Schlagwort-Archiv: Cybercrime

Als Held gefeiert, als Krimineller verhaftet

Es ist keine drei Monate her, da schaffte es Marcus H. schon einmal weltweit in die Schlagzeilen. Der 23-jährige Brite arbeitet als IT-Sicherheitsforscher und beobachtete im Mai, dass sich eine Cyber-Attacke weltweit rasant verbreitet, berichtet die „Süddeutsche“. Im Alleingang entdeckte er einen Mechanismus, der den Angriff mit der Erpresser-Software Wannacry stoppte. Seitdem wurde er als Held gefeiert… mehr

 

 

Wasch- und Saug-Alarm – Kurioses aus der IoT-Welt

Man könnte meinen, dass das Internet of Things (IoT) gerade im privaten Umfeld aufgrund von Unwissenheit oder Sorglosigkeit zur Security-Gefahr werden kann, aber weit gefehlt. Auch im Business Umfeld zeigt sich das IoT immer wieder von seiner schlechtesten Seite. Folgend drei kuriose Beispiele, wie IoT nicht sein sollte. Sicherheitsexperte Sophos zählt diese auf:

 Waschstraße mit Eigenleben

Wer heute mit seinem Auto in eine Waschstraße fährt, kann sein nasses Wunder erleben. Analysten von Sophos verzeichnen eine steigende Anzahl an Waschstraßen, die an das Internet angeschlossen sind. Grund für die Anbindung sind Konfigurationsmöglichkeiten für die Waschprogramme und Alarme im Falle eines Fehlers.

Das Fatale an der Sache: genau wie zahlreiche andere IoT-Geräte sind auch viele Waschstraßen nur mit dem Standardpasswort mit dem Server verbunden. Steckt man in einer verrückt gewordenen Waschstraße fest, die völlig andere Waschprogramme fährt oder einen nicht mehr heraus lässt, ist ein Hacker-Angriff durchaus wahrscheinlich.

Security Alarm mit alarmierender Security

Der Sinn einer Alarmanlage ist eindeutig: die Sicherheit von Räumen oder Gebäuden zu erhöhen. Doch weit gefehlt. Die Analysten von Sophos fanden Alarmsysteme, die zwar das Gebäude absichern und im Ernstfall auch Alarm schlagen und den Eigentümer umgehend über Einbruchsversuche per Mail oder App benachrichtigen. Aber: dafür sollen laut manchen Herstellern bestimmte Ports in das Internet geöffnet werden. Die Kommunikation über das Internet erfolgt weitgehend ungeschützt. Eine Einbruchsgefahr verhindern, indem man eine nächste schafft – ein Schildbürgerstreich.

Der Spion im eigenen Haus

Was wäre unser Leben ohne die vielen kleinen Helferlein im Haus, so auch neuerdings der Staubsaugroboter. Heikel daran ist, dass Staubsaugroboter nun auch mit dem Internet verbunden sind – manche auch über Spracheingabesysteme. Einige Hersteller sammeln völlig ungeniert große Mengen an Daten über das traute Heim, darunter die Abmessungen der Räume oder wo im Raum Dinge stehen.

Gerüchten zufolge könnten Hersteller von Staubsaugrobotern Kontakt mit den großen drei Internetgiganten aufgenommen haben, um die gesammelten Daten gemeinsam zu „nutzen“. Also nicht wundern, wenn einem beim nächsten Surfen im Internet eine Schrankwand empfohlen wird – unter dem Motto „Könnte bei Ihnen zwischen Fenster und Sofa stehen.“

Diebstahl von E-Mail-Adressen in Deutschland steigt dramatisch

In Deutschland werden immer mehr E-Mail-Adressen von Cyberkriminellen gestohlen. Das hat CPP Deutschland, Anbieter des Datenschutz Services Owl mit Sitz in Hamburg, herausgefunden.

 „Im ersten Halbjahr des Jahres 2017 wurden 43 Millionen deutsche E-Mail-Adressen gestohlen“, sagt Sören Timm, Geschäftsführer von CPP Deutschland. Zum Vergleich: Im Gesamtjahr 2016 waren es insgesamt 28 Millionen kompromittierte Adressen. „Dieser Anstieg ist dramatisch und er zeigt deutlich, welchen großen Wert E-Mail-Adressen für Cyberkriminelle haben. Wir können davon ausgehen, dass die Angriffe in den kommenden Jahren weiter exponentiell zunehmen werden“, so Timm.

Ermöglicht werde der Diebstahl der Adressen hauptsächlich durch Sicherheitslücken in Soft- und Hardware, die bei der Implementierung von Websites verwendet werden. Europaweit sei es in den vergangenen zwölf Monaten in sozialen Netzwerken, wie MySpace, LinkedIn oder VK, zu millionenfachen Datendiebstählen gekommen. „Das zeigt, dass auch große Unternehmen mit ausgeprägtem IT-Sicherheitsdenken Opfer von Datendiebstahl werden können“, betont Timm.

Gesamte Transaktionskette schützen

Timm: „Persönliche Daten im Internet sind nur dann sicher, wenn die gesamte Transaktionskette bei einem Vorgang geschützt ist.“ Dafür müssten zum einen die Nutzer sorgen, etwa indem sie ihre Hard- und Software state-of-the-art absichern sowie geeignete und unterschiedliche Passwörter wählen. Zum anderen müssten auch die Online-Anbieter ihre Infrastrukturen sichern, damit es nicht zum Diebstahl von Login-Daten kommen kann. Die „Wanna Cry“- und „Petya“-Angriffe im Mai und Juni in rund 150 Ländern und mehreren Hunderttausend Geschädigten hätten gezeigt, dass diese Kette noch nicht funktioniert.

Bitdefender Expertise hilft internationalen Strafverfolgungsbehörden beim Abschalten globaler Dark Markets

hansaMit Unterstützung der Experten von Bitdefender ist es Europol, FBI und dem US-amerikanischen Justizministerium gelungen, Hansa, den weltweit drittgrößten kriminellen Cyber-Marktplatz, zu schließen.

Forscher von Bitdefender arbeiteten mit Europol und anderen Strafverfolgungsbehörden daran, technisches Beweismaterial zusammenzutragen, das zur Schließung von Hansa geführt hat. Dort wurden illegale Drogen, gefälschte Produkte, Schusswaffen, Schadsoftware und andere rechtswidrige Produkte gehandelt. Die Operation ist das Ergebnis von mehr als einem Jahr an investigativer Arbeit. Bitdefender ist ein führender Anbieter von Internet Security Technologie, der weltweit 500 Millionen Anwender schützt.

Anfang Juli war bereits AlphaBay, der größte kriminelle Cyber-Marktplatz der Welt, wo vergleichbare illegale Güter wie bei Hansa verfügbar waren, geschlossen worden. Schätzungen gehen davon aus, dass dort Waren im Wert von mehr als einer Milliarde US-Dollar verkauft wurden. Danach war ein massenhafter Umzug der kriminellen Aktivitäten hin zu Hansa zu beobachten.

„Europol hat die Ermittlung zu kriminellen Marktplätzen im Dark Web seit mehreren Jahren unterstützt. Mithilfe von Bitdefender, einer Internet-Sicherheitsfirma, welche dem European Cybercrime Center (E3) von Europol seit einiger Zeit beratend zur Seite steht, konnte Europol niederländischen Behörden 2016 bei Hansa einen Hinweis für die Ermittlungen geben“, so Europol in einer heute veröffentlichten Pressemeldung.

Catalin Cosoi, Chief Security Strategist bei Bitdefender kommentiert: „Die internationalen Behörden haben hier eine große Leistung vollbracht. Wir sind stolz darauf, dass wir unsere Partner bei Europol unterstützen konnten. Wichtig ist der Umstand, dass die Ergebnisse, die wir heute sehen, auf einem koordinierten Vorgehen von zahlreichen Einrichtungen basieren. Und es ist ein klares Beispiel dafür, dass die Partnerschaft zwischen öffentlichen und privaten Organisationen erfolgreich ist. Wir freuen uns, dass wir mit unserer technischen Expertise bei der Bekämpfung von Cybercrime dazu beitragen, dass die Welt zu einem besseren Ort wird.“

„Fortbildung im Dark Web“ – In sechs Wochen zum professionellen Kreditkartenbetrüger

Digital Shadows, Anbieter von Lösungen für das Management von digitalen Risiken, hat in seinem Report „Inside Online Carding Courses Designed for Cybercriminals“ einen neuen Trend beim Kreditkartenbetrug aufgedeckt. Demnach werden im Dark Web verstärkt Kurse angeboten, die Teilnehmern die Grundlagen von Kreditkartenbetrug beibringen.

„Kurse“ für Cyberkriminelle

Die sechswöchigen, exklusiven Kurse werden nur in russischer Sprache durchgeführt und von fünf „Ausbildern“ betreut. Der Lehrplan umfasst 20 Unterrichtseinheiten, zu denen auch Webinars gehören. Für eine Kursgebühr von (umgerechnet) 650 Euro erhalten die Teilnehmer begleitend zum Webinar Schulungs- und Informationsmaterial.  Die Anbieter versprechen ein umfassendes Know-how in Sachen Kreditkartenbetrug mit dem selbst Anfänger zu professionellen Cyberkriminellen aufsteigen.

Nach erfolgreichem Abschluss des Kurses winkt den angehenden Hackern die Aussicht auf ein monatliches Einkommen von 10,500 Euro bei einer 40-Stunden-Woche. Angesichts eines durchschnittlichen Monatslohns in Russland von weniger als 600 Euro bringt der kriminelle Karrierewechsel das 17-fache Gehalt. Glaubt man den positiven Bewertungen der Teilnehmer vergangener Kurse scheint sich die Fortbildung zu lohnen (siehe Bild unten).

Die Kursanbieter haben es auf einen lukrativen Markt abgesehen. In einer Momentaufnahme fand Digital Shadows allein auf den zwei bekanntesten “Kreditkarten”-Foren im Dark Web 1,2 Millionen Nutzerdaten von Kreditkarteinhabern weltweit. Der Kaufpreis beträgt durchschnittlich 5 Euro pro Datensatz. Interessanterweise scheint es auf vielen russischen Foren zudem eine ungeschriebene Verhaltensregel zu geben, die den Verkauf von Daten russischer Kreditkartenbesitzer verbietet.

Preise für Daten variieren und sind auch vom Sicherheitsgrad der Kreditkarte und Karteninhaber abhängig. Günstig sind zum Beispiel Kreditkarten, die vor Kaufabschluss eine zweite Authentifizierung erfordern. Die PIN-Nummer eines Karteninhabers zu ermitteln kann sich als zeitaufwändig und schwierig erweisen. Allerdings finden sich auch hier Dienstleister und automatisierte Services, die mit Social Engineering-Techniken an die gewünschten Daten gelangen.

„Das Angebot an qualifizierten Fortbildungen im Dark Web sind eine Reaktion auf die ausgefeilten Methoden der großen Kreditkartengesellschaften, die diese in den letzten Jahren zu Betrugsbekämpfung eingeführt haben“, erklärt Rick Holland, VP Strategy at Digital Shadows. „Das Ziel der Betrüger ist es, die Zugangsbarrieren für kriminelle Aktivitäten zu senken und das Ecosystem rund um Kreditkartenbetrug auszubauen – leider auf Kosten von Kreditkartenanbietern, dem Einzelhandel und den Verbrauchern. Man kann aber auch etwas Positives in der offensiven Taktik der Cyberkriminellen sehen: Je mehr sie für ihre Aktivitäten Werbung betreiben, desto mehr Informationen geben sie uns in die Hand, um gegen die kriminellen Aktivitäten vorzugehen.”

Digitale Hoteldiebe „DarkHotel“ auf neuen Wegen

Verfeinerte Werkzeuge, neue Angriffsmethoden und neue Ziele – Bitdefender analysiert neue Malware der Hackergruppe „DarkHotel“.

Verfeinerte Werkzeuge, neue Angriffsmethoden und neue Ziele – Bitdefender analysiert neue Malware der Hackergruppe „DarkHotel“.

Ein Whitepaper von Bitdefender gibt neue Einblicke in die Arbeit der Hackergruppe DarkHotel. Die Gruppe ist seit einem Jahrzehnt aktiv und hat tausende von Unternehmen über WLAN-Infrastrukturen in Hotels angegriffen.

Sie ist dafür bekannt, die Ausnutzung noch unbekannter Schwachstellen (Zero Day Exploits) komplexe Malware und Angriffswege mit „Whaling“ zu kombinieren, also dem gezielten „Phishing“ nach ganz großen Fischen, wie Top-Managern und Geheimnisträgern. Das neue White Paper trägt den Titel „Inexsmar: An unusual DarkHotel campaign“. Es zeigt, wie die Hacker ihre Werkzeuge verfeinerten, ihre Angriffsmethoden verändert haben und nun offenbar statt auf finanziellen Nutzen auch auf politische Informationen abzielen.

Bitdefender hat herausgefunden, dass ein Malware-Sample aus dem September 2016, bekannt als Inexsmar, starke Ähnlichkeiten mit Malware hat, welche die Gruppe schon seit dem Jahr 2011 nutzt. Inexsmar stammt mit hoher Wahrscheinlichkeit von DarkHotel.

Für die Inesxmar Kampagne wich DarkHotel jedoch von ihrem bisherigen Erfolgsrezept ab und nutzte neue Mechanismen, um den schädlichen Payload auszuliefern und um Infos zu exfiltrieren. Dazu gehört Social Engineering mittels E-Mail und ein sehr komplexer Trojaner. In einem mehrstufigen Verfahren lädt der Trojaner zur Tarnung harmlose Dokumente herunter, sendet Systeminfos an einen Command-and-Control-Server und löscht verdächtige Malware-Bestandteile selbst wieder vom Endgerät des Opfers.

Ebenfalls spannend: Während DarkHotel in der Vergangenheit hochrangige Firmenmitarbeiter, wie CEOs, Top-Manager oder Entwicklungsleiter attackierte, um Informationen über Prototypen, geistiges Eigentum oder Software Quellcode zu stehlen, scheint diese Attacke eher politische Hintergründe zu haben.

„Wir vermuten, dass diese Methode, Social Engineering mit einem mehrstufigen Trojaner-Downloader zu kombinieren, auch ein Schritt ist, um die Malware wettbewerbsfähig zu halten. Denn die Schutzmechanismen der Opfer verbessern sich immer weiter“, schreibt Alexandru Rusu, Malware Researcher und Autor des White Papers.

Ransomware-Krise? Fakten statt Furcht

01-korona-1 Seine eigene Haustür sperrt man ab, eine Selbstverständlichkeit, über die man im Alltag wenig Gedanken verliert. Fällt jedoch der Begriff ‚Cyberkriminalität‘, denken viele immer noch an eine vom restlichen Leben relativ gut abgeschottete Gefahrenzone.

Im Zuge der digitalen Transformation, die mehr und mehr alle Arbeits- und Lebensbereiche erfasst, ist der Grad der Trennung, die das Wort „Cyber“ suggeriert, jedoch hinfällig geworden. Es handelt sich schlicht und ergreifend um Kriminalität, und althergebrachte Methoden zur illegalen Geldbeschaffung wie Einbruch, Diebstahl oder Erpressung haben nur ein effizientes Upgrade erhalten.

Aufgrund der einfachen Programmierbarkeit von Ransomware und der damit verbundenen Zunahme von professionellen Kriminellen, die ihre Fähigkeiten als Service anbieten, müssen wir uns leider an Erpressungstrojaner wie jüngst WannaCry als eine alltägliche Gefahr gewöhnen. Deshalb sind Aufklärung und Sensibilisierung hier einer der Grundpfeiler für mehr Sicherheit.

WannaCry: Weckruf für das öffentliche Bewusstsein

Durch den aktuellen WannaCry-Angriff wurden weltweit 252 Organisationen getroffen, darunter auch die Deutsche Bahn und der britische National Health Service. Dadurch war das Thema plötzlich nicht mehr nur ein Problem von IT-Fachleuten und CTOs, sondern eine greifbare Gefahr für die breite Öffentlichkeit.

Dennoch beträgt die Summe, die bisher durch WannaCry erpresst wurde, nur schätzungsweise 72.000 US Dollar – verschwindet gering im Vergleich zu den Milliarden erbeuteter Gelder vergangener Ransomware-Attacken. Es scheint, dass die kontinuierliche Aufklärung und Empfehlung, nicht zu bezahlen, mittlerweile Früchte trägt.

Darüber hinaus war der Angriff, trotz weitreichender Auswirkungen, eher schlampig ausgeführt, die Beweggründe unklar, die Verbreitung weitgehend chaotisch und die Geldeinnahmen aus der Perspektive der Angreifer ein absoluter Fehlschlag, doch WannaCry brachte die Welt für kurze Zeit aus dem Tritt. Statt jedoch weiter über die Motivationen hinter dem Angriff zu spekulieren oder zu diskutieren, wer für die Schwachstellen verantwortlich ist, sollte man sich nun auf Lösungsansätze konzentrieren.

Keine unvorhersehbare Naturkatastrophe, aber Big Business

Stand Ransomware im Jahr 2014 auf der Liste der Malware-Typen mit der größten Verbreitung noch auf Platz 22, belegt die Erpressersoftware mittlerweile Platz 5 in Verizons neuem Data Breach Investigations Report 2017.

Bereits 2016 konnte ein sprunghafter Anstieg an Ransomware-Angriffen weltweit um 16 Prozent im Vergleich zum Vorjahr verzeichnet werden. WannaCry war kein unvorhersehbarer, außergewöhnlicher Vorfall, der hereinbrach wie eine Naturkatastrophe, sondern schlicht und einfach eine kriminelle Operation, die Teil der unschöneren Seite einer kontinuierlich fortschreitenden digitalen Transformation ist.

Auch in naher Zukunft werden wir uns mit einem Anstieg dieser für Kriminelle sehr lukrativen Form von Bedrohung auseinandersetzen müssen. Die Verschlüsselung von Daten und das Erpressen von Lösegeld ist ein relativ schneller, unkomplizierter Vorgang mit geringem Risiko dank digitaler Zahlungssysteme wie Bitcoin oder Monero für leichten und anonymen Geldtransfer.

Fakten, statt Furcht: NoMoreRansom-Initiative

Die aktuelle Ransomware-Epidemie kann deshalb nur durch weitere Aufklärung und Sensibilisierung der Allgemeinheit in Angriff genommen werden. Darüber hinaus benötigt es eine engmaschigere Zusammenarbeit von Strafverfolgungsbehörden und IT-Sicherheitsunternehmen.

Im Juli 2016 wurde deshalb NoMoreRansom als eine bisher einzigartige Koalition von Europols europäischem Cybercrime Center, der niederländischen Polizei, Kaspersky und Intel Security gegründet, um den Opfern von Ransomware zu helfen, ihre verschlüsselten Daten zurückzuholen, ohne die Kriminellen bezahlen zu müssen. Auf der Plattform sind eine Vielzahl an Nachschlüsseln für Erpresserprogramme erhältlich, und seit Beginn der Initiative sind zahlreiche weitere Behörden sowie IT-Sicherheitsunternehmen hinzugekommen, die einen Beitrag mit der Entwicklung von neuen Entschlüsselungswerkzeugen und Entschlüsselungscodes leisten.

Drei Punkte, wie man sich wappnen kann 1. Back-up, Back-up, Back-up

Wenn sie im Fall eines Ransomware-Angriffs über ein sorgfältig implementiertes Backup-System verfügen, können Sie die Daten einfach wiederherstellen. Automatisierte, Cloud-basierte Backup-Services bieten größte Sicherheit für Ihre Daten. Auch, wenn aus organisatorischen Gründen vorläufig ältere On-Premises-Lösung verwendet werden, lohnt es sich, zumindest die Planungsphase für die Migration in ein Cloud-basiertes System zu starten.

  1. Gesundes Misstrauen: E-Mail-Posteingänge sind voll von bösartigen Anhängen und Links, die nur darauf warten, angeklickt zu werden. Öffnen Sie niemals Email-Anhänge von jemandem, den Sie nicht kennen und seien Sie auch misstrauisch bei vermeintlich vertrauenswürdigen Absendern, denn vielfach als Rechnung oder Bewerbungsschreiben getarnt, infiltrierten 2016 Locky- und Goldeneye-Ransomware ihre Opfersysteme über verseuchte Makros in Word-Dateien. Kriminelle versenden oft gefälschte E-Mails, die als Benachrichtigungen vermeintlich legitimer Absender wie Geschäftspartner, Online-Shops oder Banken getarnt sind. Die meisten Ransomware-Angriffe beginnen mit einem bösartigen Link oder Anhang, folglich ist eine wichtige Maßnahme, dass alle Mitarbeiter über die Gefahren von Ransomware aufgeklärt werden und zumindest die offensichtlichsten Alarmzeichen erkennen: • Eigentümliche Grammatik oder Rechtschreibfehler in angeblich professionellen E-Mails oder die Versendung der Nachricht zu einer ungewöhnlichen Tageszeit • Typo-Squatting im Absender, der auf den ersten Blick legitim wirkt, aber minimal falsch geschrieben ist wie z. B.: customersupport@faceboook.com • Hinterlegung von Buttons und Links in einer E-Mail mit verdächtigen URLs: Um dies zu überprüfen, bewegen Sie den Cursor über den Link oder die Schaltfläche, und die URL erscheint links unten im Browserfenster. • Seien Sie zudem vorsichtig mit Dateierweiterungen wie ‚.exe‘, ‚.vbs‘ und ‚.scr‘. Scammers können auch mehrere Erweiterungen verwenden, um eine schädliche Datei als Video, Foto oder Dokument (z.B. doc.scr) zu tarnen.
  2. Prävention durch solide Sicherheitsarchitektur und Aktualisierung: Verwenden Sie robuste Antivirus-Software, um Ihr System vor Ransomware zu schützen. Schalten Sie die heuristischen Funktionen nicht aus, da diese helfen, Ransomware-Samples zu erfassen, die noch nicht formell erkannt wurden. Um Ihr Netzwerk frei von Malware zu halten, erfordert es zudem eine Kombination aus effektiver Perimeter-Filterung, speziell entwickelter Netzwerkarchitektur und der Fähigkeit, Malware zu erkennen und zu eliminieren, die sich eventuell bereits im Netzwerk befindet. Firewalls der nächsten Generation oder E-Mail-Gateway-Lösungen können das Eindringen von Angreifern ins Netzwerk verhindern. Ebenso müssen alle Anwendungen, ob lokal gehostet oder cloudbasiert, regelmäßig gescannt und auf Schwachstellen gepatcht werden. Halten Sie zudem Software stets auf dem neuesten Stand. Wenn Ihr Betriebssystem oder Anwendungen eine neue Version freigeben, installieren Sie sie. Bietet eine Software automatische Aktualisierung, nutzten Sie diese.

Falls es doch soweit kommt, zahlen Sie nicht

Ausnahmen bestätigen die Regel: Etwa, wenn Leib und Leben bedroht sind beispielsweise bei einem Angriff auf die IT-Infrastruktur eines Krankenhauses. Generell aber bleibt der Rat, wenn Sie Opfer eines Ransomware-Angriffs werden: Zahlen Sie kein Lösegeld. Es gibt keine Garantie, dass Sie im Gegenzug den Entschlüsselungsschlüssel erhalten.

Darüber hinaus sollte man sich bewusstmachen, dass selbst wenn man bereits einmal betroffen war, man nicht gegen zukünftige Angriffe gefeit ist, sondern Angreifer in Ihnen eventuell sogar ein leichtes Ziel für weitere Attacken sehen. Doch eine mehrschichtige Sicherheitsstrategie mit regelmäßigen Offline-Backups, Sensibilisierung der Mitarbeiter, einer soliden Sicherheitsarchitektur und kontinuierlicher Aktualisierung von Betriebssystem und Software können die Auswirkungen von Ransomware erheblich minimieren.

Autor: Wieland Alge, CEO von Barracuda Networks, Barracuda vereinfacht die IT-Infrastruktur durch Cloud-fähige Lösungen, die es Kunden ermöglichen, ihre Netzwerke, Applikationen und Daten standortunabhängig zu schützen.

 

Die verheerendsten Cyberangriffe im Finanzsektor

geldIm Verlauf der letzten Jahre wurden Banken und Finanzinstitute immer wieder Opfer großangelegter und raffiniert eingefädelter Cyberangriffe, was zu finanziellen Schäden von teils mehreren hundert Millionen Euro führte – von Imageverlusten ganz abgesehen.

Trotz steigender Investitionen in die IT-Security-Infrastruktur, scheint der Bankensektor von dem Prozess der digitalen Transformation und den damit verbundenen Herausforderungen nach wie vor überfordert zu sein. Zu den verheerendsten Cyberangriffen auf Banken der letzten Jahre gehören:

2013: Hackerattacke auf Südkoreanische Banken

Eine Hackergruppe namens DarkSeoul sorgte im Jahr 2013 bei den südkoreanischen Großbanken Shinhan und Nonghyup für Aufruhr. Mit Hilfe von Malware war es den Cyberkriminellen gelungen, Netzwerke zu knacken, Computer zum Stillstand zu bringen und sogar Geldautomaten abstürzen zu lassen. Die Wirtschaft Südkoreas kam für einige Tage zum Erliegen, die betroffenen Banken erlitten einen Schaden von mehreren hundert Millionen US-Dollar.

 2014: Datendiebstahl bei JP Morgan

83 Millionen Bankkunden – darunter sieben Millionen Unternehmenskunden – waren 2014 von einem der wohl größten Datendiebstähle in der Bankengeschichte betroffen. Fünf Hackern war es damals gelungen, durch den Einsatz von Malware, Social Engineering und Spear-Phishing-Attacken sensible personenbezogene Daten von JP Morgan- und anderen Bankkunden auszuspähen. Die gestohlenen Daten nutzten die Täter schließlich, um über illegale Aktivitäten, darunter Aktienbetrug, rund hundert Millionen Dollar zu erbeuten.

2013-2015: Der Trojaner Carberp

Mehr als zwei Jahre konnten die Cyberkriminellen mit Hilfe des bereits bekannten Trojaners Carberp ungehindert Bankkonten auf der ganzen Welt abräumen und so Milliardengewinne erzielen. Über eine Spear-Phishing- Kampagne, die auf Bankangestellte und -Administratoren zielte, konnten die Täter, ein Cybercrime-Ring namens Carbanak, den Trojaner flächendeckend verbreiten. Einmal installiert, lädt er ein gewöhnliches Fernzugangs-Tool auf den betroffenen Computer, der den Tätern Transaktionen auf ihre eigenen Konten ermöglicht.

2016: Der SWIFT-Hack

Ohne einen kleinen Tippfehler, der einen aufmerksamen Bankmitarbeiter stutzig gemacht hatte, wäre der Cyber-Angriff auf die Zentralbank von Bangladesch im vergangenen Sommer vielleicht als größter Bankenbetrug aller Zeiten in die Geschichte eingegangen. Anstatt 850 Millionen belief sich der entstandene Schaden so „nur“ auf rund 81 Millionen Dollar. Ausgangspunkt der Attacke waren ungeschützte 20-Dollar Second-hand-Router.

Über dieses Einfallstor ins Netzwerk gelangt, konnten sich die Hacker dank einer maßgeschneiderten Malware Zugang zum SWIFT-System verschaffen, welches fahrlässiger Weise mit dem Netzwerk der Bank verbunden war. Im System angekommen, war es ihnen möglich, nach Belieben Transaktionen anzuweisen.

Banken sind für Cyberkriminelle seit je her ein bevorzugtes Angriffsziel

So unterschiedlich all die Angriffe auch sind, so zeigen sie doch alle, wie schlecht es um die Sicherheit unserer Banken bestellt ist und wie viel die Verantwortlichen in Sachen Aufklärung und Aufrüstung noch tun müssen. Banken sind für Cyberkriminelle seit je her ein bevorzugtes Angriffsziel, da Hacker hier schnell an sensible Daten und Geld kommen können.

Die zunehmende Digitalisierung und die sich stetig professionalisierende Cyberkriminalität tun ihr Übriges. Es ist Zeit, dass sich IT-Verantwortliche in Banken und Finanzinstitutionen mit der aktuellen Bedrohungslandschaft auseinandersetzen, Schwachstellen ihrer Infrastruktur und Systeme definieren und gezielt Schutzmaßnahmen implementieren.  Dass klassische Anti-Virus-Lösungen, Firewalls oder statische Verschlüsselungs- und Verschleierungsprogramme keinen ausreichenden Schutz mehr bieten, dürfte dabei den Meisten klar sein.

Der sicherste Weg, um sich vor Cyberangriffen und Manipulationen zu schützen, sind letztlich fest in der Software und den Anwendungen verankerte Schutzmaßnahmen. Denn nur wenn die Software bereits nach Abschluss ihres Entwicklungsprozesses auf Binärcode-Ebene mit mehrschichtigen und dynamischen Selbstschutz-Mechanismen (Runtime Application Self-Protection) und einer aktiven Verschlüsselung sensibler Keys (WhiteBox-Kryptographie) ausgestattet wurde, kann sie ausgefeilten Hackerangriffen standhalten.

Jenseits der Sicherheitstechnologien spielen natürlich auch Aufklärung und verantwortungsbewusstes Verhalten von Kunden und Mitarbeitern eine wichtige Rolle. Noch immer fallen Bank- Mitarbeiter und Kunden auf Phishing-Emails rein und präsentieren den Betrügern ihre sensiblen Daten somit quasi auf dem Präsentierteller.

Aber auch mobiles Banking verleitet Kunden immer wieder zu fahrlässigem Verhalten. Wenn sich Nutzer etwa über öffentliches WLAN in ihre Konten einwählen oder wenn Banking-App und TAN-generierende App auf einem Mobilgerät installiert werden  und die eigentlich so wichtige  Zwei-Wege-Authentifizierung damit umgangen wird. Hier dürfen die Banken nicht müde werden, Aufklärungsarbeit zu leisten und ihre Kunden zu warnen.

 Autor: Markus Unger-Schlegel, Arxan Technologies

 

Studie: Alarmierende Zunahme politisch motivierter Cyber-Attacken

Cyberkriminelle haben 2016 mit ihren Aktivitäten eine neue Dimension erreicht. Außergewöhnliche Angriffe wie millionenschwere virtuelle Banküberfälle oder die offenkundig staatlich-induzierten Versuche, den US-Wahlkampf zu beeinflussen, stechen besonders hervor. Das zeigt die 22. Auflage des Internet Security Threat Report (ISTR) von Symantec.

Der jährlich erscheinende Bericht bietet einen umfassenden Überblick über die weltweite Bedrohungslandschaft. Er gibt zudem ausführliche Einblicke in globale Angriffsaktivitäten, Trends im Bereich Cyberkriminalität und die Motivation der Angreifer.

„Einfallsreichtum und Raffinesse bestimmen seit jeher die Bedrohungslandschaft. Dieses Jahr aber konnten wir einschneidende Veränderungen bei der Motivation und Ausrichtung der Attacken feststellen“, sagt Candid Wüest, Principal Threat Researcher bei Symantec. „Die Welt wurde Zeuge, wie einige Staaten ihre Bemühungen, politische Prozesse zu manipulieren und Sabotageaktionen durchzuführen, verdoppelt haben. Gleichzeit konnten Cyberkriminelle mit Cloud-Services und simplen IT-Werkzeugen Störungen in bislang unbekanntem Ausmaß verursachen.“

Einige der wichtigsten Ergebnisse im Überblick

Angriffe mit dem Ziel der Sabotage und politischer Einflussnahme führend

Cyberkriminelle führen vermehrt verheerende, politisch motivierte Angriffe durch, um einer neuen Art von Zielen zu schaden. Die Cyberattacken gegen die Demokratische Partei in den USA und die anschließende Veröffentlichung gestohlener Informationen stehen stellvertretend für den neuen Trend: Kriminelle greifen offenkundig öffentlich wahrnehmbar Organisationen und Staaten an, um diese zu destabilisieren.

Cyberattacken mit dem Ziel der Sabotage waren in der Vergangenheit relativ selten. Die als erfolgreich empfundenen Attacken wie bei den US-Wahlen und im Fall von Shamoon weisen nun hingegen auf die zunehmenden Versuche Krimineller hin, politische Vorgänge zu beeinflussen und in anderen Ländern Unruhe zu stiften.

Staaten haben es auf große Beute abgesehen

Eine neue Art von Angreifern hat es auf große finanzielle Gewinne abgesehen, um mit diesen dann möglicherweise weitere verdeckte und subversive Aktivitäten zu finanzieren. Die größten Diebstähle passieren inzwischen virtuell, Cyberkriminelle stehlen dabei Milliarden. Während einige dieser Angriffe auf das Konto organisierter, krimineller Gruppierungen gehen, scheinen nun zum ersten Mal auch Nationalstaaten involviert zu sein. Symantec hat Belege, die Nordkorea mit Attacken auf Banken in Bangladesh, Vietnam, Ecuador und Polen in Verbindung bringen.

„Bei diesem Fall handelt es sich um einen unglaublich dreisten Angriff. Zugleich war es das erste Mal, dass wir deutliche Hinweise hatten, dass staatliche Stellen an Cyberangriffen beteiligt waren, allein um sich zu bereichern“, erklärt Candid Wüest. „Die Angreifer haben mindestens 94 Millionen US-Dollar erbeutet, im Visier hatten sie aber noch wesentlich größere Summen.“

Angreifer machen gewöhnliche Software zur Waffe – E-Mail wird zum Mittel der Wahl

Im vergangenen Jahr wurden nach Recherchen von Symantec auch PowerShell – eine geläufige, auf PCs installierte Skriptsprache – und Microsoft Office-Dateien verstärkt für Angriffe genutzt. Während Systemadministratoren diese Tools häufig für ihre täglichen Aufgaben nutzen, verwenden Angreifer diese Kombination verstärkt für ihre kriminellen Aktivitäten, da sie schwerer zu entdecken sind und wenig Spuren hinterlassen. Durch ihre häufige Verwendung bei Angriffen waren deshalb 95 Prozent der im vergangenen Jahr von Symantec online untersuchten PowerShell-Dateien bösartig.

Des Weiteren nutzten Cyberkriminelle 2016 verstärkt E-Mails als Angriffsvektor. Die Untersuchungen von Symantec haben ergeben, dass weltweit eine von 131 E-Mails bösartige Links oder Anhänge enthielt. Das ist der höchste Wert der vergangenen fünf Jahre. In Deutschland ist die Rate sogar noch höher: Hier war eine von 94 E-Mails mit einem bösartigen Link oder verseuchtem Anhang versehen.

Außerdem wurden durch sogenannte Business E-Mail Compromise (BEC) Betrugsfälle über die letzten drei Jahre mehr als drei Milliarden Dollar erbeutet und dabei 400 Unternehmen pro Tag angegriffen. Für diese Art des Betrugs sind nicht mehr als sorgfältig zusammengestellte Spear-Phishing E-Mails nötig.

Digitaler Erpressung nachgeben: Amerikaner zahlen am ehesten Lösegeldforderungen

Ransomware wird immer mehr zum globalen Problem, da sie für viele Kriminelle ein lukratives Geschäft ist. Symantec hat im letzten Jahr 101 neue Malware-Familien identifiziert, dreimal so viele wie bisher bekannt. Weltweit stiegen die Ransomware-Attacken um 36 Prozent.

Besonders im Visier der Angreifer sind die USA. Symantec fand dabei heraus, dass 64 Prozent der amerikanischen Opfer von Ransomware die geforderten Summen auch bezahlen, während weltweit nur 34 Prozent der Betroffenen das Lösegeld entrichten und in Deutschland sogar nur 16 Prozent. Das durchschnittlich gezahlte Lösegeld betrug im Jahr 2016 1077 US-Dollar und ist damit um 266 Prozent im Vergleich zum Vorjahr gestiegen.

Risse in der Cloud: Die nächste Ebene von Cyberkriminalität ist erreicht

Die steigende Abhängigkeit von Cloud-Services erhöht das Angriffsrisiko für Organisationen und Unternehmen. Zehntausende Cloud-basierter Datenbanken wurden 2016 mit Lösegeldforderungen gekapert, nachdem Benutzer veralteter Datenbanken diese ungeschützt und ohne notwendige Authentifizierung online zugänglich machten.

Grundsätzlich bleibt Sicherheit in der Cloud für Chief Information Officers (CIOs) eine große Herausforderung. Laut den Daten von Symantec haben viele CIOs den Überblick darüber verloren, wie viele Cloud-basierte Programme in ihrem Unternehmen genutzt werden. Die meisten vermuten, dass es innerhalb ihrer Organisation nicht mehr als vierzig Applikationen sind. Dagegen haben die Recherchen von Symantec ergeben, dass es durchschnittlich sogar beinahe tausend sind.

Diese Diskrepanz führt häufig zu fehlenden Vorgaben und Verhaltensrichtlinien für den Umgang mit Cloud-Services im Unternehmen, was deren Einsatz noch riskanter macht – die „Risse“ in der Cloud werden also größer. Laut Symantec müssen sich CIOs deshalb verstärkt um Cloud-basierte Programme und deren Einsatz kümmern. Andernfalls entstehen neue Einfallstore für Bedrohungen in das IT-System des Unternehmens.

Über den Internet Security Threat Report (ISTR)

Der Internet Security Threat Report bietet einen Überblick und eine Analyse der weltweiten Bedrohungsaktivitäten eines Jahres. Der Bericht basiert auf Daten aus dem Symantec Global Intelligence Network, mit dem Analysten von Symantec neu entstehende Trends bei Angriffen, bösartigem Code, Phishing und Spam identifizieren, analysieren und kommentieren.

Symantec veranstaltet am 4. Mai 2017, 12:00 Uhr ein Webinar zu den diesjährigen Ergebnissen des ISTR. Klicken Sie hier um teilzunehmen sowie für mehr Informationen. Den vollständigen Report sowie weitere Materialien finden Sie auf der Website von Symantec zum Download.

 

Wilhelmshavener Polizei gelingt Schlag gegen international tätige Cybercrime-Betrüger

Ende Februar hat das Team Cybercrime der Polizeiinspektion Wilhelmshaven-Friesland Wohn- und Geschäftsräume im Raum Wilhelmshaven durchsucht und dabei zwei Tatverdächtige vorläufig festgenommen sowie umfangreiche Beweismittel sichergestellt. Die beiden Verdächtigen haben mutmaßlich für eine international operierende Tätergruppe gearbeitet, die sich als Microsoft Mitarbeiter ausgibt und per Telefon kostenpflichtige Support-Dienstleistungen für mit Schadsoftware infizierte Windows-Rechner anbietet.

Internationale Kriminellenbande gibt sich als Microsoft-Mitarbeiter aus

Diese Betrugsmasche ist seit Monaten bekannt, allerdings handelten die jetzt verdächtigten Personen anders, wie die Polizei Wilhelmshaven in einer Pressemitteilung bekannt gab. Demnach wurden Rechner von Anwendern gesperrt, die Webseiten von unseriösen Quellen, oftmals mit pornografischem Inhalt, aufgerufen haben. Auf dem Sperrbildschirm erschien eine 0800-Telefonnummer, unter der angeblich Hilfe zu erwarten sei.

Hinter der Nummer boten angebliche Microsoft-Mitarbeiter kostenpflichtige Dienstleistungen an, um das System wieder freizuschalten. Die Polizei Wilhelmshaven ermittelt gegen die beiden Verdächtigen wegen banden- und gewerbsmäßig begangener Computersabotage sowie Erpressung. Das zuständige Amtsgericht Osnabrück hat Haftbefehle erlassen, die nach richterlicher Anhörung der Festgenommenen aber außer Vollzug gesetzt wurden. Die Ermittler werden nun Kontakt zu den Geschädigten aufnehmen und klären, welchen Tatbeitrag die Festgenommenen tatsächlich geleistet haben.

Microsoft arbeitet mit einer eigenen Digital Crimes Unit

Microsoft hat die Strafverfolgungsbehörden bei den Ermittlungsarbeiten mit seiner Digital Crimes Unit unterstützt, mit der das Unternehmen auf der Basis modernster Analysemethoden eigene Untersuchungen gegen Cyber-Kriminalität durchführt. Die Unit besteht aus Anwälten, Forensikern und Ingenieuren. Das Unternehmen hat im Zusammenhang mit den Ermittlungen des Wilhelmshavener Team Cybercrime einen eigenen Strafantrag gestellt und der Osnabrücker Staatsanwaltschaft Erkenntnisse aus seinen Ermittlungen in USA, England, Deutschland, Indien und Australien zur Verfügung gestellt.

„Wir begrüßen das engagierte Vorgehen der Behörden gegen Callcenter, die unter falscher Identität Computernutzer einschüchtern und in eine Betrugsmasche verwickeln“, sagt Joachim Rosenögger, Ermittler bei der Digital Crimes Unit von Microsoft: „Das Vorgehen der Behörden in Wilhelmshaven zeigt, dass solche Banden zur Rechenschaft gezogen werden und sich nicht hinter einem internationalen Geflecht von Firmen verstecken können. Microsoft wird bei weiteren Fällen außerhalb Deutschlands auch selbst den Strafverfolgungsdruck auf diese Gruppen weiter erhöhen.“

Microsoft weist darauf hin, dass es in Kombination mit der in Wilhelmshaven aufgeflogenen Masche weitere Betrugsversuche gibt. Dabei wird Verbrauchern, die bereits Opfer der Betrüger geworden sind, die Rückzahlung der von ihnen bezahlten Gebühren für den Fall in Aussicht gestellt, dass ein noch fehlender Betrag eingezahlt wird. Bei diesen erneuten Betrügereien entstehen mitunter Schäden im vier- bis fünfstelligen Bereich.

Microsoft rät Anwendern dazu, telefonische Betrugsversuche umgehend zu beenden und auf keinen Fall Fremdsoftware für ihr Endgerät zu erwerben oder zu installieren. Stattdessen sollten Betroffene die Polizei aufsuchen und den Betrugsversuch dort anzeigen. Verbraucher können der Microsoft Digital Crimes Unit über eine spezielle Webseite Scam-Versuche melden: www.microsoft.com/reportascam. Bitte informieren Sie Ihre Leser über diese Kontaktmöglichkeit.

Die Schwachstellen der „Intelligenten Zukunft“

Am Mobile World Congress (MWC) standen vernetzte Fahrzeuge, die Zukunft der Smart Homes und natürlich die neuesten Endgeräte ganz oben auf der Agenda. Laut einer aktuellen Studie von Intel Security verbringt jeder Deutsche inzwischen durchschnittlich 37% seiner Zeit zu Hause im Internet. Trotzdem kann knapp die Hälfte aller Deutschen (48%) nicht überprüfen, ob eines ihrer Geräte schon durch Schadsoftware befallen war. 32% gaben sogar an, dass sie sich nicht sicher sind, wie sie prüfen können, ob ihr Gerät in der Vergangenheit beschädigt wurde.

Es wird daher immer wichtiger, Verbrauchern nicht nur die Risiken von Geräten wie Laptops, Handys und Tablets bewusst zu machen. Kunden müssen auch die potenziellen Gefahren kennen, die von modernen vernetzten Geräten, wie Smart-TVs, Lautsprechern und vernetzten Fahrzeugen ausgehen.

Jugendschutz im vernetzten Zuhause

Die neue Partnerschaft zwischen Humax, Intel und Intel Security sorgt in einem vernetzten Haushalt für eine stabile Konnektivität und Sicherheit. Die McAfee Secure Home Platform bietet eine Sicherheitsebene, die vernetzte Geräte im Heimnetzwerk automatisch vor diversen Bedrohungen schützt. Sie können damit Jugendschutzeinstellungen festlegen und Warnungen vor möglichen Bedrohungen in Echtzeit erhalten.

“Unsere jüngsten Forschungen ergaben, dass sich mehr als drei Viertel aller Eltern (74%) darum sorgen, dass ihre Kinder online mit Kriminellen interagieren“, sagt Raj Samani, Chief Technological Officer EMEA bei Intel Security. “Dennoch verfolgen zwei Fünftel (34%) der Eltern nicht, was ihre Kinder im Internet treiben. Ein Viertel (25%) davon würde jedoch die Online-Aktivität ihrer Kinder überwachen, wenn es dazu eine einfache Möglichkeit gäbe.“

“Die Partnerschaft mit Humax hilft uns dabei, den Eltern die Kontrolle über die internetfähigen Geräte zu Hause zurück zu geben um die eigene Familie vor möglichen Risiken zu schützen. Indem wir uns auf das smarte und vernetzte 5G Zuhause bewegen, steigt die Nutzung des Internet und der Datenmengen, die wir täglich schaffen. Im gleichen Maße steigt unsere Abhängigkeit von Apps, um unser Zuhause zu kontrollieren. Wir müssen sicherstellen, dass angemessene Schutzmaßnahmen installiert sind, um jeden Zugriffspunkt zu schützen. Das gilt sowohl für das Netzwerk, den Router und die Endgeräte, als auch die Apps und die Software, die sie kontrollieren”, so Samani weiter.

Risiko durch „tote Apps“

„Tote Apps“ sind Apps, die nicht geupdatet oder gelöscht wurden aber weiterhin auf den Handys installiert sind. So sind sie nicht auf dem neuesten Sicherheitsstand und Türöffner für Malware und andere Viren. Wie der Mobile Threats Report von Intel Security zeigt, wurden im vergangenen Jahr bei Google Play mehr als 4.000 Apps entfernt – ohne, dass die Nutzer darüber informiert wurden. Telemetriedaten, die von den McAfee Labs erhoben wurden, zeigen, dass nach wie vor mehr als 500.000 Geräte solcher „toten Apps“ auf Smartphones installiert sind.

Ein aktuelles Beispiel ist eine App, die Passwörter stiehlt, indem sie sich als Instagram-Analyse-App ausgibt. Um die angebliche Analyse zu erhalten, müssen Nutzer ihre Instagram Login-Daten eingeben. Den Nutzern ist dabei nicht bewusst, dass sie ihre Nutzerdaten bei einer Phishing-Webseite eingeben und so ihre Anmeldedaten gestohlen werden.

“Um den Verlust ihrer persönlichen Daten an tote Apps zu vermeiden, müssen Verbraucher genau darauf achten, welche Apps sie herunterladen und bei jeder App Informationen zum Entwickler und Bewertungen nachlesen, bevor sie die App installieren”, meint Raj Samani. “Sie sollten auch nach einem Sicherheitstool Ausschau halten, das Apps identifiziert, die nicht mehr im Store sind und eventuell sogar Informationen darüber liefern können, wieso die App entfernt wurde.”

Tipps zum Schutz der persönlichen Daten

„Mit der zunehmenden Vernetzung steigen auch die Risiken durch Cyber-Kriminelle. Allerdings können sich Verbraucher schon mit einigen wenigen Mitteln sehr effektiv schützen,“ sagt Cyber-Sicherheitsexperte Alexander Salvador von Intel Security. Er gibt folgende Tipps, wie Nutzer ihre Geräte schützen können:

  • Sperren Sie Ihre Geräte. Wo möglich sollten Geräte mit einem starken PIN oder einem komplexen Passwort gesperrt werden, um unerlaubte Zugriffe zu vermeiden. Nutzen Sie außerdem eine Multi-Faktor-Authentifizierungslösung, wie True Key von Intel Security, die Ihre starken Passwörter mit einer extra Sicherheitsstufe verbindet – zum Beispiel mit Ihrem Fingerabdruck oder einer Gesichtserkennung. Selbst wenn das Passwort gestohlen werden sollte, bleibt der Zugriff für andere Personen verwehrt.
  • Halten Sie Ihre Geräte auf dem neuesten Stand. Stellen Sie sicher, dass Sie Ihre Geräte aktualisieren, sobald neue Versionen des Betriebssystems oder der Anwendung zur Verfügung stehen. Updates enthalten oft wichtige Sicherheitskorrekturen, die Probleme beheben und vor Angriffen schützen.
  • Kontrollieren Sie Ihr Heimnetzwerk. Die Einrichtung eines WLAN-Netzwerkes für Gäste ermöglicht Ihren Besuchern den Zugang zum Internet, aber sorgt dafür, dass Ihr Heimnetzwerk isoliert bleibt. Sie können auch Ihre IoT-Geräte (Smart-Home-Geräte, Wearables, usw.), auf denen private Informationen gespeichert sind, von traditionellen Geräten (Laptops, Smartphones, Tablets, usw.) trennen. So betrifft die Gefahr eines IoT Gerätes lediglich Geräte, die mit dem Gästenetzwerk verbunden sind.

Biohacking – ein „Trend“ und seine Gefahren

Biohacking ist ein neuer Trend in der Wissenschaftsszene. Den Gesetzgeber stellt dies vor neue Herausforderungen. Das Gentechnikgesetz sei nicht mehr zeitgemäß, sagt Dipl.-Biologe Rüdiger Trojok.

„Biotechnologie wird in Zukunft so alltäglich und verbreitet sein wie heute die Computertechnik“, sagt Rüdiger Trojok. Der Biologe erforscht am Karlsruher Institut für Technologie (KIT) Innovationsprozesse und Technikfolgen. Wie die Computerpioniere der siebziger Jahre würden bald Bio-Nerds in Garagen und Souterrains an Genen herumexperimentieren, so Trojoks Prognose. In Amerika ist das wiederum in Anlehnung an die Computerszene sogenannte „Biohacking“ längst ein Trend. In Deutschland hingegen ist es Privatpersonen derzeit nicht gestattet, gentechnische Veränderungen vorzunehmen.

In den USA kann sich schon heute Jedermann ein Selbstmach-Set für biolumineszierendes Bier, erzeugt mithilfe gentechnisch veränderter Bakterien, im Internet bestellen. Hierzulande dagegen wird beim Gedanken, dass Do-it-yourself-Biologen bald zu Hause an selbst erdachten Erbmolekülen herumtüfteln könnten, nicht nur Biomaisgegnern mulmig. Gehören sechsbeinige Hunde im Park und selbstoptimierte Supermutanten im Sportstudio bald zum Alltag?

Trojok, der am Institut für Technikfolgenabschätzung und Systemanalyse (ITAS) des KIT arbeitet und auch den Bundestag bei der Einschätzung neuer Technologien berät, wiegelt ab: Zwar koste ein gentechnisches Labor einzurichten inzwischen nur noch 5000 Euro und stehe mit der CRISPR/Cas-Methode ein einfaches Verfahren zur Verfügung, um DNA gezielt zu schneiden und zu verändern. „Eigenständige Experimente erfordern aber noch ein fundiertes Fachwissen und langwierige wie akkurate Vorbereitungen.“ Mal eben zum Spaß ein paar Gene auch nur von Bakterien zu verändern oder gar Organismen mit völlig neuen Eigenschaften zu kreieren sei für Hobby-Biologen deshalb schwierig bis unmöglich – für den Moment.

Infolge weiter sinkender Preise, immer einfacherer Verfahren und Labortechnik nicht größer als ein Computerchip, werde die Gentechnik zukünftig der Kontrolle und dem exklusiven Zugriff staatlicher Forschungseinrichtungen, Biotechnologieunternehmen und Großkonzernen entgleiten, erwartet Trojok. Das im Jahr 1990 erlassene Deutsche Gentechnikgesetz hält der Wissenschaftler deshalb für nicht mehr zeitgemäß. Die Risiken der damals noch jungen Gentechnik seien seinerzeit noch nicht abschätzbar gewesen, so der 31-Jährige. Deshalb seien die Regelungen vorsichtshalber extrem streng ausgestaltet. Schon für harmlose, heute tausendfach bewährte Versuche drohten drei Jahre Haft.

„Das Recht auf Forschung ist zusammen mit der Meinungsfreiheit und Kunstfreiheit im Grundgesetz verankert“, sagt Trojok. Der Wissenschaftler schlägt deshalb eine Art Stufenführerschein für Privatforscher vor, damit jeder Zugang zu dem Wissen und der Technologie bekommen könne. Wer mit dem Laborbaukasten harmlose Bakterien bunt färben will, der solle dies tun dürfen. Ein weitergehendes Verändern von Organismen hingegen wäre zum Beispiel nur Genbastlern mit Biologiestudium erlaubt. „Wenn Sie heute eine Fahrerlaubnis erwerben, bekommen Sie damit auch nicht gleich die Zulassung für Schwerlaster“, sagt Trojok.

Momentan seien die rechtlichen Hürden für Biohacker hoch, meint Trojok: So verlange der Gesetzgeber einen Betreiber und einen Sicherheitsbeauftragten pro Gentechniklabor, die jeweils eine spezielle Zulassung benötigten und drei Jahre Laborerfahrung vorweisen müssen. Zudem gebe es eine große Zahl an baulichen Auflagen und Dokumentationspflichten. „Diese Regel lässt sich angesichts der technischen Möglichkeit, Gentechnik in einer dezentralisierten, miniaturisierten Weise durchzuführen, kaum noch sinnvoll umsetzen.“

Praktikabler wäre, die Sicherheitsstufe 1 des Gentechnikgesetzes weiter zu differenzieren, so Trojok. „Man kann aus dieser Stufe bereits nach bestehendem Recht Experimente ausgliedern, die etabliert sind und als sicher bewertet wurden – darunter würden auch cisgenetische und bestimmte CRISPR-Experimente fallen.“ Solche sicheren und bekannten transgenen Arbeiten müssten seiner Auffassung nach nicht den strengen gesetzlichen Auflagen des Gentechnikgesetzes unterliegen und sollten der Gesellschaft freigegeben werden, meint Trojok. Um diese Experimente anzumelden, würde sich ein schnelles Online-Register anbieten, in dem Bundes- oder besser sogar EU-weit legale Experimente gesammelt werden.

Was für Folgen und Konsequenzen eine demokratisierte und dezentrale Nutzung der Genombearbeitung in naher Zukunft haben könnte, darüber diskutieren Nachwuchswissenschaftler der Naturwissenschaften, Sozialwissenschaften, Geistes- und Rechtswissenschaften sowie Biohacker und auch Künstler auf Einladung von KIT und ITAS auf einer Klausurwoche in München vom 12. bis 17. März.

Digitale Identitäten verhindern Kennwort-Klau

In der technisierten Lebens- und Arbeitswelt von heute sind sichere digitale Identitäten unverzichtbar: Nicht nur beim Onlinebanking möchten Nutzer zuverlässig erkannt werden. Für immer mehr Anwendungen in der Cloud oder für das Smartphone ist die sichere und zweifelsfreie Identität des Nutzers Grundvoraussetzung.

Doch wie lässt sich verhindern, dass sich eine Person digital als jemand anders ausgibt? „Ein Passwort zur eindeutigen Authentifizierung der Person hinter einem Benutzernamen reicht nicht mehr aus“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V.

Hunderte Millionen gestohlener Passwörter kursieren im Netz

Das betont auch die Bundesregierung in ihrer am 9. November 2016 beschlossenen Cyber-Sicherheitsstrategie für Deutschland 2016: „Das derzeit verbreitete, aber nicht sichere Benutzername/Passwort-Verfahren ist als Standard zu ergänzen und nach Möglichkeit abzulösen“, fordert sie. Denn bei einer Authentisierung mittels Nutzername und Passwort sind Diebstahl, Manipulation oder Fälschung einer Identität nicht hinreichend ausgeschlossen.

Hunderte Millionen gestohlener Passwörter inklusive Nutzernamen und E-Mail-Adressen kursieren im Internet. Diese stammen aus Hacks großer Seiten. Millionenfacher Passwort-Diebstahl wurde nicht nur von den Online-Diensten Dropbox, Yahoo und LinkedIn eingeräumt. „Es gibt ein großes Bedürfnis nach besseren digitalen Verfahren zum Nachweis der eigenen digitalen Identität“, betont Oliver Dehning.

Großer Bedarf an starken und nutzerfreundlichen Authentisierungs-Methoden

„Eine starke Authentisierung setzt die Nutzung zweier unterschiedlicher Faktoren voraus“, sagt Jens Bender vom Bundesamt für Sicherheit in der Informationstechnik. Dabei gilt es, Authentisierungsfaktoren geschickt zu kombinieren, um verschiedene Angriffskategorien abzuwehren und um die Stärken verschiedener Faktoren zu kombinieren. Es sollten asymmetrische Verfahren bevorzugt werden, bei denen keine zentrale Datenbank notwendig ist.

Mit Ausweisdokumente mit Online-Ausweisfunktion stellt die Bundesregierung bereits eine hochsichere und datensparsame Identifikationsmöglichkeit im Netz bereit, stellt die Cyber-Sicherheitsstrategie für Deutschland 2016 fest. Der neue deutsche Personalausweis (eID) beispielsweise bietet eine sichere Möglichkeit, sich auch für Cloud-Infrastrukturen zu identifizieren. Das zeigte Dr. Detlef Hühnlein von ecsec im Rahmen der Internet Security Days 2016 in Brühl bei Köln.

Mit der Lösung SkIDentity auf der Basis der Online-Funktion des Personalausweises lassen sich sichere virtuelle Identitäten erstellen und auch transferieren, beispielsweise auf ein Smartphone. Mit dieser vom BSI nach ISO 27001 auf Basis von IT-Grundschutz und von der TÜV Informationstechnik GmbH gemäß dem Trusted Cloud Datenschutz-Profil zertifizierten Lösung können sich Nutzer anschließend bis zu 14 Tage lang auch ohne Nutzung des physikalischen Ausweises für digitale Services authentisieren.

Staat und Wirtschaft schaffen eigene Lösungen für unterschiedliche Anwendungen

Im Internet der Dinge (IoT) benötigen nicht nur Personen, sondern auch Objekte zweifelsfreie Identitäten. „Wenn beispielsweise Fahrzeuge untereinander kommunizieren, um sich gegenseitig vor Gefahren zu warnen oder über die Verkehrslage zu informieren, dann muss die Kommunikation zugleich vertrauenswürdig sein und extrem schnell ablaufen“, sagt Christian Welzel vom Fraunhofer Institut FOKUS. Auch Organisationen und Dienste brauchen digitale Identitäten, denen Nutzer vertrauen können.

„Dem Staat kommt dabei die Rolle zu, den Rahmen festzulegen. Er definiert rechtliche und technische Anforderungen und gewährleistet über Zertifikate Sicherheit.“ Zugleich steht der Staat in Konkurrenz zur Wirtschaft, die eigene Möglichkeiten zur Authentisierung geschaffen hat. Beispiele dafür sind etwa die Facebook ID für Personen oder Gütesiegel für Online-Shops. Generell gilt: „Lösungen für digitale Identitäten müssen global gedacht werden und internationalen Standards und Kriterien genügen“, betont Welzel. Das gelingt mit einheitlichen Standards und Rahmenbedingungen und abgestimmten Vergleichskriterien für Authentisierungsverfahren.

Die Ripper-Polizei: Wenn Betrüger gegen Betrüger vorgehen

Die Homepage von Ripper.cc

Die Homepage von Ripper.cc

Falsche Social-Media-Datenleaks, Handel ungültige Kreditkarten oder bezahlte und nicht ausgeführte Hackerdienste – auch Cyberkriminelle werden hinters Licht geführt. Laut Digital Shadows, einem Anbieter im Bereich Threat-Intelligence, gibt es nun eine Bibliothek in dem sich Cyberkriminelle zu den schwarzen Schafen unter ihnen informieren und so dem Betrug aus den eigenen Reihen vorbeugen können. Auf der Website Ripper.cc finden sich bereits über 1.000 Einträge zu diesen sogenannten „Rippern“ und ihren Maschen.

Ripper sind ein gewaltiges Problem für das florierende Geschäft mit der Cyberkriminalität

Ihre Aktivitäten beeinträchtigen den Markt und schmälern den Gewinn sowohl für Anbieter illegaler Dienste und gestohlener Daten als auch für deren Käufer. Die Mehrheit der kriminellen Plattformen beschäftigt sich daher intensiv mit dem Problem und bietet singuläre Lösungen an.

Mit Ripper.cc soll nun eine übergreifende Bibliothek aufgebaut werden, die sich über unterschiedliche Foren, Webseiten und Plattformen nutzen lässt. Dort können auf der Website Profile vermeintlicher Ripper anlegen und Informationen zu Kontakt, Identifikation und eingesetzter Betrugsmasche online stellen. Neuerdings gibt es sogar ein Plug-In für Jabber – den von Cyberkriminellen bevorzugten Instant-Messaging-Dienst. Damit werden Akteure sofort gewarnt, wenn sie mit einem in der Ripper Datenbank geführten Anbieter in Kontakt treten.

„Es ist erstaunlich, wie schnell sich dieser Bereich der kriminellen Unterwelt reguliert und weiterentwickelt“, erklärt Rick Holland, VP Strategy, Digital Shadows. „Bereits jetzt werden Extensions für Firefox und Chrome von Ripper.cc angeboten, um die Funktionalitäten der Website auszuweiten. Zudem sucht Ripper.cc nach Möglichkeiten, ihren Dienst zu Geld zu machen, z. B. durch Anzeigenschaltung und Abonnements. Die Parallelen zu Geschäftsmodellen von Start-ups und IT-Unternehmen sind ein deutliches Zeichen für die zunehmende Industrialisierung und Professionalisierung der Hacker-Szene.“

 

Warum es nicht immer russische Hacker sind – Insider, die unterschätzte Gefahr

Der Sitzungssaal des Bundestages in Berlin.

Der Sitzungssaal des Bundestages in Berlin.

John Carlin ist Assistant Attorney General for National Security.

John Carlin ist Assistant Attorney General for National Security.

Russische Hacker? Eher nicht. Nach Informationen des Nachrichtemagazins Spiegel vermutet die Bundespolizei nach ihren Ermittlungen, dass im Bundestag möglicherweise ein sogenannter „Maulwurf“ – also ein Insider – sitzt und die Daten aus dem Untersuchungsausschuss an die Enthüllungsplattform WikiLeaks weitergegeben hat.

Nach Angaben von WikiLeaks sollen die rund 2.400 Dokumente zum NSA-Ausschuss aus verschiedenen Quellen stammen und nachweisen, dass die amerikanischen National Security Agency (NSA) und der BND zusammengearbeitet haben. Noch vor einigen Wochen hatte die „Frankfurter Allgemeine Sonntagszeitung“ einen hohen Sicherheitsbeamten mit den Worten zitiert, „es gebe eine „hohe Plausibilität“ dafür, dass die von WikiLeaks veröffentlichten Geheimakten beim Cyberangriff auf den Bundestag erbeutet wurden. Für den Angriff machten Sicherheitskreise russische Hacker verantwortlich.“

Das sieht im Licht der bundepolizeilichen Ermittlungen betrachtet nun anders aus. Wieder ein Insider?

Innentäter die unterschätzte Gefahr

Dass unter bestimmten Umständen praktisch jeder zum Insider werden kann haben Studien ausreichend belegt. Die drei wesentlichen Komponenten von Motiv, Moral und Möglichkeit müssen nur in einem günstigen (oder besser: ungünstigen) Mischungsverhältnis aufeinandertreffen. Das gilt für die großpolitische Gemengelage, Geheimnisverrat oder Wirtschaftsspionage.

Potenzielle Innentäter sind neben den eigenen aktuellen und ehemaligen Mitarbeiter*innen befristet im Unternehmen tätiges Personal und externe Dienstleister. Dass dieses Phänomen nicht neu ist, hatte Anfang dieses Jahres eine Umfrage der Computerwoche bestätigt, bei der im Rahmen des „Vendor Vulnerability Survey 2016“ annähernd 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA befragt wurden.

Die als besonders sicherheitsaffin geltenden Deutschen hegten zwar einerseits große Befürchtungen Opfer eines Cyberangriffs zu werden, vergeben aber andererseits Zugriffsberechtigungen an Dienstleister ausgesprochen großzügig. Zutritts- und Zugangsberechtigungen sind oft viel weiter gefasst als es nach dem Prinzip der minimalen Rechtevergabe notwendig gewesen wäre. Außerdem bleiben diese Berechtigungen gerne selbst dann noch erhalten, wenn ein Projekt längst beendet ist oder der betreffende Mitarbeiter das Unternehmen bereits verlassen hat.

Und Innentäter sind es auch, die aufgrund ihrer physischen und virtuellen Zugangs- und Zugriffsmöglichkeiten potenziell den größten Schaden anrichten.

Laut einer aktuellen Studie des Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf mittlerweile rund 4 Millionen US-Dollar.

Trotz dieser erschreckenden Zahl sind bei weitem nicht alle Vorstandsmitglieder, Geschäftsführer oder Hauptaktionäre ausreichend gewappnet ihre finanziellen Interessen dahingehend zu schützen. In Abwandlung eines alten Zitats aus der IT-Sicherheit gibt es nur zwei Sorten von Unternehmen: diejenigen, die schon Opfer einer Datenschutzverletzung geworden sind und diejenigen, die es (noch) nicht wissen.

Mehr wissen: Insider versus Algorithmus?

Wie in vielen Bereichen des digitalen Lebens kommt hier eine spezielle Klasse von Algorithmen ins Spiel – die sogenannten selbstlernenden Algorithmen.

Um spezielle Aufgaben lösen zu können sind bestimmte Algorithmen an die Funktionsweise des menschlichen Gehirns angelehnt wie Jürgen Geuter, Informatiker und Blogger, in seiner Wired-Kolumne erläutert. Die künstlichen Neuronen werden dann ähnlich zu einem neuronalen Netz verschaltet wie das in unserem Gehirn geschieht. „Jedes einzelne Neuron im Netzwerk entscheidet nun — abhängig von den Impulsen aus den Neuronen, die mit seinen Eingängen verbunden sind — ob es einen Impuls weiterleitet oder nicht. Erst wenn ein gewisser Schwellenwert erreicht wird, „schaltet“ das Neuron, sonst bleibt es still. Dabei gewichtet jedes Neuron unterschiedliche Impulse höher oder niedriger. Am Ende kommt eine Entscheidung dabei heraus, etwa die Feststellung, dass ein Bild eine Katze enthält, oder der Befehl an den Greifarm, sich um 45 Grad zu drehen.“

Dann kommt das Lernen ins Spiel. Dabei wird das System im Hinblick beispielsweise auf eine Zielfunktion hin trainiert. Immer und immer wieder. Algorithmen dieser Art kommen auch bei der Analyse des Benutzerverhaltens zum Tragen. Dabei wird zunächst ein im Hinblick auf bestimmte Nutzer als normal geltendes Verhalten definiert und entsprechende Grenzwerte festgelegt. Sogenannte prädiktive Bedrohungsmodelle dienen dazu so unterschiedliche Phänomene wie Insider-Bedrohungen, Attacken von außen bis hin zu Infektionen mit verschiedenen Ransomware-Varianten sowie verdächtiges (von den definierten Grenzwerten abweichendes) Nutzerverhalten zu erkennen und zu analysieren.

Haben ein Hacker oder Insider sich Zugang zu einem Konto mit den zugehörigen Berechtigungen für beispielsweise besonders vertrauliche Daten verschafft, kann etwa eine Data-Loss-Prevention-Lösung den Angriff nicht aufhalten.

Um diese Daten zu schützen, braucht man zusätzliche Informationen. Man sollte wissen

  • Wer greift auf diese Daten zu?
  • Wer ist dazu berechtigt?
  • Wer aus dem Kreis dieser Berechtigten muss wahrscheinlich gar nicht mehr auf diese Daten zugreifen?
  • Wem (außerhalb der IT-Abteilung) „gehören“ die Daten? Wer ist der eigentliche Eigentümer der Daten?
  • Wo und wann beginnt ein anomales Benutzerverhalten?Je nach dem, welchen Grad von Vertraulichkeit bestimmte Daten haben, entscheidet man über die entsprechende Risikostufe. Handelt es sich etwa um öffentlich zugängliche und weniger sensible Daten, bei denen die Auswirkungen bei einem potenziellen Angriff eher gering wären, werden sie als weniger gefährdet eingestuft.

Security Insider definiert: „Es werden aber nicht alle ungewöhnlichen Verhaltensweisen gleich als gefährlich eingestuft. Jedes Verhalten wird zusätzlich auch im Bezug auf mögliche Auswirkungen bewertet. Wenn ein auffälliges Verhalten etwa weniger wichtige Ressourcen betrifft, erhält es eine niedrige Einstufung. Wenn es dagegen um sensiblere Daten geht, zum Beispiel Personally Identifiable Information (PII), dann erhält es eine höhere Einstufung.

Auf diese Weise können Security-Teams Prioritäten setzen, welchen Ereignissen sie nachgehen wollen, während das UBA-System automatisch die Zugriffsrechte einer Person anpasst, die ein ungewöhnliches Verhalten zeigt.“Mehr wissen mit MetadatenDas sind zum einen die Benutzer- und Gruppeninformationen (aus Active Directory, LDAP, NIS, SharePoint etc.) sowie die vergebenen Berechtigungen, damit ich weiß, wer auf bestimmte Daten und Informationen überhaupt zugreifen kann (und sollte).

Die Berechtigungen gekoppelt mit den tatsächlichen Dateiaktivitäten sagen bereits eine Menge aus. Sprich, welcher Benutzer wann wie auf welche Dateien und Daten zugegriffen hat. Und schließlich sollten Unternehmen und Behörden genau wissen, wo die Dateien gespeichert sind, die sensible Daten und kritische Informationen enthalten. Kombiniert man anschließend dieses Wissen mit den Grundlagen der Verhaltensanalyse erhält man ein sehr viel genaueres Bild dessen, was im Netzwerk vor sich geht.

Verdächtige Aktivitäten sind beispielsweise ungewöhnliche Spitzen (in E-Mails, beim Zugriff auf Dateien oder auch Zugriffe, die verweigert wurden), das Zugreifen auf Daten, die für einen Benutzer oder auch bestimmte Konten untypisch sind, mehrere offene Events bei Dateien, die höchstwahrscheinlich Zugangsdaten enthalten, ein ungewöhnlicher Zugriff auf sensible oder veraltete Daten, kritische GPOs sind verändert oder Rechte erweitert worden.

John Carlin, Assistant Attorney General for National Security, hatte in der Bloomberg-Talkshow Charlie Rose über Cyberspionage, die Verbreitung von Attacken, Insiderbedrohungen und Prävention gesprochen. Für ihn sind in den weitaus meisten Fällen Insiderbedrohungen sehr viel realer als die Wahrscheinlichkeit in die Fänge eines staatlich beauftragten Hackers zu geraten. Carlins Rat: „Sich ausgerechnet gegen diejenigen zu verteidigen, denen man eigentlich vertrauen sollte, ist eine der schwierigsten Herausforderungen überhaupt. Gleichzeitig sind Insiderbedrohungen etwas mit dem sich Privatwirtschaft und Industrie ernsthaft auseinandersetzen sollten. Das bedeutet im Umkehrschluss, Firmen müssen in der Lage sein, alle potenziellen Veränderungen im Nutzerverhalten zu überwachen, die gegebenenfalls auf einen Insider verweisen. Gleichzeitig sollten Unternehmen ihre Systeme so aufsetzen, dass eine einzige Person niemals auf sämtliche Ressourcen zugreifen kann …“.

David Lin von Varonis

David Lin von Varonis

Autor: David Lin vom Sicherheitsspezialisten Varonis.