Inter­net­be­drohung 4.0

Die digitale Auto­ma­ti­sierung hat in der kri­mi­nellen Unterwelt schon lange Einzug gehalten. Die ein­deutige Erkennung einer Bedrohung ist für den Anwender auf­grund der kri­mi­nellen Nutzung von legi­timen Internet-Diensten nahezu unmöglich.

Durch gezielte Infor­ma­ti­ons­be­schaffung aus öffentlich ver­füg­baren Quellen und pas­sender, zeit­licher Kor­re­lation der Akti­vi­täten des Opfers fallen viele Anwender auf gefälschte E‑Mails herein.

Das fol­gende Bei­spiel zeigt, wie die Nutzung der Job­börse der Arbeits­agentur zum Ausfall einer Kanzlei führen kann.

Eine neue Stel­len­aus­schreibung für einen „Lohn- und Gehalts­buch­halter“ wird in das Portal Job­börse der Arbeits­agentur aus­ge­schrieben. Am darauf fol­genden Tag landet eine indi­vi­dua­li­sierte Bewer­­bungs-E-Mail im Postfach des Arbeit­gebers. Der Arbeit­geber wird in der E‑Mail per­sönlich mit seinem Namen ange­sprochen. Im Betreff und Mail-Body steht die kor­rekte Bezeichnung der aus­ge­schrie­benen Stelle.

Der Text der Bewer­bungsmail gibt dem Anwender und instal­lierten AV-Pro­­­dukten kei­nerlei Anlass zum Miss­trauen. Die eigent­lichen Bewer­bungs­do­ku­mente werden laut Bewerber, auf­grund der Datei-Größe, in einem Cloud-Speicher bereitgestellt.

Der Link auf die Bewer­bungs­un­ter­lagen zeigt auf legitime und bekannte Online-Spei­­cher­­dienste wie z.B. Dropbox. Für diese Angriffs­me­thode werden nahezu alle Online-Speicher-Dienst­­leister (Apple iCloud, Microsoft One­Drive, Dropbox, Telekom Magenta Cloud, jotta­cloud, etc.) missbraucht.

Der erste Klick auf den Dropbox-Link ist zum Download bzw. zur Ansicht der Bewer­bungs­un­ter­lagen unaus­weichlich. Anhand der „sicheren Imple­men­tierung“ dieser kri­mi­nellen Bereit­stel­lungsform von Doku­menten kann man aus dem Inhalt des Link kei­nes­falls auf die Dateien bzw. Daten zurückschließen.

Der Anwender spei­chert die angeb­lichen Bewer­bungs­un­ter­lagen menü­ge­führt auf seinem lokalen PC-System im Kanz­lei­netzwerk. Da die Nutzung der Spei­cher­dienste für digitale Geschäfts­pro­zesse durchaus üblich ist, z.B. als zen­trales Abla­ge­system oder zur Bereit­stellung grö­ßerer Datei­mengen, schöpft der Betroffene kei­nerlei Verdacht.

Die ver­schlüs­selte (HTTPS) Tunnel-Ver­­­bindung zur Dropbox ver­hindert eine auto­ma­ti­sierte Über­prüfung der trans­fe­rierten Dateien auf Schad­codes. Eine Maß­nahme zum Schutz der Anwender kann eine Lösung zur Erhöhung der Awa­reness „just“in time“ sein z.B. Mail-Radar-Orange.

Beim Öffnen der angeb­lichen Bewer­bungs­un­ter­lagen wird das System infi­ziert und der Ran­­somware-Schadcode ver­schlüsselt unsichtbar im Hin­ter­grund alle Nutz­da­teien auf dem PC-System. Je nach wei­teren Berech­ti­gungen des Anwenders werden auch Dateien auf Server-Lauf­­werken ver­schlüsselt. Die Erpres­ser­bot­schaft mit der Löse­geld­for­derung zur Ent­schlüs­selung der Dateien wird auf dem Desktop oder als PopUp ein­ge­blendet. Der Druck zur Zahlung der gefor­derten Summe wird durch Androhung der Ver­öf­fent­li­chung der gestoh­lenen Dateien und des Kanz­lei­namens erhöht.

Anhand dieses Bei­spiels kann man sehr schön die neue Dimension der Inter­net­be­dro­hungen 4.0 erkennen. Alle Anbieter von öffentlich erreich­baren Diensten, müssen sich viel mehr um deren kor­rekte Funk­tio­na­lität und Sicherheit bemühen. Zusätzlich muss eine kon­ti­nu­ier­liche Über­prüfung auf Miss­brauch erfolgen.

Bei­spielhaft zeigt die Welt der Ran­somware bzw. Krypto-Schä­d­­linge, dass der Schutz der Daten in kleinen Netz­werken ohne pro­fes­sio­nelle IT-Security nicht wirklich gewähr­leistet werden kann. Es stellt sich nicht die Frage „ob“, sondern nur noch „wann“ eine Cyber-Attacke erfolg­reich sein wird.

Fazit:

Pro­fes­sio­nelle Schutz ‑Tech­no­logien sind aus Kosten/Nutzen Sicht nur in Cloud Lösungen bzw. Rechen­zentren wirtschaftlich.