Hacker vs. IT-Sicherheit

12 haarsträubende Security-Desaster

22.12.2017 von Florian Maier und James A.  Martin
Diese Beispiele zeigen, dass Arroganz und Selbstüberschätzung die vielleicht tödlichsten Security-Sünden darstellen.

Zunächst hapert es einmal an den Grundlagen. Dazu kommt dann noch ein ungesunde Dosis Faulheit. Warnzeichen werden gekonnt und höchst zuverlässig ignoriert. Nachdem Sie endlich bemerkt haben, dass Sie gehackt wurden und dabei die Daten Ihrer Kunden gestohlen wurden, tun Sie dann was? Richtig: Sie schweigen. Eisern und solange es nur irgend geht. Und um dem Ganzen dann noch das Sahnehäubchen zu kredenzen, kümmern Sie sich einen feuchten Kehricht um die Aufklärung der Geschehnisse. Das könnte schließlich dabei helfen, so etwas in Zukunft zu vermeiden.

Diese 12 Security-Desaster lassen Sie die Hände über dem Kopf zusammenschlagen.
Foto: Arjuna Kodisinghe - shutterstock.com

Was Sie gerade gelesen haben, ist das Grundrezept für ein echtes, unheilbringendes IT-Sicherheitsdebakel. Dass es sich hierbei um einen echten Klassiker der Fail-Kultur handelt, zeigen die folgenden zwölf Beispiele.

Des Finanzdienstleisters Schludereien

Gäbe es ein Museum desaströser Daten-Dilemmata - Equifax hätte eine eigene Sonderausstellung verdient. Mindestens. Der Finanzdienstleister (in etwa vergleichbar mit der deutschen Schufa) ließ eine Schwachstelle in Apache Struts (bekannt geworden im März 2017) ungepatcht. Daraufhin konnten kriminelle Hacker im Rahmen mehrerer Angriffe die persönlichen Daten von circa 145 Millionen US-Bürgern abgreifen.

Ergänzend dazu bekleckerte sich Equifax mit ganz besonderem Ruhm in Sachen unsicheres Netzwerk-Design und ineffektive Detection-Methoden. Aber es ist noch nicht vorbei: am 29. Juli bemerkte das Unternehmen den Hack - die Öffentlichkeit wurde am 7. September informiert. Inzwischen legen Medienberichte nahe, dass man beim Finanzdienstleister bereits im Dezember 2016 vor Sicherheitslücken gewarnt worden war, deren Ausnutzung massive Folgen haben könnte. Vielleicht müsste man der "US-Schufa" gleich ein eigenes Museum der Security-Verderbnis widmen.

Public Cloud?

Wie sieht es mit Ihrem Vertrauen in die Sicherheits-Bemühungen Ihrer Geschäftspartner aus? Diese Frage stellt man sich zwangsläufig, wenn man den Hackerangriff auf Verizon aus dem Juli 2017 betrachtet. Die Daten von sechs Millionen Kunden wurden hierbei kompromittiert - schuld war ein ungeschützter AWS-Server.

Kontrolliert wurde der Server von einem Partnerunternehmen, das die bei der Service-Hotline eingehenden Anrufe der Verizon-Kunden händelte. Die Daten, die dort gespeichert wurden, enthielten unter anderem Namen, Mobilfunknummern, PIN-Codes sowie E-Mail- und Wohnadressen der Kunden. Jeder, der die Webadresse des Servers kannte, hätte sich an dieser Datenbank bedienen können. Glücklicherweise wurde der Fehler innerhalb von zehn Tagen bemerkt und behoben. Kundendaten sind dabei nicht gestohlen worden - sagt Verizon.

Das Einmaleins der IT-Security
Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles
Kontrolle der Logfiles
Datensicherung
Auslagerung der Datensicherung
Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls
Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Easy zum Ziel mit Online-Dating?

Wer nach einem geheimen Treffen trachtet, für den wird es Sinn machen, entsprechende Schutzmaßnahmen zu ergreifen. Wer also online konspirative, zwischenmenschliche Treffen anzetteln will, sollte ebenso großen Wert auf Passwort-Sicherheit legen. So wie AdultFriendFinder. Nicht.

Die Online-"Dating"-Seite wurde im Oktober 2016 Ziel eines Hackerangriffs. Dabei wurden 99 Prozent aller Kundenpasswörter gecrackt. Möglich gemacht wurde das, indem die Verantwortlichen bei FriendFinder alle Passwörter lediglich als SHA-1-Hashwerte abspeicherten. Oder gleich in Klartext, wie eine Untersuchung von LeakedSource nahelegt.

Wie Equifax scheint man auch bei AdultFriendFinder eine Leidenschaft für ungewollte Zugaben zu haben: Um den Hackern ihr unheilvolles Handwerk noch ein wenig einfacher zu machen, wurden die Passwörter der Kunden vor der Umwandlung in Hash-Werte erst noch von Großbuchstaben befreit. Betroffen waren im Übrigen offenbar auch User, die ihr Profil bereits gelöscht hatten.

Versicherer schafft Verunsicherung

Sie möchten das Ihnen mal wieder so richtig schlecht wird? Wenn Sie vor 2014 bereits Kunde bei der US-Krankenversicherung Anthem waren, geht das von ganz alleine. Denn in diesem Fall müssen Sie wohl den Rest Ihres Lebens mit Betrugsversuchen rechnen. Das liegt daran, dass Hacker sich mit jeder Menge persönlicher Informationen der Versicherten eindecken konnten, zum Beispiel Namen, Geburtsdaten, medizinische Daten und Sozialversicherungsnummern. Gewiefte Identitätsdiebe könnten diese Daten nun erst einmal für einige Jahre "verwalten", bevor sie sie im Darknet verkaufen oder anderweitig nutzen.

Das Darknet in Bildern
Enter the Dark
In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann."
Made in the USA
Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht.
Drogen
Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert."
Bitte bewerten Sie Ihren Einkauf!
Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel.
Waffen
Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin.
Identitätshandel
Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können.
Digitale Leben
Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten."
Auftragskiller
Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln.
Schnellausstieg
Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden.
Freiheit?
Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.

Vom Hackerangriff auf Anthem waren circa 80 Millionen Kunden in den USA betroffen. Verantwortlich für das Desaster war offenbar ein Mitarbeiter eines Subunternehmens von Anthem, der auf einen Phishing-Link geklickt hatte. Nicht gerade förderlich war dabei, dass auch in diesem Fall die Daten unverschlüsselt vorgehalten wurden. Das könnte man durchaus als laxe Haltung gegenüber der IT-Sicherheit bezeichnen.

Das Behörden-ABC

Sie wollen wissen wie man sensible Daten von Menschen bestmöglich schützt? Kein Problem! Studieren Sie dazu einfach die Best Practices des United States Office of Personnel Management (OPM). Und dann tun sie das genaue Gegenteil. Kriminelle Hacker (die Medienberichten zufolge aus China stammen könnten) verschafften sich 2012 Zugang zu den Systemen des OPM. Und wurden zwei Jahre lang nicht bemerkt.

Erstaunlicherweise konnten Black-Hat-Hacker im März 2014 erneut in die Systeme des OPM eindringen. Auch diese Cyber-Unholde konnten ein Jahr lang unbemerkt ihr Unwesen treiben. Trotz der extrem sensiblen Natur der hier vorgehaltenen Daten ignorierte die US-Behörde sämtliche Warnungen bezüglich ihrer laxen IT-Sicherheit äußerst zuverlässig.

Nicht einmal an grundlegende Sicherungsmaßnahmen wie die Verschlüsselung von Daten, die Inventarisierung aller Sever und Datenbanken oder der Einsatz von Zwei-Faktor-Authentifizierung wurde bei der Regierungsinstitution gedacht. Von diesem Data Breach waren rund 22 Millionen aktive und ehemalige Regierungsangestellte betroffen. Darunter auch Ex-FBI-Direktor James Comey.

Hack frisst Bonus

Die Hackerangriffe auf Yahoo in den Jahren 2013 und 2014 waren zusammengenommen wohl die größte Security-Katastrophe aller Zeiten. Zumindest gemessen an den Zahlen: alle drei Milliarden Nutzer fielen dem Hack zum Opfer. Die Übernahme durch den Mobilfunk-Giganten Verizon geriet durch die Vorfälle beinahe ins Wanken. Niemand Geringerer als Star-Whistleblower Edward Snowden hatte Yahoo bereits im Jahr 2013 öffentlich als beliebtes Ziel bei staatlich beauftragten Hackern benannt.

Nichtsdestotrotz verpflichtete Yahoo erst ein Jahr später einen Chief Security Officer. Was offenbar ebenfalls für die Katz war, denn CEO Marissa Mayer vermied es Berichten zufolge, den Security-Manager mit dem nötigen Budget auszustatten, um die IT-Sicherheit auf ein vernünftiges Level zu bringen. Die User wurden über die Vorgänge für zwei bis drei Jahre überhaupt nicht informiert. Und damit nicht genug: CEO Mayer soll sich sogar dagegen verwehrt haben, den Nutzern eine Mitteilung mit der Aufforderung zum Ändern ihres Passworts zukommen zu lassen - aus Angst, das würde sie verschrecken. So wurde dann auch nichts aus ihrem Bonus. Für den Yahoo-Hack sollen russische Spione verantwortlich sein.

1, 2, 3, Gehackt!

Eine Phishing-E-Mail setzte auch diesen massiven Datendiebstahl in Gang: Bei einem Hackerangriff auf die Auktionsplattform eBay im Mai 2014 wurden die Account-Daten von circa 145 Millionen Usern kompromittiert. Die Angreifer hatten dabei für ganze 229 Tage vollen Zugriff auf das Unternehmensnetzwerk, bevor der Einbruch festgestellt wurde.

Natürlich kann eine solche Attacke jedes Unternehmen treffen - insbesondere wenn dabei eine gut gemachte Phishing-Mail zum Einsatz kommt. Aber die Reaktion des Unternehmens wurde von Experten als "peinlicher als die eigentliche Attacke" beschrieben. Begründung: eBay habe drei Monate gebraucht, um den Hackerangriff zu bemerken, nur um dann noch einmal zwei Wochen zu warten, bis die Öffentlichkeit informiert wurde.

So sicher wie das Pentagon - fast!

Auch beim US-Einzelhandelsunternehmen Target begann ein großangelegter Hackerangriff mit einer Phishing-Mail. So konnten Angreifer mit der Malware "Citadel" Login-Daten eines Partnerunternehmens abgreifen, die ihnen wiederum Zugang zum Netzwerk von Target verschafften.

So landeten am Ende die persönlichen Daten von circa 70 Millionen Target-Kunden sowie 40 Millionen Kreditkarten-Datensätze bei kriminellen Hackern. Wie Bloomberg im Nachgang berichtete, nutzte Target dasselbe Security-System wie das Pentagon - mit einem feinen Unterschied: Ein kritisches Feature war nicht aktiv, weil die Sicherheits-Spezialisten der Funktion nicht trauten.

Kochen ohne Salz

Bei einer Hackerattacke im Juni 2012 wurden beim Karriere-Netzwerk LinkedIn vermeintlich 6,5 Millionen User-Passwörter gestohlen. Experten ließen damals verlauten, LinkedIn habe die Passwörter seiner Nutzer unzureichend geschützt, da bei der Verschlüsselung keine "Salts" zum Einsatz gekommen waren, was die Dechiffrierung deutlich erleichtert habe.

Immerhin entschuldigte sich LinkedIn direkt nach Bekanntwerden des Hacks öffentlich bei seinen Usern und bat diese, ihre Passwörter zu ändern. Das FBI macht inzwischen den Russen Yevgeniy Nikulin für den Hackerangriff verantwortlich. Im Jahr 2016 musste LinkedIn eingestehen, dass von dem Breach 100 Millionen Nutzer mehr betroffen waren als zunächst angenommen.

Die meistgesuchten Cyberkriminellen
Cyber's Most Wanted
Sie arbeiten für die chinesische Regierung, spionieren die Privatsphäre von Millionen Menschen skrupellos aus oder bereichern sich auf Kosten argloser Internetsurfer. Für Cyberkriminelle führt das FBI eine eigene "Most Wanted"-Liste. Wir zeigen Ihnen die meistgesuchten Hacker, Cracker und Web-Bauernfänger.
Firas Dardar
Firas Dardar ist vermutlich in Aktivitäten der "Syrian Electronic Army" (SEA) verstrickt, die im Auftrag der syrischen Regierung zwischen September 2011 und Januar 2014 verschiedene Ziele mit Hacking-Attacken unter Beschuss genommen hat - darunter IT-Systeme der US-Regierung, von Medienkonzernen und anderen Unternehmen. Dardar agierte dabei wohl unter dem Nicknamen "The Shadow". Darüber hinaus werden ihm mehrere Cybererpressungen von amerikanischen und internationalen Unternehmen zur Last gelegt. Das FBI geht davon aus, dass Dardar derzeit im syrischen Homs lebt und auch unter den Hackernamen "Ethical Dragon" und "Ethical Spectrum" aktiv ist. Für Informationen, die zur Festnahme von Firas Dardar führen, bietet das FBI eine Belohnung von bis zu 100.000 Dollar.
Ahmed Al Agha
Al Agha ist auch als "Th3 Pr0" bekannt und soll ebenfalls zur "Syrian Electronic Army" gehören. Er wird beschuldigt, für die SEA zwischen 2011 und 2014 Hackerangriffe gegen US-Regierungseinrichtungen, Medienkonzerne und Privatunternehmen getätigt zu haben. Auch er soll sich in seinem Heimatland Syrien aufhalten. Er ist vermutlich Anfang 20 und trägt eine Brille. Für die Festsetzung von Al Agha bietet das FBI bis zu 100.000 Dollar.
Evgeny Mikhalilovich Bogachev
Evgeny Mikhalilovich Bogachev, auch bekannt als "lucky12345" und "slavik", wird vorgeworfen, Mitglied einer kriminellen Vereinigung gewesen zu sein, die den Banking-Trojaner "Zeus" entwickelt und unters Volk gebracht hat, um Identitätsdiebstahl zu betreiben. Mittels einer Malware wurden die Rechner der Opfer unterwandert und Kontodaten, PINs und Passwörter ausspioniert. Erstmals aufgetaucht ist Zeus im Jahr 2009 - Bogachev nutzte damals seine berufliche Stellung als Administrator aus, um zusammen mit einigen Komplizen den Trojaner zu verbreiten.<br /><br />2011 kusierte dann eine modifizierte Zeus-Version namens "GameOver Zeus" (GOZ), die für mehr als eine Million infizierte Systeme weltweit und einen daraus resultierenden Schaden von 100 Millionen Dollar verantwortlich gewesen sein soll. Das FBI vermutet Bogachev auf seinem Boot auf dem Schwarzen Meer. Zudem besitzt er ein Anwesen im russischen Krasnodar, wo er sich ebenfalls aufhalten könnte. Da der durch Zeus verursachte Schaden so hoch ist, liegt die Belohnung des FBI für Hinweise auf Bogachev bei bis zu drei Millionen Dollar.
Nicolae Popescu
Popescu ist unter seinen Aliassen "Nae" und "Stoichitoiu" bekannt und wird wegen seiner Beteiligung an einer "ausgefeilten Internetbetrugsmasche" gesucht, so das FBI. Popescu soll auf Auktionsplattformen Artikel zum Verkauf angeboten haben, die es gar nicht gab und dafür Rechnungen real existierender Online-Bezahldienste gefälscht haben. Popescu hatte Komplizen in den USA, die mithilfe gefälschter Pässe Bankkonten unter falschen Namen eröffneten, damit ihnen Geld überwiesen werden konnte.<br /><br />Sobald die Opfer die Überweisungen vollzogen hatten, wurde das Geld an weitere Mittelsmänner weitergeleitet - zusammen mit Instruktionen per Mail. Popescu befindet sich bereits seit 2012 im Visier des FBI - damals wurde wegen Internetbetrugs, Geldwäsche, Passfälscherei und Falschgeldhandels ein Haftbefehl gegen ihn erlassen. Popescu spricht Rumänisch und hält sich möglicherweise in Europa auf. Die Belohnung für einen Hinweis, die zu seiner Festnahme führt, liegt bei bis zu einer Million Dollar.
Alexsey Belan
2012 und 2013 wurden große E-Commerce-Anbieter in den US-Bundesstaaten Nevada und Kalifornien digital angegriffen, um Kundendatenbanken zu kopieren und die abgezogenen Informationen zu verkaufen. Mutmaßlicher Drahtzieher: der Lette Alexsey Belan, der russisch spricht und sich vermutlich in Russland, Griechenland, Lettland, Thailand oder auf den Malediven aufhält. Seine bekannten Aliasse: Magg, M4G, My.Yawik und Abyrvaig. Das FBI glaubt, dass er mittlerweile eine Brille tragen und sich seine braunen Haare rot oder blond gefärbt haben könnte. Sein letzter bekannter Aufenthaltsort war Athen. Belohnung: 100.000 Dollar.
Jabberzeus Subjects
Die Mitglieder der Hackergruppe "Jabberzeus Subjects" werden wegen der Beteiligung an der Entwicklung und Verbreitung des bereits beschriebenen Banking-Trojaners Zeus gesucht. Zur Gruppe gehören Ivan Viktorvich Klepikov alias "petr0vich" und "nowhere", Alexey Dmitrievich Bron alias "thehead" und Vyacheslav Igorevich Penchukov alias "tank" und "father." Das FBI vermutet die drei derzeit in Russland und der Ukraine. Eine Belohnung für Hinweise auf die drei gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Carlos Enrique Perez-Melara
Carlos Enrique Perez-Melara soll an der Entwicklung einer Spyware beteiligt gewesen sein, die die Privatsphäre ahnungsloser Nutzer in umfangreichem Maße ausspioniert hat. Entwickelt wurde das Ganze ursprünglich als Software mit dem Namen "Catch a cheating lover". Sie funktionierte recht simpel: Der mutmaßliche Fremdgeher bekam vom Käufer der Software eine E-Card zugeschickt - sobald er oder sie sich diese anschaute, installierte sich eine Software auf dem Rechner, die Tastatureingaben, E-Mail-Verkehr und besuchte Websites mitschnitt.<br /><br />Danach verschickte der Dienst eine E-Mail an den Absender der E-Card mit allen aufgezeichneten Daten - so sollte sich dieser ein Bild machen können, ob sich der Verdacht einer Liebesaffäre untermauern ließ.<br /><br />Die Malware wurde als "Email PI", später dann als "Lover Spy" bekannt. Perez-Melara hielt sich mit Touristen- und Studentenvisum lange in den USA auf, hatte Kontakte ins kalifornische San Diego. Zuletzt gesehen wurde er aber in der salvadorianischen Hauptstadt San Salvador. Belohnung: 50.000 Dollar.
Sun Kailiang
Sun Kailiang ist Offizier beim chinesischen Militär und laut FBI in 31 Fällen angeklagt. Es geht um Computerbetrug, unerlaubten Computerzugriff aus finanziellen Motiven, Identitätsdiebstahl, Wirtschaftsspionage und den Diebstahl von Handelsgeheimnissen. Zusammen mit anderen hochrangigen Mitgliedern der Armee setzte Kailiang sein Fachwissen dazu ein, um in die Netze diverser amerikanischer Unternehmen einzudringen, die Geschäftsbeziehungen mit chinesischen Staatsunternehmen pflegten. Darüber hinaus wird Kailiang beschuldigt, persönliche Informationen und Geschäftsgeheimnisse von Atomkraftwerken gestohlen, die Computer von Einzelpersonen infiltriert und mit Schadcode infizierte E-Mails verschickt zu haben. Eine Belohnung für Hinweise auf Kailiang gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Huang Zhenyu
Auch Zhenyu gehört zu den beschuldigten chinesischen Soldaten, die sich an Computerspionage und -sabotage von US-Systemen im großen Stil beteiligt haben sollen. Eine Belohnung für Hinweise auf Zhenyu gibt es ebenfalls nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Wen Xinyu
Wen Xinyu ist ein dritter gesuchter Chinese, der sich an den Aktionen gegen US-Unternehmen, die Geschäfte mit der Volksrepublik gemacht haben, beteiligt haben soll. Als "WenXYHappy", "Win_XY" und "Lao Wen" soll er eine entscheidende Rolle in der technischen Abwicklung der Hackerangriffe gespielt haben. Auch hier hat das FBI keine Belohnung ausgelobt, bittet aber um Hinweise.

Vertrau mir!

eHarmony bezeichnet sich als "#1 trusted dating site". Zur Untermauerung der Vertrauenswürdigkeit des Unternehmens sind die Vorfälle aus dem Jahr 2012 allerdings eher ungeeignet. Die Passwörter von 1,5 Millionen Nutzern fielen in die Hände von kriminellen Hackern und wurden kurze Zeit später in einem russischen Hacker-Forum veröffentlicht.

Zwar waren die Passwörter als Hash-Files gespeichert worden, aber - ähnlich wie im Fall von LinkedIn - wurde das "Salzen" vergessen. Dadurch waren die Passwörter für die Cyberunholde in Windeseile geknackt. Nach Meinung von Security-Experten hätten bereits einfache Web-Application-Scanning-Tools über die Schwachstellen bei eHarmony aufklären können.

Multiples Security-Versagen

Der Dropbox-Hack im Juli 2012 konnte nur passieren, weil Irgendjemand eine wirklich ungünstige Entscheidung im Sinne der IT-Sicherheit getroffen hat. Die Todsünde von der wir hier reden ist die Mehrfachnutzung ein- und desselben Passworts. Damals reagierte Dropbox mit einer Mitteilung an die Nutzer, dass ein kleiner Teil der Accounts betroffen ist.

Erst ungefähr vier Jahre später traten dann die vollen Ausmaße dieses Hackerangriffs zutage. Nämlich dann, als die E-Mail-Adressen und Passwörter von knapp 69 Millionen Dropbox-Nutzern im Darknet zum Verkauf angeboten werden. Daraufhin folgte eine massive Passwort-Reset-Initiative. Nach Einschätzung von IT-Sicherheitsexperten hat das Unternehmen dabei einen guten Job gemacht. Aber warten wir erst einmal die nächsten vier Jahre ab.

Mission Failed!

Im Frühjahr 2011 ereilte Sonys PlayStation Network (PSN) ein vorzeitiges "Game Over". Der japanische Elektronik-Riese musste das komplette Netzwerk für drei Wochen offline nehmen, um die Schäden zu beheben. Beim Angriff selbst wurden Login-Daten, Usernamen und persönliche Daten von ungefähr 77 Millionen Nutzern kompromittiert. Im Laufe der Untersuchung des Hacks wurden es dann noch einmal 25 Millionen Datensätze mehr.

Während es relativ schwer ist, ein System komplett gegen Zugriff von außen abzusichern, ist es relativ simpel, Nutzerdaten zu verschlüsseln. Zur Überraschung vieler Experten wurden die PSN-Passwörter aber völlig unverschlüsselt vorgehalten (auch wenn Sony behauptete, sie seien immerhin "gehasht" worden). Im Nachgang des bis dahin größten Hacks aller Zeiten bezifferte Sony den finanziellen Schaden auf 171 Millionen Dollar.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.