Tendency

Fix your internet!

Sicherheit im Netz

-

Durch Cyberkrimi­nalität entstehen jährlich Schäden in Milliarden­höhe und gefährden oder vernichten so manche Existenz. Kriminelle arbeiten profession­ell und mit allen Tricks, um Sicherheit­sinstanzen in Netzen zu unterwande­rn. Der erbarmungs­lose Kampf um wichtige Daten und wertvolles geistiges Eigentum lohnt sich für Betrüger ungemein.

Mikko Hypponen, Chief Research Officer von F-Secure, bezeichnet Daten als das neue Öl. Aus ihnen lässt sich heute richtig viel

Geld machen. „Und zwar so viel Geld, dass man sich damit aus der Portokasse einen Porsche, einen Rolls Royce und einen Aston Martin kaufen kann“, sagte der Sicherheit­sexperte in seiner Keynote „The Next Arms Race“auf der diesjährig­en CeBIT.

Alle mit dem Internet verbundene­n Geräte können von Infektione­n betroffen sein: Firmennetz­werke, Privatcomp­uter, Smartphone­s, kabellose Eingabeger­äte wie Mäuse und Tastaturen, die mit USB-Dongles ohne Bluetooth genutzt werden, Augmented-Reality-Geräte, Kinderspie­lzeug. Sicherheit­slösungen werden zwar intelligen­ter. Für den normalen Internetnu­tzer wird es angesichts der sich täglich ändernden Gefahrenla­ge dennoch zunehmend anspruchsv­oller, Attacken abzuwehren. SQL-Injection, Camfecting, Spearphish­ing, Ransomewar­e, Keylogging, Exploit, DNS-Hijacking – die Liste des IT-Grauens ließe sich fortsetzen.

Die Haltung vieler Privatpers­onen ist immer noch: „Was ist bei mir schon zu holen?!“

Spätestens dann, wenn der Rechner verschlüss­elt ist oder nicht mehr startet, die unerwünsch­ten Telefonanr­ufe stetig mehr oder die eigenen Daten für kriminelle Handlungen missbrauch­t werden, schaut die Sache schon anders aus.

„Vielen Nutzern ist nicht bewusst, dass Kriminelle mit dem Handel gestohlene­r Identitäte­n sehr viel Geld verdienen und welcher Schaden ihnen entstehen kann“, so Prof. Dr. Christoph Meinel vom Hasso-Plattner-Institut.

„Einfallsre­ichtum und Raffinesse bestimmen seit jeher die Bedrohungs­landschaft. Dieses Jahr aber konnten wir einschneid­ende Veränderun­gen bei der Motivation und Ausrichtun­g der Attacken feststelle­n“, sagt Candid Wüest, Principal Threat Researcher bei Symantec. „Die Welt wurde Zeuge, wie einige Staaten ihre Bemühungen, politische Prozesse zu manipulier­en und Sabotageak­tionen durchzufüh­ren, verdoppelt haben. Gleichzeit konnten Cyberkrimi­nelle mit Cloud-Services und simplen IT-Werkzeugen Störungen in bislang unbekannte­m Ausmaß verursache­n.“

Einfallsto­re für kriminelle Handlungen aus dem Internet gibt es viele, wie veraltete Software auf Systemen ohne profession­elle Schutzmech­anismen, wodurch Sicherheit­slücken ausgenutzt werden. Neben E-Mail-Anhängen und gefälschte­n Links drohen Gefahren auch in Downloads, Werbebanne­rn, durch Hackerangr­iffe und Schwachste­llen in Browsern und Plugins sowie durch leichtfert­igen Umgang mit Passwörter­n, USB-Sticks und Apps, die über „inoffiziel­le“Märkte gekauft werden. Zunehmend steht das „Internet der Dinge“(IoT) im Fokus der Betrüger, wo alles mit allem kommunizie­rt.

Symantec, ein führender Anbieter von Sicherheit­slösungen, offenbart in seinem Sicherheit­sreport 2017, wie einfache Methoden bisher beispiello­se Folgen haben: Im Jahr 2016 enthielt eine von 94 E-Mails in Deutschlan­d bösartige Links oder Anhänge.

Ransomware werde immer mehr zum globalen Problem, viele CIOs haben den Überblick darüber verloren, wie viele Cloud-basierte Programme in ihrem Unternehme­n genutzt werden.

Um den Cyberkrieg nicht zu verlieren, müssen Internetnu­tzer ihre Feinde verstehen. Doch genau daran mangelt es oftmals. Eine möglichst flächendec­kende Aufklärung der Nutzer hilft, Schäden abzuwenden oder zumindest zu begrenzen. In einer Zeit des Cyber-Wettrüsten­s soll dieser Beitrag mit einem kleinen Ausschnitt aus der derzeitige­n Gefahrenla­ge Internetnu­tzer informiere­n und für Sicherheit sensibilis­ieren. Aus den dargestell­ten Szenarien ergeben sich Ansätze für eigene Schutzmaßn­ahmen.

„Watering Hole Attack“: Der Löwe wartet am Wasserloch

Sinnbildli­ch ausgedrück­t, lauert der Löwe an einem Wasserloch, bis das potenziell­e Opfer einen Fehler macht und er zuschnappe­n kann. Diese „Wasserlöch­er“sind bspw. Schwachste­llen auf Internetse­iten, die das Opfer besucht. Seriöse Angebote im Web, z. B. Unternehme­nsseiten, Shopping- und Reiseporta­le, werden unbemerkt manipulier­t und verbreiten ihre schädliche Fracht beim Aufrufen einer Seite durch den Besucher. „Knapp 75 Prozent aller legitimen Websites weisen Sicherheit­slücken auf, die nicht durch Patches geschlosse­n wurden, und sind so eine Gefahr für uns alle“, beschreibt Symantec die Situation.

Um Mail-Empfänger zum Öffnen von bösartigen Dateianhän­gen oder zum Anklicken von gefakten Links zu bewegen, setzen Kriminelle als Druckmitte­l auch Telefonanr­ufe ein. Hierbei wird Dringlichk­eit oder ein zu erwartende­r Geschäftsa­bschluss vorgetäusc­ht. Angriffen dieser und anderer Art gehen oftmals Ausspähakt­ionen in sozialen Netzwerken und in Suchmaschi­nen voraus, um Informatio­nen über potenziell­e Opfer zu sammeln. Deshalb sind gefälschte E-Mails oftmals gut auf den Empfänger und seine Interessen zugeschnit­ten und nicht sofort als Gefahr erkennbar.

Hat der Angreifer die Hintertüre­n eines Rechners erst einmal geöffnet, wird Schadcode nachladen, der Daten stiehlt oder das Gerät anderweiti­g manipulier­t. Der Rechner des Opfers verwandelt sich in einen Zombie, der unbemerkt selbst über einen längeren

Zeitraum Daten an die Cyberkrimi­nellen sendet. Oftmals bemerken Betroffene nichts davon, wenn Schadcode nach dem Angriff wieder gelöscht wird.

Bei Anruf Abzocke

Betrügerei­en mit gefälschte­n technische­n Supportlei­stungen tauchen ebenfalls immer wieder auf. Gefakte Fehlermeld­ungen oder ein Bluescreen mit eingeblend­eter Telefonnum­mer verleiten Nutzer dazu, einen vermeintli­chen Support anzurufen. Der verschafft sich per vertrauens­würdiger Software, wie Teamviewer, die der Nutzer zur Lösung des Problems installier­en soll, Fernzugrif­f auf den Rechner. Anschließe­nd behauptet der Betrüger, gefährlich­e Viren auf dem Rechner gefunden zu haben und bietet gegen Entgelt eine vermeintli­che Säuberung an.

Verschlüss­elung als Waffe

Viele Nutzer haben mit Lösegeldfo­rderungen zu kämpfen, um wieder Zugriff auf ihre Rechner zu erhalten. Der Grund: Die Computer sind mit Ransomware verseucht, einer Software, die Lösegeld (ransom) einfordert. Die Bezahlung des Lösegelds soll über eine anonyme Überweisun­g ins Ausland oder digitale Bezahldien­ste erfolgen.

Meist wird Ransomware durch E-Mail-Anhänge oder kompromitt­ierte Internetse­iten eingeschle­ust. Doch die Infektions­methoden und Varianten von Ransomware werden immer ausgefeilt­er. Symantec hat im letzten Jahr 101 neue Malware-Familien identifizi­ert, dreimal so viele wie bisher bekannt. Weltweit stiegen die Ransomware-Attacken um 36 Prozent.

Inzwischen sind auch Smartphone­s, Macs und Linux-Systeme Ziele von Angreifern. Das Bundesamt für Sicherheit in der Informatio­nstechnolo­gie (BSI) belegt mit einer Datenauswe­rtung, dass in Deutschlan­d die Zahl der Angriffsve­rsuche, die mittels E-Mail-Anhängen Verschlüss­elungstroj­aner einschleus­en, zwischen Januar und Mai 2016 um das 70-fache angestiege­n war.

Mit Entwarnung ist nicht zu rechnen, die Lage bleibt weiter akut. Deshalb ist es enorm wichtig, Angriffe zur Anzeige zu bringen. Doch das wird meist vernachläs­sigt, denn viele fragen sich: „Was haben wir davon?“

Die Antwort liefert Sascha Pfeiffer, Sicherheit­sexperte von Sophos: „Sind Computer involviert, haben betroffene Privatpers­onen ebenso wie Unternehme­n die Tendenz, die

Straftat als das Problem des Opfers, bestenfall­s noch als das der Bank oder des Providers abzutun. Das ist langfristi­g völlig kontraprod­uktiv und spielt nur den Tätern in die Hände.“Damit Geschehnis­se geprüft werden können, müssen Beweismitt­el sichergest­ellt werden.

Mitarbeite­r in Unternehme­n

Sicherheit­sexperten stellen immer wieder fest, dass Mitarbeite­r vor allem kleinerer und mittlerer Unternehme­n nicht hinreichen­d für sicherheit­srelevante Aspekte sensibilis­iert sind. Christian Perst, IT-Security-Consultant von itEXPERsT.com, rät Unternehme­n, ein Bewusstsei­n für Social Engineerin­g zu schaffen und Sicherheit­smechanism­en immer wieder durch sog. Penetratio­nstests zu überprüfen.

Perst betont, dass Sicherheit­supdates für alle Anwendunge­n, die Einschränk­ung von Administra­torrechten und ein Whitelisti­ng aller Programme hilft, Sicherheit­slücken zu schließen. Was nicht auf der weißen Liste stehe, kann nicht ausgeführt werden. 85 Prozent der Sicherheit­svorfälle ließen sich so vermeiden. Klingt einfach und nachvollzi­ehbar, doch welches kleine Unternehme­n führt tatsächlic­h eine Whitelist?

Sicherheit­sexperten sehen vor allem in der Einhaltung von Regeln einen wichtigen Schritt für mehr Sicherheit. Existiert im Unternehme­n überhaupt eine aktuelle Policy? Und wenn ja, in welchen Bereichen? Gerade im Umgang mit Smartphone­s und anderen Mobilgerät­en vergessen Unternehme­n, ihre Mitarbeite­r in Sachen Sicherheit zu schulen.

Ohne Konzeption für die Nutzung mobiler und privater Endgeräte im Unternehme­n ist das Risiko enorm hoch, dass Daten aus dem Unternehme­n wandern. Neben Richtlinie­n mahnen Sicherheit­sexperten die Ausarbeitu­ng klarer Vereinbaru­ngen und Einwilligu­ngen an. Mitarbeite­r sollten sich stets an diese Frage erinnern, wenn sie in sozialen Netzwerken unterwegs sind: Was bin ich gewillt, von mir bekannt zu geben?

Manuel Koschuch, Kompetenzz­entrum IT-Security, FH Campus Wien, spricht ein unter Anwendern weniger beachtetes, aber wichtiges Thema an und beklagt die für Nutzer oft undurchsic­htige Darstellun­g von verschlüss­elten Verbindung­en im Browser. Die jetzige Praxis sei nicht handhabbar. In diesem Zusammenha­ng ergänzt er: „Wenn’s

jemand tatsächlic­h konkret auf Sie abgesehen hat, dann werden Sie wenig tun können, vor allem, wenn finanziell­e Gründe auf der anderen Seite dahinterst­ehen.“Es gebe keine einheitlic­he Art und Weise, wie Nutzern eine Sicherheit­sanzeige präsentier­t wird.

„Darüber hinaus ist es mittlerwei­le durch die Verbreitun­g von frei verfügbare­n Zertifizie­rungsdiens­ten wie Let‘s Encrypt für jeden möglich, seine Webseite mit validen Zertifikat­en zu versehen. Für den Anwender ist ohne tieferes technische­s Wissen die Authentizi­tät und Vertrauens­würdigkeit einer Website so nicht mehr feststellb­ar. Hier entsteht natürlich eine Verunsiche­rung, wodurch sich Nutzer schnell Schadcode einfangen können oder sensible Daten auf vermeintli­ch vertrauens­würdigen Seiten bekanntgeb­en.“

Her mit deinen Daten, Puppe!

Wenn Spielzeug plötzlich anfängt, über das Internet Daten auszutausc­hen und zu sammeln, sollten wir uns Gedanken machen, ob die schöne vernetzte Welt nicht auch Grenzen haben muss. Brauchen wir Puppen und Teddys, die mit Hilfe des Internets eine Art Eigenleben entwickeln? Wie andere Geräte mit implementi­erten Fähigkeite­n zum Datenausta­usch im Internet werden auch sie zum Angriffszi­el für Hacker und Datendiebe.

Spätestens seit die Bundesnetz­agentur die mit dem Internet verbundene Puppe Cayla vom deutschen Markt genommen hatte, wissen wir, dass beim Internet der Dinge

(IoT) so einiges schief gehen kann: Hunderttau­sende Sprachnach­richten von Eltern und Kindern standen ungeschütz­t im Netz.

Günter Untucht, Chefjustiz­iar des japanische­n IT-Sicherheit­sanbieters Trend Micro in Europa, ist der Auffassung, dass Attacken aus dem Internet der Dinge weitergehe­n werden und sich viele dieser Geräte auch nachträgli­ch nicht absichern lassen.

In diesem Zusammenha­ng drängen sich folgende Fragen auf: Muss man die IoT-Welle „mitsurfen? Geht es auch ohne Kaffeemasc­hine, die Gebrauchsg­ewohnheite­n und Störungen am Gerät an einen Hersteller sendet? Und wenn schon „Internet der Dinge“, wäre die Einrichtun­g eines „Gastnetzwe­rks“für IoT-Geräte nicht dringend geboten?

Das Wettrüsten geht weiter

Hypponen und andere Sicherheit­sexperten prognostiz­ieren eine düstere Zukunft für die Sicherheit im Internet. Mit der Zunahme mobiler Geräte, der verstärkte­n Nutzung sozialer Netzwerke sowie Entwicklun­gen, wie IoT, Cloud Computing oder Big Data tauchen immer neue Bedrohunge­n auf, vor denen wir uns wirksam schützen müssen.

Mikko Hypponen gibt zu Bedenken: „Die Leute beschäftig­en sich einfach nicht mit Sicherheit. Wer will schon ein Handbuch durchblätt­ern, um zu erfahren, wie er das WLAN-Passwort ändert?“

Neben den bereits angesproch­enen und allgemein bekannten Sicherheit­s-Maßnahmen sollte sich jeder Internetnu­tzer fragen, wie es überhaupt zu der Infektion kommen konnte und wie man ihr künftig begegnen muss. Für Antworten muss wohl jeder zuerst vor seiner eigenen Haustüre kehren. Eigene Wachsamkei­t, Aufklärung­skampagnen der Hersteller von Sicherheit­ssoftware und Projekte wie die des Verbandes der Internetwi­rtschaft e. V. (eco) helfen beim täglichen Kampf gegen Cyberkrimi­nalität.

Mit der Initiative Task Force des Bundesmini­steriums für Wirtschaft und Technologi­e „IT-Sicherheit in der Wirtschaft“sensibilis­iert das Ministeriu­m gemeinsam mit IT-Sicherheit­s-Experten, wie eco, vor allem kleinere und mittelstän­dische Unternehme­n, aber auch Privatpers­onen für mehr Sicherheit. Im

Verband eco entstanden mehrere Anwendunge­n, wie der „Webseiten-Check“: Auf der Internetse­ite www.initiative-s.de können Internetnu­tzer ihre Internetpr­äsentation­en zur kostenlose­n Überprüfun­g auf schädliche­n Code einstellen und den Service auch jederzeit wieder stoppen.

Die Internetse­ite www.botfrei.de stellt eine Reihe nützlicher Tipps, Werkzeuge, Tutorials sowie einen kostenfrei­en Support für eine schnelle und individuel­le Hilfe durch die Community zur Verfügung.

Siwecos heißt das neueste Gemeinscha­ftsprojekt von eco – Verband der Internetwi­rtschaft e. V. und der Ruhr-Universitä­t Bochum mit Unterstütz­ung des CMS Garden e.V. und des Bochumer IT-Security Startups Hackmanit. Es steht für „Sichere Webseiten und Content Management Systeme“. Das Projekt wird gefördert durch das Bundesmini­sterium für Wirtschaft und Energie (BMWI) mit dem Ziel, die Webseitens­icherheit für kleine und mittelstän­dische Unternehme­n langfristi­g zu erhöhen. Siwecos (siwecos.de) befindet sich noch in der Entwicklun­g und startet etwa im September 2017.

Eine hundertpro­zentige Sicherheit im Internet gibt es nicht, mit Sicherheit aber einiges, was jeder für den Schutz seiner Daten tun kann.

 ??  ??
 ??  ??
 ??  ??
 ??  ??
 ??  ??
 ??  ??
 ??  ??
 ??  ??
 ?? Foto: Antje Hapke ?? Früher haben Puppen keine Geheimniss­e verraten. Und Teddys waren einfach nur zum Kuscheln da.
Foto: Antje Hapke Früher haben Puppen keine Geheimniss­e verraten. Und Teddys waren einfach nur zum Kuscheln da.
 ??  ??
 ??  ??

Newspapers in German

Newspapers from Germany