WhatsApp Verschlüsselung mit RestrisikoWhatsApp, der Messenger-Dienst mit rund 1 Milliarde Nutzer, verschlüsselt seit April seine Kommunikation vollständig und plattformübergreifend. Seit zwei Monaten werden nicht nur Anrufe sondern auch Nachrichten, Fotos und Videos verschlüsselt verschickt.
WhatsApp hat dazu eine sichere Ende-zu-Ende-Verschlüsselung für alle Betriebssysteme eingeführt. Ende-zu-Ende verschlüsselt bedeutet: Sämtliche Daten werden auf Seite des Absenders verschlüsselt und erst wieder beim Empfänger entschlüsselt. Kein Dritter, nicht einmal WhatsApp selbst, kann also die Kommunikation mitlesen. Die Verschlüsselungsfunktion ist bei WhatsApp automatisch aktiv und an einem Schloss-Symbol erkennbar.
Die Verschlüsselung stammt von Krypto-Koryphäe Moxie Marlinspike und seinem Team von Openwhisper-Systems, die sich bester Reputation erfreuen. Marlinspike hatte bereits die Ende-zu-Ende Verschlüsselung der Messenger-App TextSecure entwickelt, welche unter Fachleuten lange als sichere Alternative zu WhatsApp galt.
Das alles klingt also erst einmal nach deutlich mehr Privatsphäre bei WhatsApp. Auf den zweiten Blick tun sich jedoch einige Lücken auf: So werden beispielsweise weiterhin Metadaten gesendet und manche Chats bleiben weiterhin unverschlüsselt. Aber gehen wir dem Ganzen der Reihe nach auf den Grund:
Die Verschlüsselung funktioniert nur, wenn alle Chatpartner die neueste WhatsApp-Version verwenden. Für Gruppenchats bedeutet es: Nutzt eine Person eine ältere Version, wird der gesamte Gruppenchat unverschlüsselt übertragen – andernfalls könnte der entsprechende Teilnehmer die Nachrichten ja nicht mitlesen. Ob der Gruppenchat verschlüsselt ist, erkennen Sie am Schloss-Symbol in den Gruppeninfos.
Dass Inhalte bei WhatsApp jetzt verschlüsselt übertragen werden, bedeutet nicht, dass der Messenger-Dienst nicht trotzdem nachvollziehen kann, wem Sie wann eine Nachricht übermittelt haben. Anhand von sogenannten Metadaten lässt sich genau das nachvollziehen. Metadaten sind natürlich einerseits für die eigenen Marketingzwecke attraktiv. Denn vergessen Sie nicht: Die Facebook Chat-App ist kostenlos und werbefrei – das Netzwerk hat also allein aus wirtschaftlichem Grund ein Interesse an seinen Nutzerdaten. Andererseits sind Metadaten für Geheimdienste und Strafverfolgungsbehörden hochinteressant, denn auf diese Weise lassen sich beispielsweise Kommunikations-Netzwerke aufdecken und herausfinden, wer mit wem in Verbindung steht.
Hinzu kommt: Das Adressbuch, sprich die Kontaktdaten seiner Nutzer, überträgt WhatsApp weiterhin ungefragt auf US-amerikanische Server und ist damit nicht mit dem deutschen Datenschutzrecht vereinbar. WhatsApp beteuert immerhin, dass es sich ausschließlich um die Telefonnummern und nicht um Namen, E-Mail oder Adressen handelt. Da WhatsApp das Adressbuch auch bei Facebook hoch lädt und damit dort auch sämtliche (Geschäfts- ) Kontakte ohne Zustimmung der Betroffenen landen, lässt uns davon abraten, die App auch im Firmenumfeld einzusetzen.
WhatsApp nutzt die gleiche sichere Verschlüsselung wie die von Whistleblower Edward Snowden empfohlene Chat-App Signal. Das Signal-Protokoll gilt unter IT-Sicherheitsexperten als vorbildlich. Aber: Anders als Signal ist WhatsApp kein Open Source System. Man kann also nicht einfach den Quellcode einsehen und darin nach möglichen Kryptographie-Fehlern oder eventuellen Sicherheitslücken und Hintertürchen suchen. Oder anders gesagt: Wir wissen nicht, wie die Verschlüsselung implementiert ist und wo der private Schlüssel gespeichert wird.
Nicht quelloffen, auswertbare Metadaten und Kontaktdatenspeicherung: Ein wirklich sicheres Gefühl hinterlässt das alles nicht. An dieser Stelle müssen wir dennoch eine Lanze für WhatsApp brechen. Denn als amerikanischer IT-Dienstleister bleibt WhatsApp fast gar nichts anderes übrig als entweder eine Hintertür einzubauen oder aber die Verschlüsselung für US-Behörden offenzulegen. Begründet liegt dies im 2001 erlassenen Patriot Act, nach dem US-Unternehmen Kundendaten aus der ganzen Welt an US-Behörden wie die Bundespolizei FBI übergeben müssen.
Dazu meint auch Blogger und IT-Sicherheitsexperte Mike Kuketz, Dozent an der dualen Hochschule Karlsruhe: „Auch nach Einführung einer Ende-zu-Ende Verschlüsselung ist und bleibt WhatsApp kein Garant für eine sichere Kommunikation. Es sei denn wir formulieren die Definition von sicherer Kommunikation neu und ergänzen: [ … ] Kommunikation ist auch dann als sicher einzustufen, wenn Behörden und andere regierungsnahe Institutionen über die Möglichkeit verfügen diese in lesbarer bzw. unverschlüsselter Form auszulesen.“
Ist mein Chatpartner tatsächlich derjenige, für den er sich ausgibt? Die Frage ist nicht ganz unberechtigt, denn Handys und Smartphones können gestohlen werden – und die SIM-Karte in fremde Hände gelangen. So gelangt dann auch ein Dritter an die mit WhatsApp verbundene Telefonnummer des eigentlichen Chatpartners. Für diesen Fall hat der Messenger-Dienst eine Lösung gefunden, die an Signal erinnert: Um sicherzugehen, dass am anderen Ende tatsächlich die Person sitzt, mit der Sie kommunizieren möchten und der Verschlüsselungscodes Ihres Handys mit dem des Empfängers übereinstimmt, sollten Sie die Sicherheitsnummern überprüfen. Dazu können Sie sich entweder mit Ihrem Chatpartner treffen und den im Chat angezeigten QR-Code scannen oder die 60-stellige Nummer austauschen. Ist diese auf beiden Geräten identisch, sind die WhatsApp Nachrichten sicher verschlüsselt.
Übrigens: Ändert sich die Sicherheitsnummer eines Chat-Partners, zeigt WhatsApp einen Hinweis an. Das funktioniert jedoch nur, wenn man diese Benachrichtigung im Menü „Sicherheit“ aktiviert hat.
WhatsApp macht trotz Kritik einen großen Schritt nach vorn in Sachen Privatsphäre. Massentauglich ist die Ende-zu-Ende Verschlüsselung von WhatsApp allemal: Anwender müssen schließlich nichts weiter tun, als sie die aktuellste Version zu installieren.
Natürlich bleibt ein gewisses Restrisiko – insbesondere hinsichtlich der beim Betreiber anfallenden Metadaten – aber diese fallen auch beim Telefonieren, beim Mailen mit PGP oder Signal, oder bei SMS an. Und was das Vertrauen angeht: Als Nutzer sind Sie mangels Offenlegung des Quellcodes eben nicht 100 prozentig sicher, ob die Facebook-Tochter Ihnen nicht doch eine manipulierte App unterschummelt, die die Verschlüsselung untergräbt.
Ähnlich sieht das auch Mike Kuketz: „Die Einführung der verbesserten Verschlüsselung ist tatsächlich ein Schritt in die richtige Richtung, sollte aber niemals von der Tatsache ablenken, dass sichere Kommunikation damit weiterhin unmöglich bleibt. Zumindest dann, wenn wir außer Kontrolle geratene Behörden und Geheimdienste in unsere Überlegungen mit einbeziehen.“
Der Beitrag WhatsApp Verschlüsselung auf den Zahn gefühlt erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.
Auf SpurensucheEin Blick auf die Schlagzeilen der vergangenen Monate genügt, um zu begreifen, dass die Aufrechterhaltung der Sicherheit im Internet immer schwieriger wird. Cyberattacken auf Unternehmen sind an der Tagesordnung. Im heutigen Beitrag begeben wir uns auf eine Spurensuche und wollen der Kausalität der Gefährdungen der Internetsicherheit nachgehen: Welche Gefährdungen sind akut? Wie schaffen es Hacker immer wieder Unternehmen erfolgreich zu attackieren und welche Motive haben sie? Und nicht immer ist es der unvorsichtige Mitarbeiter, der allzu sorglos einen Link anklickt – auch Hersteller tragen Verantwortung.
Die Angriffe auf den Deutschen Bundestag und den französischen Sender TV5Monde waren nur die Spitze des Eisbergs. Auch Unternehmen hatten mit schwerwiegenden Attacken, Hacks und Datenklau zu kämpfen. Wir wollen und können keinem der nachfolgenden genannten Unternehmen einen konkreten Vorwurf machen. Vielmehr zeigen die Beispiele erschreckend auf, dass die Auswirkungen selbst kleinster Schwachstellen auf die digitale Sicherheit enorm sind.
Ende Oktober 2015 wurde die Datenbank des Internet- und Mobilfunk-Providers TalkTalk gehackt. Die Angreifer erbeuteten bei diesem Computerbetrug persönliche sowie finanzielle Daten von 400.000 Kunden, legten die Website lahm und drohten mit der Veröffentlichung der Nutzerdaten, wenn das Unternehmen nicht einen Betrag in Höhe von 80.000 Pfund (circa 113.000 Euro) bezahlt. Als Folge der Angriffe verlor TalkTalk über 100.000 Kunden.
Hacker infizierten im September 2015 mit der Software XcodeGhost zahlreiche Apps im Apple Store mit Malware. Das Perfide: XcodeGhost ist ein offizielles Tool für App-Entwickler. Die Schadprogramme gelangten so unbemerkt in viele Apps und legten zahlreiche Informationen offen: Name, Version der Anwendung, Systemversion, eingestellte Sprache, Land, Identität des Entwicklers, Installationszeit der App, Gerätename und -typ.
Anschriften, Kreditkartennummern und sexuelle Vorlieben von circa 40 Millionen Usern hat eine Hackergruppe im August 2015 nach einem Cyberangriff auf das Seitensprung-Portal Ashley Madison öffentlich gemacht. Das erbeutete 30-Gigabyte-Paket beinhaltete insgesamt 32 Millionen brisante Datensätze!
Im Februar 2015 traf es den Krankenversicherer Anthem: Cyberkriminellen gelang es, persönliche Daten von circa 80 Millionen Kunden zu stehlen. Darin enthalten waren unter anderem Sozialversicherungsnummern, E-Mail-Adressen und Anschriften.
Unsere Beispiele zeigen ganz deutlich: Die Bedrohungslandschaft hat sich verändert, immer gezielter (APT-Angriffe), immer hinterhältiger (Ransomware) werden die Angriffe aus dem Netz. Und jede noch so kleine Unaufmerksamkeit kann für Unternehmen und für ihre Kunden teuer werden. Die Folgen eines Cyberangriffs sind häufig folgenschwerer als die eigentliche Attacke, denn Schadenersatzforderungen können schnell in die Millionen gehen. Dazu kommt ein zu erwartender Imageschaden dessen Höhe und Auswirkung kaum abzuschätzen ist.
Aber Hacker beschränken sich längst nicht mehr nur auf die Top 100 Unternehmen einer Branche oder eines Landes. Zunehmend rücken auch mittelständische Unternehmen und Privatpersonen in den Fokus. Waren einst eine Anti-Virus-Software und eine Firewall ausreichend, um Netzwerke und Daten vor Angreifern zu schützen, reichen diese Maßnahmen längst nicht mehr aus.
Um an sensible Informationen zu gelangen, stehen Cyberkriminellen zahlreiche Wege zur Verfügung: Locky und Jigsaw haben gezeigt, dass ein infiziertes PDF oder Office-Dokument praktisch jede Firewall passieren kann. Darüber hinaus können unsignierte E-Mails abgefangen und manipuliert werden, um Viren in Netzwerke einzuschleusen oder Anwender auf verseuchte Webseiten umzuleiten.
Laut „Data Breach Investigations Report“ (DBIR) des US-Telekommunikationsriese Verizon haben sich im letzten Jahr vor allem die Motive der Angriffe verändert: Unternehmen und Organisationen wurden 2015 zu mehr als 80 Prozent aus finanziellen Motiven heraus angegriffen. Mit Hacking Geld verdienen – ein Trend, den wir angesichts der Angriffe durch Verschlüsselungstrojaner in den letzten Monaten bereits erahnt haben: Seit Februar hält die Trojanervariante „Locky“ Deutschland in Atem. Und erst kürzlich wurde auf der Website der Spielzeugmarke Maisto, bekannt für fernsteuerbare Miniatur-Spielzeugfahrzeuge, das „Angler-Exploit Kit“ entdeckt. Es kann Ransomware-Infektionen verursachen.
„Nur“ etwa jedes zehnte Unternehmen wurde im vergangenen Jahr dagegen noch Opfer einer Spionageaktion. Im Vorjahr lag das Verhältnis bei 75 zu 20. Gezielte Angriffe auf Unternehmen und Einzelpersonen sind laut Verizon Report bei Kriminellen übrigens äußerst beliebt – ihre „Tatwaffe“: Social Engineering. Im Visier stehen insbesondere Desktop-Computer, Notebooks, Smartphones und Tablets: Über 30 Prozent der untersuchten Angriffe zielten auf die Clients.
Nur Mitarbeitern den schwarzen Peter zuzuschieben oder gar ausschließlich von menschlichem Versagen zu sprechen, trifft das Problem nicht. Angriffe sind erfolgreich, wenn Sicherheitslücken bestehen – und diese zu beseitigen erfordert Zeit und Ressourcen. Hinzu kommt: Die Angriffsvektoren werden zahlreicher, Angriffe ausgefeilter. In die Verantwortung müssen genauso Software-Hersteller wie Sicherheitsverantwortliche im Unternehmen genommen werden. Wir erklären, warum:
Softwarehersteller sind in der Verantwortung, ein wirkungsvolles Patch-Management mit kurzen Reaktionszeiten umzusetzen. Die vielen im Jahr 2015 bekannt gewordenen Zero-Day-Exploits sowie die schnelle Nutzung neuer Schwachstellen in Software, insbesondere in Exploit-Kits, zeigen die Notwendigkeit. Laut BSI hat sich die Anzahl kritischer Schwachstellen in Standard-IT-Produkten 2015 gegenüber den bereits hohen Werten in den Vorjahren massiv erhöht. Allein für die 11 verbreitetsten Softwareprodukte, darunter Adobe Flash, Internet Explorer und Microsoft Windows wurden im Jahr 2015 bis Ende September 847 kritische Schwachstellen bekannt.
APT-Angriffe, also gezielte, intelligente und langfristige Angriffe auf Unternehmen mit dem Ziel der Wirtschaftsspionage und der Konkurrenzausspähung, stellen eine große Bedrohung für Unternehmen und Verwaltungseinrichtungen dar. Insbesondere internationale Konzerne sollten APT-Angriffe in ihr unternehmerisches Risikomanagement einbeziehen. Die Umsetzung von IT-Sicherheitsmaßnahmen im Bereich Detektion und Monitoring sowie im Bereich der Vorfallsbearbeitung sind zielführend: Blocken eines Spear-Phishing-Angriffs, Identifizieren von Zero-Day-Attacken und Erkennen von verdächtigem Datenverkehr.
Neben technischen und organisatorischen Maßnahmen sind selbstverständlich auch Sensibilisierung, Awareness sowie ein gesundes Maß an Misstrauen seitens der Anwender für die IT-Sicherheit unerlässlich. Denn persönliche Daten oder digitale Identitäten sind insbesondere dann gefährdet, wenn fehlendes Technikverständnis auf unzureichende Transparenz der Angebote trifft. Zu sorgloses Handeln in der digitalen Welt ist nicht selten auf Überforderung zurückzuführen.
In diesem Artikel beschäftigen wir uns mit den häufigsten Gefahrenherden für die IT-Sicherheit: mobile Trojaner, zunehmender Hacktivismus und Erpressung.Der Beitrag Sicherheit im Internet: Gefährdungslage ändert sich erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.
Botvarianten gibt es „wie Sand am Meer“Von Spam-E-Mail bis betrügerischer Website: Bots und Botnetze sind eine beliebte Angriffstechnologie von Cyberkriminellen geworden. Bei beinahe allen Cyberattacken spielen sie eine Rolle. Millionen Botvarianten, die in mehreren tausend Botnetzen organisiert sind, befinden sich derzeit im Internet.
Wenngleich nach Informationen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) 2014 und 2015 mit Dropperbot (11.000 Infektionen) und Ramnit (3,2 Millionen Bots) zwei Botnetze abgeschaltet wurden, die auch in Deutschland aktiv waren, so ist die Bedrohungslage durch Botnetze in Deutschland als kritisch und tendenziell steigend zu bewerten. So heißt es im Bericht zur Lage der IT-Sicherheit in Deutschland 2015, dass allein in der ersten Jahreshälfte 2015 täglich bis zu 60.000 Infektionen deutscher Systeme registriert wurden. Aufgrund des hohen Marktanteils seien überwiegend Windows-Systeme von Bot-Infektionen und -Angriffen betroffen.
Vor Kurzem wurde bekannt, dass Angreifer einen Computer im AKW Gundremmingen mit Malware infiziert hatten. Der Computer ist Teil des Systems, welches zur Lademaschine für die strahlenden Brennelemente gehört. Das Schadprogramm sollte laut Betreiber RWE ungewollte Verbindungen zum Internet herstellen. Offenbar handelte es sich hier um einen Trojaner zum Aufbau eines Botnetzes.
Aber was genau versteht man unter einem Botnetz, wie funktioniert es und wie akut ist die Bedrohungslage derzeit wirklich? Wir haben die wichtigsten Fakten rund um das bei Cyberkriminellen so beliebte „Allzweck-Werkzeug“ zusammengetragen.
Der Name Botnetz setzt sich zusammen aus den Worten Bot und Netz. Bot heißt übersetzt soviel wie Roboter. Es sollte nicht passieren, aber mitunter übernehmen Kriminelle fremde Computer und nutzen sie für ihre Zwecke. Ein einzelner ferngesteuerter Computer ist ein Bot, auch Zombie genannt. Den Zusammenschluss mehrerer infizierter Rechner bezeichnet man als Botnetz. Um ein Botnetz aufzubauen, infizieren Hacker die Computer mit einem Schadprogramm und steuern sie dann aus der Ferne. Die Steuerung erfolgt über eine Command-and-Control-Infrastruktur (C & C), die im Verborgenen abläuft. Entsprechend konfigurierte Bots schicken so genannte SYN-Pakete zum C & C-Server, so dass dieser die IP-Adressen der Zombies erhält. Mit deren Hilfe kann der Angreifer nun dem Zombie-Rechner verschlüsselte Bot-Kommandos und Daten schicken. Die Besitzer der Computer bekommen von all dem in der Regel nichts mit.
Es gibt kleinere Botnetze, die aus weniger als hundert infizierten Rechnern bestehen. Botnetze können aber auch aus mehreren Tausend, sogar Millionen Computern aufgebaut sein. Es ist kaum vorstellbar, welch enorme Rechenkapazität und Datenbandbreite für die Angreifer dann zur Verfügung steht.
Der Lebenszyklus eines Botnetzes beginnt mit der Infektion eines Computers durch die Botsoftware. Und diese gelangt auf dem gleichen Weg in den PC, wie herkömmliche Malware. Ein typischer Verbreitungsweg sind Exploits. Bei dieser Vorgehensweise werden Sicherheitslücken in Betriebssystemen oder Programmen genutzt, um den Schadcode auf den fremden Rechner zu schleusen. Eine andere Methode ist die Verteilung über E-Mail-Anhänge oder verseuchte Downloads, beispielsweise indem der Nutzer ein vermeintlich harmloses Programm aus dem Internet herunterlädt und auf seinem Rechner installiert. Stammt der Download von einer unsicheren Quelle, kann mit dem gewünschten Programm ein Trojaner mitinstalliert werden.
Sicherheitslücken werden gnadenlos ausgenutztWar die Infizierung erfolgreich und hat der Rechner Verbindung zum Internet, meldet sich die Schadsoftware beim Botmaster. Damit sie nicht vom Nutzer entdeckt werden kann, versteckt sich die Malware außerdem im System. Zu diesem Zweck versucht sie die Antiviren-Software zu deaktivieren oder zu manipulieren. Aber auch das Nachladen weiterer Schadsoftware aus dem Internet ist möglich. So oder so: Der Bot ist jetzt einsatzbereit und wartet auf die Befehle des Botmasters. Meist lauten diese: Versand von Spam- und Phishing-Mails im ganz großen Stil. Häufig werden Botnetze aber auch für Klickbetrug, die Verteilung von Ransomware sowie für den Angriff auf andere Netzwerke durch sogenannte DDoS-Attacken, eingesetzt. Darüber hinaus spielt der Botmaster gern auch ein Update der Botsoftware auf, um ihre Entdeckung weiter zu erschweren.
In der Regel ist der Bot übrigens so lange aktiv, bis er entdeckt oder das Betriebssystem des infizierten Rechners neu installiert wird. In einigen Fällen löscht der Botmaster (meist nach getaner Arbeit) die Schadsoftware auch selbst vom Rechner, um nicht erkannt zu werden und keine Spuren zu hinterlassen.
Ein Botnetz bietet verschiedene Angriffsmöglichkeiten, was es zu einem der größten Sicherheitsrisiken im Internet macht. Bots und Botnetze werden häufig und gern für das Ausführen von DDoS-Attacken missbraucht. Bei solchen Angriffen versuchen kriminelle Internetseiten mit massenhaft unsinnigen Anfragen den Server lahmzulegen. Die Flut der fehlerhaften Datenpakete überlastet den Server irgendwann, so dass er gültige Anfragen nicht mehr beantworten kann und zusammenbricht.
Ein weiteres Einsatzgebiet für Botnetze ist Spamming: Ohne Wissen seines Nutzers wird der infizierte Rechner zur Spam-Schleuder, indem er massenhaft E-Mail-Nachrichten verschickt. Mit den Mails wird häufig auch Schadsoftware versendet, um so das Botnetz weiter zu vergrößern. Übrigens: Durch Spamming kann ein Rechner auf eine Blacklist gesetzt werden, wodurch er gar keine E-Mails mehr versenden kann. Kompromittierte Rechner werden häufig auch für Phishing-Attacken missbraucht: Die Bots werden zum Versenden heimtückischer E-Mails benutzt. Diese stammen von scheinbar seriösen Absendern mit unverfänglichem Anliegen – wie zum Beispiel der Hausbank – und bitten um die Eingabe der Bankdaten, um diese abzufischen. Zusätzlich werden die Bots zum Hosten illegaler Websites verwendet, mit deren Hilfe persönliche Daten gestohlen oder auf denen gestohlene Daten gesammelt werden.
Anfang 2000 erlangten Botnetze erstmals Aufmerksamkeit. Damals hatte ein kanadischer Teenager mehrere Denial-of-Service-Attacken auf bekannte Webseiten durchgeführt. Der Junge, der unter dem Pseudonym Mafiaboy sein Unwesen trieb, griff über mehrere Tage hinweg unter anderem die Seiten von Yahoo, E-Trade, Dell, eBay, Amazon an und überflutete sie mit unbrauchbaren Anfragen. Schließlich stürzten die Server ab. Zwar verwendete Mafiaboy damals keine Botnetze für seine Angriffe, dennoch warnten Sicherheitsexperten anschließend, dass Botnetze eine große und nicht zu unterschätzende Gefahr für die Integrität und Stabilität des Internets bedeuten.
Sie sollten Recht behalten. Denn mit Zeus, Mariposa, Conficker und Kelihos entstanden nur wenige Jahres später einige der bekanntesten und erfolgreichsten Botnetze. Und so unterschiedlich wie ihre Namen, so verschieden waren auch die Ziele und Opfer dieser Botnetze: Das berüchtigte Botnet Kelihos klaute zwischen 2011 und 2013 nicht nur Login-Daten, es war auch für Bitcoin-Diebstahl und Spamming im großen Stil verantwortlich. So hat Kelihos beispielsweise Millionen E-Mail-Postfächer mit Viagra-Spam-Mails bombardiert. Mariposa sammelte 2009 Daten von mehr als 800.000 Internetnutzern, unter anderem Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten. Das Botnetz soll aus 13 Millionen Rechnern aus über 190 Ländern bestanden haben.
Zeus, eigentlich Gameover ZeuS, infizierte zwischen 2009 bis 2014 weltweit 500.000 bis 1 Million Computer mit Windows Betriebssystem. Das Schädlingsnetz hatte es auf Online-Banking und Finanzdaten abgesehen: Nutzer-Accounts wurden mit zuvor erschnüffelten Login-Daten gekapert und geschädigt. Die befallenen Computer wurden aber auch zur Verbreitung von Spam verwendet. Conficker befiel insbesondere 2009 Gesundheitssysteme, Militär und Verwaltungsbehörden und legte Millionen von Computern in über 100 Ländern lahm. Conficker deaktivierte auch Sicherheitsdienste und machte damit Computer noch anfälliger für weitere Infektionen. Das vermeintlich totgeglaubte Botnetz wurde übrigens am 26. April 2016 wieder aktiv: Die Uralt-Schadsoftware zeigte sich für die Infizierung des oben erwähnten Rechners in Block B des AKW Gundremmingen verantwortlich.
Die Schwierigkeit besteht darin, einen Bot-Befall zu erkennen, denn Botnetze überwinden Standardsicherheitsmechanismen oder machen sie zumindest unbrauchbar. Ohne Weiteres kann aber niemand aus Ihrem Rechner einen Bot machen. Dies ist nur über eine erfolgreich installierte Schadsoftware möglich. Schützen kann ein ganzes Bundle an Sicherheitsmechanismen, bestehend aus einer Antiviren-Software, die permanent und aktuell den Rechner überwacht, ergänzt um eine verhaltensüberwachende Software sowie die Installation regelmäßiger Sicherheits-Updates, Spam-Filter und einer Desktop-Firewall. Bleiben Sie darüber hinaus bei E-Mails unbekannter Absender misstrauisch, die Sie zu sofortigen Handlungen auffordern und laden Sie Software ausschließlich von vertrauenswürdigen, Ihnen bekannten Quellen herunter.
In diesem Artikel beschäftigen wir uns mit den folgenschwersten Angriffen im Cyberkrieg. Cyberattacken legen Systeme lahm und werden immer professioneller. Kleinkriminalität, Wirtschaftsspionage und militärische Operationen im Netz sind kaum zu unterscheiden.Der Beitrag Botnetze: Dunkler Angriff durch Zombie-Rechner erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.
Lukratives Geschäft mit Millionen InformationsschnipselStellen Sie sich vor, Sie gehen in den Supermarkt und müssen für Ihren Einkauf nicht bezahlen. Stattdessen werden Sie an der Kasse gebeten, in einem Fragebogen ihre persönlichen Daten teilweise oder ganz preiszugeben. Würden Sie das tun?
Die meisten Menschen – und sicherlich auch Sie – würden mit einem klaren „Nein“ antworten. Dabei tun wir es im Netz schon längst: Wir bezahlen mit unseren persönlichen Daten und „pfeifen“ auf den Datenschutz.
Die Digitalisierung hat unser Leben ganz beiläufig aber umfassend im Griff. Daten werden überall erzeugt, gesammelt, gefiltert und ausgewertet. Wir schreiben digital, lesen die täglichen Nachrichten aus dem Netz, laden unsere Fotos und Lieblingssongs auf Festplatten – überall hinterlassen wir dabei unsere persönlichen Daten. Milliarden Informationsschnipsel werden so weltweit im Minutentakt in sozialen Netzwerken und Internetdiensten erzeugt. Sie zu sammeln und aus ihnen Profile zu erstellen – sortiert nach Alter, Geschlecht, Aufenthaltsort und Wohnort, Arbeitgeber oder Nationalität – ist ein lukratives Geschäft.
Und scheinbar haben wir die Rolle des ewigen Datengebers gut akzeptiert: Unser Smartphone kann verraten wo wir gerade sind, unsere Freunde erfahren dank Facebook und Co. alles über unseren Alltag. Der Treibstoff, der Facebook, Google und Co. am Leben hält: benutzergenerierte Inhalte, also Informationen vom Nutzer selbst – über sich und über andere Nutzer. Völlig kostenlos, absolut legal. Bereitwillig freigegeben zum gewinnbringenden Verkauf. Die Ware: E-Mailadressen, persönliche Profile, Postleitzahlen, Telefonnummern, Fotos und auch soziale Verbindungen der Benutzer untereinander – Datenschutz? Fehlanzeige! Wir wissen all das und trotzdem können wir nicht davon lassen. Denn kostenlos gibt es etwas höchst menschliches: Kontakte, Kommunikation, Spaß, Freunde, Einkaufsempfehlungen.
Nach einer TNS-Emnid-Studie würden mehr als die Hälfte (51 Prozent) der Deutschen sogar etwas zahlen, um höchsten Datenschutz und Werbefreiheit bei sozialen Netzwerken, E-Mail-Diensten und Co. zu erhalten. Von ihnen wäre wiederum jeder Zweite (54 Prozent) bereit, bis zu fünf Euro monatlich zu bezahlen. Immerhin jedem Dritten (33 Prozent) wären Datenschutz und Werbefreiheit sogar mehr als fünf Euro pro Monat wert.
Sie glauben: Dann bezahle ich eben eine Gebühr und mein Datenschutz ist gesichert – diesen Zahn müssen wir Ihnen leider ziehen. So einfach ist es nicht! Es fehlt an Alternativen und auch zahlende Kunden werden fleißig von Internetanbietern ausspioniert. Sicher haben Sie sich auch schon gefragt, warum die Buchempfehlung des Online-Shops so außerordentlich gut ist? Aber woher weiß der Online-Büchershop eigentlich, dass ich eine Gitarre besitze? Und wenn der Shop das weiß, wer kann meinen Literaturgeschmack noch einsehen? Ganz ehrlich: Ein Gefühl der Hilflosigkeit und des Ausgeliefertseins überkommt einen da schon.
Das beste Beispiel ist Marktführer Amazon. Wer hier bestellt, zahlt nicht einfach „mit seinen Daten“ für einen Gratisservice. Der Versandhändler erfasst umfangreich die Daten seiner Kunden. Was sie anklicken, was sie kaufen, was Kunden, die bestimmte Produkte auch gekauft haben, welche Interessensgebiete der Nutzer hat und noch viel mehr. Und dass Amazon kein Einzelfall ist, zeigen auch der Smartphone-Markt: Android- und Apple-Geräte kosten mehrere hundert Euro, trotzdem bedienen sich beide Firmen an den Positionsdaten ihrer Kunden und nutzen deren Profil, um Werbung anzuzeigen.
Mit Hilfe von Cookies werden präzise Nutzerprofile erstellt, um sie zu speichern, für gezielte Werbung selbst auszuwerten oder weiterzuverkaufen. Eigentlich sind es nur Messwerte, kleine Informationsschnipsel ohne Namen der Vermessenen, die für die Personalisierung einer Webseite genutzt werden können. Allerdings sind nur wenige Informationen vonnöten, um aus anonymen Informationen personenbezogene Daten zu generieren: Wer Angaben zum Geschlecht des Benutzers hat, dazu seine Postleitzahl und das Geburtsdatum, kann durch Abgleich mit bestehenden Datenbanken von Personen die Information ableiten, um wen es sich handelt.
Es verwundert schon ein bisschen: Wir möchten einerseits bombensichere oder eindeutige Identifikationen und Zugangsberechtigungen wie Fingerabdrucksensor oder Iris-Scanner, um unser Smartphone und Laptop vor Zugriffen Dritter zu schützen. Und andererseits geben wir unsere Daten dann doch bereitwillig heraus: Bei Facebook, Google, Twitter sogar bei der kostenlosen und scheinbar harmlosen Smartphone App, die – kaum installiert – auch schon mit der Datensammelei beginnt. Oder warum sonst überträgt beispielsweise WhatsApp automatisch Kontaktdaten aus ihrem Telefonbuch in sein System? Was mit unseren Daten eigentlich passiert oder welche Datenverarbeitungsprozesse im Hintergrund ablaufen, können wir oftmals kaum nachvollziehen. Ganz gleich wo Sie surfen, was Sie suchen, ob Sie „Liken“ oder Kaufen: Seien Sie sich bitte stets bewusst, dass Ihre Daten einen hohen Wert haben und gehen Sie privat wie im Beruf bewusst sparsam mit personenbezogenen Daten um. Sie haben es selbst in der Hand, ob und wofür Sie auf Ihre Privatsphäre und Ihren Datenschutz verzichten.
Der Beitrag Der große Datenhunger: Alles für alle und das umsonst? erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.
Raffinierte RansomwareIn perfektem Deutsch kommt die E-Mail eines ganz offenbar seriösen Absenders. In ihrem Anhang eine Rechnung im Word-Dokument. Kein Grund also für den Buchhalter einer Firma, die E-Mail samt Anhang nicht zu öffnen. Was er nicht weiß: Im Dokument befindet sich ein Makro, das durch die nicht scharf gestellte Virenerkennung der Firewall geschlüpft ist. Nach dem Öffnen ist das Dokument leer, enthält lediglich den Warnhinweis „Inhalte aktivieren – Makros wurden deaktiviert“. Wer nicht schon einmal in der Vergangenheit mit Makros Erfahrung machen musste, klickt – wie unser Buchhalter – also auf „Inhalte aktivieren“ im vermeintlich leeren Dokument.
Das aktivierte Makro hat nun freie Bahn, lädt Malware aus dem Internet und startet sie. Der Trojaner verschlüsselt Dokumente, Mediendateien und Web-Dateien – nicht nur auf dem Rechner unseres Buchhalters, sondern auf allen Netzlaufwerken. Das gesamte Firmennetz wird lahmgelegt, kein Mitarbeiter kann noch auf irgendein Dokument zugreifen. Als einzig lesbare Datei erscheint auf dem Desktop eine Zahlungsaufforderung mit dem Hinweis, dass sämtliche verschlüsselte Daten erst wieder freigegeben werden, wenn dieser nachgekommen wird. Das Geld – 0,5 Bitcoins, rund 200 Euro – soll an eine Bitcoin-Wallet gezahlt werden. Wie das Bitcoin-System funktioniert, wird ganz genau erklärt.
Der Schutz vor Ransomware hat bei unserem Buchhalter nicht funktioniert. Und er ist kein Einzelfall. Trojaner wie Locky, TeslaCrypt und andere zu erkennen, ist nicht banal: Der Sicherheitsforscher Kevin Beaumont zählte alleine für Locky 5000 Neuinfektionen auf deutschen Rechnern pro Stunde! Der Verschlüsselungstrojaner kommt meist als Makro in Microsoft Office-Dokumenten, einige Locky-Varianten tarnen sich aber genauso gut als Bild im E-Mail-Anhang oder als Fax.
Ganz neu ist Erpresser-Software, die Dateien ihrer Opfer verschlüsselt und nur gegen Lösegeld wieder freigibt, allerdings nicht – bereits seit Jahren warnen Experten vor Ransomware. Seit September 2015 hat sich die Bedrohungslage jedoch dramatisch verschärft: Allein bis Februar 2016 hat weltweit die Zahl der Krypto-Trojaner um das sechsfache, in Deutschland sogar um das zehnfache, zugenommen. Immer neue Varianten an Ransomware halten Computernutzer seit Monaten in Atem: Nach CryptoWall und TeslaCrypt haben vor allem auch Locky und Petya unrühmliche Bekanntheit erlangt.
Ganz aktuell treiben Jigsaw und Goznym ihr Unwesen: Die Ransomware Jigsaw verschlüsselt nicht nur Dateien unter Windows, sondern will nach und nach auch stündlich Dateien löschen, wenn Opfer das Lösegeld nicht zahlen. Goznym ist von anderem Kaliber: Cyberkriminelle haben den Code der beiden Malwarevarianten Nymaim, einer typischen Ransomware, und der Schadsoftware Gozi ISFB, die Anfang April insbesondere Schweizer Banken im Visier hatte, jetzt miteinander kombiniert. Entstanden ist ein gut getarnter Trojaner, der hochentwickelte Online-Banking-Angriffe ermöglicht. Binnen weniger Tage hat der neue hybride Banking-Trojaner bereits mehr als 24 amerikanische und kanadische Bankhäuser um Millionen Dollar erleichtert!
Denjenigen, die sich einen dieser Schädlinge einfangen haben und keine Sicherheitskopien der Dateien besitzen, rät die Bundespolizei, viele Experten und auch wir von GBS dringend von jeglichen Lösegeldzahlungen ab. Denn selbst danach ist nicht sichergestellt, dass die Daten wieder entschlüsselt werden – zumal mit jeder Lösegeldzahlung die Entwicklung und Verbreitung immer neuer Krypto-Trojaner unterstützt wird.
Verschlüsselungstrojaner verbreiten sich trotz massiver Berichterstattung und Aufklärung in den Medien auch deshalb so rasend schnell, weil ihre Tarnung derart gut ist, dass selbst erfahrene Anwender nicht immer auf Anhieb erkennen können, ob es sich um einen Angriff handelt. Durch Vortäuschen eines vertrauenswürdigen Absenders oder legitimen Anliegens werden Mitarbeiter dazu verleitet, schadhafte Dateianhänge von E-Mails zu öffnen oder verseuchte Links anzuklicken, um so die Schadprogramme in die Netzwerke einzuschleusen.
Hinzu kommt: Ransomware ist qualitativ gut geworden. Für Jigsaw gib es glücklicherweise bereits ein kostenloses Entschlüsselungs-Tool, den JigsawDecryptor. Auch bei TeslaCrypt sah es zunächst gut aus: Die Ransomware wurde im Februar geknackt. Aufgrund eines Fauxpas der Gauner lies sich der Schlüssel mit dem kostenlosen Tool TeslaDecoder rekonstruieren. Aber: Die Erpresser haben schnell nachgerüstet und TeslaCrypt 3.0 bügelte diesen Fehler aus. Die Version tauchte im Januar 2016 erstmals auf und TeslaDecoder hilft schon nicht mehr weiter. Nach Informationen der IT-Seite und Informationsquelle für Ransomware-Opfer Bleepingcomputer.com, ist sogar eine weitere Variante – TeslaCrypt 4.0 – in Umlauf, die Dateien größer als vier GByte korrekt verschlüsseln kann. Heimdal Security zufolge soll TeslaCrypt 4.0 hauptsächlich via Drive-by-Downloads über das Angler Exploit Kit verteilt werden. Ein Entschlüsselungs-Tool ist noch nicht in Sicht.
Auch bei Locky, hat noch niemand eine Schwachstelle gefunden, die es erlauben würde, die verschlüsselten Daten ohne die Hilfe der Täter wieder zu entschlüsseln. Sicherheitsforscher Linus Neumann, einer der Sprecher des Chaos Computer Clubs, bringt es auf den Punkt: „Immerhin haben die Täter 20 Jahre Erfahrung aus dem Wettrüsten mit Antiviren-Firmen“. Infektionsroutine, die Kommunikation mit dem Command-and-Control-Server, über den die Täter mit ihrer Software kommunizieren, sowie andere Details seinen vorbildlich programmiert.
Angesichts oben geschilderter Attacken, reicht eine Sensibilisierung von Mitarbeitern längst nicht mehr aus. Vielmehr müssen Unternehmen verstärkt auch geeignete technische Sicherheitsmaßnahmen ergreifen, um Ransomware einen Riegel vorzuschieben. Ein wirkungsvoller Schutz vor Krypto-Trojanern beginnt beim Blockieren verdächtiger Dateitypen, geht über das Entfernen von potentiell verdächtigen E-Mail-Inhalten, wie Makros in Office-Anhängen, bis hin zum Umwandeln von E-Mails ins PDF-Format, wodurch ebenfalls verdächtige und verseuchte Inhalte entfernt werden. Grundsätzlich ist auch eine Mehrscanner-Strategie eine erste Hürde für Angreifer: Laut IT-Verband Bitkom werden rund 350.000 neue Schadprogramme Tag für Tag in Umlauf gebracht – das sind rund 243 Trojaner, Viren und Würmer pro Minute. Der parallele Einsatz mehrerer Anti-Virenscanner mit Cloud-Erkennungstechnologie kann unbekannte Schädlinge mit hoher Wahrscheinlichkeit zeitnah erkennen und unterbinden.
Dem Thema „Trojaner“ widmet sich GBS auch in einem Ratgeber, der kostenlos zum Download bereit steht. Der Security Guide beleuchtet die aktuelle Bedrohungslage durch Krypto-Trojaner näher und erklärt die Funktionsweise sowie Angriffstechniken von Verschlüsselungs-Trojanern. Ein großer Abschnitt gibt Tipps, welche Schritte Betroffene nach einem Befall durch Krypto-Trojaner sofort einleiten sollten und erklärt, wie man sich mit Hilfe der iQ.Suite vor Verschlüsselungs-Trojanern schützen kann.Der Beitrag Ransomware als perfides Geschäftsmodell erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.
d!conomy: join – create – succeedWir blicken auf einen erfolgreichen ersten CeBIT Tag zurück. Angetreten ist GBS in diesem Jahr in Halle 2 mit einem spannenden Themenmix aus E-Mail Sicherheit, Workflow-Technologien und Anwendungserstellung – und der stößt beim Messepublikum auf enormes Interesse.
Die weltweit größte ITK-Messe hat das Motto „digitale Transformation“ ausgerufen. Die Digitalisierung hat inzwischen alle Bereiche von Wirtschaft und Gesellschaft erreicht und bietet gewaltige Chancen aber auch Herausforderungen. Vor dem Hintergrund der digitalen Transformation spielt die Plattformunabhängigkeit von Geschäftsprozesse und deren mobile Verfügbarkeit eine immer größere Rolle. Gleichzeitig funktioniert Digitalisierung jedoch nicht ohne umfassende IT-Sicherheitsmaßnahmen.
Wir haben bei unseren Kolleginnen und Kollegen am Stand nachgefragt, was die Gemüter von IT-Managern, CIOs und Geschäftsführern in diesem Jahr besonders bewegt. Das einhellige Feedback: Die zunehmende Zahl von Cyberattacken denen Unternehmen ausgesetzt sind, als Begleiterscheinung der wachsenden Digitalisierung sowie deren effektive Abwehr. Ein großes Thema ist außerdem der Datenschutz beziehungsweise die Vermeidung von ungewolltem Datenabfluss im E-Mail-Verkehr.
Mit dem verbesserten Phishing- und Spam-Schutz der iQ.Suite, durch Integration der Kaspersky Sicherheitstechnologien sowie der Erweiterung von iQ.Suite DLP um fortschrittliche Technologien zur Erkennung von Verhaltensanomalien im E-Mail-Versand, haben wir offenbar genau ins Schwarze getroffen.
E-Mail hat sich zum Einfallstor Nummer 1 für Cyberbedrohungen entwickelt. Unsere Kollegen werden deshalb nicht müde darauf aufmerksam zu machen, dass gerade E-Mail-Sicherheit nicht dem einzelnen Mitarbeiter im Unternehmen überlassen bleiben sollte. Vielmehr sind es hier zentrale Lösungen, die Datenklau verhindern, durchgängigen Schutz gewährleisten und obendrein Anwender entlasten. Themen wie die frühzeitige Analyse von Bedrohungen, eine bessere Erkennung von Phishing Mails, die Verbesserung des Datenschutzes durch E-Mail Verschlüsselung sowie die Vermeidung von Datenklau stehen im Mittelpunkt der Beratung.
Insbesondere Phishing-Attacken erleben derzeit ein „Comeback“. Etliche Messebesucher erzählen uns, wie ihre Mitarbeiter mit täuschend echt aussehenden E-Mails dazu verleitet werden schadhafte Dateianhänge zu öffnen oder in Mails eingebauten Links zu folgen. Diese werden dann wiederum unbemerkt Malware ins Netzwerk einzuschleusen.
Zunehmend Schwierigkeiten bereitet Ransomware. Es handelt sich dabei um Trojaner, die Geschäftsdateien verschlüsseln und ein Erpresserschreiben mit Zahlungsaufforderung für die Entschlüsselung der Dateien hinterlassen. Die Verschlüsselungstrojaner finden ihren Weg über „Drive-by-Downloads“ oder diverse „Spam-Kampagnen“ auf die IT-Systeme: Ganz gezielt verschicken Cyberkriminelle E-Mails an Mitarbeiter, um diese mit fingierten Bewerbungen, gefälschten Rechnungen oder vermeintlichen Paketlieferungen in die Falle zu locken und den infizierten Anhang ausführen zu lassen.
Die Bedrohung durch Trojaner und Viren ist dabei ganz real: Erst letzten Monat hat ein als Anhang einer E-Mail verschickter Computervirus die IT-Systeme eines Krankenhauses in Neuss lahmgelegt. Zwar seien keine Patientendaten abhandengekommen, dennoch musste der Normalbetrieb unterbrochen und sogar Operationen verschoben werden.
Dass solche Vorkommnisse kein Einzelfall sind, zeigt Krypto-Trojaner Locky: Der Windows-Schädling, der aktuell hierzulande sein Unwesen treibt, wird per E-Mail verschickt und infiziert allein in Deutschland mehr als 5000 Rechner pro Stunde. Und die Cyberkriminellen schlafen nicht: Kaum ist der nicht minder berühmt berüchtigte Verschlüsselungs-Trojaner TeslaCrypt 2 geknackt worden, kursiert auch schon der Nachfolger TeslaCrypt 3. Die fränkische Gemeinde Dettelbach hat erst kürzlich Lösegeld für die Freigabe von EDV-Daten gezahlt, nachdem sie Opfer der Schadsoftware Version 3 wurde.
Was kann man also tun um Phishing Mails rechtzeitig zu erkennen? Gefragt ist ein dedizierter Schutz, der verdächtige URLs in E-Mails zuverlässig identifiziert und die gesamte E-Mail in Quarantäne stellt. Allerdings entbindet dies Unternehmen nicht von ihrer Pflicht, Mitarbeiter zu schulen und für die Gefahren durch Phishing Mails zu sensibilisieren. Denn eine 100%-ige Sicherheit gibt es nicht!
Trotz der wachsenden Bedrohungslage setzen längst nicht alle Unternehmen auf E-Mail-Verschlüsselung. Oft heißt es, Verschlüsselung sei zu komplex, die Mitarbeiter mit diesem Thema am Arbeitsplatz überfordert. Möchte man Vertraulichkeit und Datenschutz verbessern, empfehlen wir deshalb einen zentralen Ansatz zu verfolgen: Mitarbeiter müssen sich dadurch nicht mit der Ver- und Entschlüsselung beschäftigen. iQ.Suite setzt hier auf ein zentrales Management und innovative web- oder PDF-basierte Technologien. Unternehmen schaffen so auch den Spagat zwischen Benutzerfreundlichkeit, Sicherheit und Wirtschaftlichkeit.
Häufig noch unterschätzt wird das Thema Datenabfluss – hervorgerufen entweder böswillig durch Angreifer oder fahrlässig durch eigene Mitarbeiter. Dabei sollen bei sage und schreibe 55 Prozent aller Cyberattacken die eigenen Mitarbeiter involviert sein. Unsere Kollegen setzen sich deshalb auf der CeBIT verstärkt auch für den Schutz der ausgehenden Kommunikation ein und beraten zu möglichen Lösungswegen. Es greifen hier nur Automatismen, die an zentraler Stelle Datenklau erkennen und verhindern. GBS setzt dazu auf Techniken, die Dateitypen oder sensible E-Mail Inhalte identifizieren und deren Versand verhindern können. Selbst die intelligente Erkennung von Verhaltensanomalien, beispielsweise ein unverhältnismäßig hoher Versand an E-Mails, kann damit aufgedeckt und unterbunden werden. In Kopplung mit einer 4-Augen-Prüfung kann Datendiebstahl wirksam eingedämmt werden.
Themen rund um Workflow und Geschäftsprozesse werden wir im nächsten Blogbeitrag näher beleuchten.
Der Beitrag GBS live von der CeBIT: Das bewegt IT-Manager und CIOs in diesem Jahr erschien zuerst auf GBS - Der Blog rund um Collaboration & Co.
