Risiken im Cyberspace
07.10.2019, 10:06 Uhr
Wenn das IoT zur Gefahr wird
Attacken aus dem Cyberspace sind längst zu einem Milliarden-Geschäft geworden. Immer raffinierter und aggressiver gehen die Angreifer vor. Im Visier haben sie zunehmend auch Geräte aus dem "Internet der Dinge".
Im Kammergericht Berlin müssen die Mitarbeiter des obersten Straf- und Zivilgerichtes der Bundeshauptstadt in diesen Tagen mit Fax, Papier und Telefon kommunizieren.
Das E-Mail-System des Kammergerichts wurde durch die berüchtigte Schadsoftware Emotet infiziert, einen Trojaner, vor dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutsche Unternehmen erst kürzlich gewarnt hatte.
Emotet ist zunächst darauf ausgerichtet, die infizierten E-Mail-Systeme auszuspionieren. Das Programm kann dann weitere Schadsoftware nachladen - beispielsweise Banking-Trojaner, die versuchen, digitale Geldströme in die Taschen der Cyberkriminellen umzuleiten. Andere Schadprogramme haben vor allem das Ziel, die Opfer zu erpressen. Bei diesen Ransomware-Angriffen sollen die Anwender mit manipulierten E-Mails ebenfalls dazu animiert werden, auf einen infizierten Dateianhang zu klicken und damit eine flächendeckende Verschlüsselung aller Daten auf den Computern im Netzwerk auszulösen. Für das Passwort, mit dem die Daten wieder entschlüsselt werden können, wird ein Lösegeld (englisch: "ransom") verlangt.
Es vergeht kaum eine Woche, in der nicht Meldungen über betroffene Institutionen die Runde machen. Experten haben mittlerweile weit mehr als 10.000 Spielarten von Verschlüsselungstrojanern ermittelt, darunter der berüchtigte WannaCry, der auch Rechner der Deutschen Bahn und der Stadt Baltimore im US-Bundesstaat Maryland digital angegriffen und lahmgelegt hat. WannaCry nutzte eine Schwachstelle im Microsoft-Betriebssystem Windows aus, die der US-Geheimdienst NSA entdeckt und jahrelang für eigene Spionageangriffe verwendet hatte. Die Cyberwaffe der NSA mit dem Namen EternalBlue geriet 2016 in die Hände einer Hackergruppe, danach schwappten Angriffswellen mit den Trojanern WannaCry und NotPetya durchs Land.
Das E-Mail-System des Kammergerichts wurde durch die berüchtigte Schadsoftware Emotet infiziert, einen Trojaner, vor dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutsche Unternehmen erst kürzlich gewarnt hatte.
Emotet ist zunächst darauf ausgerichtet, die infizierten E-Mail-Systeme auszuspionieren. Das Programm kann dann weitere Schadsoftware nachladen - beispielsweise Banking-Trojaner, die versuchen, digitale Geldströme in die Taschen der Cyberkriminellen umzuleiten. Andere Schadprogramme haben vor allem das Ziel, die Opfer zu erpressen. Bei diesen Ransomware-Angriffen sollen die Anwender mit manipulierten E-Mails ebenfalls dazu animiert werden, auf einen infizierten Dateianhang zu klicken und damit eine flächendeckende Verschlüsselung aller Daten auf den Computern im Netzwerk auszulösen. Für das Passwort, mit dem die Daten wieder entschlüsselt werden können, wird ein Lösegeld (englisch: "ransom") verlangt.
Es vergeht kaum eine Woche, in der nicht Meldungen über betroffene Institutionen die Runde machen. Experten haben mittlerweile weit mehr als 10.000 Spielarten von Verschlüsselungstrojanern ermittelt, darunter der berüchtigte WannaCry, der auch Rechner der Deutschen Bahn und der Stadt Baltimore im US-Bundesstaat Maryland digital angegriffen und lahmgelegt hat. WannaCry nutzte eine Schwachstelle im Microsoft-Betriebssystem Windows aus, die der US-Geheimdienst NSA entdeckt und jahrelang für eigene Spionageangriffe verwendet hatte. Die Cyberwaffe der NSA mit dem Namen EternalBlue geriet 2016 in die Hände einer Hackergruppe, danach schwappten Angriffswellen mit den Trojanern WannaCry und NotPetya durchs Land.
Fisch-Aquarium als Sicherheitsleck
Gegen die Computerwürmer, die sich durch die Netzwerke von Firmen und Organisationen fressen, kann man sich nur schwer schützen. Das macht ein Beispiel deutlich, von dem der renommierte US-Sicherheitsforscher Bruce Schneier auf der Fachkonferenz "Cyber Security Nordic 2019" in Helsinki berichtet: "Die eigentlich gut abgesicherte Finanzabteilung eines Casinos in Las Vegas wurde dadurch gehackt, weil sich im lokalen Netzwerk des Hauses auch ein Fisch-Aquarium mit einem Internet-Anschluss befunden hat."
Das System, mit dem die Fütterung der Fische und der Zustand des Wassers über das Internet kontrolliert werden konnten, bohrte in die dicke digitale Abwehrmauer das entscheidende Loch. Über Spezial-Suchmaschinen wie shodan.io können von aussen erreichbare Systeme aufgespürt werden.
Auf der Konferenz wiesen Schneier und andere Experten eindringlich darauf hin, dass in Zukunft längst nicht mehr nur klassische Computer das Ziel von Cyberkriminellen und staatlich unterstützten Hackern sein werden. "Autos, medizinische Geräte, Drohnen, Thermostate, Kraftwerke, alles was mit "Smart Cities" zu tun hat. Das sind alles Computer." Im Vergleich zum traditionellen PC gebe es aber einen entscheidenden Unterschied: "Wenn meine Tabellenkalkulation abstürzt, verliere ich vielleicht meine Daten. Aber wenn mein Herzfrequenz-Messgerät crasht oder die Bremsen meines autonom fahrenden Autos versagen, kann ich vielleicht dabei sterben."
Das System, mit dem die Fütterung der Fische und der Zustand des Wassers über das Internet kontrolliert werden konnten, bohrte in die dicke digitale Abwehrmauer das entscheidende Loch. Über Spezial-Suchmaschinen wie shodan.io können von aussen erreichbare Systeme aufgespürt werden.
Auf der Konferenz wiesen Schneier und andere Experten eindringlich darauf hin, dass in Zukunft längst nicht mehr nur klassische Computer das Ziel von Cyberkriminellen und staatlich unterstützten Hackern sein werden. "Autos, medizinische Geräte, Drohnen, Thermostate, Kraftwerke, alles was mit "Smart Cities" zu tun hat. Das sind alles Computer." Im Vergleich zum traditionellen PC gebe es aber einen entscheidenden Unterschied: "Wenn meine Tabellenkalkulation abstürzt, verliere ich vielleicht meine Daten. Aber wenn mein Herzfrequenz-Messgerät crasht oder die Bremsen meines autonom fahrenden Autos versagen, kann ich vielleicht dabei sterben."
Mangelnde Qualitätssoftware im IoT
Die neuen Möglichkeiten der fünften Mobilfunkgeneration 5G würden den Trend zur allgegenwärtigen Vernetzung dann auch technisch möglich machen, sagte Rik Ferguson, Chef der Sicherheitsforschung von Trend Micro. "5G ist nicht unbedingt dazu da, Euren Netflix-Download schneller zu machen, sondern dient vor allem dazu, unzählige Verbindungen im Internet der Dinge herzustellen."
Bei den vernetzten Geräten würden immer wieder Schwachstellen auftauchen. "Die meiste Software wurde schlecht geschrieben und nicht sicher, weil niemand für Qualitätssoftware bezahlen möchte", konstatierte Schneier. "Es gibt nur wenige Ausnahmen wie das Space Shuttle vielleicht." Daher müssten eigentlich ständig entdeckte Sicherheitslücken geschlossen werden. Doch dieser Prozess funktioniere selbst bei Smartphones mehr schlecht als recht. Viele Geräte im Internet der Dinge würden nie einen Patch erhalten.
Die Forscher in Helsinki machten sich deshalb für staatlich regulierte Rahmenbedingungen stark. "Wir regulieren ja heute schon Feuerschutz und elektrische Sicherheit", sagte Mikko Hyppönen, Forschungschef des finnischen Sicherheitsunternehmens F-Secure. "Wenn ich mir heute eine Waschmaschine kaufe, kann ich ziemlich sicher sein, dass ich keinen elektrischen Schlag bekomme. Sie wird auch kein Feuer fangen. Aber sie wird Dein WLAN-Passwort im Handumdrehen verlieren."
Vorbild könne dabei die europäische Datenschutzgrundverordnung (DSGVO) sein, die inzwischen auch ausserhalb der Europäischen Union als Vorbild für Datenschutzregulierungen gilt. Für viele Unternehmen sei es einfacher, sich weltweit nach der DSGVO auszurichten, als verschiedene Versionen ihrer Produkte und Dienstleistungen anzubieten. Inhaltlich könne man sich auch an einem neuen Gesetz in Kalifornien zur Cybersicherheit orientieren. Nach der "Senate Bill No. 327" ist es vom kommenden Jahr an verboten, vernetzte Geräte auszuliefern, die nur mit einem vorbelegten Simpel-Passwort wie "admin", "password" oder "123456" geschützt sind.
Bei den vernetzten Geräten würden immer wieder Schwachstellen auftauchen. "Die meiste Software wurde schlecht geschrieben und nicht sicher, weil niemand für Qualitätssoftware bezahlen möchte", konstatierte Schneier. "Es gibt nur wenige Ausnahmen wie das Space Shuttle vielleicht." Daher müssten eigentlich ständig entdeckte Sicherheitslücken geschlossen werden. Doch dieser Prozess funktioniere selbst bei Smartphones mehr schlecht als recht. Viele Geräte im Internet der Dinge würden nie einen Patch erhalten.
Die Forscher in Helsinki machten sich deshalb für staatlich regulierte Rahmenbedingungen stark. "Wir regulieren ja heute schon Feuerschutz und elektrische Sicherheit", sagte Mikko Hyppönen, Forschungschef des finnischen Sicherheitsunternehmens F-Secure. "Wenn ich mir heute eine Waschmaschine kaufe, kann ich ziemlich sicher sein, dass ich keinen elektrischen Schlag bekomme. Sie wird auch kein Feuer fangen. Aber sie wird Dein WLAN-Passwort im Handumdrehen verlieren."
Vorbild könne dabei die europäische Datenschutzgrundverordnung (DSGVO) sein, die inzwischen auch ausserhalb der Europäischen Union als Vorbild für Datenschutzregulierungen gilt. Für viele Unternehmen sei es einfacher, sich weltweit nach der DSGVO auszurichten, als verschiedene Versionen ihrer Produkte und Dienstleistungen anzubieten. Inhaltlich könne man sich auch an einem neuen Gesetz in Kalifornien zur Cybersicherheit orientieren. Nach der "Senate Bill No. 327" ist es vom kommenden Jahr an verboten, vernetzte Geräte auszuliefern, die nur mit einem vorbelegten Simpel-Passwort wie "admin", "password" oder "123456" geschützt sind.