Die aktuelle Lage der Inter­net­be­dro­hungen

Attacken abwehren

Die Band­breite der erfolg­reichen Hacker­an­griffe umspannt mitt­ler­weile das kom­plette Leis­tungs­spektrum des Internets. Hier­unter zählen neben Ein­brüchen in Behörden-Net­z­­werke auch  Account- bzw. Daten­dieb­stähle bei Internet-Dienst­­leistern und Banken. 

Die Kom­ple­xität der Inter­net­be­dro­hungen ist heut­zutage für Unter­nehmen ohne IT-Security Kom­petenz nicht beherrschbar. Alle Fak­toren (Mensch, Maschinen, Anwen­dungen, Sys­tem­software, Patches, Appli­ka­tionen, etc.) müssen in Sicher­heits- und Schutz­kon­zepten ein­ge­plant werden. Eine kon­ti­nu­ier­liche und nach­haltige Über­prüfung aller betei­ligten IT-Kom­­po­­nenten ist zwingend notwendig.Die TV Serien Mr. Robot und CSI Cyber nutzen diese Vielfalt der Inter­net­be­dro­hungen als Grundlage ihrer Drehbücher.Die Roh­stoff „Daten“ muss vor dem Zugriff vor Unbe­fugten geschützt werden.
Bei den Unter­­nehmens- und Kun­den­daten gelingt das in der sicheren zen­tralen DATEV-RZ-Infra­­struktur.

Situation Malware

Eine Ein­zel­be­trachtung der Vielzahl an Schad­pro­grammen (Virus, Tro­janer, Ran­somware, Spyware, etc…) und Methoden ist wenig ziel­führend. Im fle­xi­belsten Fall wird ein System in einem Netzwerk von einer Grund-Scha­d­­software (Down­loader) infi­ziert, welches dann suk­zessive neue Pro­gramm­modul nachlädt.Die Anzahl schäd­licher Dateien, auch Malware genannt, steigt von Jahr zu Jahr an. In 2016 über­stiegen alle bisher gefun­denen Malware-Dateien die Summe von 500 Mio.

Ein Anti­­viren-Pro­­­gramm (AV) muss also in der Lage sein, alle 500 Mio. Schad­pro­gramme auf einem PC-System zu erkennen. Jeden Tag erhöht sich die Anzahl zusätzlich um mehr als 400.000 (Stand 31.03.2016). Tra­di­tionell wird die Aktua­lität der AV-Pro­­­gramme durch zyklische Bereit­stellung soge­nannter AV-Pattern rea­li­siert.

Malware Trans­port­mittel E‑Mail

Das Trans­port­mittel und Ein­fallstor Nr. 1 für digitale Schäd­linge ist nach wie vor die E‑Mail. Die Vielfalt der Varia­tionen von Inhalten gefähr­licher E‑Mails ist min­destens so groß wie die der real exis­tie­renden geschäft­lichen E‑Mails. Die Angreifer nutzen als Vorlage Ori­ginal E‑Mails von Banken, Bezahl­diensten, Shopping-Por­­talen oder Transport-Dienst­­leistern und ergänzen diese um einen Infek­ti­ons­vektor. Alle Schwächen und Emo­tionen des Men­schen werden dabei aus­ge­nutzt. Die Vari­anten umfassen angeb­liche hohe Rech­nungen, Andro­hungen von Rechts­folgen oder Hin­weise zur Ver­bes­serung der per­sön­lichen Sicherheit.

Die E‑Mail trans­por­tiert eine Malware-Datei mit belie­bigem Schadcode als Anhang direkt in das E‑Mail-Postfach und damit auf das PC-System. Die Malware-Datei kann aus einem ein­fachen Word-Macro, mit einer ein­zigen Zeile Befehlscode oder einer kom­plexen Software bestehen. Damit es zur Infektion des PC-Systems kommt, muss der Anwender die Datei per Dop­pel­klick zur Aus­führung bringen. Nach erfolg­reicher Instal­lation der Malware beginnt diese mit der Kom­mu­ni­kation in das Internet. Jeder Download bzw. Upload von Dateien und Daten zu den Cyber-Kri­­mi­­nellen ist ab diesem Zeit­punkt möglich.

Eine weitere Falle basiert auf einer Fake/­­Be­­trugs-E-Mail. Der schäd­liche Inhalt in der E‑Mail besteht aus einem Link auf eine Malware-Datei bzw. auf Phishing-Web-Seiten. Durch den Klick auf den Link wird der Schadcode her­un­ter­ge­laden und durch eine Inter­aktion des Anwenders instal­liert.

Inter­net­be­drohung am Bei­spiel Job­börse

Die digitale Auto­ma­ti­sierung hat in der kri­mi­nellen Unterwelt schon lange Einzug gehalten. Die ein­deutige Erkennung einer Bedrohung ist für den Anwender auf­grund der kri­mi­nellen Nutzung von legi­timen Internet-Diensten nahezu unmöglich.Durch gezielte Infor­ma­ti­ons­be­schaffung aus öffentlich ver­füg­baren Quellen und pas­sender, zeit­licher Kor­re­lation der Akti­vi­täten des Opfers fallen viele Anwender auf gefälschte E‑Mails herein.Das fol­gende Bei­spiel zeigt, wie die Nutzung der Job­börse der Arbeits­agentur zum Ausfall einer Kanzlei führen kann.

Eine neue Stel­len­aus­schreibung für einen „Lohn- und Gehalts­buch­halter“ wird in das Portal Job­börse der Arbeits­agentur aus­ge­schrieben. Am darauf fol­genden Tag landet eine indi­vi­dua­li­sierte Bewer­­bungs-E-Mail im Postfach des Arbeit­gebers. Der Arbeit­geber wird in der E‑Mail per­sönlich mit seinem Namen ange­sprochen. Im Betreff und Mail-Body steht die kor­rekte Bezeichnung der aus­ge­schrie­benen Stelle.Der Text der Bewer­bungsmail gibt dem Anwender und instal­lierten AV-Pro­­­dukten kei­nerlei Anlass zum Miss­trauen. Die eigent­lichen Bewer­bungs­do­ku­mente werden laut Bewerber, auf­grund der Datei-Größe, in einem Cloud-Speicher bereitgestellt.Der Link auf die Bewer­bungs­un­ter­lagen zeigt auf legitime und bekannte Online-Spei­­cher­­dienste wie z.B. Dropbox. Für diese Angriffs­me­thode werden nahezu alle Online-Speicher-Dienst­­leister (Apple iCloud, Microsoft One­Drive, Dropbox, Telekom Magenta Cloud, jotta­cloud, etc.) miss­braucht.

Der erste Klick auf den Dropbox-Link ist zum Download bzw. zur Ansicht der Bewer­bungs­un­ter­lagen unaus­weichlich. Anhand der „sicheren Imple­men­tierung“ dieser kri­mi­nellen Bereit­stel­lungsform von Doku­menten kann man aus dem Inhalt des Link kei­nes­falls auf die Dateien bzw. Daten zurück­schließen.

Der Anwender spei­chert die angeb­lichen Bewer­bungs­un­ter­lagen menü­ge­führt auf seinem lokalen PC-System im Kanz­lei­netzwerk. Da die Nutzung der Spei­cher­dienste für digitale Geschäfts­pro­zesse durchaus üblich ist, z.B. als zen­trales Abla­ge­system oder zur Bereit­stellung grö­ßerer Datei­mengen, schöpft der Betroffene kei­nerlei Verdacht.Die ver­schlüs­selte (HTTPS) Tunnel-Ver­­­bindung zur Dropbox ver­hindert eine auto­ma­ti­sierte Über­prüfung der trans­fe­rierten Dateien auf Schad­codes. Eine Maß­nahme zum Schutz der Anwender kann eine Lösung zur Erhöhung der Awa­reness „just“in time“ sein z.B. Mail-Radar-Orange.

Beim Öffnen der angeb­lichen Bewer­bungs­un­ter­lagen wird das System infi­ziert und der Ran­­somware-Schadcode ver­schlüsselt unsichtbar im Hin­ter­grund alle Nutz­da­teien auf dem PC-System. Je nach wei­teren Berech­ti­gungen des Anwenders werden auch Dateien auf Server-Lauf­­werken ver­schlüsselt. Die Erpres­ser­bot­schaft mit der Löse­geld­for­derung zur Ent­schlüs­selung der Dateien wird auf dem Desktop oder als PopUp ein­ge­blendet. Der Druck zur Zahlung der gefor­derten Summe wird durch Androhung der Ver­öf­fent­li­chung der gestoh­lenen Dateien und des Kanz­lei­namens erhöht.

Anhand dieses Bei­spiels kann man sehr schön die neue Dimension der Inter­net­be­dro­hungen 4.0 erkennen. Alle Anbieter von öffentlich erreich­baren Diensten, müssen sich viel mehr um deren kor­rekte Funk­tio­na­lität und Sicherheit bemühen. Zusätzlich muss eine kon­ti­nu­ier­liche Über­prüfung auf Miss­brauch erfolgen.Beispielhaft zeigt die Welt der Ran­somware bzw. Krypto-Schä­d­­linge, dass der Schutz der Daten in kleinen Netz­werken ohne pro­fes­sio­nelle IT-Security nicht wirklich gewähr­leistet werden kann. Es stellt sich nicht die Frage „ob“, sondern nur noch „wann“ eine Cyber-Attacke erfolg­reich sein wird.

Pro­fes­sio­nelle Schutz ‑Tech­no­logien sind aus Kosten/Nutzen Sicht nur in Cloud Lösungen bzw. Rechen­zentren wirt­schaftlich.