Hacker vs. IT-Sicherheit
12 haarsträubende Security-Desaster
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Zunächst hapert es einmal an den Grundlagen. Dazu kommt dann noch ein ungesunde Dosis Faulheit. Warnzeichen werden gekonnt und höchst zuverlässig ignoriert. Nachdem Sie endlich bemerkt haben, dass Sie gehackt wurden und dabei die Daten Ihrer Kunden gestohlen wurden, tun Sie dann was? Richtig: Sie schweigen. Eisern und solange es nur irgend geht. Und um dem Ganzen dann noch das Sahnehäubchen zu kredenzen, kümmern Sie sich einen feuchten Kehricht um die Aufklärung der Geschehnisse. Das könnte schließlich dabei helfen, so etwas in Zukunft zu vermeiden.
Foto: Arjuna Kodisinghe - shutterstock.com
Was Sie gerade gelesen haben, ist das Grundrezept für ein echtes, unheilbringendes IT-Sicherheitsdebakel. Dass es sich hierbei um einen echten Klassiker der Fail-Kultur handelt, zeigen die folgenden zwölf Beispiele.
Des Finanzdienstleisters Schludereien
Gäbe es ein Museum desaströser Daten-Dilemmata - Equifax hätte eine eigene Sonderausstellung verdient. Mindestens. Der Finanzdienstleister (in etwa vergleichbar mit der deutschen Schufa) ließ eine SchwachstelleSchwachstelle in Apache Struts (bekannt geworden im März 2017) ungepatcht. Daraufhin konnten kriminelle Hacker im Rahmen mehrerer Angriffe die persönlichen Daten von circa 145 Millionen US-Bürgern abgreifen. Alles zu Security auf CIO.de
Ergänzend dazu bekleckerte sich Equifax mit ganz besonderem Ruhm in Sachen unsicheres Netzwerk-Design und ineffektive Detection-Methoden. Aber es ist noch nicht vorbei: am 29. Juli bemerkte das Unternehmen den Hack - die Öffentlichkeit wurde am 7. September informiert. Inzwischen legen Medienberichte nahe, dass man beim Finanzdienstleister bereits im Dezember 2016 vor Sicherheitslücken gewarnt worden war, deren Ausnutzung massive Folgen haben könnte. Vielleicht müsste man der "US-Schufa" gleich ein eigenes Museum der Security-Verderbnis widmen.
Public Cloud?
Wie sieht es mit Ihrem Vertrauen in die Sicherheits-Bemühungen Ihrer Geschäftspartner aus? Diese Frage stellt man sich zwangsläufig, wenn man den Hackerangriff auf Verizon aus dem Juli 2017 betrachtet. Die Daten von sechs Millionen Kunden wurden hierbei kompromittiert - schuld war ein ungeschützter AWS-Server.
Kontrolliert wurde der Server von einem Partnerunternehmen, das die bei der Service-Hotline eingehenden Anrufe der Verizon-Kunden händelte. Die Daten, die dort gespeichert wurden, enthielten unter anderem Namen, Mobilfunknummern, PIN-Codes sowie E-Mail- und Wohnadressen der Kunden. Jeder, der die Webadresse des Servers kannte, hätte sich an dieser Datenbank bedienen können. Glücklicherweise wurde der Fehler innerhalb von zehn Tagen bemerkt und behoben. Kundendaten sind dabei nicht gestohlen worden - sagt Verizon.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Easy zum Ziel mit Online-Dating?
Wer nach einem geheimen Treffen trachtet, für den wird es Sinn machen, entsprechende Schutzmaßnahmen zu ergreifen. Wer also online konspirative, zwischenmenschliche Treffen anzetteln will, sollte ebenso großen Wert auf Passwort-Sicherheit legen. So wie AdultFriendFinder. Nicht.
Die Online-"Dating"-Seite wurde im Oktober 2016 Ziel eines Hackerangriffs. Dabei wurden 99 Prozent aller Kundenpasswörter gecrackt. Möglich gemacht wurde das, indem die Verantwortlichen bei FriendFinder alle Passwörter lediglich als SHA-1-Hashwerte abspeicherten. Oder gleich in Klartext, wie eine Untersuchung von LeakedSource nahelegt.
Wie Equifax scheint man auch bei AdultFriendFinder eine Leidenschaft für ungewollte Zugaben zu haben: Um den Hackern ihr unheilvolles Handwerk noch ein wenig einfacher zu machen, wurden die Passwörter der Kunden vor der Umwandlung in Hash-Werte erst noch von Großbuchstaben befreit. Betroffen waren im Übrigen offenbar auch User, die ihr Profil bereits gelöscht hatten.
Versicherer schafft Verunsicherung
Sie möchten das Ihnen mal wieder so richtig schlecht wird? Wenn Sie vor 2014 bereits Kunde bei der US-Krankenversicherung Anthem waren, geht das von ganz alleine. Denn in diesem Fall müssen Sie wohl den Rest Ihres Lebens mit Betrugsversuchen rechnen. Das liegt daran, dass Hacker sich mit jeder Menge persönlicher Informationen der Versicherten eindecken konnten, zum Beispiel Namen, Geburtsdaten, medizinische Daten und Sozialversicherungsnummern. Gewiefte Identitätsdiebe könnten diese Daten nun erst einmal für einige Jahre "verwalten", bevor sie sie im Darknet verkaufen oder anderweitig nutzen.
- Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann." - Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht. - Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert." - Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel. - Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin. - Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können. - Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten." - Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln. - Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden. - Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
Vom Hackerangriff auf Anthem waren circa 80 Millionen Kunden in den USA betroffen. Verantwortlich für das Desaster war offenbar ein Mitarbeiter eines Subunternehmens von Anthem, der auf einen Phishing-Link geklickt hatte. Nicht gerade förderlich war dabei, dass auch in diesem Fall die Daten unverschlüsselt vorgehalten wurden. Das könnte man durchaus als laxe Haltung gegenüber der IT-Sicherheit bezeichnen.
Das Behörden-ABC
Sie wollen wissen wie man sensible Daten von Menschen bestmöglich schützt? Kein Problem! Studieren Sie dazu einfach die Best Practices des United States Office of Personnel Management (OPM). Und dann tun sie das genaue Gegenteil. Kriminelle Hacker (die Medienberichten zufolge aus China stammen könnten) verschafften sich 2012 Zugang zu den Systemen des OPM. Und wurden zwei Jahre lang nicht bemerkt.
Erstaunlicherweise konnten Black-Hat-Hacker im März 2014 erneut in die Systeme des OPM eindringen. Auch diese Cyber-Unholde konnten ein Jahr lang unbemerkt ihr Unwesen treiben. Trotz der extrem sensiblen Natur der hier vorgehaltenen Daten ignorierte die US-Behörde sämtliche Warnungen bezüglich ihrer laxen IT-Sicherheit äußerst zuverlässig.
Nicht einmal an grundlegende Sicherungsmaßnahmen wie die Verschlüsselung von Daten, die Inventarisierung aller Sever und Datenbanken oder der Einsatz von Zwei-Faktor-Authentifizierung wurde bei der Regierungsinstitution gedacht. Von diesem Data Breach waren rund 22 Millionen aktive und ehemalige Regierungsangestellte betroffen. Darunter auch Ex-FBI-Direktor James Comey.
Hack frisst Bonus
Die Hackerangriffe auf Yahoo in den Jahren 2013 und 2014 waren zusammengenommen wohl die größte Security-Katastrophe aller Zeiten. Zumindest gemessen an den Zahlen: alle drei Milliarden Nutzer fielen dem Hack zum Opfer. Die Übernahme durch den Mobilfunk-Giganten Verizon geriet durch die Vorfälle beinahe ins Wanken. Niemand Geringerer als Star-Whistleblower Edward Snowden hatte Yahoo bereits im Jahr 2013 öffentlich als beliebtes Ziel bei staatlich beauftragten Hackern benannt.
Nichtsdestotrotz verpflichtete Yahoo erst ein Jahr später einen Chief Security Officer. Was offenbar ebenfalls für die Katz war, denn CEO Marissa Mayer vermied es Berichten zufolge, den Security-Manager mit dem nötigen Budget auszustatten, um die IT-Sicherheit auf ein vernünftiges Level zu bringen. Die User wurden über die Vorgänge für zwei bis drei Jahre überhaupt nicht informiert. Und damit nicht genug: CEO Mayer soll sich sogar dagegen verwehrt haben, den Nutzern eine Mitteilung mit der Aufforderung zum Ändern ihres Passworts zukommen zu lassen - aus Angst, das würde sie verschrecken. So wurde dann auch nichts aus ihrem Bonus. Für den Yahoo-Hack sollen russische Spione verantwortlich sein.