Deutsch | English

Der Mythos vollständiger Online-Sicherheit

Attacken aus dem Netz, unterschiedliche Schadsoftware und Schwachstellen wie Heartbleed haben 2014 weltweit Schäden in der Höhe von mehreren Hundert Milliarden US-Dollar verursacht – und daher auch das mediale Bild geprägt. Welchen Gehalt diese Begriffe haben und wie es um die Sicherheit im Netz tatsächlich steht, erörtern die Experten von CERT.at und GovCERT Austria im Rahmen des aktuellen Internet-Sicherheitsberichts 2014.

Die Folgen der Snowden-Enthüllungen

Im Sommer 2013 wurde die Welt durch brisante Enthüllungen über die Vorgangsweise der westlichen Geheimdienste erschüttert. Edward Snowden, der Aufdecker der NSA-Spionage- und Überwachungsaffäre hat damit einen Sturm an weltweiter Entrüstung in Gang gesetzt. Auch 2014 war die NSA-Affäre allgegenwärtig und noch immer kommen neue Enthüllungen über die weit verzweigten Spionage- und Überwachungstätigkeiten ans Licht. Snowden hat maßgeblich dazu beigetragen, dass den Themen Privacy, Verschlüsselung, Datenschutz und Internet-Sicherheit eine weltweit noch nie dagewesene Aufmerksamkeit wiederfährt – wenngleich das Internet dadurch noch nicht per se zu einem sichereren Ort geworden ist.

Die Ursache für diese Entwicklung liegt auf der Hand: Der technologische Fortschritt nimmt stetig zu und mit ihm auch die Möglichkeit, sich mittels verbotener Handlungen durch ebendiesen zu bereichern. Je mehr wir unser Leben mit den technologischen Möglichkeiten bereichern und neuen Technologien Eingang in unsere privatesten Bereiche gewähren, desto mehr laufen wir Gefahr, Opfer von Cyber Angriffen zu werden. Nicht nur Internet-NutzerInnen zeigen sich mehr als erfreut über voranschreitende Vernetzung und schnellere Breitbandverbindungen, auch Cyber Angreifer begrüßen die neuen Möglichkeiten, wie etwa die Kriminalstatistik des Bundesministeriums für Inneres belegt:

Abbildung 1: Cybercrime: Entwicklung in Österreich von 2004 bis 2013, Quelle: Polizeiliche Kriminalstatistik des BM.I

Von Heartbleed bis Dropbox: 2014 hatte viel zu bieten

Besonders weitreichendes Interesse in Österreich hat im Jahr 2014 der "Heartbleed"-Vorfall nach sich gezogen. Hierbei handelte es sich um einen schwerwiegenden Programmfehler in älteren Versionen der Open-Source-Bibliothek OpenSSL, durch den über verschlüsselte TLS-Verbindungen auch private Daten von KundInnen und Servern ausgelesen werden konnten.

Ein weiteres Phänomen, das zwar nicht neu, aber auch 2014 ein unliebsamer Begleiter zahlreicher Internet-NutzerInnen in Österreich war, ist Phishing. Dabei handelt es sich um eine Angriffsform, bei der Passwörter abgegriffen (gefischt) werden sollen. Zum Einsatz kommen dabei gefälschte Webseiten und E-Mails, in denen NutzerInnen aufgefordert werden, ihre Zugangsdaten bekannt zu geben. Dies betrifft sowohl Online-Banking-Daten als auch Dienste wie Webmail, Social Media, Onlinespiele oder E-Commerce-Seiten.
Phishing ist eine Form des Social Engineering, eine soziale Manipulation, welche danach trachtet, die Gutgläubigkeit oder mangelnde Aufmerksamkeit eines Menschen auszunutzen. Mit Hilfe dieser personenbezogenen Daten erreichen die Angreifer ihr vordergründiges Ziel, sie wollen damit zu Geld kommen.

Weitere Bedrohungen prägten das Bild: So hat 2014 das FBI (Federal Bureau of Investigation) US-amerikanische Unternehmen vor "zerstörerischen Folgen" möglicher Cyber Angriffe gewarnt, wie die Nachrichtenagentur Reuters meldete. Auslöser war der sogenannte Sony-Hack. Dabei ist es Hackern gelungen, in das Netz von Sony Pictures Entertainment einzudringen, Terabytes an Firmendaten zu kopieren und das dortige Netz vollständig lahmzulegen. Einige unveröffentlichte Filme, viele E-Mails und vertrauliche Geschäftsdokumente wurden anschließend illegal im Internet verbreitet.

Interessant ist, dass die dabei verwendete Schadsoftware von 90% der heute im Privatsektor verwendeten Sicherheitsprogramme nicht entdeckt worden wäre. Auch der öffentliche Bereich hätte diese Malware mit hoher Wahrscheinlichkeit nicht bemerkt, so die Aussage des FBI.

Ein ähnlich gelagerter Fall ist jener, der unter dem Namen iCloud-Hack Anfang September 2014 publik wurde: Hackern war es gelungen, die Passwörter zahlreicher US-Stars zu knacken und Nacktfotos aus der iCloud zu entwenden, die anschließend im Internet verbreitet wurden.

Eine neue Form des Phishing kombinierten im Jahr 2014 Cyber Angreifer erstmals mit dem beliebten Online-Speicherdienst Dropbox. Dabei wurde in einem öffentlichen Dropbox-Ordner eine gefälschte Login-Seite hinterlegt, um die eingegebenen Daten (Username und Passwort) der NutzerInnen zu erhalten. Interessant bei diesem Angriff war die Tatsache, dass die verwendete URL teilweise mit der echten Dropbox-Domain übereinstimmte und dadurch besonders gut getarnt war.

Cyber Kriminalität und Wirtschaftsspionage nehmen zu

Als wäre dies nicht genug, prognostiziert der IT-Sicherheitsanbieter Trend Micro, dass Hackerangriffe 2015 zu einem Massenphänomen werden. Auch aus dem Microsoft Security Intelligence Report 2014, der sich insbesondere mit der Verwundbarkeit von Software und in diesem Zusammenhang mit Malware auseinandersetzt, kann ein weiterer Trend abgeleitet werden: Firmen, und hierbei vor allem Industrie-Unternehmen, sind verstärkt von Cyber Angriffen bzw. Wirtschaftsspionage betroffen. Hintergrund dafür ist, dass ihre Daten interessanter und aus ökonomischer Sicht besonders wertvoll sind. Bei Betrachtung der zugrundeliegenden Studien wird ersichtlich, dass hier gravierender Aufholbedarf bezüglich der Sicherheitsvorkehrungen besteht. So werden lediglich 6,1% der Unternehmen als sehr sicher eingestuft, 9,3% als wenig sicher und 59, 6% werden als mittel sicher angesehen.

Hacking – ein aufstrebender Wirtschaftszweig

Im vergangenen Jahr wurde durch Cyber Angriffe weltweit ein Schaden von 113 Milliarden US-Dollar verzeichnet, die durchschnittlichen Kosten eines Angriffsfalles belaufen sich auf 298 US-Dollar, wie aus dem Norton Report 2013 von Symantec hervorgeht. Wenngleich die Genauigkeit solche Zahlen immer auch hinterfragt werden sollte, ist die Größenordnung insgesamt jedoch sehr beachtenswert.

Hacker halten mit ihren Angriffen IT-ExpertInnen auf der ganzen Welt auf Trab. Dem überwiegenden Teil der Attacken liegt dabei ein ausgeprägtes wirtschaftliches Interesse zugrunde. Denn in der Welt der Cyber Angreifer wird, wie in allen anderen Bereichen, ein reger Handel betrieben. Die Güter in diesem System sind allerdings keine klassischen Konsum- oder andere materiellen Güter, sondern persönliche Daten. Neben diesen Daten werden in der arbeitsteiligen Welt des Cyber Crime auch Software, Malware-as-a-service und Hosting-Dienste gehandelt. Ebenso gibt es Geldwäscher, Hehler und Data-broker, die im Netz ihr Unwesen treiben. Die Ökonomisierung des Hacking ist zweifelsohne eine Entwicklung, die auch 2014 und darüber hinaus voranschreiten wird.

Es geht immer ums Geld

Eben diese gestohlenen Daten machen Cyber Angreifer auf verschiedene Art und Weise zu Geld. Brian Krebs, IT-Sicherheitsexperte und früherer Journalist der Washington Post zeichnet in seinem Blog die Fehleinschätzung vieler InternetnutzerInnen auf, nach der ihr privater PC für Angreifer nicht wertvoll sei. Dies stimmt jedoch leider überhaupt nicht. Praktisch jede Aktivität im Netz kann in Geld umgewandelt werden, egal ob es sich nun um Zugangsdaten für Facebook, E-Mail-Accounts oder die Transformation eines PCs in einen Webserver handelt. Letzterer Punkt kann etwa dazu führen, dass man unwissend als Plattform für Kinderpornographie und Phishing Attacken missbraucht wird.

Zu den häufigsten Varianten, Daten in bare Münzen zu verwandeln, zählen der Verkauf von E-Mail-Listen an Spammer und die Weitergabe von Zugangsdaten an Identitätsdiebe. In weiterer Folge lässt sich dadurch Malware installieren, die beispielsweise wiederrum die Grundlage für Spionage mittels Webcam und Mikrofon oder Kreditkartenmissbrauch ist.

Besonders beliebt unter Angreifern ist die Installation von Programmen, die alle Tastendrücke und somit alle Passwörter und Login-Daten mitschreiben. Hierdurch kann Schaden für Betroffene auf vielfältige Weise entstehen, vom Online-Shopping bis zu hin zur Erpressung mit kompromittierenden Bildern und Informationen.

Auch Ransomware hat im Jahr 2014 nichts von seiner Gefährlichkeit und Aktualität verloren. "Ransom" steht dabei für "Lösegeld" und bezeichnet eine bösartige Schadsoftware, die den PC sperrt und erst gegen Lösegeld wieder freigibt. Ein aktuelles Beispiel dazu ist CryptoWall 2.0. Man erhält hierbei die Nachricht, dass alle Dateien verschlüsselt werden und nur gegen die Bezahlung eines Geldbetrages der Entschlüsselungscode zugeschickt wird. Bei Nicht-Bezahlung würden alle Dateien des PCs für immer gelöscht werden, so lautet die Drohung.

Wie die AutorInnen des Verizon's 2014 Data Breach Investigations Report konstatieren, ereignete sich zuletzt eine Verschiebung von globalen Attacken hin zu breit angelegten, spezialisierten Angriffen auf Kreditkarten- und Bezahlsysteme. Ein Trend, der sich auch 2014 fortsetzte. Wichtigste Erkenntnis: Je schneller Sicherheitslücken erkannt und darauf reagiert wird, desto weniger Schaden entsteht für betroffene Personen und Firmen.

Smartphones rücken verstärkt in den Fokus der Angreifer

Neben Angriffen auf herkömmliche PC-Systeme war 2014 auch gezeichnet von einer Zunahme des Interesses von Angreifern an mobilen Devices. Trotz Siegeszug von Smartphone, Tablet & Co. wird bei diesen Geräten noch immer weniger stark auf Sicherheit geachtet, als es bei klassischen PCs oder Laptops der Fall ist. In Anbetracht der Tatsache, dass gerade Smartphones eine Vielzahl persönlicher Daten beherbergen und ein Verlust, Diebstahl oder Angriff darauf weitreichende Folgen hat, ist höchste Vorsicht geboten. So geht ebenfalls aus dem Norton Report 2013 hervor, dass 63% der Smartphone-NutzerInnen und 30% der Tablet-NutzerInnen über keine grundlegenden Sicherheitsvorkehrungen verfügen. Oft fehlt sogar das Setzen eines PIN-Codes zum Entsperren des Smartphones.

Ein Schutz, der niemals vollständig ist

Zwar kann man sich vor Cyber Angriffen auf sehr vielfältige Weise schützen. Dennoch: vollständige Sicherheit kann und wird es niemals geben. Programme, die heute noch unsere Sicherheit gewährleisten, können bereits morgen veraltet sein und krimineller Energie neue Angriffsflächen bieten. Prominentestes Beispiel dafür ist Windows XP. Mehr als 12 Jahre nach Veröffentlichung ist Windows XP nach wie vor auf rund einem Drittel der weltweiten Rechner installiert. Für den "Oldtimer unter den Betriebssystemen" werden keine Sicherheitsupdates mehr angeboten, was es zu einem gefundenen Fressen für jeden Angreifer macht.

Die Grauzone zwischen vollständiger Unsicherheit und perfekter Absicherung ist jedoch sehr breit. Bereits erste einfache Maßnahmen bringen daher einen signifikanten Sicherheitsgewinn. So ist etwa der Browser Google Chrome mit aktivierten Autoupdates auf Windows XP ein großer Fortschritt gegenüber einem Internet Explorer 6.

Gesunder Menschenverstand und Eigenverantwortung wichtiger denn je

Insbesondere die Verschlüsselung von Daten ist im Jahr 2014 verstärkt in den Fokus gerückt. Selbst Snowden sprach bereits 2013 davon, dass gute Kryptografie funktioniert, daran hat sich auch bis heute nichts geändert. Ordnungsgemäß implementierte und starke Verschlüsselungssysteme gehören damit zu den wenigen Sicherheitsvorkehrungen, auf die man sich verlassen kann. Auch wenn die NSA versucht Verschlüsselungen zu brechen, gibt es bereits viele Verschlüsselungsmaßnahmen, die auch von der NSA nicht ausgehebelt werden können.

Neben der Verschlüsselung werden jedoch auch die Eigenverantwortung der NutzerInnen und der Schutz eigener Daten immer wichtiger. Höchste Vorsicht im Umgang mit persönlichen Daten und der Einsatz aktueller Anti-Schadsoftware sind unverzichtbar. In Kombination mit gesundem Menschenverstand machen Internet-NutzerInnen dadurch Cyber Angreifern das Leben so schwer wie nur möglich.

Ausgewählte Schlagzeilen des Jahres 2014 im Rückblick:





<< Vorige Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Schwerwiegende Sicherheitslücken in Microsoft Office Outlook - Updates verfügbar
28. Juli 2017 | Beschreibung Microsoft ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
mehr ...
Ein paar Thesen zu aktuellen Gesetzesentwürfen
31. Juli 2017 | Das Thema ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/1/14 - 17:17:39
Haftungsausschluss