Cyberkriminalität: Methoden werden immer ausgefeilter

Die Geschichte des Hacking ist mittlerweile mehrere Jahrzehnte alt. Vom Phreaking der siebziger Jahre, wodurch technisch Versierte die Telefonrechnung drastisch senken konnten, über Angriffe auf BTX und ARPAnet bis hin zu den heutigen Bedrohungen war es ein weiter Weg, über den sich zahlreiche Geschichten erzählen lassen. Auch die Motivation hat sich im Lauf der Zeit verändert – vom Eigennutz der kostenlosen Telefonie bis hin zu Abenteuerlust und dem Beweis der eigenen Fähigkeiten von Hackern und Script Kiddies, ioder oft auch, um eine – vermeintliche – Unfähigkeit von Admins zu belegen, hat sich das „Hacking“ inzwischen zu einem eigenen Zweig der Kriminalität entwickelt, der die Verbrechen der analogen Welt digitalisiert hat: Sabotage, Spionage, Diebstahl, Raub und Erpressung. Das Ziel der illegalen Anhäufung von Vermögen ist die Triebfeder für die Entwicklung immer ausgefeilterer Methoden der Cyberkriminalität.

Bogdan Botezatu, der Autor dieses Gastbeitrags für ZDNet, ist Senior E-Threat Analyst bei Bitdefender (Bild: Bitdefender).

Die maßgeblichen Entwicklungen der zurückliegenden zehn bis zwanzig Jahre lassen eine technische Evolution von Würmern und Viren über die Manipulation von Zertifikaten bis hin zu Advanced Persistent Threats (APT) beobachten. Dabei stieg der Aufwand signifikant an: APT-Angriffe sind großangelegte Manöver mit einem immensen Ressourcenbedarf, die wichtige Infrastrukturen von großen Unternehmen und Organisationen zum Ziel haben.

Ein bekanntes Beispiel dafür war Stuxnet, ein Wurm, der Anfang dieses Jahrzehnts entdeckt wurde und speziell für den Befall eines industriellen Steuerungssystems entwickelt wurde. Professionelle Netzwerke betreiben für die Entwicklung neuartiger, profitbringender Schadsoftware einen Forschungs- und Entwicklungsaufwand mit einem Budget, das so manches Unternehmen vor Neid erblassen lassen würde.

300 Millionen Kopien Schadcode

Umso schwieriger ist es geworden, mit Cyberbedrohungen umzugehen, einen effektiven Schutz davor zu entwickeln und die Verantwortlichen aufzuspüren und dingfest zu machen. Alleine die schiere Masse an Schadcode, der im Umlauf ist – Experten sprechen von bis zu 300 Millionen Kopien pro Jahr – macht es unglaublich schwierig; die Professionalität und Komplexität schier unmöglich.

Im Zentrum der Entwicklung von Schadcode steht nämlich dessen Tarnung. Die Taktik, Viren & Co. in E-Mail-Attachments zu verstecken, macht sich eine menschliche Schwäche zunutze: die Neugier. Im Gegensatz dazu ist der Hebel bei in der Regel besser gesicherten IT-Umgebungen in Unternehmen ein anderer: Dort steht die Ausnutzung der Schwächen der Verteidigungssysteme im Fokus der Attacke. Das große Ding der heutigen Zeit sind in diesem Bereich Zero-Day-Exploits, die bis dato unentdeckte Lücken in breit genutzten Anwendungen wie Browsern oder eben auch Sicherheitssoftware ausnutzen.

Fest steht, dass Angriffe immer ausgefeilter und zahlreicher werden. Eine Ursache dafür ist die Digitalisierung des Lebens – vom mobilen Internet über Cloud Computing bis zum Internet der Dinge eröffnet die explosionsartige Zunahme von Verbindungspunkten zahlreiche neue Einstiegspunkte, um Schadcode in IT-basierte Systeme aller Art einzuschleusen. Ein besonders wunder Punkt der schönen, neuen, digitalen Welt ist die Authentifizierung: Wenn eine Anwendung angesprochen wird, muss sie davon überzeugt sein, dass der Befehl von einer autorisierten Instanz ausgesprochen wird.

Die Sicherheitslücke Fake ID, die 2014 bei Android-Versionen bis 4.2 auftrat, ist ein Beispiel dafür: Um Schadcode einzuschleusen, mussten die Angreifer ihn lediglich mit einem gefälschten Zertifikat versehen, was unglaublich einfach war. Da der Installer die Authentizität des Zertifikats nicht überprüfte, genügte es, an das gefälschte Zertifikat einfach den korrekten Dateinamen des echten Pendants zu vergeben. Angreifer konnten so allen Apps beliebige Berechtigungen zuzuweisen, die sonst nur vertrauenswürdigen Apps vorbehalten waren und Zugriff auf persönliche Daten erlangen.

Neues Angriffsverhalten

Im Zuge der immer stärkeren Vernetzung hat sich auch das Angriffsverhalten verändert und geht inzwischen weit über Attacken, die sich gegen klassische Serverstrukturen und Datenbanken richten, hinaus. So wurde 2014 ein ganz anderes vernetztes System zur Zielscheibe: das der PoS-Terminals zur bargeldlosen Zahlung an der Ladenkasse. Diese wurden bei großen Einzelhandelsketten wie Home Depot und Staples in den USA als Einfallstore genutzt. Das Ergebnis: Die Kreditkarten- und Kontodaten von insgesamt fast 60 Millionen Kunden wurden auf diese Weise gestohlen.

Das Problem hierbei: Trotz dieses dramatischen Vorfalls ist die zugrundeliegende Sicherheitsproblematik der Sicherheit von PoS-Terminals weiterhin ungelöst. Eine Schwachstelle ist auch hier der Mensch. So versäumen es viele Händler, ihre PoS-Geräte mit komplexen Passwörtern abzusichern. Weitere Mängel dort sind fehlende Anti-Malware-Software für die Systeme sowie die Integration der PoS-Geräte mit dem herkömmlichen Internetzugang. Auch werden Firmware- oder Software-Updates nicht gewissenhaft durchgeführt, sodass Cyberkriminelle dank veralteter Versionen leichteres Spiel haben.

HIGHLIGHT

Windows 10: Datenschutzeinstellungen unter der Lupe

Mit Windows 10 will Microsoft auch den Datenschutz und die Sicherheit deutlich verbessern. Hierfür stehen in den Einstellungen zahlreiche Optionen zur Verfügung, mit denen Anwender ihr Datenschutz- und Sicherheitsniveau selbst regulieren können.

Die Exploits Shellshock und Heartbleed hingegen sind Beispiele, die belegen, mit welcher Akribie Cyberkriminelle Anwendungen analysieren und so Schwachstellen finden, die selbst die Urheber, in diesem Fall die gesamte Open-Source-Community, noch nicht entdeckt haben. Shellshock nutzte eine Lücke in der Unix-Shell Bash, um Programme ungeprüft auszuführen. Dadurch konnten die Angreifer weitläufige Botnets bilden und großangelegte DoS-Attacken fahren.

Bei Heartbleed wurde perfiderweise eine Schwachstelle in einem System ausgenutzt, das den Anwender eigentlich vor Ausspähung schützen sollte, nämlich OpenSSL. Die Heartbeat-Funktion, die die Verbindung bei einem Meeting zwischen Sender und Empfänger überprüft, diente hierbei als Vehikel, um vertrauliche Informationen unerkannt zu transportieren. Das Resultat war in diesem Fall, dass Angreifer sich in jegliche SSL-geschützte Verbindung einloggen, und so Daten und Identitäten stehlen konnten.

Ransomware-Welle droht

Wie eingangs bereits erwähnt, entwickeln sich nicht nur die technischen Angriffsvektoren rasant weiter, sondern auch die „Geschäftsmodelle“ der Cyberkriminellen. Ransomware, also Programme zur Erpressung, ist in der jüngsten Vergangenheit zu einem Millionengeschäft geworden. Dabei geht es nicht darum, Personen oder Organisationen mit der Veröffentlichung sensibler Daten zu erpressen, wie es bei dem Angriff auf die Sony Corporation im Umfeld der Premiere des Films „Das Interview“ geschehen ist. Die so genannten Verschlüsselungs-Trojaner sperren ihre Opfer regelrecht aus.

Beispiel für eine Ransomware, die es auf Android-Nutzer abgesehn hat, ist
diese Variante von Android.Trojan.SLocker.DZ. In diesem Fall gaukelt sie Betroffenen vor, das FBI hätte sie ins Visier genommen, um sie zu einer Zahlung zu bewegen (Bild: Bitdefender).

Beispiele dafür sind in 2014 unter den Namen CryptoWall und Cryptolocker zu zweifelhaftem Ruhm gelangt. Die Programme wurden in die Systeme der Opfer eingeschleust und haben die dort gespeicherten Daten verschlüsselt. Bei Zahlung eines Lösegelds (englisch „ransom“), oftmals mittels Bitcoins, erhalten die Geschädigten eventuell den Schlüssel, um die Daten wieder zugänglich zu machen. Im ungünstigsten Fall wird trotz der Lösegeldzahlung der Schlüssel nicht zur Verfügung gestellt oder der Trojaner zerstört die Daten sogar unwiederbringlich.

Das Geschäft scheint recht lukrativ zu sein. Offizielle Zahlen belaufen sich auf 3 Millionen Dollar Lösegeld, die alleine von der Cryptolocker-Bande binnen weniger Wochen eingenommen wurden. Die Dunkelziffer dürfte um einiges höher liegen, viele Opfer wenden sich aus Scham nicht an die Verfolgungsbehörden oder gar die Öffentlichkeit. Die Trojaner selbst sind hochkomplex: Sie sind polymorph, das bedeutet, der Command-and-Control-Server generiert eine eigene Variante für jedes Angriffsziel. Die Server wiederum verschleiern ihren Standort über das Anonymisierungsnetz TOR. Der Verschlüsselungsalgorithmus ist so komplex, dass er unter normalen Umständen nicht zu knacken ist. Das macht dieses Geschäft so lohnenswert für Kriminelle und zu einer der größten Bedrohungen der nahen Zukunft.

AUTOR

Bogdan Botezatu ...

... ist Senior E-Threat Analyst bei Bitdefender . Das Unternehmen bietet Security-Software für Verbraucher und Firmen an. Zum Portfolio gehörn auch Schutzsoftware für Android-Geräte und Rechner mit Mac OS, ein kostenloser Online-Virenscanner sowie einige Tools, die bei der Virenentfernung helfen und über Einstellungen zur Privatsphäre aufklären.

Peter Marwan

Für ZDNet veröffentlicht Peter immer wieder Beiträge zum Thema IT Business.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

29 Minuten ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

5 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

5 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

6 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

6 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

8 Stunden ago