Fix your internet!
Sicherheit im Netz
Durch Cyberkriminalität entstehen jährlich Schäden in Milliardenhöhe und gefährden oder vernichten so manche Existenz. Kriminelle arbeiten professionell und mit allen Tricks, um Sicherheitsinstanzen in Netzen zu unterwandern. Der erbarmungslose Kampf um wichtige Daten und wertvolles geistiges Eigentum lohnt sich für Betrüger ungemein.
Mikko Hypponen, Chief Research Officer von F-Secure, bezeichnet Daten als das neue Öl. Aus ihnen lässt sich heute richtig viel
Geld machen. „Und zwar so viel Geld, dass man sich damit aus der Portokasse einen Porsche, einen Rolls Royce und einen Aston Martin kaufen kann“, sagte der Sicherheitsexperte in seiner Keynote „The Next Arms Race“auf der diesjährigen CeBIT.
Alle mit dem Internet verbundenen Geräte können von Infektionen betroffen sein: Firmennetzwerke, Privatcomputer, Smartphones, kabellose Eingabegeräte wie Mäuse und Tastaturen, die mit USB-Dongles ohne Bluetooth genutzt werden, Augmented-Reality-Geräte, Kinderspielzeug. Sicherheitslösungen werden zwar intelligenter. Für den normalen Internetnutzer wird es angesichts der sich täglich ändernden Gefahrenlage dennoch zunehmend anspruchsvoller, Attacken abzuwehren. SQL-Injection, Camfecting, Spearphishing, Ransomeware, Keylogging, Exploit, DNS-Hijacking – die Liste des IT-Grauens ließe sich fortsetzen.
Die Haltung vieler Privatpersonen ist immer noch: „Was ist bei mir schon zu holen?!“
Spätestens dann, wenn der Rechner verschlüsselt ist oder nicht mehr startet, die unerwünschten Telefonanrufe stetig mehr oder die eigenen Daten für kriminelle Handlungen missbraucht werden, schaut die Sache schon anders aus.
„Vielen Nutzern ist nicht bewusst, dass Kriminelle mit dem Handel gestohlener Identitäten sehr viel Geld verdienen und welcher Schaden ihnen entstehen kann“, so Prof. Dr. Christoph Meinel vom Hasso-Plattner-Institut.
„Einfallsreichtum und Raffinesse bestimmen seit jeher die Bedrohungslandschaft. Dieses Jahr aber konnten wir einschneidende Veränderungen bei der Motivation und Ausrichtung der Attacken feststellen“, sagt Candid Wüest, Principal Threat Researcher bei Symantec. „Die Welt wurde Zeuge, wie einige Staaten ihre Bemühungen, politische Prozesse zu manipulieren und Sabotageaktionen durchzuführen, verdoppelt haben. Gleichzeit konnten Cyberkriminelle mit Cloud-Services und simplen IT-Werkzeugen Störungen in bislang unbekanntem Ausmaß verursachen.“
Einfallstore für kriminelle Handlungen aus dem Internet gibt es viele, wie veraltete Software auf Systemen ohne professionelle Schutzmechanismen, wodurch Sicherheitslücken ausgenutzt werden. Neben E-Mail-Anhängen und gefälschten Links drohen Gefahren auch in Downloads, Werbebannern, durch Hackerangriffe und Schwachstellen in Browsern und Plugins sowie durch leichtfertigen Umgang mit Passwörtern, USB-Sticks und Apps, die über „inoffizielle“Märkte gekauft werden. Zunehmend steht das „Internet der Dinge“(IoT) im Fokus der Betrüger, wo alles mit allem kommuniziert.
Symantec, ein führender Anbieter von Sicherheitslösungen, offenbart in seinem Sicherheitsreport 2017, wie einfache Methoden bisher beispiellose Folgen haben: Im Jahr 2016 enthielt eine von 94 E-Mails in Deutschland bösartige Links oder Anhänge.
Ransomware werde immer mehr zum globalen Problem, viele CIOs haben den Überblick darüber verloren, wie viele Cloud-basierte Programme in ihrem Unternehmen genutzt werden.
Um den Cyberkrieg nicht zu verlieren, müssen Internetnutzer ihre Feinde verstehen. Doch genau daran mangelt es oftmals. Eine möglichst flächendeckende Aufklärung der Nutzer hilft, Schäden abzuwenden oder zumindest zu begrenzen. In einer Zeit des Cyber-Wettrüstens soll dieser Beitrag mit einem kleinen Ausschnitt aus der derzeitigen Gefahrenlage Internetnutzer informieren und für Sicherheit sensibilisieren. Aus den dargestellten Szenarien ergeben sich Ansätze für eigene Schutzmaßnahmen.
„Watering Hole Attack“: Der Löwe wartet am Wasserloch
Sinnbildlich ausgedrückt, lauert der Löwe an einem Wasserloch, bis das potenzielle Opfer einen Fehler macht und er zuschnappen kann. Diese „Wasserlöcher“sind bspw. Schwachstellen auf Internetseiten, die das Opfer besucht. Seriöse Angebote im Web, z. B. Unternehmensseiten, Shopping- und Reiseportale, werden unbemerkt manipuliert und verbreiten ihre schädliche Fracht beim Aufrufen einer Seite durch den Besucher. „Knapp 75 Prozent aller legitimen Websites weisen Sicherheitslücken auf, die nicht durch Patches geschlossen wurden, und sind so eine Gefahr für uns alle“, beschreibt Symantec die Situation.
Um Mail-Empfänger zum Öffnen von bösartigen Dateianhängen oder zum Anklicken von gefakten Links zu bewegen, setzen Kriminelle als Druckmittel auch Telefonanrufe ein. Hierbei wird Dringlichkeit oder ein zu erwartender Geschäftsabschluss vorgetäuscht. Angriffen dieser und anderer Art gehen oftmals Ausspähaktionen in sozialen Netzwerken und in Suchmaschinen voraus, um Informationen über potenzielle Opfer zu sammeln. Deshalb sind gefälschte E-Mails oftmals gut auf den Empfänger und seine Interessen zugeschnitten und nicht sofort als Gefahr erkennbar.
Hat der Angreifer die Hintertüren eines Rechners erst einmal geöffnet, wird Schadcode nachladen, der Daten stiehlt oder das Gerät anderweitig manipuliert. Der Rechner des Opfers verwandelt sich in einen Zombie, der unbemerkt selbst über einen längeren
Zeitraum Daten an die Cyberkriminellen sendet. Oftmals bemerken Betroffene nichts davon, wenn Schadcode nach dem Angriff wieder gelöscht wird.
Bei Anruf Abzocke
Betrügereien mit gefälschten technischen Supportleistungen tauchen ebenfalls immer wieder auf. Gefakte Fehlermeldungen oder ein Bluescreen mit eingeblendeter Telefonnummer verleiten Nutzer dazu, einen vermeintlichen Support anzurufen. Der verschafft sich per vertrauenswürdiger Software, wie Teamviewer, die der Nutzer zur Lösung des Problems installieren soll, Fernzugriff auf den Rechner. Anschließend behauptet der Betrüger, gefährliche Viren auf dem Rechner gefunden zu haben und bietet gegen Entgelt eine vermeintliche Säuberung an.
Verschlüsselung als Waffe
Viele Nutzer haben mit Lösegeldforderungen zu kämpfen, um wieder Zugriff auf ihre Rechner zu erhalten. Der Grund: Die Computer sind mit Ransomware verseucht, einer Software, die Lösegeld (ransom) einfordert. Die Bezahlung des Lösegelds soll über eine anonyme Überweisung ins Ausland oder digitale Bezahldienste erfolgen.
Meist wird Ransomware durch E-Mail-Anhänge oder kompromittierte Internetseiten eingeschleust. Doch die Infektionsmethoden und Varianten von Ransomware werden immer ausgefeilter. Symantec hat im letzten Jahr 101 neue Malware-Familien identifiziert, dreimal so viele wie bisher bekannt. Weltweit stiegen die Ransomware-Attacken um 36 Prozent.
Inzwischen sind auch Smartphones, Macs und Linux-Systeme Ziele von Angreifern. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) belegt mit einer Datenauswertung, dass in Deutschland die Zahl der Angriffsversuche, die mittels E-Mail-Anhängen Verschlüsselungstrojaner einschleusen, zwischen Januar und Mai 2016 um das 70-fache angestiegen war.
Mit Entwarnung ist nicht zu rechnen, die Lage bleibt weiter akut. Deshalb ist es enorm wichtig, Angriffe zur Anzeige zu bringen. Doch das wird meist vernachlässigt, denn viele fragen sich: „Was haben wir davon?“
Die Antwort liefert Sascha Pfeiffer, Sicherheitsexperte von Sophos: „Sind Computer involviert, haben betroffene Privatpersonen ebenso wie Unternehmen die Tendenz, die
Straftat als das Problem des Opfers, bestenfalls noch als das der Bank oder des Providers abzutun. Das ist langfristig völlig kontraproduktiv und spielt nur den Tätern in die Hände.“Damit Geschehnisse geprüft werden können, müssen Beweismittel sichergestellt werden.
Mitarbeiter in Unternehmen
Sicherheitsexperten stellen immer wieder fest, dass Mitarbeiter vor allem kleinerer und mittlerer Unternehmen nicht hinreichend für sicherheitsrelevante Aspekte sensibilisiert sind. Christian Perst, IT-Security-Consultant von itEXPERsT.com, rät Unternehmen, ein Bewusstsein für Social Engineering zu schaffen und Sicherheitsmechanismen immer wieder durch sog. Penetrationstests zu überprüfen.
Perst betont, dass Sicherheitsupdates für alle Anwendungen, die Einschränkung von Administratorrechten und ein Whitelisting aller Programme hilft, Sicherheitslücken zu schließen. Was nicht auf der weißen Liste stehe, kann nicht ausgeführt werden. 85 Prozent der Sicherheitsvorfälle ließen sich so vermeiden. Klingt einfach und nachvollziehbar, doch welches kleine Unternehmen führt tatsächlich eine Whitelist?
Sicherheitsexperten sehen vor allem in der Einhaltung von Regeln einen wichtigen Schritt für mehr Sicherheit. Existiert im Unternehmen überhaupt eine aktuelle Policy? Und wenn ja, in welchen Bereichen? Gerade im Umgang mit Smartphones und anderen Mobilgeräten vergessen Unternehmen, ihre Mitarbeiter in Sachen Sicherheit zu schulen.
Ohne Konzeption für die Nutzung mobiler und privater Endgeräte im Unternehmen ist das Risiko enorm hoch, dass Daten aus dem Unternehmen wandern. Neben Richtlinien mahnen Sicherheitsexperten die Ausarbeitung klarer Vereinbarungen und Einwilligungen an. Mitarbeiter sollten sich stets an diese Frage erinnern, wenn sie in sozialen Netzwerken unterwegs sind: Was bin ich gewillt, von mir bekannt zu geben?
Manuel Koschuch, Kompetenzzentrum IT-Security, FH Campus Wien, spricht ein unter Anwendern weniger beachtetes, aber wichtiges Thema an und beklagt die für Nutzer oft undurchsichtige Darstellung von verschlüsselten Verbindungen im Browser. Die jetzige Praxis sei nicht handhabbar. In diesem Zusammenhang ergänzt er: „Wenn’s
jemand tatsächlich konkret auf Sie abgesehen hat, dann werden Sie wenig tun können, vor allem, wenn finanzielle Gründe auf der anderen Seite dahinterstehen.“Es gebe keine einheitliche Art und Weise, wie Nutzern eine Sicherheitsanzeige präsentiert wird.
„Darüber hinaus ist es mittlerweile durch die Verbreitung von frei verfügbaren Zertifizierungsdiensten wie Let‘s Encrypt für jeden möglich, seine Webseite mit validen Zertifikaten zu versehen. Für den Anwender ist ohne tieferes technisches Wissen die Authentizität und Vertrauenswürdigkeit einer Website so nicht mehr feststellbar. Hier entsteht natürlich eine Verunsicherung, wodurch sich Nutzer schnell Schadcode einfangen können oder sensible Daten auf vermeintlich vertrauenswürdigen Seiten bekanntgeben.“
Her mit deinen Daten, Puppe!
Wenn Spielzeug plötzlich anfängt, über das Internet Daten auszutauschen und zu sammeln, sollten wir uns Gedanken machen, ob die schöne vernetzte Welt nicht auch Grenzen haben muss. Brauchen wir Puppen und Teddys, die mit Hilfe des Internets eine Art Eigenleben entwickeln? Wie andere Geräte mit implementierten Fähigkeiten zum Datenaustausch im Internet werden auch sie zum Angriffsziel für Hacker und Datendiebe.
Spätestens seit die Bundesnetzagentur die mit dem Internet verbundene Puppe Cayla vom deutschen Markt genommen hatte, wissen wir, dass beim Internet der Dinge
(IoT) so einiges schief gehen kann: Hunderttausende Sprachnachrichten von Eltern und Kindern standen ungeschützt im Netz.
Günter Untucht, Chefjustiziar des japanischen IT-Sicherheitsanbieters Trend Micro in Europa, ist der Auffassung, dass Attacken aus dem Internet der Dinge weitergehen werden und sich viele dieser Geräte auch nachträglich nicht absichern lassen.
In diesem Zusammenhang drängen sich folgende Fragen auf: Muss man die IoT-Welle „mitsurfen? Geht es auch ohne Kaffeemaschine, die Gebrauchsgewohnheiten und Störungen am Gerät an einen Hersteller sendet? Und wenn schon „Internet der Dinge“, wäre die Einrichtung eines „Gastnetzwerks“für IoT-Geräte nicht dringend geboten?
Das Wettrüsten geht weiter
Hypponen und andere Sicherheitsexperten prognostizieren eine düstere Zukunft für die Sicherheit im Internet. Mit der Zunahme mobiler Geräte, der verstärkten Nutzung sozialer Netzwerke sowie Entwicklungen, wie IoT, Cloud Computing oder Big Data tauchen immer neue Bedrohungen auf, vor denen wir uns wirksam schützen müssen.
Mikko Hypponen gibt zu Bedenken: „Die Leute beschäftigen sich einfach nicht mit Sicherheit. Wer will schon ein Handbuch durchblättern, um zu erfahren, wie er das WLAN-Passwort ändert?“
Neben den bereits angesprochenen und allgemein bekannten Sicherheits-Maßnahmen sollte sich jeder Internetnutzer fragen, wie es überhaupt zu der Infektion kommen konnte und wie man ihr künftig begegnen muss. Für Antworten muss wohl jeder zuerst vor seiner eigenen Haustüre kehren. Eigene Wachsamkeit, Aufklärungskampagnen der Hersteller von Sicherheitssoftware und Projekte wie die des Verbandes der Internetwirtschaft e. V. (eco) helfen beim täglichen Kampf gegen Cyberkriminalität.
Mit der Initiative Task Force des Bundesministeriums für Wirtschaft und Technologie „IT-Sicherheit in der Wirtschaft“sensibilisiert das Ministerium gemeinsam mit IT-Sicherheits-Experten, wie eco, vor allem kleinere und mittelständische Unternehmen, aber auch Privatpersonen für mehr Sicherheit. Im
Verband eco entstanden mehrere Anwendungen, wie der „Webseiten-Check“: Auf der Internetseite www.initiative-s.de können Internetnutzer ihre Internetpräsentationen zur kostenlosen Überprüfung auf schädlichen Code einstellen und den Service auch jederzeit wieder stoppen.
Die Internetseite www.botfrei.de stellt eine Reihe nützlicher Tipps, Werkzeuge, Tutorials sowie einen kostenfreien Support für eine schnelle und individuelle Hilfe durch die Community zur Verfügung.
Siwecos heißt das neueste Gemeinschaftsprojekt von eco – Verband der Internetwirtschaft e. V. und der Ruhr-Universität Bochum mit Unterstützung des CMS Garden e.V. und des Bochumer IT-Security Startups Hackmanit. Es steht für „Sichere Webseiten und Content Management Systeme“. Das Projekt wird gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWI) mit dem Ziel, die Webseitensicherheit für kleine und mittelständische Unternehmen langfristig zu erhöhen. Siwecos (siwecos.de) befindet sich noch in der Entwicklung und startet etwa im September 2017.
Eine hundertprozentige Sicherheit im Internet gibt es nicht, mit Sicherheit aber einiges, was jeder für den Schutz seiner Daten tun kann.