Fachartikel vom 02/02/2018

IT-Sicherheit im Jahresrückblick Diese Katastrophen ereigneten sich 2017

Das vergangene Jahr war für die IT-Sicherheit kein gutes. Inflationäre Hacks und millionenfacher Datendiebstahl bedrohen Wirtschaft und Privatsphäre zunehmend. Doch die Verantwortlichen schweigen oft. Ein Jahresrückblick von Bernd Schöne.

Bild: pixabay
  (Bild: pixabay)

Nach einem Verkehrsunfall auf eisglatter Straße nahe Karlsruhe mit einem Fahrzeug des Deutschen Roten Kreuzes (DRK), verbrannten im Dezember letzten Jahres 1.400 Patienten-Schlüssel des Hausnotruf- Services des DRK, die sich in dem Einsatzfahrzeug des Kreisverbandes Karlsruhe befanden. Arbeitsaufwändig für das DRK, aber die Betroffenen sollten sich keine Sorgen machen, so ein Sprecher. Bei einem Notfall werde man eben die Tür aufbrechen.

Eigentlich ist diese Meldung aus der Tagespresse kein Thema für die IT. Oder vielleicht doch? Die Schlüssel waren verloren, also keine Gefahr von Missbrauch. Verbrannte Schlüssel kann man auch nicht auf Versteigerungsplattformen im Darknet feilbieten. Man muss nur neue beschaffen, in dem konkreten Fall eben 1.400 Stück.

Millionen gestohlene Nutzerdaten und Passwörter

Das alles ist mit digitalen Identitäten ganz anders. Einmal gestohlen stellen sie für sehr lange Zeit ein massives Risiko dar. Bestimmte Identitäten, etwa die Sozialversicherungs-nummer, bleiben ein Leben lang gültig.

Dies zusammen mit Name und Adresse zu verlieren, ist mehr als unangenehm, es kann existenzbedrohend sein. Das zeigen Beispiele aus den USA, wo Kriminelle in die fremde eigene Haut schlüpfen, um Betrügereien zu begehen, für die andere haftbar gemacht werden.

Hacker schädigen 40 Prozent der US-Bevölkerung

Noch unheilvoller ist die Kombination mit Informationen zur finanziellen Situation eines Menschen. Das alles trifft auf den Hack der US-Wirtschaftsauskunftei Equifax zu. Von Mai bis Juli 2017 stahlen Hacker die Daten von 143 Millionen Kunden. Darunter Identitäten aber auch Nutzernamen und Passwörter.

Im September 2017 wurde das ganze Ausmaß des Datenabflusses bekannt, über mögli-che Schäden bei den Kunden weiß man bis heute wenig. Equifax ist eine von drei großen Wirtschaftsauskunfteien der USA und bewertet unter anderem die Kreditwürdigkeit von Verbrauchern, ähnlich wie die Schufa in Deutschland. Sie hat zu diesem Zweck Zugriff auf höchst sensible Informationen über Bonität und Vermögenswerte von Personen.

40 Prozent der US-Bevölkerung sind von dem Hack betroffen. Ihre Namen, Adressen, Geburtsdaten, Sozialversicherungs- und Kreditkartennummern wurden kopiert und könnten nun missbraucht werden, etwa um Kredite in fremdem Namen aufzunehmen oder Geschäfte zu tätigen, und Equifax musste Hohn und Spott über sich ergehen lassen, etwa vom Late-Night-Talker Stephen Colbert:

Nicht installierte Updates mit verheerenden Auswirkungen

Als Einfallstor diente den Angreifern eine bekannte Schwachstelle im Open-Source-Framework Apache Struts. Dabei handelt es sich um eine Steuerungsschicht von Java-Webanwendungen. Ein bereits verfügbares Update wurde nicht rechtzeitig installiert.

Wenn in analogen Welten einige Tausend oder zehntausend Menschen geschädigt wer-den, sind in digitalen Welten schnell Millionen betroffen. Der Effekt ist einfach zu erklären: Wenige Marktteilnehmer mit sehr vielen Kunden, die selbst wieder nur aus wenigen Produkten auswählen können.

Die Schadenshöhe scheint aber wenig bis keinen Einfluss auf die Bereitschaft zu Vorsicht und Aufmerksamkeit zu haben, im Gegensatz etwa zu Tresoren. Hier unterscheiden Versicherer sehr wohl, welche Vermögenswerte dort deponiert werden sollen. Je höher der Anreiz für Diebe, desto schärfer die Anforderungen an die technische Armierung des Schutzbehältnisses.

Damoklesschwert Darknet

Als eine der größten Hacks aller Zeiten galt zuvor der Verlust von 117 Millionen E-Mail-Adressen und Passwörtern des Karrierenetzwerks LinkedIn. Zunächst hatten die Verantwortlichen von 6,5 Millionen kompromittierten Zugängen gesprochen, die angeblich von russischen Hackern gestohlen worden waren. 2016 standen dann plötzlich 117 Millionen Datensätze zum Verkauf im Darknet.

Bild: Fotolia, XXL_Plus
Viele Clouddienste waren 2017 von Hackerangriffen betroffen. (Bild: Fotolia, XXL_Plus)

Der mögliche Verkauf der eigenen Identität über die geheimen Handelsplattformen im verborgenen Teil des Internets ist ein Damoklesschwert, das über allen Opfern von Hackerangriffen schwebt, und das viele Jahre lang.

Angeblich sind hier auch 65 Millionen Passwörter der Blogging-Plattform Tumblr und 360 Millionen Zugänge zu Konten des soziales Netzwerks MySpace gehandelt und verkauft worden, beides Anbieter von Cloud-Dienstleistungen. Überprüfen lässt sich das alles kaum.

US-Behörde ermittelt gegen Yahoo

Der Suchmaschinenanbieter Yahoo war bereits mehrfach Opfer von Cyber-Angriffen, verschwieg aber lange Zeit deren Dimension. 2016 gab man schließlich den Verlust von 500 Millionen digitaler Identitäten preis, die 2014 abhanden gekommen waren. Aber auch das war nur die halbe Wahrheit. Ein Jahr vor dem Hack hatte die Firma schon einmal ungebetenen Besuch in ihren digitalen Geschäftsräumen. Damals waren drei Milliarden Nutzerdaten betroffen.

Die Zahl wird sich nicht weiter erhöhen, denn das waren alle bei der Firma registrierten Accounts. 2017 kochte alles wieder hoch, nachdem nun die US-Börsenaufsichtsbehörde (SEC) den Umgang der Firma mit den Vorkommnissen untersuchen will.

Dieses Schicksal könnte auch dem Fahrdienst-Vermittler Uber drohen, dem 2016 die Da-ten von rund 50 Millionen Fahrgästen gestohlen wurden. Namen, E-Mail-Adressen und Telefonnummern von Nutzern wurden erbeutet, wie unter anderem die Welt berichtete:

Viele Manager folgen Eigeninteressen

Erst im November 2017 erfuhr die Öffentlichkeit vom zweiten Ereignis dieser Art in Folge, denn auch im Jahr zuvor waren Hacker zu Gast in den Firmenrechnern und erbeuteten Millionen von Datensätzen.

Der Umgang mit IT-Angriffen ist bemerkenswert. Es scheint seine Zeit zu dauern, bis die Öffentlichkeit die Wahrheit erfährt. Erst 2017 wurde bekannt, dass der Bilder-Sharing-Dienst Imgur im Jahr 2014 Opfer eines Hacker-Angriffs wurde, bei dem 1,7 Millionen Mail-Adressen und Passwörter kopiert wurden. Wenn es um die eigenen finanziellen Interessen geht, reagieren die betroffenen Manager weit schneller. Der Finanzchef von Equifax sowie weitere hochrangige Manager stießen große private Aktienpakete ihrer Firma ab, nachdem sie den kolossalen Hack entdeckt hatten.

Bild: Flickr
Brian Krzanich, CEO von Intel Corporation, stieß Ende November 2017 den Großteil seiner Firmenanteile ab. (Bild: Flickr)

Daten gelten als das Öl des Internet-Zeitalters. Jeder Manager möchte so viel davon ha-ben wie irgendwie möglich. Sind die Daten dann allerdings im eigenen Haus beziehungsweise Teil der eigenen IT, geht man recht sorglos damit um.

Kurz vor dem massiven Datenverlust bei Equifax wurde die Firma schon einmal Opfer von Hackern, verschwieg dies aber. Der Taxi-Ersatz Uber zahlte sogar klamm heimlich an die Hacker. Diese sollten die Daten löschen und nicht verkaufen oder verwenden.

Von Sorgfaltspflicht gegenüber jenen, die den Firmen ihre persönlichen Daten anvertrau-en, kann kaum die Rede sein. Wohl aber von dem Wunsch, sich selbst möglichst ohne Verluste aus der Affäre stehlen zu können.

Intel-Chef stößt Firmenanteile ab

Dass überhaupt so viele Details des Yahoo-Hacks bekannt wurden, könnte auch mit Geld zu tun haben. Die Firma wurde zwischenzeitlich übernommen. Der Käufer Verizon wollte den zunächst ausgehandelten Preis nicht zahlen, als er das volle Ausmaß des Datenabflusses erfuhr. Die Indiskretionen drückten den Kaufpreis beachtlich. Die Rede ist von einer Milliarde US-Dollar.

Die eigenen Interessen hatte vermutlich auch der Chef von Intel im Blick. Brian Krzanich verkaufte im November Unternehmensanteile im Wert von 24 Millionen Dollar. Das war praktisch alles, nur den Pflichtanteil für Führungskräfte behielt er. Das war vollkommen legal, denn er hatte den Verkauf rechtzeitig im Herbst angemeldet. Allerdings wusste er seit Juni, dass seine Firma im Zentrum des größten Sicherheitsgaus der IT-Geschichte steht.

Zweifelhafte Sicherheitspatches von Microsoft

Prozessoren lassen sich zu Datenschleudern umfunktionieren und das Problem liegt tief im Prozessor verborgen und besteht aus Siliziumstrukturen. Eine Reparatur ist so ausge-schlossen. Betroffen sind Millionen von Prozessoren, und das nicht nur von Intel, son-dern auch von Chip-Entwickler AMD. Was zur Verfügung steht, sind Sicherheitspatches von Microsoft. Sie sollen das Ausnutzen der Schwachstelle verhindern, indem das Betriebssystem den Zugriff verweigert. Sie beseitigen das Problem also nicht, bremsen dafür aber den Rechner aus.

Zudem ist bereits von „Folge-Folge Fehlern“ die Rede. Auf AMD-Prozessoren scheint das von Microsoft zur Verfügung gestellte Patch zu Bootfehlern zu führen. Die Rechner lassen sich nicht mehr starten. Bei anderen Nutzern stürzten ständig die Browser ab. Microsoft selbst warnt vor der Installation des Patches, wenn auf dem betreffenden Rechner bestimmte Anti-Viren Programme installiert sind. Dies könnte zu erheblichen Problemen führen.

Schon haben Anwaltsbüros in den US-Bundesstaaten Kalifornien, Indiana und Oregon Sammelklagen gegen Intel erhoben. Weitere werden folgen, und wenn auch nur ein Bruchteil der Forderungen vor Gericht Bestand hat, dürfte es für die Firma teuer werden.

Bernd Schöne, freier Journalist, München

Lesen Sie demnächst den zweiten Teil des IT-Jahresrückblicks von Bernd Schöne exklusiv auf Sicherheit.info.

Mehr auf Sicherheit.info