Fix your in­ter­net!

Si­cher­heit im Netz

Tendency - - In dieser Ausgabe -

Durch Cy­ber­kri­mi­na­li­tät ent­ste­hen jähr­lich Schä­den in Mil­li­ar­den­hö­he und ge­fähr­den oder ver­nich­ten so man­che Exis­tenz. Kri­mi­nel­le ar­bei­ten pro­fes­sio­nell und mit al­len Tricks, um Si­cher­heits­in­stan­zen in Net­zen zu un­ter­wan­dern. Der er­bar­mungs­lo­se Kampf um wich­ti­ge Da­ten und wert­vol­les geis­ti­ges Ei­gen­tum lohnt sich für Be­trü­ger un­ge­mein.

Mik­ko Hyp­po­nen, Chief Re­se­arch Of­fi­cer von F-Se­cu­re, be­zeich­net Da­ten als das neue Öl. Aus ih­nen lässt sich heu­te rich­tig viel

Geld ma­chen. „Und zwar so viel Geld, dass man sich da­mit aus der Por­to­kas­se ei­nen Por­sche, ei­nen Rolls Roy­ce und ei­nen As­ton Mar­tin kau­fen kann“, sag­te der Si­cher­heits­ex­per­te in sei­ner Keyno­te „The Next Arms Race“auf der dies­jäh­ri­gen Ce­BIT.

Al­le mit dem In­ter­net ver­bun­de­nen Ge­rä­te kön­nen von In­fek­tio­nen be­trof­fen sein: Fir­men­netz­wer­ke, Pri­vat­com­pu­ter, Smart­pho­nes, ka­bel­lo­se Ein­ga­be­ge­rä­te wie Mäu­se und Tas­ta­tu­ren, die mit USB-Don­gles oh­ne Blue­tooth ge­nutzt wer­den, Aug­men­ted-Rea­li­ty-Ge­rä­te, Kin­der­spiel­zeug. Si­cher­heits­lö­sun­gen wer­den zwar in­tel­li­gen­ter. Für den nor­ma­len In­ter­net­nut­zer wird es an­ge­sichts der sich täg­lich än­dern­den Ge­fah­ren­la­ge den­noch zu­neh­mend an­spruchs­vol­ler, Atta­cken ab­zu­weh­ren. SQL-In­jec­tion, Cam­fec­ting, Spear­phis­hing, Ran­so­me­wa­re, Key­log­ging, Ex­ploit, DNS-Hi­jacking – die Lis­te des IT-Grau­ens lie­ße sich fort­set­zen.

Die Hal­tung vie­ler Pri­vat­per­so­nen ist im­mer noch: „Was ist bei mir schon zu ho­len?!“

Spä­tes­tens dann, wenn der Rech­ner ver­schlüs­selt ist oder nicht mehr star­tet, die un­er­wünsch­ten Te­le­fon­an­ru­fe ste­tig mehr oder die ei­ge­nen Da­ten für kri­mi­nel­le Hand­lun­gen miss­braucht wer­den, schaut die Sa­che schon an­ders aus.

„Vie­len Nut­zern ist nicht be­wusst, dass Kri­mi­nel­le mit dem Han­del ge­stoh­le­ner Iden­ti­tä­ten sehr viel Geld ver­die­nen und wel­cher Scha­den ih­nen ent­ste­hen kann“, so Prof. Dr. Christoph Mei­nel vom Has­so-Platt­ner-In­sti­tut.

„Ein­falls­reich­tum und Raf­fi­nes­se be­stim­men seit je­her die Be­dro­hungs­land­schaft. Die­ses Jahr aber konn­ten wir ein­schnei­den­de Ve­rän­de­run­gen bei der Mo­ti­va­ti­on und Aus­rich­tung der Atta­cken fest­stel­len“, sagt Can­did Wüest, Prin­ci­pal Th­re­at Re­se­ar­cher bei Sy­man­tec. „Die Welt wur­de Zeu­ge, wie ei­ni­ge Staa­ten ih­re Be­mü­hun­gen, po­li­ti­sche Pro­zes­se zu ma­ni­pu­lie­ren und Sa­bo­ta­ge­ak­tio­nen durch­zu­füh­ren, ver­dop­pelt ha­ben. Gleich­zeit konn­ten Cy­ber­kri­mi­nel­le mit Cloud-Ser­vices und sim­plen IT-Werk­zeu­gen Stö­run­gen in bis­lang un­be­kann­tem Aus­maß ver­ur­sa­chen.“

Ein­falls­to­re für kri­mi­nel­le Hand­lun­gen aus dem In­ter­net gibt es vie­le, wie ver­al­te­te Soft­ware auf Sys­te­men oh­ne pro­fes­sio­nel­le Schutz­me­cha­nis­men, wo­durch Si­cher­heits­lü­cken aus­ge­nutzt wer­den. Ne­ben E-Mail-An­hän­gen und ge­fälsch­ten Links dro­hen Ge­fah­ren auch in Down­loads, Wer­be­ban­nern, durch Ha­cker­an­grif­fe und Schwach­stel­len in Brow­sern und Plug­ins so­wie durch leicht­fer­ti­gen Um­gang mit Pass­wör­tern, USB-Sticks und Apps, die über „in­of­fi­zi­el­le“Märk­te ge­kauft wer­den. Zu­neh­mend steht das „In­ter­net der Din­ge“(IoT) im Fo­kus der Be­trü­ger, wo al­les mit al­lem kom­mu­ni­ziert.

Sy­man­tec, ein füh­ren­der An­bie­ter von Si­cher­heits­lö­sun­gen, of­fen­bart in sei­nem Si­cher­heits­re­port 2017, wie ein­fa­che Me­tho­den bis­her bei­spiel­lo­se Fol­gen ha­ben: Im Jahr 2016 ent­hielt ei­ne von 94 E-Mails in Deutschland bös­ar­ti­ge Links oder An­hän­ge.

Ran­som­ware wer­de im­mer mehr zum glo­ba­len Pro­blem, vie­le CIOs ha­ben den Über­blick darüber ver­lo­ren, wie vie­le Cloud-ba­sier­te Pro­gram­me in ih­rem Un­ter­neh­men ge­nutzt wer­den.

Um den Cy­ber­krieg nicht zu ver­lie­ren, müs­sen In­ter­net­nut­zer ih­re Fein­de ver­ste­hen. Doch ge­nau da­ran man­gelt es oft­mals. Ei­ne mög­lichst flä­chen­de­cken­de Auf­klä­rung der Nut­zer hilft, Schä­den ab­zu­wen­den oder zu­min­dest zu be­gren­zen. In ei­ner Zeit des Cy­ber-Wett­rüs­tens soll die­ser Bei­trag mit ei­nem klei­nen Aus­schnitt aus der der­zei­ti­gen Ge­fah­ren­la­ge In­ter­net­nut­zer in­for­mie­ren und für Si­cher­heit sen­si­bi­li­sie­ren. Aus den dar­ge­stell­ten Sze­na­ri­en er­ge­ben sich An­sät­ze für ei­ge­ne Schutz­maß­nah­men.

„Wa­te­ring Ho­le Attack“: Der Lö­we war­tet am Was­ser­loch

Sinn­bild­lich aus­ge­drückt, lau­ert der Lö­we an ei­nem Was­ser­loch, bis das po­ten­zi­el­le Op­fer ei­nen Feh­ler macht und er zu­schnap­pen kann. Die­se „Was­ser­lö­cher“sind bspw. Schwach­stel­len auf In­ter­net­sei­ten, die das Op­fer be­sucht. Se­riö­se An­ge­bo­te im Web, z. B. Un­ter­neh­mens­sei­ten, Shop­ping- und Rei­se­por­ta­le, wer­den un­be­merkt ma­ni­pu­liert und ver­brei­ten ih­re schäd­li­che Fracht beim Auf­ru­fen ei­ner Sei­te durch den Be­su­cher. „Knapp 75 Pro­zent al­ler le­gi­ti­men Web­sites wei­sen Si­cher­heits­lü­cken auf, die nicht durch Pat­ches ge­schlos­sen wur­den, und sind so ei­ne Ge­fahr für uns al­le“, be­schreibt Sy­man­tec die Si­tua­ti­on.

Um Mail-Emp­fän­ger zum Öff­nen von bös­ar­ti­gen Da­tei­an­hän­gen oder zum Ankli­cken von ge­fak­ten Links zu be­we­gen, set­zen Kri­mi­nel­le als Druck­mit­tel auch Te­le­fon­an­ru­fe ein. Hier­bei wird Dring­lich­keit oder ein zu er­war­ten­der Ge­schäfts­ab­schluss vor­ge­täuscht. An­grif­fen die­ser und an­de­rer Art ge­hen oft­mals Aus­späh­ak­tio­nen in so­zia­len Netz­wer­ken und in Such­ma­schi­nen vor­aus, um In­for­ma­tio­nen über po­ten­zi­el­le Op­fer zu sam­meln. Des­halb sind ge­fälsch­te E-Mails oft­mals gut auf den Emp­fän­ger und sei­ne In­ter­es­sen zu­ge­schnit­ten und nicht so­fort als Ge­fahr er­kenn­bar.

Hat der An­grei­fer die Hin­ter­tü­ren ei­nes Rech­ners erst ein­mal geöffnet, wird Schad­code nach­la­den, der Da­ten stiehlt oder das Ge­rät an­der­wei­tig ma­ni­pu­liert. Der Rech­ner des Op­fers ver­wan­delt sich in ei­nen Zom­bie, der un­be­merkt selbst über ei­nen län­ge­ren

Zei­t­raum Da­ten an die Cy­ber­kri­mi­nel­len sen­det. Oft­mals be­mer­ken Be­trof­fe­ne nichts da­von, wenn Schad­code nach dem An­griff wie­der ge­löscht wird.

Bei An­ruf Ab­zo­cke

Be­trü­ge­rei­en mit ge­fälsch­ten tech­ni­schen Sup­port­leis­tun­gen tau­chen eben­falls im­mer wie­der auf. Ge­fak­te Feh­ler­mel­dun­gen oder ein Blue­screen mit ein­ge­blen­de­ter Te­le­fon­num­mer ver­lei­ten Nut­zer da­zu, ei­nen ver­meint­li­chen Sup­port an­zu­ru­fen. Der ver­schafft sich per ver­trau­ens­wür­di­ger Soft­ware, wie Te­am­view­er, die der Nut­zer zur Lö­sung des Pro­blems in­stal­lie­ren soll, Fern­zu­griff auf den Rech­ner. An­schlie­ßend be­haup­tet der Be­trü­ger, ge­fähr­li­che Vi­ren auf dem Rech­ner ge­fun­den zu ha­ben und bie­tet ge­gen Ent­gelt ei­ne ver­meint­li­che Säu­be­rung an.

Ver­schlüs­se­lung als Waf­fe

Vie­le Nut­zer ha­ben mit Lö­se­geld­for­de­run­gen zu kämp­fen, um wie­der Zu­griff auf ih­re Rech­ner zu er­hal­ten. Der Grund: Die Com­pu­ter sind mit Ran­som­ware ver­seucht, ei­ner Soft­ware, die Lö­se­geld (ran­som) ein­for­dert. Die Be­zah­lung des Lö­se­gelds soll über ei­ne an­ony­me Über­wei­sung ins Aus­land oder di­gi­ta­le Be­zahl­diens­te er­fol­gen.

Meist wird Ran­som­ware durch E-Mail-An­hän­ge oder kom­pro­mit­tier­te In­ter­net­sei­ten ein­ge­schleust. Doch die In­fek­ti­ons­me­tho­den und Va­ri­an­ten von Ran­som­ware wer­den im­mer aus­ge­feil­ter. Sy­man­tec hat im letz­ten Jahr 101 neue Mal­wa­re-Fa­mi­li­en iden­ti­fi­ziert, drei­mal so vie­le wie bis­her be­kannt. Welt­weit stie­gen die Ran­som­ware-Atta­cken um 36 Pro­zent.

In­zwi­schen sind auch Smart­pho­nes, Macs und Li­nux-Sys­te­me Zie­le von An­grei­fern. Das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­no­lo­gie (BSI) be­legt mit ei­ner Da­ten­aus­wer­tung, dass in Deutschland die Zahl der An­griffs­ver­su­che, die mit­tels E-Mail-An­hän­gen Ver­schlüs­se­lungs­tro­ja­ner ein­schleu­sen, zwi­schen Ja­nu­ar und Mai 2016 um das 70-fa­che an­ge­stie­gen war.

Mit Ent­war­nung ist nicht zu rech­nen, die La­ge bleibt wei­ter akut. Des­halb ist es enorm wich­tig, An­grif­fe zur Anzeige zu brin­gen. Doch das wird meist ver­nach­läs­sigt, denn vie­le fragen sich: „Was ha­ben wir da­von?“

Die Antwort lie­fert Sa­scha Pfeif­fer, Si­cher­heits­ex­per­te von So­phos: „Sind Com­pu­ter in­vol­viert, ha­ben be­trof­fe­ne Pri­vat­per­so­nen eben­so wie Un­ter­neh­men die Ten­denz, die

Straf­tat als das Pro­blem des Op­fers, bes­ten­falls noch als das der Bank oder des Pro­vi­ders ab­zu­tun. Das ist lang­fris­tig völ­lig kon­tra­pro­duk­tiv und spielt nur den Tä­tern in die Hän­de.“Da­mit Ge­scheh­nis­se ge­prüft wer­den kön­nen, müs­sen Be­weis­mit­tel si­cher­ge­stellt wer­den.

Mit­ar­bei­ter in Un­ter­neh­men

Si­cher­heits­ex­per­ten stel­len im­mer wie­der fest, dass Mit­ar­bei­ter vor al­lem klei­ne­rer und mitt­le­rer Un­ter­neh­men nicht hin­rei­chend für si­cher­heits­re­le­van­te Aspek­te sen­si­bi­li­siert sind. Christian Perst, IT-Se­cu­ri­ty-Con­sul­tant von itEXPERsT.com, rät Un­ter­neh­men, ein Be­wusst­sein für So­ci­al En­gi­nee­ring zu schaf­fen und Si­cher­heits­me­cha­nis­men im­mer wie­der durch sog. Pe­ne­tra­ti­ons­tests zu über­prü­fen.

Perst be­tont, dass Si­cher­heits­up­dates für al­le An­wen­dun­gen, die Ein­schrän­kung von Ad­mi­nis­tra­tor­rech­ten und ein Whi­te­lis­ting al­ler Pro­gram­me hilft, Si­cher­heits­lü­cken zu schlie­ßen. Was nicht auf der wei­ßen Lis­te ste­he, kann nicht aus­ge­führt wer­den. 85 Pro­zent der Si­cher­heits­vor­fäl­le lie­ßen sich so ver­mei­den. Klingt ein­fach und nach­voll­zieh­bar, doch wel­ches klei­ne Un­ter­neh­men führt tat­säch­lich ei­ne Whi­te­list?

Si­cher­heits­ex­per­ten se­hen vor al­lem in der Ein­hal­tung von Re­geln ei­nen wich­ti­gen Schritt für mehr Si­cher­heit. Exis­tiert im Un­ter­neh­men über­haupt ei­ne ak­tu­el­le Po­li­cy? Und wenn ja, in wel­chen Be­rei­chen? Ge­ra­de im Um­gang mit Smart­pho­nes und an­de­ren Mo­bil­ge­rä­ten ver­ges­sen Un­ter­neh­men, ih­re Mit­ar­bei­ter in Sa­chen Si­cher­heit zu schu­len.

Oh­ne Kon­zep­ti­on für die Nut­zung mo­bi­ler und pri­va­ter End­ge­rä­te im Un­ter­neh­men ist das Ri­si­ko enorm hoch, dass Da­ten aus dem Un­ter­neh­men wan­dern. Ne­ben Richt­li­ni­en mah­nen Si­cher­heits­ex­per­ten die Aus­ar­bei­tung kla­rer Ver­ein­ba­run­gen und Ein­wil­li­gun­gen an. Mit­ar­bei­ter soll­ten sich stets an die­se Fra­ge er­in­nern, wenn sie in so­zia­len Netz­wer­ken un­ter­wegs sind: Was bin ich ge­willt, von mir be­kannt zu ge­ben?

Ma­nu­el Ko­schuch, Kom­pe­tenz­zen­trum IT-Se­cu­ri­ty, FH Cam­pus Wien, spricht ein un­ter An­wen­dern we­ni­ger be­ach­te­tes, aber wich­ti­ges Thema an und be­klagt die für Nut­zer oft un­durch­sich­ti­ge Darstel­lung von ver­schlüs­sel­ten Ver­bin­dun­gen im Brow­ser. Die jet­zi­ge Pra­xis sei nicht hand­hab­bar. In die­sem Zu­sam­men­hang er­gänzt er: „Wenn’s

je­mand tat­säch­lich kon­kret auf Sie ab­ge­se­hen hat, dann wer­den Sie we­nig tun kön­nen, vor al­lem, wenn fi­nan­zi­el­le Grün­de auf der an­de­ren Sei­te da­hin­ter­ste­hen.“Es ge­be kei­ne ein­heit­li­che Art und Wei­se, wie Nut­zern ei­ne Si­cher­heits­an­zei­ge prä­sen­tiert wird.

„Darüber hin­aus ist es mitt­ler­wei­le durch die Ver­brei­tung von frei ver­füg­ba­ren Zer­ti­fi­zie­rungs­diens­ten wie Let‘s En­crypt für je­den mög­lich, sei­ne Web­sei­te mit va­li­den Zer­ti­fi­ka­ten zu ver­se­hen. Für den An­wen­der ist oh­ne tie­fe­res tech­ni­sches Wis­sen die Au­then­ti­zi­tät und Ver­trau­ens­wür­dig­keit ei­ner Web­site so nicht mehr fest­stell­bar. Hier ent­steht na­tür­lich ei­ne Ve­r­un­si­che­rung, wo­durch sich Nut­zer schnell Schad­code ein­fan­gen kön­nen oder sen­si­ble Da­ten auf ver­meint­lich ver­trau­ens­wür­di­gen Sei­ten be­kannt­ge­ben.“

Her mit dei­nen Da­ten, Pup­pe!

Wenn Spiel­zeug plötz­lich an­fängt, über das In­ter­net Da­ten aus­zu­tau­schen und zu sam­meln, soll­ten wir uns Ge­dan­ken ma­chen, ob die schö­ne ver­netz­te Welt nicht auch Gren­zen ha­ben muss. Brau­chen wir Pup­pen und Ted­dys, die mit Hilfe des In­ter­nets ei­ne Art Ei­gen­le­ben ent­wi­ckeln? Wie an­de­re Ge­rä­te mit im­ple­men­tier­ten Fä­hig­kei­ten zum Da­ten­aus­tausch im In­ter­net wer­den auch sie zum An­griffs­ziel für Ha­cker und Da­ten­die­be.

Spä­tes­tens seit die Bun­des­netz­agen­tur die mit dem In­ter­net ver­bun­de­ne Pup­pe Cay­la vom deut­schen Markt ge­nom­men hat­te, wis­sen wir, dass beim In­ter­net der Din­ge

(IoT) so ei­ni­ges schief ge­hen kann: Hun­dert­tau­sen­de Sprach­nach­rich­ten von El­tern und Kin­dern stan­den un­ge­schützt im Netz.

Gün­ter Un­tucht, Chef­jus­ti­zi­ar des ja­pa­ni­schen IT-Si­cher­heits­an­bie­ters Trend Mi­cro in Eu­ro­pa, ist der Auf­fas­sung, dass Atta­cken aus dem In­ter­net der Din­ge wei­ter­ge­hen wer­den und sich vie­le die­ser Ge­rä­te auch nach­träg­lich nicht ab­si­chern las­sen.

In die­sem Zu­sam­men­hang drän­gen sich fol­gen­de Fragen auf: Muss man die IoT-Wel­le „mi­t­sur­fen? Geht es auch oh­ne Kaf­fee­ma­schi­ne, die Ge­brauchs­ge­wohn­hei­ten und Stö­run­gen am Ge­rät an ei­nen Her­stel­ler sen­det? Und wenn schon „In­ter­net der Din­ge“, wä­re die Ein­rich­tung ei­nes „Gast­netz­werks“für IoT-Ge­rä­te nicht drin­gend ge­bo­ten?

Das Wett­rüs­ten geht wei­ter

Hyp­po­nen und an­de­re Si­cher­heits­ex­per­ten pro­gnos­ti­zie­ren ei­ne düs­te­re Zu­kunft für die Si­cher­heit im In­ter­net. Mit der Zu­nah­me mo­bi­ler Ge­rä­te, der ver­stärk­ten Nut­zung so­zia­ler Netz­wer­ke so­wie Ent­wick­lun­gen, wie IoT, Cloud Com­pu­ting oder Big Da­ta tau­chen im­mer neue Be­dro­hun­gen auf, vor de­nen wir uns wirk­sam schüt­zen müs­sen.

Mik­ko Hyp­po­nen gibt zu Be­den­ken: „Die Leute be­schäf­ti­gen sich ein­fach nicht mit Si­cher­heit. Wer will schon ein Hand­buch durch­blät­tern, um zu er­fah­ren, wie er das WLAN-Pass­wort än­dert?“

Ne­ben den be­reits an­ge­spro­che­nen und all­ge­mein be­kann­ten Si­cher­heits-Maß­nah­men soll­te sich je­der In­ter­net­nut­zer fragen, wie es über­haupt zu der In­fek­ti­on kom­men konn­te und wie man ihr künf­tig be­geg­nen muss. Für Ant­wor­ten muss wohl je­der zu­erst vor sei­ner ei­ge­nen Haus­tü­re keh­ren. Ei­ge­ne Wach­sam­keit, Auf­klä­rungs­kam­pa­gnen der Her­stel­ler von Si­cher­heits­soft­ware und Pro­jek­te wie die des Ver­ban­des der In­ter­net­wirt­schaft e. V. (eco) hel­fen beim täg­li­chen Kampf ge­gen Cy­ber­kri­mi­na­li­tät.

Mit der Initia­ti­ve Task Force des Bun­des­mi­nis­te­ri­ums für Wirt­schaft und Tech­no­lo­gie „IT-Si­cher­heit in der Wirt­schaft“sen­si­bi­li­siert das Mi­nis­te­ri­um ge­mein­sam mit IT-Si­cher­heits-Ex­per­ten, wie eco, vor al­lem klei­ne­re und mit­tel­stän­di­sche Un­ter­neh­men, aber auch Pri­vat­per­so­nen für mehr Si­cher­heit. Im

Ver­band eco ent­stan­den meh­re­re An­wen­dun­gen, wie der „Web­sei­ten-Check“: Auf der In­ter­net­sei­te www.initia­ti­ve-s.de kön­nen In­ter­net­nut­zer ih­re In­ter­net­prä­sen­ta­tio­nen zur kos­ten­lo­sen Über­prü­fung auf schäd­li­chen Co­de ein­stel­len und den Ser­vice auch je­der­zeit wie­der stop­pen.

Die In­ter­net­sei­te www.bot­frei.de stellt ei­ne Rei­he nütz­li­cher Tipps, Werk­zeu­ge, Tu­to­ri­als so­wie ei­nen kos­ten­frei­en Sup­port für ei­ne schnel­le und in­di­vi­du­el­le Hilfe durch die Com­mu­ni­ty zur Ver­fü­gung.

Si­we­cos heißt das neu­es­te Ge­mein­schafts­pro­jekt von eco – Ver­band der In­ter­net­wirt­schaft e. V. und der Ruhr-Uni­ver­si­tät Bochum mit Un­ter­stüt­zung des CMS Gar­den e.V. und des Bochu­mer IT-Se­cu­ri­ty Star­tups Hack­ma­nit. Es steht für „Si­che­re Web­sei­ten und Con­tent Ma­nage­ment Sys­te­me“. Das Pro­jekt wird ge­för­dert durch das Bun­des­mi­nis­te­ri­um für Wirt­schaft und Ener­gie (BMWI) mit dem Ziel, die Web­sei­ten­si­cher­heit für klei­ne und mit­tel­stän­di­sche Un­ter­neh­men lang­fris­tig zu er­hö­hen. Si­we­cos (si­we­cos.de) be­fin­det sich noch in der Ent­wick­lung und star­tet et­wa im Sep­tem­ber 2017.

Ei­ne hun­dert­pro­zen­ti­ge Si­cher­heit im In­ter­net gibt es nicht, mit Si­cher­heit aber ei­ni­ges, was je­der für den Schutz sei­ner Da­ten tun kann.

Fo­to: Antje Hap­ke

Frü­her ha­ben Pup­pen kei­ne Ge­heim­nis­se ver­ra­ten. Und Ted­dys wa­ren ein­fach nur zum Ku­scheln da.

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.