2016 im IT-Rückblick: Alte und neue Bekannte

Immerhin werden nun neue Eingreiftruppen aufgebaut. Beim BKA, dem Verfassungsschutz und beim BSI sollen „Quick Reaction Forces“ entstehen, die digitalen Angriffen entgegenarbeiten. Auslöser waren unter anderem die 2015 aufgetauchten Erpressungstrojaner, die Behörden und Wirtschaft in gleicher Weise bedrohen. Die Betroffenen wurden 2015 mit ihren Problemen oft alleine gelassen. Das sollen die „Mobile Incident Response Teams“ ändern. Bundesinnenminister Thomas de Maizière will so den Opfern schneller Hilfe anbieten können.

Im Mittelpunkt der IT-Probleme stand auch 2016 die Software, und das nicht nur beim „Dieselgate“ von VW. Aber auch die Hardware macht Probleme. Besonders kritisch wird es überall dort, wo vernetzte Hardware und Software zusammenspielen müssen. Zum Beispiel beim Internet der Dinge. Cyber-Kriminelle erpressen erfolgreich den Staat und etablieren ein neues Geschäftsfeld: Schutzgelderpressung durch Verschlüsselungstrojaner.

Ransomware, auch Verschlüsselungstrojaner genannt, hielten schon im letzten Jahr die IT-Security-Experten auf Trab. Hieß es zunächst, das Problem sei durch entsprechende Aufsperrwerkzeuge erledigt, legten die Autoren nun nach. Stark verbesserte Varianten tauchten auf, mit immer neuen Tarnungen. Das Prinzip bleibt bestehen: Der Schädling verführt den Anwender einen Anhang (Spam-Attachments) oder ähnliches zu öffnen, lädt anschließend Schadsoftware aus dem Internet nach und beginnt, die Festplatte zu verschlüsseln. Die verwendete Kryptotechnik gehört zum Besten was auf dem Markt ist. Wer seine Daten wieder haben will, soll Lösegeld zahlen. Doch auch das ist keine Gewähr: entweder reagieren die Erpresser gar nicht oder sie schicken eine unbrauchbare Datei.

Längst ist ein Hase-und-Igel-Spiel zwischen Sicherheitsunternehmen und Angreifern entbrannt. Die einen versuchen, Entschlüsselungswerkzeuge zur Verfügung zu stellen, die anderen modifizieren ihre Angriffssoftware. Aktuell soll es 44.287 Ransomware-Modifikationen geben, Tendenz steigend. Sie verbreiten sich bevorzugt als Anhänge von Mails. Waren es zunächst Faxe, vor denen gewarnt wurde, kamen später gefälschte Bewerbungsunterlagen hinzu. Wer antworten wollte, um zu protestieren, hatte sich bereits infiziert.

Wie so oft beim organisierten Verbrechen, sind die Zahlungen zunächst moderat. Meist wurden einige Bitcoins im Gegenwert von 300 bis 500 US-Dollar als Lösegeld verlangt. Kleine Summen, aber eine große „Kundschaft“.Gemäß den Studien des Sicherheitsunternehmens Kaspersky Lab wurde im Jahr 2016 eines von fünf Unternehmen weltweit Opfer eines IT-Sicherheitsvorfalls infolge einer Ransomware-Attacke. Von den Mittelständlern erwischte es 42 Prozent. 32 Prozent dieser Unternehmen zahlten Lösegeld. Eines von fünf dieser Unternehmen erhielt seine Dateien nicht zurück – auch nicht nach der Zahlung des Lösegeldes.

Die IT von Krankenhäusern hatte den Trojanern wenig entgegen zu setzen. Operationen mussten abgesagt, Patienten in andere Krankenhäuser verlegt werden. Im März gelang es den Angreifern, die Computer des Hollywood Presbyterian Medical Center in Los Angeles so lange zu blockieren, bis das Krankenhaus 17.000 US-Dollar zahlte. In Großbritannien haben 28 Einrichtungen des National Health Service eingeräumt, im Jahr 2016 angegriffen worden zu sein. Der Hosted-Desktop- und Cloud-Provider VESK zahlte fast 23.000 US-Dollar Lösegeld, um den Zugriff auf seine Systeme nach einem Angriff im September wiederherzustellen.

In Deutschland erwischte es unter anderem das Lukaskrankenhaus in Neuss. Auch die Stadtverwaltung der bayerischen Kleinstadt Dettelbach musste zahlen, um, zumindest teilweise wieder an ihre Daten zu kommen. 1,3 Bitcoins (damals rund 500 Euro) wurden überwiesen. Die Verantwortlichen wurde wegen dieser Entscheidung kritisiert, doch alles andere sein teurer gewesen, so die Politiker, man habe 10.000 Euro gespart, als man den Erpressern nachgab.

Auch bei Universitäten gab es Sicherheitslücken. Die University of Calgary in Kanada zahlte 16.000 US-Dollar um wieder zu ihren E-Mails zu gelangen. Der Trojaner Tesla griff erfolgreich den Rennsport an. Ein Nascar-Team verlor im April 2016 Daten im Wert von Millionen von US-Dollar infolge einer Ransomeware-Attacke.

Ein weiterer Vertreter der Gattung legte sämtliche Bezahlterminals der Stadtbahn von San Francisco lahm. Die Ransomware „HDDCryptor“ ist vermutlich eher zufällig auf die Terminals gelangt, was am Ergebnis aber nichts änderte. Die Fahrgäste fuhren ein Wochenende umsonst. Die geforderten 70.000 Euro Lösegeld sollen nicht gezahlt worden sein.

Das nicht kommerzielle Projekt „NoMoreRansom.org“ stellt stellt über seine Website acht Entschlüsselungs-Tools zur Verfügung, wer Glück im Unglück hat, kommt so ohne Zahlung wieder zu seinen Daten. Eine Backup-Kultur ist trotzdem besser! Doch Vorsicht, so mahnen die Experten: Sind Rechner und Backup permanent verbunden springt der Schädling über und verschlüsselt auch das Backup. Entschlüsseln bleibt schwierig, denn die Kriminellen nutzen aktuelle Kryptotechnik. Etwa PGP-Derivate wie das Open-Source-Verschlüsselungsprogramm „Gnu Privacy Guard“, kurz GnuPG oder GPG mit einem 1024-Bit-RSA-Schlüssel oder die ebenfalls als sicher geltende AES-Algorithmen.

Die Probleme rund um die Krypto-Trojaner ließen 2016 eine Debatte wieder aufleben, die lange Zeit als abgeschlossen galt: die Verschlüsselungsdebatte. Die Positionen und Argumente sind dieselben wie vor zehn beziehungsweise 20 Jahren. Der Staat soll die Möglichkeit besitzen, durch Nachschlüssel jede private und kommerzielle Verschlüsselungssoftware umgehen zu können, also die Inhalte im Klartext lesen können. Die Gegenseite lehnt das ab. Feindliche Staaten, so argumentieren sie, halten sich an diese Gesetze genauso wenig wie Terroristen oder Kriminelle. Existiert aber ein Generalschlüssel oder eine Hintertür, wird er früher oder später in die Hände von fremden Geheimdiensten oder Kriminellen gelangen, die damit erheblichen Schaden anrichten können.

Als abschreckendes Beispiel gilt das Desaster um den Netzwerk-Ausrüster Juniper. Der dort verwendete Zufallszahlengenerator „Dual_EC_DRBG“ besitzt eine Hintertür, um so eine Verschlüsselung zu umgehen, das ist in Fachkreisen seit Jahren bekannt. Eigentlich sichere VPN-Verbindungen wurden so abhörbar. Urheber sollen die NSA oder der britischen Geheimdienstes GHCQ sein. Der eher halbherzige Versuch, das Sicherheitsloch zu stopfen, ging gründlich daneben. Unbekannte Dritte kaperten die nach wie vor vorhandene Schwachstelle und gelangten so erneut in das System. Sie verstopften die Hintertür sogar für andere Angreifer. Erst 2016 entschloss sich die Firma, Dual_EC_DRBG aus seinem Betriebssystem ScreenOS zu entfernen und ihn durch einen neuen Generator zu ersetzen.

Apple-Chef Tim Cook hat die US-Regierung für ihre vage Haltung zum Thema Verschlüsselung kritisiert. Die Administration müsse sich öffentlich gegen Hintertüren aussprechen, forderte Cook auf einem Treffen zwischen Regierungsmitarbeitern und IT-Konzernen, wie The Intercept berichtet. Die US-Justiziminsterin Loretta Lynch habe erwidert, es müsse eine „Balance“ zwischen Datenschutz und nationaler Sicherheit geben.

Seltene Einigkeit: Krypto-Fachleute stellen sich gemeinsam mit Unternehmen wie Microsoft und RSA gegen Hintertüren. Microsoft-Präsident Smith sprach vom „Pfad zur Hölle“, RSA-Chef Yoran von „atemberaubend törichten“ Ideen. Die heftigen Debatten haben ihren Grund. Ein Gesetzesentwurf mit Namen „Compliance with Court Orders Act of 2016“ sah vor, den Einsatz von starker Verschlüsselung neu zu regeln. Legal wären dann nur noch Systeme, die sich umgehen oder leicht knacken ließen.

Umgesetzt wurde bislang nichts, und das ist auch gut so, meint das europäische BSI, die EU-Agentur für Netz- und Informationssicherheit (Enisa) und Europas Polizeiamt Europol. Sie warnten 2016 gemeinsam vor Hintertüren. Frankreich sieht das allerdings anders. Zusammen mit Großbritannien und Ungarn hätte man gerne restriktive Regelungen. Der französische Innenminister Bernard Cazeneuve macht sich im August bei einem Treffen mit seinem deutschen Amtskollegen für ein internationales Vorgehen gegen Verschlüsselung stark. Dieser war nicht begeistert, doch tritt die Bundesregierung für die Schaffung einer „Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis)“ ein, die von Kritikern auch als zentrale Entschlüsselungsbehörde bezeichnet wird.