Das erste Quartal 2019 liegt hinter uns, und es ist Zeit, aus IT-Security-Sicht ein erstes Resümee zu ziehen. Die Anzahl der Ereignisse der ersten drei Monate 2019 sind rekordverdächtig – daher handelt es sich nachfolgend um einen Auszug relevanter Ereignisse und Statistiken. Die Digitalisierung kommt zunehmend in den Unternehmen an. Gerade bei der IT-Sicherheit besteht aber häufig noch Nachholbedarf. Gleiches gilt für Privatanwender. Immer mehr Aufgaben werden digital erledigt. Diese Veränderungen im betrieblichen und persönlichen Alltag bemerken auch Cyberkriminelle und sind natürlich auf lukrative Beute aus.
1. Malware-Bedrohungslage
Global betrachtet sind Computerschädlinge immer noch das Rückgrat der eCrime-Industrie. Für Deutschland, Österreich und die Schweiz ist länderübergreifend eine vergleichbares Malware-Szenario zu beobachten: JavaScript basierende Bedrohungen dominieren die Schadcode-Landschaft und sind für 40 - 50% der Top10 der von ESET blockierten Angriffe verantwortlich. Mit ihrer Hilfe versuchen Cyberkriminelle „dateilose“ Angriffe zu realisieren, Webanfragen auf gefälschte Seiten umzuleiten oder Adware zu verbreiten. Mit DoublePulsar treibt zudem ein alter Bekannter immer noch in den Top 10 sein Unwesen. Es handelt sich dabei um eine eigentlich längst geschlossene Schwachstelle im SMB Netzwerkprotokoll, über die verschiedene Malware nachgeladen wird. Die berüchtigste ist hierbei ohne Frage der Verschlüsselungstrojaner WannaCry(ptor). DoublePulsar ist weltweit konstant für ungefähr vier Prozent aller blockierten Angriffsversuche verantwortlich. Die „Hitliste“ wird täglich wechselnd komplettiert durch verschiedene gefälschte PDF, Word Dokumente und andere Bedrohungen. Die Häufigkeit und die Verbreitung einzelner Computerschädlinge lassen sich tagesaktuell auf www.virusradar.com für die jeweiligen Länder nachvollziehen.
2. E-Voting: Eidgenossen machen den IT-Security-Check
Die Schweiz beabsichtigt, den Wahlvorgang zu digitalisieren. Das ist weltweit nichts besonderes mehr, aber: Neu und leider auch einzigartig ist, dass die Schweiz das E-Voting System vorher der IT-Security-Welt zum Anschauen und Testen überlassen hat. Interessierte Forscher konnten so das System genau unter die Lupe nehmen und auf Schwachstellen überprüfen. Leider hat sich gezeigt, dass trotz vieler erfolgreich umgesetzter Sicherheitsmaßnahmen das System nicht sicher genug vor Manipulationen geschützt ist. Schlussendlich wurde das E-Voting-Projekt also von den Schweizer Behörden wieder zurückgezogen. Aus Sicherheitssicht ist dieser Schritt unbedingt zu begrüßen – es geht schließlich um nichts weniger, als den Schutz der Demokratie.
Bauchschmerzen bereiten jedoch den IT-Experten die Länder, wie etwa die USA, in denen bereits wesentlich schlechter designte E-Voting-Systeme als das von der Schweiz getestete zum Einsatz kommen.
3. FaceTime ist Wanzenzeit
Viele Apple Nutzer staunten nicht schlecht, als die Gruppenchat Funktion des Video-Chat-Dienstes FaceTime plötzlich nicht mehr zur Verfügung stand. Doch was war passiert? Ein Teenager hatte zufällig herausgefunden, dass das Mikrofon eines über einen Gruppenchat angerufenen Gerätes unter gewissen Umständen bereits vor dem Abheben oder Abwählen durch den Nutzer aktiviert wurde. Alles was nötig war, war seine eigene Nummer zum Gruppenchat hinzuzufügen. Wenn der oder die Angerufene dann auch noch zum Ablehnen die Standby- oder die Lauter bzw. Leiser Tasten drückte, erhielt der/die AnruferIn auch noch ein Live-Bild.
Apple reagierte zunächst mit einem serverseitigen Abschalten der Gruppen-Chat-Funktion und versprach die Bereitstellung eines Updates, das jedoch länger dauerte, als zunächst angenommen. Fast zwei Wochen nach Bekanntwerden der Lücke sollte die Schwachstelle mit iOS 12.1.4 zwar geschlossen sein, viele Nutzer berichteten nun jedoch über Probleme, die Gruppenchat Funktion wieder normal nutzen zu können.
Mit iOS 12.2 wurden dann zwei Monate später auch noch andere Lücken geschlossen, über die sich das Mikrofon eines iPhones oder iPads aus der Ferne aktivieren ließen.
4. Die „längste Testversion der Welt“
Das beliebte Pack- und Entpack-Programm WinRAR hat leider für Negativschlagzeilen gesorgt. Das lag aber nicht daran, dass sich die Macher dazu entschlossen haben, den Testversionshinweisen auch Taten folgen zu lassen und den Dienst zu verweigern. Es lag daran, dass eine 19 Jahre alte Sicherheitslücke im Programm missbraucht werden konnte. Ein Fix wurde zwar veröffentlicht, aber die Statistiken zeigen, dass WinRAR auch mit das am seltensten aktualisierte Programm auf einem PC ist.
Ohne Update können Angreifer aber weiterhin durch das bloße Entpacken einer Datei einen Trojaner im Autostart des Rechners platzieren und so die Kontrolle über das Gerät erlangen.
Dieses Beispiel zeigt einmal mehr, dass es wichtig ist, dass die installierte Software regelmäßig überprüft und aktualisiert wird!
5. Pwn2own – 3, 2, 1… Meins!
Ein renommierter Hackerwettbewerb nennt sich Pwn2own, was „pawn to own“ ausgesprochen wird und soviel bedeutet wie: „knackst Du es, behältst Du es“. Einem Team namens Fluoroacetate gelang es dabei, über das Entertainment-System des Fahrzeugs einen Tesla zu hacken – und am Ende des Wettbewerbs diesen und weitere 375.000 US-Dollar Preisgeld mit nach Hause zu nehmen. Doch warum ist das wichtig zu wissen? Nun, es ist wichtig, dass es solche Events gibt, bei denen Firmen wie Tesla ihre Produkte für einen „Hardcore-Security-Check“ zur Verfügung stellen. Das Fahrzeug bei erfolgreichem Einbruch behalten zu können, ist neben dem Preisgeld natürlich ein weiterer Anreiz, sein Bestes als White-Hat-Hacker zu geben. Durch unabhängige Untersuchungen und Anreize, wie einem Bug-Bounty-Programm, gelingt es, die Sicherheit voll vernetzter Systeme weiter zu erhöhen.
6. Facebook - mal wieder
Zu den fast schon nicht mehr wahrgenommenen Meldungen über massenhaften Datendiebstahl, die natürlich auch im ersten Quartal wieder zu verzeichnen waren, gab es wieder einen Beteiligten, der zu den Klassikern seiner Zunft gehört. Facebook, die Ikone sozialer Netzwerke zeigte sich zum wiederholten Male allzu sozial wenn es darum geht, die Daten seiner Nutzer zu teilen. Leider hat „das blaue „F“ etwas übertrieben und potentiell mehreren Tausend seiner Mitarbeiter den Zugang zu Hunderten Millionen Passwörtern der Facebook-Nutzer im Klartext gewährt. Bisher sind uns allerdings keine Meldungen bekannt, dass diese Mitarbeiter die Kundenpasswörter missbräuchlich verwendet hätten. Ein erneuter Datenschutzskandal bleibt es dennoch.
Fazit
Natürlich sind dies nicht alle sicherheitsrelevanten Meldungen des ersten Quartals gewesen. Aber sie zeigen doch verschiedene, interessante Parallelen und Möglichkeiten. Was sollten wir aus den Vorfällen lernen?
Viele der Security-Vorfälle wären mit konsequent umgesetzten Konzepten und mit Hilfe zeitgemäßer IT-Security-Werkzeuge vermeidbar gewesen.
Fehlerhafter Programmcode ist weithin eine der Haupteinfallstore für Massenangriffe und sogenannter "Targeted Attacks". Viele wären aber im Vorfeld oder während des Produktlebenszykluses vermeidbar gewesen, wenn angemessene Qualitätssicherungsmaßnahmen und Code-Reviews zum Tragen gekommen wären.
Die steigende Zahl der Sicherheitsmeldungen aber auch ist ein Indikator dafür, dass das Bewusstsein für IT-Sicherheit wächst und aktiv an der Behebung von Softwarelücken gearbeitet wird. Denn nur Lücken, die auch bekannt werden, sind durch Updates zu beheben.
Das regelmäßige Informieren, Überprüfen, Updaten und Umsetzen des erworbenen Wissens ist mehr denn je ein wichtiger Grundpfeiler einer soliden Security-Strategie. Entwarnung kann und sollte aber letztendlich nicht gegeben werden – denn: So lange von den verantwortlichen Akteuren, ob Privatanwender oder Unternehmen, diese Punkte nicht verinnerlicht und umgesetzt werden, sind Datendiebstähle, Sicherheitslücken und erfolgreiche Ransomware-Attacken weiterhin Alltag. Dieses fehlende Bewusstsein unterstreicht eine Umfrage des BSI: 20 Prozent der Befragten Unternehmen, Behörden und anderer Institutionen gehen „nicht davon aus, dass Cyber-Vorfälle Störungen und/oder Ausfälle im Betriebsablauf verursachen können.“ Ein Umdenken ist hier dringend erforderlich, denn nur wenn vom Chef bis zum einfachen Angestellten alle für das Thema IT-Sicherheit sensibilisiert sind, können Zwischenfälle vermieden oder zumindest eingedämmt werden.
Image Credit:Photo by NORTHFOLK on Unsplash