dreifach, wenn sie eine Cyber-Attacke abwehren.

Rund 3.500 Kunden des südkoreanischen Hosters Nayana dürften kürzlich einen Schreck bekommen haben: Ihre Webseiten waren plötzlich nicht mehr verfügbar. Weg.  Unauffindbar. Wer schon einmal eine Homepage entwickelt, aufgesetzt und  gepflegt hat, weiß, wie viele Arbeitsstunden dafür nötig sind, bis die Webseite so ist, wie man sie sich vorstellt. Und die ganze Arbeit sollte jetzt einfach weg sein? Für Unternehmen eine Katastrophe. Wie konnte es dazu kommen? 

Schuld an der Misere ist die Erpresser-Software Erebus in einer bislang unbekannten Linux-Version. Sie verschlüsselte die Daten auf 153 Linux-Servern des Hosters und machte die Webseiten damit unerreichbar. Für die Freigabe der Daten verlangten die kriminellen Hintermänner zunächst 4,4 Millionen US-Dollar. Ganz so teuer wurde es dann aber wohl doch nicht, denn am Ende einigte man sich auf die Zahlung von einer Million US-Dollar, wie Nayana verlauten ließ. Jetzt arbeitet das Unternehmen mit Hochdruck daran, die verschlüsselten Daten wieder freizugeben. Doch dieser Prozess ist langwierig und zu allem Überfluss scheint es unerwartete Schwierigkeiten zu geben. 

Doch wie kam Erebus auf die Server des Hoster? Wahrscheinlich hat es Nayana mit den Updates nicht so genau genommen, denn auf den betroffenen Servern kam der veraltete Linux-Kernel 2.6.24.2 zum Einsatz. Dieser stammt aus dem Jahr 2008, ist also inzwischen neun Jahre alt. Dementsprechend wurden mittlerweile einige Sicherheitslücken wie die Dirty-Cow-Lücke bekannt. Noch antiquierter sind die vermutlich installierten Apache- und PHP-Versionen, die laut den Sicherheitsforschern von Trend Micro etwa elf Jahre alt seien. Und zu allem Überfluss soll auch noch eine veraltete und angreifbare Version von Struts, einem Open-Source-Framework für die Präsentations- und Steuerungsschicht von Java-Webanwendungen, zum Einsatz gekommen sein. Für die war erst vor Kurzem ein Sicherheits-Update ausgeliefert worden. 

Der Fall zeigt einmal mehr, dass das Bewusstsein für die Gefahren durch Cyber-Kriminalität selbst bei IT-Spezialisten noch längst nicht so hoch ist, wie es eigentlich sein müsste. Insbesondere Updates der in einem Netzwerk zum Einsatz kommenden Programme sind häufig aufwendig, wenn sie zentral auf allen Rechnern eingespielt oder wenn eigene Programme danach ebenfalls aktualisiert werden müssen. Trotzdem führt daran eigentlich kein Weg vorbei, denn sonst kann es teuer werden – wie Nayana jetzt am eigenen Leib erfahren musste.

Diese Woche gab es eine Überraschung am Microsoft Patchday: Völlig unerwartet veröffentlichte der Software-Riese eine Aktualisierung für Windows XP und Vista. Bereits vor einigen Wochen, nach der massiven Attacke durch die Schad-Software WannaCry, hatte Microsoft auch für die veralteten Windows-Versionen ein Update veröffentlicht – obwohl der Support für XP und Vista eigentlich eingestellt ist. Jetzt gibt es einen neuen Patch, der weitere Sicherheitslücken schließt, die nach Angaben des Konzerns im Zusammenhang mit dem außerplanmäßigen Update entdeckt wurden.

Microsoft sah sich offenbar angesichts der gestiegenen Bedrohungslage nach der rapiden Ausbreitung von WannaCry zu diesem Schritt gezwungen und bestätigte ein „erhöhtes Risiko“ für Windows-Nutzer. Das Unternehmen rechnet scheinbar damit, dass Attacken wie WannaCry in Zukunft zunehmen und will seine Nutzer schützen – auch wenn es damit den eigenen Update-Grundsätzen widerspricht. Das ist lobenswert. Denn auch in Redmond weiß man, dass leider immer noch hunderttausende Rechner mit den veralteten Betriebssystemen aktiv sind und sich das auch in absehbarer Zeit nicht ändern wird – trotz aller Warnungen und Sicherheitsvorfälle.

Insbesondere für Unternehmen ist es mittlerweile dennoch unverantwortlich, weiter auf Windows XP oder Vista zu setzen. Ransomware wie WannaCry ist längst nicht die einzige Bedrohung, die durch die vielen inzwischen bekannten und noch nicht geschlossenen Sicherheitslücken entsteht. Die Alternative ist der Zukauf von außerordentlichem Support von Microsoft. Doch der ist teuer, und früher oder später wird man an einer Umstellung auf ein aktuelles Betriebssystem nicht vorbeikommen. Also warum diesen Schritt nicht beschleunigen? Sich darauf zu verlassen, dass Microsoft weitere Updates für XP und Vista veröffentlich, wäre ein großer Fehler.

Stellen Sie sich vor, Sie erhalten folgende Nachricht: „Wir haben Ihren Herzschrittmacher gehackt. Zahlen Sie Summe X, um die Kontrolle zurückzuerhalten.“ Zur Bekräftigung der Forderungen erhalten Sie einen kleinen Stromschlag. Wer würde es da nicht mit der Angst zu tun bekommen? Und im Gegensatz zu „herkömmlicher“ Ransomware würden die Kriminellen es bei solch einem Hack vermutlich nicht bei dem lächerlichen Betrag von einem Bitcoin belassen, denn das eigene Leben dürfte den Opfern wohl ungleich mehr wert sein als verschlüsselte Daten. Ein undenkbares Horrorszenario, meinen Sie? Leider nein. Ein solcher Fall ist durchaus möglich, wie die Sicherheitsexperten von WhiteScope jetzt herausgefunden haben.

Mehr als 100.000 Herzschrittmacher werden in Deutschland jährlich implantiert. Je nach Belastung verbleibt das Gerät zwischen sechs und zehn Jahren im Körper des Patienten, bevor die Batterie leer ist und es ausgetauscht werden muss. In Cybersecurity-Jahren gerechnet ist das eine halbe Ewigkeit. Die meisten der heute eingesetzten Geräte lassen sich von außerhalb des Körpers durch ein externes Steuergerät programmieren, womit wir bereits bei einem der von WhiteScope identifizierten Probleme sind. Sieben Herzschrittmacher und die dazu passenden Programmier- und Steuereinheiten von vier Herstellern haben die Experten für die Studie geprüft – und sind schnell fündig geworden: Über 8.000 (!) Sicherheitslücken wurden identifiziert. 

Problem Nummer 1: Die genutzten Betriebssysteme sind völlig veraltet. So fanden die Sicherheitsforscher in den Steuereinheiten Windows XP, DOS und sogar OS2! 

Problem Nummer 2: Alle Hersteller setzen auf zugekaufte Programmbibliotheken von Drittanbietern, die aktuell gehalten werden müssen. Bei Herzschrittmachern ergibt sich dabei ein Problem. Der Drittanbieter muss die Aktualisierung der Bibliothek bereitstellen. Soweit klappt das meist noch, zumindest für einige Jahre. Dann muss der Hersteller des Schrittmachersystems seine Software aktualisieren und das Update ausliefern. Dann folgt Stufe drei: Die behandelnden Ärzte müssen das Update einspielen und ihre Patienten auf das Update aufmerksam machen, denn die haben oft auch zu Hause ein Überwachungsgerät. Zuletzt muss der Patient die Aktualisierung durchführen. Auf jeder dieser Stufen dürfte es zu Streuverlusten kommen. Wenn man zusätzlich das Alter vieler Herzpatienten bedenkt, stellt insbesondere die letzte Stufe ein Problem dar. 

Problem Nummer 3:Die Steuerungseinheiten verbinden sich automatisch mit den dazugehörigen Schrittmachern – und zwar mit allen Schrittmachern des Herstellers innerhalb der Reichweite. Ein Log-in mit einem Kennwort oder eine weitere Sicherheitsstufe ist nicht eingeplant. Entsprechende Geräte kann man problemlos für einen erschwinglichen Preis im Internet kaufen. Bei den meisten getesteten Geräten war lediglich eine gewisse räumliche Nähe nötig, um die Steuerungseinheit mit dem eigentlichen Schrittmacher zu verbinden – und bei einigen nicht einmal das. Denn sie tauschen ihre Daten mit einem Cloud-Speicher aus, über den eigentlich der behandelnde Arzt auf die Patientendaten zugreifen soll.

Noch ist kein Fall bekannt, bei dem ein Herzschrittmacher von Kriminellen gekapert wurde. Auch WhiteScope legt die Sicherheitslücken in seiner Studie nicht offen, um die Patienten zu schützen. Trotzdem zeigt der Fall eindrücklich, dass die Hersteller von Medizinprodukten dem Thema Cyber-Sicherheit noch nicht den nötigen Stellenwert einräumen. Sie müssen dringend dazulernen, um die Sicherheit ihrer Kunden nicht zu gefährden.

Seit rund einem Jahr regelt eine Verordnung, welche Unternehmen aus den Bereichen Energie, IT, Telekommunikation, Wasser und Ernährung unter das 2015 eingeführte IT-Sicherheitsgesetz fallen. In dieser Woche legte das Kabinett nun nach und präsentierte die entsprechende Verordnung für die noch fehlenden Branchen Transport, Verkehr, Finanzen, Versicherungen und Gesundheit. Damit gelten nun deutlich mehr Unternehmen und Einrichtungen als kritische Infrastrukturen und sind von den Regularien des IT-Sicherheitsgesetzes betroffen.

Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) definiert die betroffenen Unternehmen folgendermaßen: „Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Bislang fielen 730 Anlagen in diese Kategorie. Mit der neuen Verordnung erhöht sich diese Zahl um 918 Unternehmen auf 1648. 

Auf das Gesundheitswesen entfallen davon 110 Krankenhäuser sowie 151 Einrichtungen zur Medikamentenversorgung. Im Finanzsektor sind 176 Anlagen für die Bargeldversorgung und 113 Versicherungsdienste betroffen. Für den Verkehrsbereich wurden 56 Anlagen im Schienen- und 79 im Straßenverkehr als KRITIS identifiziert. All diese Unternehmen unterliegen jetzt dem IT-Sicherheitsgesetz und damit besonderen Meldepflichten über Cyber-Attacken. Innerhalb eines halben Jahres müssen sie eine zentrale Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI) einrichten und innerhalb von zwei Jahren einen Mindeststandard an IT-Sicherheit umsetzen und nachweisen.

Diese Mindeststandards sind auch dringend notwendig. Erst im vergangenen Jahr bestätigte Yukiya Amano, der Generalsekretär der Internationalen Atomenergie-Organisation (IAEO), dass es bereits mehrfach Hacker-Attacken auf Atomanlagen gegeben habe. Zwar sei der Betrieb nur in einem Fall gestört worden. Allerdings reicht das gerade in diesem Bereich aus, um eine Katastrophe von weltweitem Ausmaß zu provozieren. 

Doch eigentlich sollten die geforderten Mindeststandards nicht nur in Unternehmen der KRITIS-Kategorie gelten. Auch alle anderen Institutionen müssen sich der Gefahren durch Cyber-Angriffe bewusst sein und entsprechende Maßnahmen ergreifen – im eigenen und im Interesse ihrer Kunden. 

Wer sich ein Video oder einen Film in einer fremden Sprache ansehen möchte, ist dankbar für die Untertitelfunktion. Doch dass diese kleinen praktischen Textfelder eine Sicherheitslücke darstellen könnten, daran dachte kaum jemand – bis jetzt, denn die Sicherheitsfirma Check Point hat herausgefunden, dass genau diese Untertiteldaten bei vielen Mediaplayern als Einfallstor für Schadcode genutzt werden können. Auch beliebte Player wie VLC, Popcorn Time und Kodi sollen betroffen sein. Insgesamt spricht das Unternehmen von etwa 200 Millionen Nutzern.

Offenbar lassen sich die im Video mitgelieferten Untertiteldateien manipulieren, wodurch die Kriminellen Schadcode einschleusen können. Wie genau das funktioniert, erklärt Check Point nicht, um keine neue Angriffswelle zu provozieren. Vermutlich bereinigen die Mediaplayer die mitgelieferten Daten nicht auf unerwünschte Befehle, sondern führen die Untertitel einfach ungeprüft aus. Verschärft wird die Problematik dadurch, dass es kein einheitliches Format für Untertiteldateien gibt. Check Point spricht von 25 unterschiedlichen Varianten, alle mit anderen Funktionsweisen. Dadurch ist es aufwendig, Schutzmechanismen in die Mediaplayer zu integrieren.

Für den Nutzer ist es kaum möglich, sich vor einem Video mit verseuchten Untertiteln zu schützen. Da auch im beruflichen Kontext häufig Video-Tutorials zur Anwendung kommen, besteht hier möglicherweise eine nicht zu unterschätzende Gefahr. Weil Arbeitsplatzcomputer häufig nicht über die technische Voraussetzung zur Sound-Wiedergabe verfügen, könnte diese Einfallmöglichkeit für Kriminelle gerade am Arbeitsplatz neue Wege eröffnen. Wer die Untertitel eines solchen Films aktiviert, führt damit nämlich gleichzeitig den Schadcode aus, ohne es zu merken. Und selbst das ist in einigen Fällen nicht nötig, denn viele Mediaplayer beziehen mit den Grundeinstellungen die Untertiteldateien aus vertrauten Verzeichnissen automatisch. So liegen die Daten schon vor, noch bevor sich der Nutzer entschließt, sie zu nutzen. Für eine potenzielle Angriffswelle benötigen Hacker also nur noch ein Video zu einem beliebten Thema, mit einer Tonspur in einer wenig verbreiteten Sprache, eine entsprechend präparierte Untertiteldatei sowie möglichst gute Bewertungen in den Videoportalen, um Nutzer anzulocken.

Einige Hersteller der genannten Mediaplayer haben inzwischen auf die Warnungen von Check Point reagiert und aktualisierte Versionen bereitgestellt, bei denen die Sicherheitslücke behoben ist. Wer also Popcorn Time, Kodi, Streamio oder den beliebten VLC-Player nutzt, sollte schleunigst auf die aktuellste Version der Software umsteigen. Die entsprechenden Updates sind auf den jeweiligen Webseiten zu finden.

Eine globale Cyber-Attacke sorgt seit Freitagabend weltweit für Schrecken. Seit den ersten Meldungen aus Großbritannien hat sich die Erpresser-Software WannaCry weltweit sprunghaft ausgebreitet. Nicht nur Privatpersonen, sondern vor allem große Unternehmen und Institutionen sind betroffen: Der National Health Service in Großbritannien konnte in den angegriffenen Krankenhäusern und Praxen seine Patienten nicht mehr versorgen und musste sie in andere Kliniken umleiten oder nach Hause schicken. Reisende in Deutschland mussten sich bei der Deutschen Bahn mit ausgefallenen Anzeigetafeln und Fahrkartenautomaten herumschlagen und in Spanien und Portugal waren die Telekommunikationsunternehmen Telefónica und Portugal Telecom betroffen.

Von Schweden bis Taiwan häuften sich über das Wochenende die Meldungen über angegriffene Unternehmen. Doch wie kann man sich vor einer solchen Attacke schützen? Nun, zum einen, indem man ein aktuelles Betriebssystem benutzt und regelmäßig alle Sicherheitsupdates einspielt. Von der aktuellen Attacke mit WannaCry waren beispielsweise nur Rechner mit Betriebssystemen betroffen, die von Microsoft nicht mehr mit Patches versorgt werden. Und zum anderen, indem man mit offenen Augen im Netz unterwegs ist, also keine Anhänge unbekannter Herkunft öffnet oder dubiose Links anklickt. Auch regelmäßige Sicherungskopien auf externen Speichern helfen im Schadensfall, denn so lässt sich zumindest ein großer Teil der Daten wiederherstellen.

Diese Vorsichtsmaßnahmen gelten natürlich nicht nur im Zusammenhang mit WannaCry, denn auch wenn die Ausbreitung des Kryptotrojaners aktuell gestoppt wurde, können sich die Nutzer sicher sein, dass früher oder später der nächste Angriff erfolgt. So hat die Hacker-Gruppe Shadow Brokers, die auch die Sicherheitslücke hinter WannaCry bekannt gemacht hat, bereits angekündigt, dass sie noch einiges in Petto hat. Nach einem Social-Media-Post will die Gruppe im Juni weitere Sicherheitslücken bekannt machen. Welche das sind, lassen die Hacker offen, allerdings sollen sowohl Browser und Router als auch das Betriebssystem Windows 10 betroffen sein. Der Plan der Kriminellen ist ein Abo-Modell, bei dem andere Hacker einen Betrag X zahlen und dafür regelmäßig neue Exploits geliefert bekommen. Außer es findet sich bis Juni ein zahlungskräftiger Kunde, der das Paket in einem kauft. Angeblich verfügen die Shadow Brokers außerdem über Netzwerkdaten des SWIFT-Bankensystems und Daten aus den Atom- und Raketenprogrammen von Nord Korea, Iran, China und Russland. Das mag stimmen oder auch nicht – sicher ist jedoch, dass WannaCry nicht der letzte Cyber-Angriff dieser Größenordnung sein wird. Sowohl Unternehmen als auch Privatpersonen tun also gut daran, bereits jetzt die passenden Schutzmaßnahmen zu ergreifen und auf aktuelle Betriebssysteme umzusteigen.

Wird eine Sicherheitslücke als „This is crazy bad“ und „worst Windows remote code exec in recent memory“ bezeichnet, dann muss es wirklich schlimm sein. Die Sicherheitsforscher Tavis Ormandy und Natalie Silvanovich von Googles Project Zero haben solch eine Lücke in der vergangenen Woche in der Antiviren-Engine des Windows-Betriebssystems gefunden. Auf Twitter machte Ormandy sich mit den oben genannten Sätzen Luft. Doch im Gegensatz zu den letzten Enthüllungen von Project Zero konnte Microsoft den Fehler vor dem Bekanntwerden der Details über ein ungeplantes Update beheben.

Die Sicherheitslücke wurde in der Malware Protection Engine, die seit Windows 8 standardmäßig aktiviert ist und von Microsoft Defender genutzt wird, gefunden – also ironischerweise in einem Teil des Betriebssystems, das vor Viren und anderer Malware schützen sollte. Durch einen sogenannten Type-Confusion-Fehler werden die Eingabewerte bei der Überprüfung von JavaScript-Codes nicht ausreichend analysiert. Dieser Check erfolgt bei jedem Dateizugriff. Das wiederum führt dazu, dass Kriminelle lediglich eine infizierte Datei auf einen Rechner schmuggeln müssen, um die Kontrolle zu übernehmen.

Microsoft hat die Lücke inzwischen über ein Notfall-Update für alle Betriebssysteme ab Windows 7 geschlossen. Wer also die automatischen Updates aktiviert hat, muss sich keine Sorgen darüber machen, dass Kriminelle diese Sicherheitslücke ausnutzen könnten. Ist man allerdings nicht sicher, lohnt sich ein Blick in die Update-Historie. Dort sollte die aktuelle Defender-Version .1.13704.0 installiert sein. Ist sie das nicht, kann man das Update auch manuell anstoßen, indem man den Windows Defender startet und ihn nach Updates suchen lässt.

Zusätzlich zu diesem außerplanmäßigen Update stand am Dienstag auch der reguläre Microsoft Patchday an, bei dem weitere sicherheitsrelevante Updates ausgeliefert wurden. Zum Beispiel für die Webbrowser Edge und Internet Explorer oder den Flash Player. Dass Microsoft trotz der zeitlichen Nähe zum regulären Patchday auf die Erkenntnisse von Project Zero regiert hat, zeigt, wie gravierend die nun geschlossene Sicherheitslücke offenbar war.

Es ist die Horrorvorstellung eines jeden Bankkunden: Plötzlich ist das Konto leergeräumt oder noch schlimmer, steht weit in den Miesen. So ist es kürzlich offenbar einigen Kunden des Mobilfunkanbieters O2 ergangen. Kriminelle haben sich eine Sicherheitslücke im Mobilfunknetz zunutze gemacht, um das eigentlich als sicher geltende Online-Banking-Verfahren mTAN auszuhebeln.

Doch von vorne: Beim mTAN-Verfahren handelt es sich um ein zweistufiges Sicherheitsverfahren, bei dem der Bankkunde zusätzlich zu seinen Log-in-Daten für jede Transaktion ein einmaliges Kennwort auf sein Handy geschickt bekommt. Es wird von fast allen Banken angeboten und galt bislang als relativ sicher. Doch offenbar haben Betrüger eine Möglichkeit gefunden, das System zu überlisten und Geld auf die eigenen Konten zu überweisen. In einem ersten Schritt brachten sie Bankkunden durch eine Phishing-Mail dazu, ihre Zugangsdaten wie Kontonummer, Kennwort und Handynummer auf einer gefälschten Webseite einzugeben. Diese Daten reichten den Kriminellen aus, um sich einzuloggen.

Um die mTANs schließlich umzuleiten, nutzten sie eine Schwachstelle im sogenannten SS7-Netzwerk der Mobilfunkanbieter. SS7 wird benötigt, um SMS in fremde Netze zu verschicken oder Telefonate im Ausland bereit zu stellen – und eben auch, um eine Umleitung von eingehenden SMS auf eine andere Rufnummer einzurichten. Eigentlich sollte außer dem Mobilfunkanbieter niemand Zugriff auf dieses Netzwerk haben. Die Hacker hatten jedoch eine Möglichkeit gefunden und konnten daher die eingehenden mTANs ganz komfortabel auf ihre eigenen Handys umleiten. Und damit hatten sie alle Daten, um die Konten der Opfer leer zu räumen.

Es ist hinlänglich bekannt, dass sich Kriminelle immer wieder neue Mittel und Wege einfallen lassen, um die Sicherheitsvorkehrungen beim Online-Banking zu umgehen. Umso schlimmer, dass die Sicherheitslücke im aktuellen Fall bereits seit 2014 bekannt ist und die Mobilfunkanbieter daher eigentlich ausreichend Zeit hatten, sie zu schließen. Doch das ist offenbar nicht geschehen, denn im Darknet werden Zugänge zum SS7-Netzwerk bereits für rund 1.000 Euro gehandelt, wie der Sicherheitsforscher Hendrik Schmidt der Süddeutschen Zeitung berichtete. Und nicht nur O2, sondern auch andere Netzprovider weltweit sind betroffen. Dabei wäre es relativ einfach, den Kriminellen die Tour zu vermasseln, indem man die Funktion der Rufumleitung durch Provider im Ausland einfach blockiert.

Die Kunden selbst können sich vor der Masche nur beim ersten Schritt schützen, indem sie Vorsicht walten lassen, wenn sie ihre Daten eingeben. Zwar werden Phishing-Mails immer professioneller und die Seiten sehen denen der Banken oft täuschend ähnlich. Ein Blick auf die URL in der Adressleiste offenbart aber meist Unterschiede zur offiziellen Webadresse der Bank. Wer ganz sicher gehen will, sollte sich einen TAN-Generator zulegen und auf das PushTAN-Verfahren umstellen. So eliminieren Bankkunden die Schwachstelle Mobiltelefon aus dem Online-Banking-Prozess.

Anfang der Woche stellte Bundesinnenminister Thomas de Maizière die aktuelle Polizeiliche Kriminalstatistik 2016 in Berlin vor. Die Zahlen sind erschreckend. Mit rund 82.649 registrierten Fällen haben sich die Vorkommnisse von Cyber-Kriminalität „im engeren Sinne“ im Vergleich zum Vorjahr nahezu verdoppelt.

Beim Computerbetrug gab es einen deutlichen Rückgang von 23.562 auf 14.722 Fälle. Beim Ausspähen und Abfangen von Daten stieg die Zahl leicht von 9.629 auf 10.638. Um ganze 25 Prozent stiegen die Fälle von Computersabotage. Hier wurden 2016 4422 Vorkommnisse registriert. Hierzu zählen u. a. DDoS-Attacken. Dabei schicken die Täter massenhaft Anfragen an eine Webseite oder einen Dienst, bis dieser zusammenbricht. Oft erfolgt die Attacke mithilfe eines sogenannten Botnetzes. Besondere Bekanntheit erlangte im vergangenen Jahr Mirai, das tausende Telekom-Router lahmlegte.

Die Aufklärungsquote konnte insgesamt um 5,9 Prozent auf 38,7 Prozent erhöht werden – doch nicht in jedem Bereich. Für die Aufklärung von Computersabotage sank die Quote sogar um 4,6 auf 22,1 Prozent. Ein großes Problem der Polizei ist, dass sich die Kriminalität in einer vernetzten Welt zunehmend internationalisiert. Nur wenn die Taten in Deutschland begangen wurden oder zumindest ein begründeter Verdacht hierfür vorliegt, erscheinen sie in der Statistik. Stehen die Server im Ausland, sieht die Sachlage anders aus. Um auch diese Fälle zu erfassen, plant das BKA einen separaten Lagebericht, der jedoch erst für 2017 erstellt wird.

Und noch ein weiteres Problem zeigt die Statistik nicht: Die unglaublich hohe Dunkelziffer der Straftaten, die nicht zur Anzeige gebracht und damit gar nicht erst erfasst wurden. So erklärte der Vorsitzende des Bundes Deutscher Kriminalbeamter, André Schulz, gegenüber der Zeitung „Welt“, dass rund 90 Prozent der Fälle von Cyber-Kriminalität nicht angezeigt würden. Den tatsächlichen Schaden schätzt Schulz daher auf einen zweistelligen Milliardenbetrag.

Die Statistik zeigt dennoch, dass Cyber-Kriminalität auf dem Vormarsch ist und vor allem die Fälle von Computersabotage zunehmen. Unternehmen und private Internetnutzer müssen lernen, sich zu schützen – nicht nur durch technische Maßnahmen, sondern auch indem sie im Netz auf der Hut sind.

Die Verwendung von Open-Source-Komponenten ist für Software-Entwickler eine praktische Sache: Sie verringern sowohl den Zeit- als auch den Kostenaufwand. Produkte können so schneller auf den Markt gebracht werden. Doch sie sind nicht nur für Unternehmen äußerst attraktiv, sondern auch für kriminelle Hacker. Denn viele populäre Open-Source-Codes sind fehlerbehaftet und beinhalten – häufig sogar seit langem bekannte – Sicherheitslücken. Das zeigt die Studie „2017 Open Source Security & Risk Analysis“ der Sicherheitsexperten von Black Duck.

Für die Studie wurden über 1.000 kommerzielle Anwendungen auf Sicherheitslücken in den Open-Source-Bestandteilen der Software untersucht. Insgesamt nutzten rund 96 Prozent der Anwendungen im Schnitt 147 Open-Source-Bestandteile, die rund ein Drittel des gesamten Codes ausmachten. Das ist nicht verwerflich. Außerdem wäre es nicht besonders schlimm, wenn nicht etwa 67 Prozent der analysierten Programme Open-Source-Code mit Sicherheitslücken nutzen würden, die seit mehr als vier Jahren bekannt sind. Sogar weithin bekannte Sicherheitslücken wie der Open-SSL-Bug Heartbleed konnten noch nachgewiesen werden – obwohl es bereits seit Jahren Patches gibt, mit denen das Leck einfach gestopft werden könnte.

Die Open-Source-Experten von Black Duck warnen in ihrer Studie davor, dass die Nutzung von fehlerhaftem Open-Source-Code ein ernsthaftes Sicherheitsrisiko für eine Anwendung darstellen kann, denn die meisten Lücken und Exploits sind öffentlich bekannt und über Datenbanken abrufbar. Das wissen auch kriminelle Hacker und suchen gezielt Anwendungen, in die sie ohne großen Aufwand eindringen können. Würde man die bereits vorhandenen Updates der Open-Source-Bestandteile einspielen, könnte man den Angreifern das Leben wesentlich schwerer machen. Doch das tun die wenigsten, denn dazu müsste man zum einen wissen, welche Open-Source-Codes man verwendet und zum anderen regelmäßig nach Updates suchen. Denn anders als bei bezahlter Software sind Updates bei Open-Source-Lösungen eine Hol- und keine Bringschuld.

Um zu vermeiden, dass Anwendungen unnötig angreifbar sind, empfiehlt Black Duck ein vollständiges Inventar der verwendeten Open-Source-Codes zu erstellen und diese regelmäßig auf bekannte Sicherheitslücken zu überprüfen. Das ist beispielsweise in der National Vulnerability Database möglich.

Die gesamte Studie kann auf der Seite von Black Duck unter https://www.blackducksoftware.com/open-source-security-risk-analysis-2017 heruntergeladen werden.

In dieser Woche war wieder Patchday bei Microsoft, das heißt, es wurden zahlreiche Sicherheits-Updates des Betriebssystems sowie mehrerer Programme des Software-Riesen ausgespielt. Nutzer sollten diese Updates nicht auf die lange Bank schieben. Denn diese schließen auch kritische Sicherheitslücken, beispielsweise in Microsoft Office.

In der letzten Zeit häuften sich die Meldungen über Infektionen mit dem Banking-Trojaner Dridex. Dieser verbreitete sich durch eine der nun geschlossenen Lücken in Microsoft Office. Um sich die Schad-Software einzufangen, reichte es, eine infizierte Word-Datei zu öffnen. Die Dateien haben Hintermänner millionenfach über das gewaltige Necurs-Botnetz per E-Mail verbreitet. Word warnt vor verdächtigen Links im Dokument, allerdings zu spät, denn dann ist der Computer bereits mit Dridex kompromittiert. Grundsätzlich empfiehlt es sich, Dateianhänge bei E-Mails von unbekannten Absendern überhaupt nicht zu öffnen. Wer das letzte Update noch nicht durchgeführt hat, sollte besonders vorsichtig sein.

Doch der Patchday in dieser Woche ist nicht nur aufgrund der Bedrohung durch Dridex erwähnenswert. Er läutet außerdem das Ende von Microsofts Betriebssystem Vista ein. Am 11. April 2017 endete der Support und es wurden zum letzten Mal Sicherheits-Updates ausgeliefert. Für Nutzer heißt das ganz konkret: Wenn in Zukunft Sicherheitslücken entdeckt und bekannt werden, gibt es von Microsoft keine Patches mehr, um sie zu schließen. Damit wird das Betriebssystem immer unsicherer, je länger das letzte Update zurückliegt.

Nutzer, die also noch Computer mit Vista-Software im Einsatz haben, sollten sich dringend um ein neues Betriebssystem kümmern und auf eine der unterstützten Versionen umsteigen. Unter Umständen kann das auch bedeuten, dass ein neuer Computer angeschafft werden muss. Dann nämlich, wenn der vorhandene Rechner die grundlegenden technischen Systemanforderungen für Windows 7 oder 10 nicht erfüllt. Und selbst wenn es technisch gerade so möglich ist, kann es den Rechner so verlangsamen, dass ein sinnvolles Arbeiten nicht möglich ist. Auch andere Geräte wie Drucker, Trackballs oder Scanner sollten vor dem Umstieg auf Kompatibilität überprüft werden, damit man später keine bösen Überraschungen erlebt. 

„Es könnte der schlechteste Code sein, den ich je gesehen habe“, sagte Amihai Neidermann kürzlich über Samsungs Betriebssystem Tizen. Der Sicherheitsforscher hat sich die Software, die in Deutschland hauptsächlich auf SmartTVs und Wearables zum Einsatz kommt, einmal genauer angesehen. Im Interview mit dem News-Portal Motherboard erklärte er, dass „alles, was man falsch machen konnte, auch falsch gemacht worden ist“. Rund 40 offene Sicherheitslücken hat Neidermann identifiziert, die im schlimmsten Fall dazu führen, dass Kriminelle das Gerät komplett übernehmen.

Insbesondere drei Faktoren hat der Sicherheitsforscher als problematisch hervorgehoben. So kommt die heute eigentlich nicht mehr gebräuchliche Funktion „Strcpy()“ an gleich mehreren Stellen der Software zum Einsatz. Damit lassen sich Daten im Speicher kopieren und an anderer Stelle wieder einfügen. Das Problem: Der Funktion ist es egal, ob am Zielort ausreichend Speicherplatz für die kopierten Stellen zur Verfügung steht. Ist das nicht der Fall, kommt es zu einem Pufferüberlauf, der das System angreifbar macht.

Ebenfalls bedenklich ist die Anbindung von Tizen an den systemeigenen Appstore. Dieser ist nämlich mit den maximalen Nutzerrechten ausgestattet. Zwar sollen eigentlich nur Apps installiert werden können, die von Samsung signiert und damit als sicher gekennzeichnet wurden. Allerdings ermöglicht die unsaubere Programmierung der Software, diesen Schutz zu umgehen. Neidermann gelang dies, indem er vor der Überprüfung einen Speicherfehler provozierte. Und als würden diese beiden Fehler nicht schon ausreichen, überträgt Tizen sensible Daten zum Teil unverschlüsselt, da nicht überall HTTPS zum Einsatz kommt.

Derzeit stattet Samsung zahlreiche Geräte mit seinem hauseigenen System aus. Während die mit Tizen betriebenen Smartphones hauptsächlich in Russland und Indien zum Einsatz kommen, laufen hierzulande hauptsächlich Internet-of-Things-Geräte wie Fernseher und Wearables mit dem Betriebssystem. Geplant sind laut Samsung darüber hinaus smarte Kühlschränke und Waschmaschinen. Auch Smartphones mit Tizen könnten künftig in Deutschland erhältlich sein.

Enttäuschend ist aber nicht nur die Programmierqualität von Tizen, sondern auch Samsungs Umgang mit den Sicherheitslücken. Denn obwohl Neidermann laut eigener Aussage das Unternehmen schon vor Monaten über die Missstände informiert hat, sind bislang keine Patches in Sicht. Im Gegenteil: Der Forscher wurde mit einer Standard-Mail abgespeist. Erst nachdem Motherboard über Neidermanns Ergebnisse berichtet hatte, reagierte das Unternehmen und kündigte an, mit ihm im Rahmen seines Smart-TV-Bug-Bounty-Programms zusammenarbeiten zu wollen. Es bleibt abzuwarten, ob sich nun tatsächlich etwas tut und entsprechende Anpassungen an der Software vorgenommen werden – wünschenswert wäre es, vor allem in Anbetracht der steigenden Gefahr durch Botnetze wie Mirai, die es auf smarte Geräte abgesehen haben.

Ransomware und Spionage-Software sind nicht die einzigen Probleme, mit denen sich Internetnutzer aktuell herumschlagen müssen. Erst kürzlich wurde eine neue Schad-Software entdeckt, die sich in Browsern versteckt und dort Suchergebnisse gegen manipulierte Daten austauscht. Das Programm namens Crusader kann so den nichtsahnenden Nutzer auf Affiliate-Seiten umleiten, an denen die Hintermänner verdienen oder Telefonnummern, etwa für den Kundensupport großer Unternehmen, in den Suchergebnissen durch eigene ersetzen. Ruft man die eingeblendete Nummer an, landet man in einem Call-Center, das sich auf Support-Betrug spezialisiert hat.

Diese Masche ist in den letzten Jahren immer beliebter geworden, um hilfesuchenden Internetnutzern das Geld abzuknöpfen. In einer Microsoft-Studie gab die Hälfte aller Befragten an, dass sie bereits mit falschen Microsoft-Mitarbeitern zu tun hatten. Klassischerweise rufen Call-Center-Agenten die Nutzer an und geben sich als Support-Mitarbeiter aus. Die Gefahr, dass der Angerufene ein Microsoft-Produkt nutzt, ist dabei ziemlich hoch. Dann wird man in ein Gespräch verwickelt, in dem der falsche Mitarbeiter mit zahlreichen Argumenten versucht, sich Zugang zum Rechner seines Gesprächspartners zu verschaffen. Das schafft der Betrüger etwa dadurch, dass er sein Opfer ein Fernwartungsprogramm installieren lässt. Wer sich darauf einlässt, hat bereits verloren. Denn nun können die Betrüger im Prinzip die volle Kontrolle über das Gerät übernehmen – vom Einschleusen von Schadprogrammen über Keylogger bis hin zum Anschluss an ein Botnetz ist alles möglich.

Crusader dreht nun den Spieß um, indem er die Nutzer beim Betrüger anrufen lässt. Hilfesuchende, die sich an den Support eines Unternehmens wenden wollen, werden so direkt in die Arme der Betrüger geleitet. Darüber hinaus werden sie in Sicherheit gewogen. Immerhin denken sie, dass sie mit dem Kundendienst eines renommierten Unternehmens sprechen. Das erleichtert den Call-Center-Betrügern die Arbeit zusätzlich, denn die Nutzer sind dann eher bereit, die Fernwartung zu akzeptieren!

Eine weitere Einsatzmöglichkeit für Crusader sind sogenannte Affiliate-Links. Diese basieren auf dem Prinzip der Vermittlerprovision und enthalten einen speziellen Code, über den ein Besucher einem bestimmten Vermittler, beispielsweise einer Webseite, zugeordnet wird. Crusader tauscht in den Suchergebnissen die normalen Seiten gegen seine Affiliate-Links aus, wodurch die Hintermänner mit jedem Klick fleißig mitverdienen ohne sich anzustrengen.

Deutsche Nutzer müssen sich aktuell noch nicht vor Crusader fürchten, denn offenbar befindet sich die Schad-Software noch in der Testphase. Derzeit wird sie nur aktiv, wenn sich der befallene Rechner in Indien befindet. Ob das Programm bereits Computer in anderen Ländern infiziert hat, ohne aber aktiv zu werden, ist nicht bekannt. Sicher ist jedoch: Sollte sich Crusader als erfolgreich und lukrativ erweisen, ist es nur eine Frage der Zeit, bis er auch bei uns für Schäden sorgt. 

Anfang des Monats wurde bekannt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) zahlreiche Parteien, Ministerien und Organisationen vor veralteten und damit unsicheren Versionen ihrer Cloud-Dienste Owncloud und Nextcloud warnte. Bei einer Weiterverwendung der Daten sollen Daten und interne Informationen von Dritten ausgespäht und für ihre Zwecke genutzt werden können. Außerdem gebe es Schwachstellen in den Systemen, über die Programmcodes auf dem Cloud-Server ausgeführt werden können. Dies könnte das System vollständig kompromittieren.

Nun hat das BSI Bilanz gezogen, inwieweit seine Warnungen auf fruchtbaren Boden gefallen sind. Die Zahlen sind ernüchternd: Nur rund 20 Prozent der betroffenen Nutzer haben bislang reagiert und die Updates eingespielt. Das ist nicht viel, vor allem wenn man sich ansieht, wen das BSI angeschrieben hat. Von der AfD über die Grünen bis hin zum Büro der Vereinten Nationen in Genf – sie alle haben sensible Daten auf ihren Cloud-Servern, die momentan nicht optimal geschützt sind.

Für die veralteten Versionen von Owncloud und Nextcloud stehen längst entsprechende Updates zur Verfügung. Die Anbieter haben sogar Tools bereitgestellt, mit denen Nutzer prüfen können, ob ein Update nötig ist. Doch der Teufel steckt wie immer im Detail, denn der Update-Vorgang ist insbesondere bei Owncloud offenbar störungsanfällig. Wie das Newsportal GOLEM berichtet, wurde für einen Test die Version 9.1.2 von Owncloud installiert. Obwohl inzwischen die Version 9.1.4 verfügbar gewesen wäre, erschien kein Hinweis auf ein dieses Update. Erst nach einigem Herumprobieren in den Einstellungen wurde das Update angezeigt. Doch damit nicht genug, denn das Update konnte anschließend nicht beim ersten Versuch installiert werden. Das war erst nach einigen Minuten möglich.

Das gleiche Problem konnte der Redakteur auch in seinem Nextcloud-Account beobachten. Obwohl das Update bekanntermaßen zur Verfügung stand, wurde es im Updater des Programms nicht angezeigt. Die Alternative wäre ein manuelles Update. Doch das dürfte viele Nutzer vor eine fast unlösbare Aufgabe stellen. Nur die wenigsten kennen sich mit Kommandozeilen-Tools und dem Zugriff auf die Konsole aus.

Der Fall zeigt, wie wichtig es ist, dass Software-Anbieter einen einfachen, problemlosen und wenn möglich automatischen Update-Prozess für ihre Kunden bereitstellen. Je schwieriger, störungsanfälliger und komplizierter es ist, ein Programm auf dem aktuellen Stand zu halten, desto mehr Nutzer werden entnervt aufgeben. Verzichten die User auf künftige Updates, sind immer größere Datenmengen weitgehend ungeschützt im Netz. 

Ein Hackerangriff hat in dieser Woche für Aufsehen gesorgt. Auf zahlreichen, teils sehr prominenten Twitter-Accounts waren plötzlich türkische Propagandabotschaften in Verbindung mit Nazisymbolik, den Hashtags #Nazialmanya und #Nazihollanda und der Botschaft „Wir sehen uns am 16. April“ aufgetaucht. An diesem Datum findet in der Türkei das von Präsident Erdogan angestrebte und vieldiskutierte Referendum zum Präsidialsystem statt. Zu den gehackten Konten zählen die offiziellen Accounts von Boris Becker, Klaas Heufer-Umlauf, ProSieben, Amnesty International, Welt, Forbes und Borussia Dortmund. Zwar liefern die geposteten Inhalte gewisse Hinweise, doch noch steht nicht fest, wer hinter den Attacken steckt. Wie die Hacker vorgegangen sind, ist dagegen inzwischen klar.

Zugangstor war die App „The Twitter Counter“, mit deren Hilfe Twitter-Nutzer einfach und schnell Statistiken und Analysen zu ihren Follower-Zahlen abrufen können. Um zu funktionieren, verlangt die App umfangreiche Zugriffsrechte auf den betreffenden Account. Nutzer mussten ihr Lese- und Schreibrechte zugestehen, wodurch die App nicht nur Tweets analysieren, sondern auch absetzen konnte – und genau hier lag das Problem, denn die Kriminellen mussten für ihren Plan nur noch den Drittanbieter hacken, was offenbar deutlich einfacher war, als Twitter direkt anzugreifen.

Der Fall zeigt ein Problem, das bei vielen Twitter-Accounts zur Gefahr werden kann, denn die Auswertungsmöglichkeiten von Drittanbietern sind für Social Media Manager natürlich interessant. Die Crux ist nur, dass man diesen Apps mindestens Leserechte für den eigenen Account einräumen muss, falls sie nicht, wie „The Twitter Counter“, auch noch direkt nach Schreibrechten verlangen. Insbesondere für Unternehmen können die Konsequenzen für die Reputation im Schadensfall gravierend sein, denn nicht nur offensichtliche Hacker-Angriffe wie in dieser Woche schaden dem Ruf. Auch für Werbespammer und zur Verbreitung von Schad-Software über verlinkte Webseiten ist ein solches Vorgehen durchaus denkbar.

Wer auf Nummer sicher gehen will, sollte die Zugriffsreche auf seinen Twitter-Account so weit wie möglich einschränken und Schreibrechte vermeiden. Eine Liste der freigegebenen Apps ist in den Einstellungen abrufbar. 

Mit der IT-Sicherheit in Krankenhäusern steht es nicht unbedingt zum Besten, wie wir in der Vergangenheit bereits an mehreren Beispielen gesehen haben. Doch bislang drehten sich die Befürchtungen und Vorkommnisse meist um die Sicherheit der Patientendaten und die Verwaltung. Jetzt ist allerdings ein Fall bekannt geworden, bei dem diese Bereiche nicht betroffen waren. Vielmehr gelang es sogenannten White Hats (also Hackern, die Sicherheitslücken aufspüren, um den Betroffenen die Chance zu geben, sie zu schließen), sich in die komplette Haustechnik einer nagelneuen Luxusklinik in der Schweiz einzuklinken.

Die beiden White-Hat-Hacker Tim Philipp Schäfers und Sebastian Neef vom Projekt Internetwache.org waren offenbar selbst sehr überrascht, als sie auf der Suche nach Schwachstellen im Netz auf ungesicherte Geräte einer Schweizer Luxusklinik stießen und sich mit den angezeigten IP-Adressen Zugriff auf die gesamte Haustechnik hätten verschaffen können, vom Licht über die Medizingase im OP bis hin zur Lüftung. Auch genaue Schaltpläne zu den Funktionen der Gebäudesteuerung waren problemlos einsehbar. Zusammen mit einem 3D-Rundgang durch die Klinik auf der Homepage des Betreibers ergaben die Daten laut Schäfers und Neef ein sehr umfassendes Bild der Infrastruktur der Klinik. Da es sich bei dem Krankenhaus um eine Luxusklinik mit der entsprechenden Klientel handelt, mag man sich nicht ausmalen, was Kriminelle mit diesem Wissen anfangen könnten.

Die White Hats meldeten die Sicherheitslücke bereits im vergangenen Jahr an die zuständigen Stellen in der Schweiz und siehe da: Der bisher frei verfügbare Zugang zu den Systemen war innerhalb weniger Tage aus dem Netz verschwunden. In einer Stellungnahme gegenüber der Meldestelle gab die Klinik bekannt, dass die Systeme nur während einer Testphase vor der eigentlichen Eröffnung frei im Netz gestanden hätten. Das mag zwar eine Begründung sein, ist aber keinesfalls eine Entschuldigung. Denn auch während der Testphase hätte sich Schad-Software in den Systemen der Klinik einnisten können, ohne dass jemand davon etwas mitbekommen hätte. Eine entsprechende Anfrage des News-Portals Golem.de, ob das System auf eventuellen Befall untersucht wurde, ließ das Management der Klinik unbeantwortet.

Der Fall zeigt zweierlei:

1. Krankenhäuser sind trotz ihrer elementar wichtigen Rolle immer noch viel zu leicht angreifbar und es fehlt den Verantwortlichen häufig an der nötigen Kompetenz, um alle Bereiche der IT-Sicherheit überblicken und entsprechend handeln zu können.

2. Intelligente Haussysteme, zu denen in kleinerem Maßstab auch bereits Smart-Home-Geräte wie vernetzte Kühlschränke oder Glühbirnen gehören, sind noch immer längst nicht so sicher, wie man glauben mag. Hier sind auch die Hersteller und Software-Anbieter in der Pflicht, ihren Kunden die richtigen Tools an die Hand zu geben und sie auf die Gefahren ungeschützter Smart-Home-Systeme hinzuweisen.

Googles  „Project Zero“ hat es sich zur Aufgabe gemacht, Sicherheitslücken in weit verbreiteten Programmen und Betriebssystemen aufzuspüren und bekannt zu machen. Haben die Sicherheitsexperten einen neuen sogenannten Zero-Day-Exploit entdeckt, wird das entsprechende Unternehmen über die Lücke in seiner Software informiert und hat anschließend 90 Tage Zeit, sie über ein Update zu schließen. Diese Schonfrist ist auch durchaus sinnvoll. Immerhin ist es nicht Ziel des Projekts, kriminellen Hackern neue Angriffsmöglichkeiten zu zeigen, sondern die allgemeine Sicherheit im Netz zu verbessern.

Allerdings hat diese Praxis auch ihre Tücken, wie in den vergangenen Wochen gleich zweimal deutlich geworden ist. Mitte Februar veröffentliche Project Zero eine bislang unbekannte Sicherheitslücke im Betriebssystem von Microsoft. Genau 90 Tage zuvor hatten Googles Sicherheitstechniker das Unternehmen aus Redmond darüber informiert, ein Update mit einem entsprechenden Patch war aber noch nicht ausgeliefert worden. Das sorgte verständlicherweise nicht nur beim Hersteller, sondern auch bei den Nutzern für Unmut, denn ab dem Zeitpunkt der Veröffentlichung konnten Kriminelle die Erkenntnisse von Project Zero für ihre Zwecke ausnutzen. Trotzdem: Google hielt an seiner 90-Tage-Regel fest und veröffentlichte Anfang dieser Woche erneut eine bislang nicht geschlossene Sicherheitslücke, diesmal in Microsofts Browsern Internet Explorer und Edge.

Damit sind aktuell gleich zwei gravierende Sicherheitslücken bei Microsoft bekannt. Im ersten Fall können Kriminelle durch einen Fehler bei der Speicherverarbeitung während des Öffnens von Windows Metafiles Speicher auslesen, im zweiten Fall können CSS und JavaScript dazu genutzt werden, beliebigen Code auf dem angegriffenen Rechner auszuführen. Dazu muss der Nutzer lediglich auf eine infizierte Webseite gelockt oder zur Ausführung des Scripts im Browser gebracht werden. Für beide Probleme wurde bislang keine Lösung geliefert.

Bereits 2015 hatte Microsoft die strikte 90-Tage-Regel scharf kritisiert, als Project Zero eine damals noch neue Lücke bekannt gab, bevor es ein passendes Patch gab. Warum Microsoft aus dieser Erfahrung nicht gelernt und die beiden Sicherheitslecks rechtzeitig geschlossen hat, ist nicht bekannt. Ein Zusammenhang mit dem verschobenen Patchday im Februar lässt sich nur vermuten. Es bleibt also zu hoffen, dass der nächste Patchday im März beide Lücken schließt.

In dieser Woche wurde der mutmaßliche Drahtzieher der Distributed Denial of Service (DDoS)-Attacke durch das Mirai-Botnetz auf Telekom-Router im November letzten Jahres in London verhaftet. Der festgenommene Brite soll den Angriff geleitet haben und daher wegen versuchter Computer-Sabotage in einem besonders schweren Fall vor Gericht gestellt werden. Telekom, BKA und die internationalen Ermittlungsbehörden feiern den Fahndungserfolg und sehen die Verhaftung als Zeichen dafür, dass auch im Internet Recht und Ordnung durchgesetzt werden können. Doch Fakt ist: Mirai ist nur eines der derzeit aktiven Botnetzwerke. Tagtäglich kommt es zu DDoS-Attacken und die Fälle werden immer mehr, wie eine neue Studie des DDoS-Spezialisten Link11 zeigt.

Der aktuelle „DDoS-Report für die DACH-Region“ verzeichnet im 4. Quartal 2016 mit 11.575 Angriffen einen neuen Höchstwert der DDoS-Attacken in Deutschland, Österreich und der Schweiz. Das ist ein Zuwachs von 116,8 Prozent im Vergleich zum Vorjahresquartal. Einem breiteren Publikum ist diese Angriffsart in den letzten Monaten durch einige öffentlichkeitswirksame Angriffe bekannt geworden. So waren die Präsidentschaftskandidaten in den USA während des Wahlkampfs ebenso von Angriffen betroffen wie der Minecraft-Dienstleister OVH und der DNS-Dienstleister Dyn, bei dem Twitter, Netflix und Spotify gehostet werden. Auch der eingangs erwähnte Angriff auf die Telekom-Router im November durch das Mirai-Netzwerk wurde in der Presse heiß diskutiert.

Insbesondere letzteres Beispiel steht für einen sich abzeichnenden Trend: Für die Attacken werden laut Report immer häufiger Botnetze eingesetzt, die ihre Rechenpower aus dem sogenannten Internet of Things beziehen. Damit sind an ein Netzwerk angeschlossene Smart-Home-Geräte gemeint. Leider steht die Datensicherheit bei vielen Herstellern noch nicht ausreichend im Fokus, sodass Kriminelle leichtes Spiel haben und tausende Geräte kapern können.

Eine weitere Erkenntnis der Analyse: Von den meisten der durchschnittlich 126 Attacken pro Tag bekommt die breite Öffentlichkeit kaum etwas mit. Auch von Unternehmern wird die Gefahr durch DDoS-Angriffe unterschätzt, denn nur rund ein Drittel ist vorbereitet und hat einen Aktionsplan für den Fall der Fälle in der Schublade. Wird man dann doch angegriffen, ist die Überraschung groß. Das Ziel der Angreifer ist es meist, ein Lösegeld vom Webseitenbetreiber zu erpressen – und durch die mangelnde Vorbereitung bleibt vielen nichts anderes übrig als zu zahlen.

Sicher ist, die Gefahr durch DDoS-Attacken wird in den nächsten Monaten und Jahren weiter steigen. Insbesondere durch den stetig wachsenden Anteil an Smart-Home-Geräten ohne ausreichenden Schutz, verfügen die Botnetze über immer mehr Rechenleistung und die Intensität der Attacken wird zunehmen. Schutzmaßnahmen zu ergreifen, sollte daher bei jedem Unternehmen auf der Agenda stehen.

Anfang des Monats wurde der Software-Anbieter GitLab offenbar Opfer einer DDoS-Attacke, bei der tausende gleichzeitige Nutzeranfragen die Webseite und schließlich auch die Datenbank in die Knie zwingen sollten. Doch am Ende entpuppte sich der Hackerangriff als weniger gefährlich als die eigenen Mitarbeiter, denn trotz erfolgreicher Abwehr der Attacke fehlten am Ende fast 300 Gigabyte an Kundendaten. Wie konnte das passieren und was können wir daraus lernen?

GitLAb bietet eine Webanwendung zur Versionsverwaltung von Software-Projekten, die auch von großen Unternehmen wie Sony, Bayer oder Alibaba genutzt wird. Als die Attacke am frühen Morgen begann, reagierten die Mitarbeiter von GitLab sofort und suchten nach einem Weg, die Angreifer abzuwehren. Zunächst waren die Bemühungen nicht von Erfolg gekrönt, denn die Webseite war angesichts der Menge an Anfragen kurzzeitig nicht erreichbar. Doch davon bekamen die Kunden erst einmal nichts mit und arbeiteten ganz normal weiter. Dabei  speicherten sie auch, wie immer, die Zwischenstände ihrer Software-Projekte auf den GitLab-Servern – zumindest versuchten sie es, denn während des Absturzes der Seite war ihnen dies nicht möglich.

Bis zu diesem Zeitpunkt hielten sich die Folgen des Angriffs allerdings noch in Grenzen. Das änderte sich, als einer der GitLab-Administratoren einen gut gemeinten Trick anwenden wollte und dabei einen folgenschweren Tippfehler beging. Eine der Hauptattacken konzentrierte sich offenbar auf die leere Datenbank db2. Um diese zu löschen, gab der Administrator den entsprechenden Befehl ein. Im Eifer des Gefechts vertippte er sich jedoch und schrieb statt „db2“ „db1“ – und löschte das Hauptverzeichnis mitsamt den Daten der Kunden. Nach nur einem Klick waren von 300 GB nur noch 4,5 GB vorhanden. Und auch diese nur per Zufall, denn das eigentliche Back-up für diesen Tag war noch nicht durchgeführt worden. Die wiederhergestellten Daten hatte ein Mitarbeiter aus Versehen aufgezeichnet.

Was können wir aus diesem Vorfall lernen? Erstens: Software-as-a-Service- und Cloud-Lösungen sind sicher  praktisch. Allerdings sollte man sich bei der Sicherung seiner Daten nicht nur auf externe Speicher verlassen, denn man weiß nie, was dort alles passieren kann. Zweitens: Selbst wenn man alles richtig macht, können die Folgen eines Hackerangriffs gravierend sein. Daher sollte man so oft wie möglich die Daten in einem Back-up zwischenspeichern, damit im Fall der Fälle so wenig wie möglich verloren geht.  Und drittens: Auch Administratoren sind nur Menschen und können Fehler machen. Wichtig ist es, aus diesen zu lernen. GitLab zeigt hier Größe durch seinen offenen Umgang mit dem Fall und dem Versprechen, alle Vorgänge genau aufzuarbeiten, um sie in Zukunft vermeiden zu können.

Wenn es um die Entwicklung neuer Software-Angebote geht, steht die sogenannte „Customer-Experience“ ganz weit oben auf der Liste der Qualitätsmerkmale. Dabei geht es darum, die Erfahrung im Umgang mit dem Programm möglichst positiv zu gestalten. Der Nutzer soll intuitiv wissen, wie er zum Ziel kommt und unkompliziert Hilfe finden, wenn er doch einmal nicht weiter weiß. Kurz gesagt: Der Kunde steht im Mittelpunkt und soll sich mit seinem Problem ernstgenommen fühlen.

Während sich dieses Prinzip bei den meisten Anwendungen für Smartphone, Tablet und PC inzwischen durchgesetzt hat, war die Customer Experience den Entwicklern von Ransomware verständlicherweise weitgehend egal – der „Kunde“, oder besser gesagt das Opfer, hatte schließlich gar keine andere Wahl als sich mit der Lösung seines Problems, also der Entschlüsselung seiner Daten, selbst zu befassen. Doch nun greift der Service-Gedanke auch bei den Kriminellen um sich, wie der Erpressungstrojaner Spora beweist.

Die Hintermänner bieten ihren Opfern einen Echtzeit-Support für den Bezahlvorgang an – immerhin kann man nicht davon ausgehen, dass sich alle Infizierten mit Bitcoin auskennen – und versuchen, sich eine positive Reputation über ein Bewertungssystem auf der Bezahlwebseite aufzubauen. Auch eine Chat-Funktion gehört zum Service-Angebot. Der Sicherheitsforscher MalwareHunter konnte einige dieser Konversationen einsehen und öffentlich machen. Darin zeigen die Kriminellen Verständnis für die Sorgen und Nöte der Opfer. Sie verlegen Deadlines, räumen Mengenrabatte ein (frei nach dem Motto „Den zweiten Rechner gibt es umsonst“) oder versprechen sogar die kostenfreie Entschlüsselung, wenn man eine positive Bewertung hinterlässt.

Noch gibt es für Spora kein frei verfügbares Entschlüsselungstool, daher bleibt vorerst nur, sich möglichst gut vor einer Infektion zu schützen. Ein gesundes Misstrauen und konstante Aufklärungsarbeit stellen dafür  die beste Basis dar!

Immer mehr Unternehmen und Selbstständige setzen für ihren Online-Auftritt auf die Webanwendung WordPress. Das CMS-System ist einfach zu bedienen, lässt sich an die individuellen Anforderungen anpassen, Änderungen können leicht eingepflegt werden und sie ist wesentlich kostengünstiger, als ein eigenes System aufzusetzen und zu pflegen. Doch wie bei allen Programmen gibt es auch bei WordPress Sicherheitslücken – und je mehr Webseiten auf WordPress basieren, desto lukrativer wird es für Kriminelle, diese auszunutzen. Erst in der vergangenen Woche veröffentlichten die Entwickler von WordPress das Update auf Version 4.7.2. Jetzt hat sich herausgestellt, dass mit der vermeintlich harmlosen Aktualisierung eine kritische Sicherheitslücke in der WordPress-Software geschlossen wurde.

Über einen in der Schnittstelle WordPress REST API versteckten Programmierfehler können externe Angreifer offenbar Schad-Code in die WordPress-Webseiten einschleusen und an beliebiger Stelle platzieren oder aber die Inhalte manipulieren. Nötig dafür ist lediglich eine JSON-Abfrage (JavaScript Object Notation, ein kompaktes Datenformat zum Zweck des Datenaustauschs), über die der Schädling in das CMS geschmuggelt wird. Damit stehen zehntausende Webseiten im Fokus der Kriminellen – und damit auch Millionen von Nutzern. Insbesondere im Zusammenhang mit der Flut an Ransomware-Attacken in den letzten Monaten ist das äußerst beunruhigend. Und nicht nur für die Nutzer der Webseiten kann eine infizierte Webseite schlimme Konsequenzen haben. Der Image-Verlust für die Betreiber sollte ebenfalls nicht außer Acht gelassen werden. Umso mehr erstaunt es, dass die Lösung des Problems in einem völlig unauffälligen Update versteckt wurde, statt die Nutzer zu warnen.

Laut Aussage der Entwickler hatte man sich bewusst dafür entschieden, die unsichere Programmierung zu verharmlosen, um möglichst vielen Nutzern die Möglichkeit zu geben, das Update einzuspielen, bevor das ganze Ausmaß bekannt wurde. Das Problem: Wer Updates nicht automatisch bezieht, weil beispielsweise der Webhoster dabei nicht mitspielt, und die „harmlose Aktualisierung“ bislang nicht aufgespielt hat, steht jetzt im Visier der Hacker – und muss schleunigst handeln! Doch bis bei allen Nutzern bekannt ist, wie wichtig dieses Update ist, stehen auch weiterhin viele Webseiten ungeschützt im Netz und stellen eine Gefahr für die Nutzer dar – vom Leser eines Koch-Blogs bis zum Kunden der Schreinerei im Nachbarort.

Software as a Service, kurz SaaS, ist für viele Unternehmen eine praktische Sache. Dabei wird Software nicht auf dem lokalen Rechner installiert, sondern direkt im Internet genutzt. Bekannte Beispiele im Anwenderbereich sind Gmail, GoogleDocs oder Microsoft Office 365, aber auch Unternehmensapplikationen wie Netsuite oder Salesforce bieten SaaS-Modelle, bei denen direkt aus dem Browser auf Programme und Daten zugegriffen werden kann. Insbesondere kleineren Firmen ohne eigene IT-Abteilung bietet das Konzept Vorteile, denn Software-Updates, eine eigene Server- oder Datenbankstruktur und die damit verbundenen Kosten entfallen durch die Cloud-basierten Lösungen. Nötig ist lediglich eine stabile Internetverbindung.

Diese Vorteile haben jetzt auch Kriminelle für sich entdeckt und so hat sich im Darknet ein neues Geschäftsmodell entwickelt: Ransomware as a Service (RaaS). Damit kann sich jeder mit ausreichend krimineller Energie und ein paar Klicks seinen individuell angepassten Erpressertrojaner im Netz zusammenstellen und anschließend verbreiten. Eigene Programmierkenntnisse sind damit unnötig, schließlich hat man dafür die Spezialisten des Anbieters. Ein Beispiel, das gerade von sich reden macht und kürzlich vom Sicherheitsforscher Xylitol entdeckt wurde, ist die Software Satan, die als RaaS-Lösung im Darknet angeboten wird. Wer schon immer mal von seiner eigenen Ransomware geträumt hat, muss nun lediglich ein Konto auf der Satan-Domain im Darknet eröffnen, dort ein Bitcoin-Konto hinterlegen, die Erpressernachricht verfassen sowie das Lösegeld festlegen – und schon kann er die Malware herunterladen. Lediglich die Verbreitung muss man selbst organisieren, wobei Satan zu diesem Zweck fertige Word-Makros und Windows-Hilfe-Dateien zur Verfügung stellt.

Doch damit nicht genug, schließlich sind die Macher von Satan Dienstleister. Um es den Kunden so bequem wie möglich zu machen, gibt es neben dem eigentlichen Schädling auch Funktionen wie eine Übersicht der Zahlungseingänge und der Transaktionen. Auch ein technischer Kundenservice sowie ein CRM-System, über das man den zahlenden Opfern Kommentare zuweisen kann, sind verfügbar. Vergütet werden die Dienste von Satan über eine Gewinnbeteiligung. Rund 30 Prozent der Einnahmen, die mit der Software generiert werden, werden von Satan eingezogen. Dieser Prozentsatz kann jedoch auch noch sinken – je nachdem, wie viele Rechner infiziert wurden.

Ransomware hat bereits im vergangenen Jahr immer wieder für Schlagzeilen und vor allem für hohe Schäden gesorgt. Durch das neue Geschäftsmodell, Ransomware einfach als Dienstleistung anzubieten, dürfte sich die Situation noch weiter verschärfen, denn die Entwickler von Satan sind längst nicht die einzigen Dienstleister dieser Art und es ist damit zu rechnen, dass die Zahl in Zukunft deutlich anwachsen wird. Damit bleibt nur, im Internet Vorsicht walten zu lassen und sich, soweit es geht, zu schützen.

Krypto-Trojaner haben in den vergangenen Monaten bei Cyber-Kriminellen stark an Popularität gewonnen. Hacker und IT-Sicherheitsexperten befinden sich mittlerweile in einem regelrechten Wettlauf. Die einen versuchen, Verschlüsselungs-Software so weit wie möglich zu verbreiten, die anderen wollen  geeignete Entschlüsselungsverfahren finden. Den zahllosen Opfern dieser Programme bleibt nur, entweder zu bezahlen oder darauf zu hoffen, dass die Whiteheads bald einen Weg finden, die Verschlüsselung zu knacken.

Wer keine Lust hat, den Kriminellen sein Geld in den Rachen zu werfen, um wieder an seine Daten zu gelangen, muss Geduld mitbringen – je nachdem, welches Programm er sich eingefangen hat. Doch es gibt auch Dinge, die man in der Zwischenzeit tun kann. So hat der Sicherheitsforscher Michael Gillespie zwei sinnvolle Tools entwickelt und stellt diese kostenfrei im Netz zur Verfügung.

Über das Portal ID-Ransomware können Betroffene herausfinden, welcher Krypto-Trojaner ihre Daten verschlüsselt hat. Das erleichtert die Suche nach einer passenden Gegenmaßnahme ungemein! Derzeit kann das Portal 283 verschiedene Erpressungstrojaner identifizieren. Dazu kann man entweder eine der verschlüsselten Dateien oder die Datei mit der Nachricht der Kriminellen hochladen. Handelt es sich um einen der bekannten Schädlinge, erhält man den Namen und erfährt, ob es bereits eine entsprechende Entschlüsselungs-Software gibt. Im Zuge des Datenschutzes sollte man jedoch keine sensiblen Dateien für den Test nutzen, denn falls es sich nicht um einen der bekannten Trojaner handelt, werden die Daten an ein Netzwerk von Malware-Analysten weitergeleitet. Das hilft zwar dabei, die Datenbank zu erweitern und schneller eine Entschlüsselung zu finden, ist aber dem Schutz der im Dokument enthaltenen Daten nicht unbedingt zuträglich.

Das zweite Tool, das Gillespie zur Verfügung stellt, nennt sich CryptoSearch und ermöglicht es dem Nutzer, seinen Windows-Rechner nach verschlüsselten Daten zu durchsuchen. Die gefundenen Dateien können dann gesammelt und auf einer externen Festplatte abgelegt werden. Man mag sich fragen, was das bringen soll, aber solange noch keine Entschlüsselungs-Software existiert, kann es durchaus sinnvoll sein, die betroffenen Daten extern – und vor allem gesammelt – abzulegen, denn dann kann man direkt mit der Wiederherstellung beginnen, sobald es ein geeignetes Programm gibt. Ein Pluspunkt: CryptoSearch behält beim Export der verschlüsselten Daten den originalen Dateipfad bei, sodass sich die Daten später leichter zuordnen lassen.

Die Angst vor Hacker-Angriffen und Cyber-Risiken sitzt tief in deutschen Unternehmen. Das ergibt das neue Risk Barometer der Allianz Global Corporate & Specialty SE, das der Industrieversicherer in diesem Jahr bereits zum sechsten Mal veröffentlicht. Um die wichtigsten Unternehmensrisiken zu identifizieren, wurden mehr als 1200 Risikoexperten in über 50 Ländern weltweit zu den Faktoren befragt, die sie als aktuell größte Bedrohung für ihr Unternehmen wahrnehmen. Für 2017 landeten die Cyber-Vorfälle international auf dem dritten Platz. Etwa 30 Prozent der Befragten gaben an, sich über Hacker, Systemausfälle oder Datenschutzverletzungen Sorgen zu machen. Auf Platz eins landete wie in den Vorjahren die Angst vor Betriebsunterbrechungen, allerdings wurden diesmal leicht veränderte Auslöser für die Unterbrechungen angegeben. So wurden auch hier Cyber-Vorfälle als einer der Hauptgründe für die befürchteten Produktionsstopps angegeben. So wurden auch hier Cyber-Vorfälle als einer der Hauptgründe für die befürchteten Produktionsstopps angegeben. Die Sorge um veränderte Marktbedingungen hingegen ist international leicht zurückgegangen, wie die Studie zeigt.

Für Deutschland ergibt sich ein etwas anderes Bild: Hier stehen Cyber-Vorfälle ganz oben auf der Liste, gefolgt von politischen Risiken, die international nur auf Rang acht gelandet sind, und dem Risiko durch neue Technologien. Insbesondere in stark technologisch geprägten Branchen wie der IT, der Telekommunikation, dem Automotive-Bereich und den Finanzdienstleistungen äußerten sich die Befragten besorgt über mögliche Angreifer aus dem Netz.

Das Risk Barometer zeigt damit deutlich, dass das Bewusstsein für Cyber-Risiken in den letzten Jahren kontinuierlich gestiegen ist. Und auch wir bei der 8com sehen bei unserer Arbeit: Langsam, aber sicher beginnen die Verantwortlichen damit, diese Sorge nicht nur zu äußern, sondern tatsächlich aktiv Maßnahmen zu ergreifen, um sich abzusichern. Während in der Vergangenheit dabei die technische Absicherung im Vordergrund stand, nimmt die Nachfrage nach Awareness-Maßnahmen immer weiter zu. Und das ist auch gut so, denn bei einem optimalen Sicherheitskonzept greifen Mensch und Technik optimal ineinander.

Das Risk Barometer 2017 ist hier verfügbar: www.agcs.allianz.com/insights/white-papers-and-case-studies/allianz-risk-barometer-2017/

Das Problem ist bereits seit längerer Zeit bekannt: Mehrere zehntausende MongoDB-Datenbanken stehen ungeschützt im Netz und lassen sich ganz einfach über spezielle Suchmaschinen wie beispielsweise Shodan finden. Bei MongoDB handelt es sich um eines der marktführenden Allzweck-Datenbanksysteme, das dank OpenSource auf viele unterschiedliche Anforderungen hin angepasst werden kann. Allein in Deutschland waren vor gut einem Jahr jedoch rund 1.200 dieser Datenbanken ohne weitere Authentifizierung zugänglich. Offenbar nutzen viele MongoDB-Administratoren immer noch alte Versionen der Open-Source-Datenbank, die in der Standardkonfiguration über das Internet für jeden auffindbar sind. Aber auch neuere Versionen stehen frei im Netz. Da sie standardmäßig keine Verbindungen von außen zulassen, haben viele Admins diese offenbar unsicher konfiguriert, wodurch einzelne Ports Verbindungen zum Internet zulassen.

Diese Sicherheitslücken macht sich derzeit ein Hacker mit dem Pseudonym Harak1r1 zunutze. Er sucht gezielt ungesicherte MongoDB-Datenbanken und räumt die gespeicherten Daten ab. Das einzige, was der Nutzer nach dem Angriff vorfindet ist eine Nachricht, dass 0,2 Bitcoin, also rund 200 Euro zu zahlen wären, wenn er seine Daten wiederhaben möchte. Nach Auswertungen von Blockchain.info hat bereits eine Reihe von Opfern, das Lösegeld gezahlt.

Das Vorgehen von Harak1r1 erinnert an die vielen Erpressertrojaner, die im vergangenen Jahr für Kummer im Netz gesorgt haben. Und obwohl 0,2 Bitcoin vergleichsweise günstig erscheinen, ist es unter diesen Umständen fast schon verwunderlich, dass Hacker mit dieser Sicherheitslücke noch nicht deutlich höhere Schäden angerichtet haben! Bedenkt man, dass nicht nur MongoDB-Datenbanken, sondern auch CouchDB-, Redis,- Riak- und Cassandra-Datenbanken betroffen und teils frei im Netz verfügbar sind, birgt Harak1r1s Vorgehensweise ein gewaltiges Schadenspotenzial, gegen das dringend etwas getan werden muss.

Im Sommer hatten sich Union und SPD darauf geeinigt, dass die pauschale Haftung der WLAN-Betreiber für Urheberrechtsverletzungen, die über ihren Anschluss begangen wurden, wegfällt. Damit soll der WLAN-Ausbau in Deutschland vorangetrieben werden. Betreiber von offenen WLAN-Netzwerken können sich nach den Plänen auf das sogenannte Providerprivileg berufen, wodurch sie nicht mehr für die Inhalte der übertragenen Daten verantwortlich gemacht werden können (mehr dazu im Beitrag vom 08. Juni 2016). Das ist wichtig für gewerbliche Anbieter wie Cafés, Arztpraxen oder Fitnessstudios, hat jedoch für private Internetanschlüsse mit WLAN kaum eine Bedeutung. Ganz im Gegensatz zu einem aktuellen Urteil des Bundesgerichtshofs, über das sich viele private Anschlussinhaber freuen dürften.

Die Rechteinhaberin des Films „The Expendables 2“ hatte gegen die Eigentümerin eines WLAN-Anschlusses wegen Urheberrechtsverletzung auf Zahlung von Schadenersatz geklagt. Ein Unbekannter hatte sich im November und Dezember 2012 unberechtigt Zugang zum Netzwerk der Beklagten verschafft und den Film über ein Filesharing-Netzwerk öffentlich zugänglich gemacht. Die Klägerin war der Meinung, dass die Anschlussinhaberin hierfür haftet, da sie ihr Netzwerk zwar verschlüsselt, allerdings den voreingestellten WPA2-Schlüssel nicht geändert hat. Das sei fahrlässig und führe zur Störerhaftung.

Dieser Einschätzung ist das Bundesverfassungsgericht nicht gefolgt und wies die Klage ab. Die Beklagte habe ihre Prüfungspflichten nicht verletzt, als sie den voreingestellten WPA2-Schlüssel nicht geändert hat. Sie sei lediglich dazu verpflichtet sicherzustellen, dass der Router zum Zeitpunkt des Kaufs über ein ausreichend langes, individuelles Passwort verfügt und die marktüblichen Sicherheitsstandards bei der Verschlüsselung einhält. Wichtig ist hier die Interpretation des Wortes „individuell“: Die Richter sahen auch ein voreingestelltes Passwort als individuell an, sofern es nicht vom Hersteller an mehrere Geräte gleichzeitig vergeben wurde. Im vorliegenden Fall konnte kein Beweis erbracht werden, dass das Passwort auch auf anderen Geräten eingestellt war. Mit der Benennung des Routertyps, des Passworts und der Angabe, dass das Passwort nur an dieses Gerät vergeben wurde, habe die Beklagte ihre Prüfungspflichten erfüllt. Da der WPA2-Standard als hinreichend sicher gilt und man nicht vermuten musste, dass Dritte ihn entschlüsseln können, hafte die Beklagte damit nicht als Störer. Eine weitere Rolle spielte auch der Zeitpunkt der Urheberrechtsverletzung Ende 2012, denn erst 2014 wurde eine bestehende Sicherheitslücke bei diesem Routertyp bekannt.

Das Urteil dürfte so manchen Anschlussinhaber freuen, vor allem diejenigen, denen schon einmal Post vom Abmahnanwalt ins Haus geflattert ist. Man sollte es jedoch nicht als Freifahrtschein dafür sehen, dass man sein WLAN nicht mehr vernünftig schützt. Ein individuelles – und hier meine ich damit ein selbstvergebenes – und ausreichend  langes Kennwort zum Schutz des heimischen WLANs ist immer sinnvoll. Voreingestellte Kennwörter werden meist nach einem bestimmten Algorithmus vom Hersteller an die Geräte vergeben. Wird dieser geknackt, lassen sich damit auch die Router hacken. Wie man ein sicheres Kennwort wählt, das man sich auch noch merken kann, habe ich für die Kampagne SpardaSurfSafe hier zusammengestellt.

Am Wochenende haben sich offensichtlich Hacker einmal mehr daran versucht, ein gewaltiges Botnetzwerk aufzubauen. Dabei übernehmen die Kriminellen (zumindest teilweise) die Kontrolle über Geräte von Endanwendern und benutzen diese dann z. B., um Schad-Software zu verbreiten. Dazu haben sie sich im aktuellen Fall eine Sicherheitslücke in den Internetzugangsroutern von über 900.000 Telekom-Kunden zunutze gemacht. Zunächst sorgte der Fall für Furore, weil die Kunden zeitweise vom Internet abgeschnitten waren.

Wie jetzt bekannt wurde, handelte es sich bei der Panne um einen groß angelegten Hacker-Angriff. Die Angreifer kaperten die Router mit der sogenannten Mirai-Software und nutzten dafür eine Sicherheitslücke im Fernwartungsprotokoll der Geräte aus. Eigentlich ist das in den Routern implementiert, damit die Internet-Service-Provider Einstellungen an den Geräten ihrer Kunden vornehmen können. Besonders einfach hatten es die Hacker allerdings im Fall der gekaperten Telekom-Router, weil hier der Zugriff sogar ohne jegliche Authentifizierung durchgeführt werden kann.

Eine zusätzliche Script-Injection-Sicherheitslücke ermöglichte es zudem, eingebettete Befehle an die Geräte zu schicken, die auf dem befallenen System ausgeführt wurden. So konnte sich die Malware am vergangenen Wochenende relativ schnell ausbreiten.

Da der fürs Botnetz verantwortliche Code allerdings ausschließlich im Arbeitsspeicher des Geräts abläuft, empfiehlt die Telekom, den Router abzuschalten und neu zu starten.

Es ist daher generell problematisch, dass Router für die Wartung durch Internet-Service-Provider Ports nach außen öffnen und dadurch große Angriffsflächen bieten. Nach Aussagen der Telekom soll die aktuelle Malware „schlecht programmiert“ gewesen sein, was – diesmal – die Folgen des Angriffs eingeschränkt habe.

Wir haben an dieser Stelle ja bereits oft darauf hingewiesen: Updates sind wichtig! Und wir werden das sicher noch oft wiederholen, denn in allen Computerprogrammen lauern versteckte Sicherheitslücken, die nach und nach durch Updates geschlossen werden. Sie sind sozusagen Work-in-Progress. In den letzten Tagen hat sich das wieder deutlich gezeigt, denn es ist ein ganzer Rattenschwanz kritischer Updates veröffentlicht worden. Wir wollen uns einmal ansehen, wie viele Sicherheitslücken allein in dieser Woche geschlossen wurden und was passieren kann, wenn man das Update unterlässt.

Adobe schloss für seinen Flash Player gleich neun Sicherheitslücken, die mit einem hohen Risiko bewertet wurden, denn Angreifer aus dem Internet könnten über diese Lücken den gesamten Rechner übernehmen. Wer für den Flash-Player also nicht ohnehin die automatischen Updates aktiviert hat, sollte die Aktualisierung schnellstmöglich manuell durchführen.

Auch Microsoft hat an seinem Patchday im November eine ganze Reihe von Sicherheits-Updates für unterschiedliche Programme zur Verfügung gestellt. Eine genaue Zahl der geschlossenen Lücken gibt Microsoft zwar nicht an, jedoch sind fast alle gängigen Programme von Word über Excel bis hin zum Internet Explorer betroffen. Auch in diesem Fall wird das Risiko als sehr hoch eingestuft. Sie ermöglichen einem nicht im System angemeldeten Angreifer, Befehle mit Benutzerrechten auszuführen. Außerdem liefert Microsoft über das Update ein neues Tool zum Entfernen von Schad-Software aus. Das Update läuft entweder über die Windows-Update-Funktion oder kann auf der Microsoft-Webseite heruntergeladen werden.

Google stellt für seinen beliebten Browser Chrome ebenfalls ein neues Sicherheits-Update zur Verfügung und schließt damit einige teils gravierende Sicherheitslücken. Wer auf das Update verzichtet, geht laut Experteneinschätzung ein hohes Risiko ein, dass Angreifer das System durch die Eingabe von beliebigen Programmbefehlen beschädigen. Außerdem könnten Informationen ausgespäht werden. Das Update lässt sich bei Google herunterladen.

Nach all diesen Updates für den Computer sollte man auch das Handy und das Tablet nicht vernachlässigen. Für sein Betriebssystem Android hat Google ein neues Sicherheits-Update herausgegeben, das ganze 83 Sicherheitslücken schließt. Davon werden 24 vom Hersteller als kritisch beschrieben. Das Update wird automatisch an die Geräte ausgeliefert und sollte zeitnah ausgeführt werden. Einige Endgerätehersteller wie Samsung oder LG liefern ihre eigenen Versionen aus. Die geschlossenen Lücken ermöglichen es Angreifern, Informationen auszuspähen, sich Berechtigungen einzuräumen und Befehle auszuführen, die bis zur vollständigen Kontrolle über das gesamte Gerät reichen.

Natürlich nerven Updates, vor allem, wenn sie viel Bandbreite und Zeit in Anspruch nehmen. Doch allein unser kurzer Beispielzeitraum von nur rund einer Woche zeigt, wie wichtig es ist, Aktualisierungen zeitnah durchzuführen – auf allen Geräten und für alle Programme!

Die Sicherheitsfirma Symantec warnt erneut vor Cyber-Angriffen auf Energiekonzerne durch das Spionagenetzwerk Dragonfly. Bereits 2014 waren die Hacker aufgefallen, weil sie Energieunternehmen ausspioniert und Malware in industrielle Steuerungssysteme eingeschleust hatten. Seit rund zwei Jahren läuft jetzt eine neue Angriffswelle, die in den letzten Monaten an Intensität zugenommen hat. Deutlich wurde der Zusammenhang auch bei einem Vergleich mit der 2014 genutzten Malware, der deutliche Übereinstimmungen ergab. Aus diesem Grund gab Symantec der neuen Attacke auch den Namen Dragonfly 2.0.

Um ihre Ziele zu erreichen, nutzen die Hacker sowohl Spear-Phishing-Strategien als auch infizierte Webseiten, um ihre Spionage-Software zu verbreiten. Damit sollen Log-In-Daten der kompromittierten Systeme abgegriffen werden, die anschließend für Folgeangriffe verwendet werden können. Ein Sprecher von Symantec erklärte außerdem, dass die eingeschleuste Schad-Software Screenshots der industriellen Steuerungssysteme anfertigen kann, wodurch die Kriminellen weitere Informationen für künftige Angriffe erhalten. Darüber hinaus gehören zur Beute von Dragonfly auch PDF- und Word-Dateien, darunter Aufbaupläne der Steuersysteme. Zusammengenommen könnten die Informationen ausreichen, um die Sicherheitssysteme der Energieversorger zu überlisten.

Rund 27 erfolgreiche Angriffe konnte Symantec der neuen Dragonfly-Angriffswelle bisher zuordnen. Mit 20 Energieunternehmen sind vor allem die USA betroffen, aber auch in der Türkei konnten die Hacker mit sechs Unternehmen und in der Schweiz mit einem Unternehmen Erfolge verzeichnen. In Deutschland, den Niederlanden und Belgien waren sie hingegen nicht in der Lage, in die Netzwerke einzudringen. Und beruhigenderweise waren bislang offenbar keine Atomanlagen unter den gehackten Netzwerken. Trotzdem: Energieversorger müssen jederzeit auf einen Angriff vorbereitet sein. Und dabei reicht es nicht, allein die Technik immer weiter auszubauen. Denn im Zentrum effektiver Schutzmaßnahmen steht immer noch der Mensch. Genau hier setzen wir mit unseren Awareness-Schulungen an, denn nur wer sich der Gefahr bewusst ist, kann entsprechend handeln!

Nach dem Bericht der Internetsicherheitsfirma Talos, hat der britische Software-Hersteller Piriform vermutlich wochenlang eine Version seiner Wartungs-Software CCleaner ausgeliefert, in der Unbekannte eine gefährliche Malware versteckt hatten.

Talos schätzt, dass Millionen Geräte betroffen sein könnten. Die Software habe, sobald sie aktiv war, auf den befallenen Systemen Daten gesammelt und versendet. Eigentlich ist der CCleaner ein Programm, das die Leistung von PCs und Android-Smartphones verbessern soll. 

Darüber, wie wichtig Updates sind, haben wir an dieser Stelle bereits mehrfach berichtet. Nur wer seine Geräte – Handy, Laptop, Fernseher, Tablet etc. – regelmäßig auf den neusten Stand bringt, kann davon ausgehen, dass alle bekannten Sicherheitslücken behoben wurden und die Geräte so gut wie möglich geschützt sind. Problematisch wird es allerdings, wenn keine Updates (mehr) verfügbar sind oder die Aktualisierung nicht automatisch läuft, wie sich bei der kürzlich bekannt gewordenen Sicherheitslücke im WPA2-Verschlüsselungsprotokoll gezeigt hat.

Über die Probleme mit dem WPA2-Sicherheitsstandard haben wir bereits am 17.10.2017 berichtet. Auch darüber, dass neben den Millionen WLAN-Netzwerken weltweit alle Geräte von der Sicherheitslücke betroffen sind, in denen ein WLAN-Chip verbaut ist, war hier schon zu lesen. Grundsätzlich wäre es also kein Problem, diese Lücke mit einem Update zu schließen, was mittlerweile auch viele Hersteller getan haben. Doch gerade bei Routern und Geräten des Internet of Things müssen Aktualisierungen teilweise manuell eingespielt werden, wenn die automatische Update-Funktion nicht aktiviert ist. Damit sind offenbar viele Menschen überfordert.

Zudem problematisch: Längst nicht alle Hersteller haben Updates bereitgestellt und es gibt sie auch nicht für alle Geräte. Insbesondere Android-basierte Smartphones und Tablets, die älter als ein paar Jahre sind, erhalten oft keine frische Software mehr. Bei all diesen Geräten bleibt die Sicherheitslücke bestehen. Und die Nutzer sind sich dessen in vielen Fällen nicht einmal bewusst. Ihnen rät der Entdecker der Lücke, Mathy Vanhoef, nur Verbindungen über HTTPS herzustellen, da diese weiterhin sicher seien. Ein anderer Schutz existiert für Geräte ohne Updates bislang leider nicht. Vanhoef hat außerdem angekündigt, demnächst ein Tool zu veröffentlichen, mit dem man testen kann, ob die Lücke bei den eigenen Geräten bereits geschlossen wurde.

Webseiten-Betreiber, die noch eine http-Seite unterhalten, dürften sich in diesen Tagen darüber wundern, dass plötzlich deutlich weniger Besucher den Weg zu ihnen finden. Ein Grund könnte die finale Phase von Googles ambitioniertem Plan sein, das Internet sicherer zu machen. Seit dem 24. Juli 2018 werden Nutzer, die eine Seite ohne SSL-Zertifikat besuchen wollen, von Googles Browser Chrome nicht mehr direkt zur Seite geleitet, sondern erhalten eine Warnung, dass sie eine unsichere Webseite aufrufen wollen. Von dieser Meldung dürfte sich ein nicht geringer Anteil der potenziellen Besucher abschrecken lassen, was zu deutlich geringerem Traffic auf der betroffenen Seite führt. 

Google hat diesen Schritt bereits im Januar 2017 angekündigt. Seit der damals veröffentlichten Version 56 von Chrome erschien eine kleine „Nicht sicher“-Warnung in der Adressleiste des Browsers, wenn eine http-Webseite aufgerufen wurde. Rund zehn Monate später folgte Phase zwei mit der Veröffentlichung von Version 62. Seither wurden alle Seiten, die über Eingabefelder verfügten und diese Daten über eine http-Verbindung verschickten, auf die Sicherheitswarnung umgeleitet. Jetzt folgte der letzte Schritt, nach dem alle Seiten ohne SSL-Zertifikat nicht mehr ohne Weiteres aufgerufen werden können. 

Mittlerweile haben laut einer Studie von Google rund 75 Prozent der Webseiten im Internet ein SSL-Zertifikat, leicht zu erkennen am „https“ in der Adresszeile. Das Ziel von Googles Kampagne ist es, diese Zahl auf 100 Prozent zu steigern – notfalls auch durch Zwang, denn ohne SSL-Zertifikat droht den Seiten bereits seit einiger Zeit eine Abwertung bei der Google-Suche und seit dieser Woche eben auch die Sicherheitswarnung in Chrome. 

Grundsätzlich ist Googles Anliegen durchaus zu begrüßen, denn das http-Protokoll ist schlicht und ergreifend nicht sicher, ganz besonders, wenn sensible persönliche Daten übertragen werden. Es erleichtert außerdem Man-in-the-middle-Angriffe, um Kennwörter, Session-Cookies oder Kreditkarteninformationen zu erbeuten. Mit einer https-Verbindung hingegen werden die Daten verschlüsselt übertragen, ein Abgreifen des Datenstroms ist daher nicht mehr so einfach möglich. Trotzdem fürchten vor allem Betreiber kleinerer Webseiten Kosten und den Aufwand einer Migration auf eine sichere https-Verbindung. Ihnen sei jedoch gesagt: https ist kostenlos! Über Seiten wie CloudFlare oder Let’s Encrypt kann man kostenlose SSL-Zertifikate erhalten. Und auch der Umzug der Seite ist nicht allzu kompliziert. Eine detaillierte Anleitung hat beispielsweise Google in einem Video im Zuge der Kampagne zur Verfügung gestellt. 

Wer sich also bislang noch nicht durchringen konnte, den Schritt zu https zu wagen, sollte das schnellstmöglich nachholen – nicht nur zum Schutz der Nutzer, sondern auch im eigenen Interesse. Denn welcher Kunde möchte schon auf einer unsicheren Webseite seine Daten hinterlassen?

Eine kritische Infrastruktur oder kurz KRITIS ist eine Anlage, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen ist. Dazu gehören Systeme oder Teile davon, die essenziell für die Gesundheit, die Sicherheit und das wirtschaftliche oder soziale Wohlergehen der Bevölkerung sind. Laut Definition des Innenministeriums umfasst der Begriff KRITIS ebenso Energie- und Wasserversorger, die Nahrungsmittelindustrie, Krankenhäuser und Notdienste, Kommunikationsanlagen, Verwaltungsstrukturen, Teile der Finanzindustrie und der Medienlandschaft. Ein Angriff auf solche KRITIS-Strukturen kann gravierende Auswirkungen auf das Leben der Bevölkerung haben. Umso wichtiger ist es, diese Strukturen vor Angriffen sowohl on- als auch offline zu schützen.

Auf der CyberwarCon-Konferenz in Arlington in den USA wurde nun bekannt, dass genau solche systemrelevante Infrastruktur in den Fokus einer bekannten iranischen Hacker-Gruppe geraten ist. Das verkündete Ned Moran von Microsofts Threat Intelligence Group. Mit seinem Team hat er die jüngsten Aktivitäten der iranischen Hacker-Gruppe APT33 analysiert und kommt zu dem Schluss, dass sie sich eine neue Zielgruppe gesucht hat. So attackiert sie aktuell verstärkt Hersteller, Zulieferer und Dienstleister für Industrial Control Systems (ICS). Zwar hat Moran die genauen Ziele nicht namentlich genannt, allerdings äußerte er den begründeten Verdacht, dass diese Unternehmen nicht das eigentliche Ziel der Angriffe sind, sondern deren Kunden, die die Kontroll-Systeme einsetzen. Dazu zählen auch KRITIS-Strukturen, in die auf diesem Wege Schadsoftware eingeschleust wird, um Daten auszulesen und zu manipulieren oder deren Systeme zum Absturz bringen zu können.

Bei den Angriffen setzt APT33 das sogenannte Password Spraying ein. Dabei werden häufig genutzte Passwörter auf gut Glück bei vielen tausend Firmenaccounts durchprobiert, in der Hoffnung, dass ein Mitarbeiter so unvorsichtig war, eines dieser Passwörter zu nutzen. Angesichts der leider noch immer weit verbreiteten Naivität und Bequemlichkeit im Umgang mit Cybersicherheit stehen die Chancen gar nicht schlecht, dass sie damit Erfolg haben. Noch konnten Microsofts Sicherheitsforscher der Hackergruppe keine durchschlagende Cyberattacke nachweisen, sondern fanden nur ihre Spuren in Bezug auf Spionageaktivitäten. Allerdings wurden die Opfer dieser Ausspähversuche in vielen Fällen später durch eine Attacke mit Shamoon getroffen. Diese Malware löscht und vernichtet Daten auf den Systemen der Opfer. Darüber hinaus wurden Hinweise darauf gefunden, dass eine weitere Angriffswelle in der Zukunft vorbereitet werden sollte.

Die Konzentration der iranischen Hackergruppe auf ICS-Strukturen stellt eine echte Gefahr dar. Dass viele Energieversorger und andere KRITIS-Unternehmen bei der Steuerung ihrer Anlagen blind auf die Software vertrauen, erscheint deshalb geradezu fahrlässig. Ein erfolgreicher Angriff könnte angefangen bei Stromausfällen bis hin zu Explosionen alles zur Folge haben. Umso wichtiger ist es, den Hackern das Leben nicht zu einfach zu machen. Ein sicheres Passwort ist dafür ein erster, aber unverzichtbarer Schritt.

Foto: Eisenhans / Adobe Stock

Ransomware ist  eines der größten Probleme für Internetnutzer. Ob Privatperson oder Unternehmen – wer seine Daten plötzlich an eine solche Schadsoftware verliert, ist erst einmal ziemlich aufgeschmissen. Es bleibt nur zu hoffen, dass der für die Verschlüsselung verwendete Algorithmus bald geknackt wird. Sonst muss man in den sauren Apfel beißen und das geforderte Lösegeld zahlen. Aber selbst dann gibt es keine Garantie, dass Daten und IT-Systeme problemlos wieder in den Ursprungszustand versetzt werden können.

Für Unternehmen ist eine solche Attacke aus dem Netz im besten Fall eine teure Angelegenheit. Im schlimmsten Fall kann sie aber durchaus existenzgefährdend sein, wie ein aktueller Fall in den USA zeigt. Bereits im Oktober fiel das Telemarketing-Unternehmen The Heritage Company einem Cyberangriff mit Ransomware zum Opfer, der es dazu zwang, die geforderte Summe an die Erpresser zu zahlen. Doch trotz der Zahlung und dem daraufhin übermittelten Entschlüsselungspasswort gelang es dem Unternehmen auch zwei Monate nach dem Vorfall nicht, seine Systeme wieder zum Laufen zu bringen.

Die Konsequenzen für die mehr als 300 Angestellten von The Heritage Company sind dramatisch: Kurz vor Weihnachten wurde ihnen mitgeteilt, dass der Betrieb vorerst eingestellt würde und sie sich am 02. Januar telefonisch erkundigen sollten, ob die IT mittlerweile wieder laufe und sie damit noch einen Job hätten. Lokale Medien berichten, dass die Mitarbeiter auf ihre Nachfragen nur eine aufgenommene Nachricht auf dem Anrufbeantworter zu hören bekamen. Darin hieß es, dass der Wiederherstellungsprozess bislang leider nicht erfolgreich gewesen sei. Zwar seien Fortschritte erkennbar, allerdings gebe es noch viel zu tun und man habe Verständnis, wenn die Angestellten sich einen neuen Job suchten. Mittlerweile haben sich Medienberichten zufolge viele Angestellte arbeitslos gemeldet, denn kaum einer glaubt mehr daran, dass sich The Heritage Company von dem Angriff erholen und die Arbeit wieder aufnehmen wird.

Das Beispiel zeigt, welche gravierenden Konsequenzen die Infektion mit einem Kryptotrojaner nach sich ziehen kann. Gerade kleinere und mittlere Unternehmen verfügen oft nicht über ausreichend Kapital, um derartige Verluste oder Ausgaben für eine neue IT-Infrastruktur zu verkraften. Umso wichtiger ist es, für den Fall der Fälle vorzusorgen und Back-ups zu erstellen, die außerhalb des Unternehmensnetzwerks aufbewahrt werden. Doch auch die Prävention, beispielsweise durch Mitarbeiterschulungen und Awareness-Maßnahmen, sollte ganz oben auf die Prioritätenliste gesetzt werden, denn so ließe sich der eine oder andere Angriff von vornherein verhindern.

Bild (c) Pete Linforth / Pixabay

Sicherheitsforscher sprechen bereits von einer der gefährlichsten Sicherheitslücken der vergangenen Jahre. Die Rede ist von dem in IT-Sicherheitskreisen als Shitrix bekannt gewordenen Bug im Citrix Application Delivery Controller und im Citrix Gateway. Dabei handelt es sich um einen sogenannten Path Traversal Bug, der es einem Angreifer erlaubt, über das Internet ohne Authentifikation auf ein Gerät zuzugreifen. Er muss lediglich einige Zeilen Code mit einer Anfrage an die verwundbare Citrix-Anwendung senden und seinen Exploit-Code anhängen. So kann sich der Angreifer Zugriff auf interne Unternehmensnetzwerke und Geräte verschaffen. Entdeckt und an Citrix gemeldet wurde die Sicherheitslücke mit der Nummer CVE-2019-19781 bereits vor rund einem Monat von Sicherheitsforscher Mikhail Klyuchnikov. Bislang hielten sich die Angriffe auf CVE-2019-19781 in Grenzen.

Doch das dürfte sich schnell ändern, denn seit vergangener Woche steht Hackern ein Proof of Concept mit dem entsprechenden Code zur Verfügung. Von einer Gruppe indischer Sicherheitsforscher erstellt, kommt die Veröffentlichung zur Unzeit für Nutzer der Citrix-Anwendungen, denn ein Patch steht bis jetzt nicht zur Verfügung. Lediglich eine Sicherheitswarnung wurde am 17.Dezember 2019 von Citrix herausgegeben. Auf einer Support-Seite im Netz finden Kunden zudem eine Anleitung zur Änderung der Konfiguration, die einen Angriff verhindern soll. Ob die Betroffenen diese tatsächlich kurz vor Weihnachten und den Feiertagen umgesetzt haben, sei einmal dahingestellt. Entdecker Klyuchnikov spricht zum Zeitpunkt seiner Meldung an Citrix von mehr als 80.000 Unternehmen, in denen die Citrix-Anwendungen zum Einsatz kommen.

Mittlerweile warnen sowohl Sicherheitsexperten als auch Regierungsorganisationen weltweit vor der Lücke und raten dazu, die Hinweise von Citrix umzusetzen, bis ein Patch veröffentlicht wurde. Auch das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) warnte bereits am 23. Dezember 2019 vor der Sicherheitslücke und verwies auf die Anleitung von Citrix. Diese Warnungen erhalten nach der Veröffentlichung des Proof of Concept nun noch mehr Relevanz, denn bereits jetzt stellen Sicherheitsforscher auf Honeypot-Servern mit den entsprechenden Citrix-Anwendungen vermehrt Angriffe fest. Bis der für Ende Januar angekündigte Patch für CVE-2019-19781 verfügbar ist, sollten Unternehmen die empfohlenen Anpassungen schnellstmöglich vornehmen, um sich nicht zum leichten Opfer von Kriminellen zu machen.

Der Fall zeigt, dass Software-Anbieter schnell reagieren müssen, wenn sie von Sicherheitsforschern auf eine Sicherheitslücke hingewiesen werden. Normalerweise warten die Entdecker mit der Veröffentlichung des Exploits, bis ein Patch zur Verfügung steht. So soll verhindert werden, dass Kriminelle die Daten für Angriffe nutzen können. Auch Citrix erfuhr vor rund einem Monat von CVE-2019-19781, veröffentlichte jedoch keinen Patch, der die Sicherheitslücke ein für alle Mal schließt, sondern gab sich vorerst mit einer Notlösung zufrieden. Es bleibt zu hoffen, dass der Patch tatsächlich spätestens Ende Januar zur Verfügung steht. Vielleicht geht es nach der Veröffentlichung des Exploits sogar etwas schneller.

Bild (c) Wokandapix / Pixabay