Alte und neue Bekannte

Das Jahr 2016 wird wohl als Jahr der Ransomware in die Geschichte eingehen. Verschlüsselungs-trojaner machten überall reiche Beute und scheinen einen neuen Geschäftsbereich von Cyberkriminellen zu eröffnen: Schutzgeld-erpressung durch Datenver-schlüsselung. In Erinnerung bleiben wird 2016 aber wohl auch der erste nachweislich durch einen Softwarefehler verursachte Unfall eines autonom fahrenden Autos, der zum Tode seines Besitzers führte, oder auch das Benutzungsverbot eines Smartphones, ausgesprochen zunächst von Fluglinien und dann sogar vom eigenen Hersteller. Samsung hatte Akkus in das neueste Galaxy einbaut, die nicht nur ihren Besitzer, sondern hunderte Menschen in einem Flugzeug gefährden. Die Firma hat sich technisch wohl verzockt und dürfte nun Milliarden abschreiben müssen. Das Smartphone Galaxy Note 7 wollten am Ende nicht einmal die Paketdienste zurück zum Hersteller befördern, es sei denn, als gut verpacktes Gefahrgut. 2,5 Millionen Geräte sollen betroffen sein.

Große Zahlen, so werden wir sehen, waren typisch für das Jahr 2016. Wenn schon Gefahr und Risiko, dann für viele und verbunden mit großen Schäden. Kurz bevor das Jahr zu Ende ging, kam es bei der Telekom im November zu einer Großstörung. 900.000 DSL-Endpunkte waren nach einem Denial-of-Service-Angriff für Tage offline. Die Firma selber beruhigte ihre Kunden. Wäre der Schadcode besser geschrieben gewesen, wären die Schäden deutlich höher ausgefallen, denn die Angreifer wollte wohl ein neues Botnet aufbauen, scheiterten aber an einem Programmierfehler.

Große Zahlen auch beim Diebstahl von Identitäten und Passwörtern: Millionen davon geistern durch das Darknet. Die Daten von 191 Millionen Wählern in den USA etwa. Im Mai wurden 117 Millionen Passwörter des Netzwerks Linkedin im Darknet zum Kauf angeboten – für fünf Bitcoins.

Eine völlig neue Dimension ergab sich beim IT-gestützten Betrug. Unter der Bezeichnung „Chefmasche“ entwickelte sich ein neuer Angriffsvektor. Der Autozulieferer Leoni wurde so um 40 Millionen Euro erleichtert. Die Kriminellen suggerieren bei dieser Methode einem zeichnungsberechtigten Mitarbeiter, sie seien sein Vorgesetzter und benötigten dringend Geld, etwa um ein wichtiges Geschäft anzukurbeln. Leider ist der Vorgesetzte im Ausland und daher schlecht zu erreichen, außerdem dränge die Zeit. Wer jetzt nicht misstrauisch wird und die Überweisung auf ein unbekanntes Konto vornimmt, schädigt den eigenen Betrieb substanziell, denn die Summen sind hoch.

Die Angreifer wissen bei dieser Masche nicht nur über Computer gut Bescheid, sondern kennen auch die internen Abläufe und Gepflogenheiten des betroffenen Unternehmens. „Die beobachten lange und bereiten sich gut vor“, erläutert der CTO des Antiviren-Spezialisten Trend Micro, Raimund Genes, „und die Mail ist natürlich in perfektem Deutsch oder Englisch geschrieben.“

Ein Softwarefehler kann eben mehr auslösen als bloß einen Systemreset mit anschließendem Neustart des Computers. Man kann sein Auto dadurch verlieren. Massive Probleme mit funkenden Autoschlüsseln, den „Keyless Go“-Systemen wurden bei der Polizei aktenkundig. Gedacht als Komfortfunktion für Fahrzeuge der gehobenen Preisklasse erwiesen sie sich als schneller und bequemer Weg, teure Autos zu stehlen, ohne Spuren zu hinterlassen. Denn die Diebe fischten die Signale aus dem Äther und nutzten sie für ihre Zwecke. Die empfohlene Lösung hat wenig mit Hightech zu tun, funktioniert aber vorzüglich: den Komfortschlüssel in eine Blechdose legen! Die Gesetze des Herrn Faraday beschützen dann das Auto.

Während es die Schlüssel in die Tagespresse schafften, blieb weitgehend unbeachtet, das es Hackern erstmals gelang, ein Auto durch ein „vergiftetes“ Lied zu kapern. Der Schadcode in der digitalen Musik kroch vom Audiosystem bis zum CAN-Bus. Stefan Savage von der University of California gelang dieser Hack schon 2010, veröffentlicht wurde er allerdings erst 2016. Der betreffende Hersteller hatte fünf Jahre benötigt, die Sicherheitslücken zu stopfen.

Das alles sind keine guten Argumente, um Mittelständlern die Sorgen vor einer überhasteten Einführung von IoT-Technologien zu überzeugen. In dieselbe – schlechte – Richtung weist die jüngste Entwicklung bei DDoS-Angriffen. Waren es früher PCs und Handys, die in Bot-Netzwerken zusammengeschaltet wurden, tauchten 2016 erstmals Kühlschränke, Web-Cams, Festplatten-Receiver und Router als Angreifer auf. Kriminelle bieten für diese Angriffe aktuell Botnetze aus 400.000 und mehr IoT-Geräten zur Miete an. Mehrere große Online-Dienste wie Twitter, Spotify, Netflix und Paypal wurden im Herbst so für einige Zeit lahm gelegt. Aufgrund des Überangebotes sanken die Preise für die im Darknet gehandelten Bot-Netze für DDoS-Angriffe massiv.

Ende September kam es dann zum größten DDoS-Angriff aller Zeiten. Die Attacke auf den Security-Blogger Brian Krebs zwang den Content-Delivery-Anbieter Akamai in die Knie. Kurz danach nahmen eine Million gekaperte IoT-Geräte den französischen Web-Hosters OVH mit einer Datenrate von 1,1 Terabit pro Sekunde unter Beschuss. Selbst die stärksten Netze, so die Lehre, halten einem so massivem Ansturm nicht lange Stand.

Während der eine Teil der Hacker durch gekaperte Rechner Geld verdient, setzen andere auf den direkten Weg zu den Spargroschen anderer Menschen. 2016 wurden in den USA die russischen Entwickler des Banking-Trojaners Spyeye zu mehrjährigen Haftstrafen verurteilt. Der weltweite Schaden dieses einen Schädlings wird auf kaum glaubliche eine Milliarde Dollar geschätzt.

Vor allem Webcams waren 2016 das Sorgenkind schlechthin. Miserabel abgesichert lagen sie zu günstigen Preisen beim Discounter. An der falschen Stelle angebracht, erweisen sich solche Geräte als Augen und Ohren für Hacker. Sie waren ohne Passwort über das Internet steuerbar und zudem leicht aufzuspüren. Entsprechende Tools geisterten schnell durch das Netz. Zudem verraten die Geräte unter anderem die Passwörter für WLAN, E-Mail und FTP-Zugang ihres Besitzers und besitzen teilweise Mikrofone.

Man muss seine Überwachungskameras aber nicht unbedingt beim Lebensmittelhändler kaufen, um ein Sicherheitsproblem zu haben. Hochpreisige Exemplare der Firma Netbotz wurden laut Sicherheitsexperten dabei beobachtet, wie sie über das Internet nach Hause, also in die USA, telefonierten. Diese Kameras stehen auch in wichtigen Rechenzentren, wo sie Zugriff auf die Personen haben, die dort beschäftigt sind.

Die IT (Un)-Sicherheit ist im realen Alltag angekommen, und in der Politik. Zwischen Weihnachten und Neujahr wies der renommierte Sicherheitsexperte Karsten Nohl auf dem CCC Kongress 2016 in Hamburg nach, das bei der Absicherung des Buchungssystems für Flugreisen massiv geschlampt wurde. Es ist quasi offen für Angreifer. Fast gleichzeitig wies die US-Regierung eine ganze Busladung russischer Diplomaten aus dem Land, weil sie angeblich den US-Wahlkampf manipuliert hatten. Umgekehrt machten aktuell türkische Behörden Hacker aus den USA für massive Stromausfälle in Istanbul verantwortlich. Echte Beweise gab es in beiden Fällen nicht, und es kann sie wohl auch nicht geben. Einzige Ausnahme wäre, man würde den Hacker beim Schreiben der Malware filmen. Der Softwareentwickler und Firmengründer John McAfee dazu: „Wenn es die Russen waren, dann würde es garantiert nicht so aussehen, als wären es die Russen! Man hätte Sprache und Programmierstil eines anderen Landes vorgeschoben.“

Ganz Ähnliches passierte ein Jahr zuvor. 2016 wurde bekannt, dass ein kurz vor Weihnachten 2015 in der Ukraine erfolgter Stromausfall auf eine gezielt eingeschleuste Schadsoftware zurückging. Mitarbeiter des ukrainischer Energieversorgers infizierten ihre Rechner zunächst über eine Phishing-Attacke mit der Malware Black Energy, indem sie mit schädlichen Makros infizierte Office-Dateien öffneten. Darin befand sich der Makro-Trojaner Black Energy, der mit mit DDoS-Angriffen und Spionage verknüpft wird. Auch dieser Angriff wird mit Russland in Verbindung gebracht. Beweise gibt es keine.

Während die Täter äußerst kreativ sind, bleiben die Entwicklungen bei der Abwehr moderat. Staatliche Stellen interessieren sich vor allem für Terror und politische Extremisten. Angriffe auf Firmenexistenzen fallen da oft unter den Tisch. Dabei ist, das stellte das Bundesamt für Verfassungsschutz auf der Konferenz „Internet Security Days“ klar, vor allem der Mittelstand das erklärte Ziel von Angriffen, die durchaus von ausländischen Staaten organisiert sein können. Dax-Unternehmen, das wissen Profi-Hacker, wissen sich meist selbst zu schützen.