IT-Sicherheitsprobleme waren auch beim 36C3, dem Jahrestreffen des Chaos Computer Clubs, Ende Dezember 2019 in Leipzig wenig überraschend wieder eines der zentralen Themen. Die schnell voranschreitende Digitalisierung des Alltags stellt Hackerinnen und Sicherheitsexperten vor immer drängendere Probleme. Vor allem “der Schuldenberg an unaufgeräumten technologischen Problemen” aus der Vergangenheit drohe, so beschreibt es CCC-Sprecher Frank Rieger, zur Mammutaufgabe zu werden.
Ransomware bedroht Betriebe und Behörden
Die in den letzten Jahren immer weitere Verbreitung findende sogenannte Ransomware ist ein gutes Beispiel für diese Entwicklung. Bei Ransomware handelt es sich um Schadsoftware, die etwa die Festplatten eines Computers oder gar eines ganzen Rechnernetzwerks verschlüsselt und nur gegen Zahlung eines “Lösegelds” wieder freigibt. Als Einfallstore für solche Erpressungssoftware nutzen die Kriminellen häufig Schwachstellen und Mechanismen, die schon seit vielen Jahren bekannt sind. Gerade Windows-Netzwerke, in denen die IT-Sicherheit oft aufwendig und teuer ist, sind von solchen Angriffen betroffen. Mehr als eine halbe Millionen Dollar Lösegeld zahlte zum Beispiel der Stadtrat von Riviera Beach in Florida im Sommer 2019 an unbekannte Kriminelle, die das IT-System der Stadt lahmgelegt und mit der Löschung wichtiger Daten gedroht hatten. Auch Krankenhäuser, Kraftwerke und andere kritische Infrastrukturen waren in der Vergangenheit bereits Opfer von Ransomware-Angriffen. Gerade wichtige Institutionen nutzten oft die ältesten IT-Systeme, erklärt Rieger und macht damit deutlich, dass solche Attacken daher besonders leicht dort stattfinden können, wo es am schlimmsten ist.
Per Phishingmail verteilte Makros als Einfallstor für Schadsoftware
Nach wie vor werden von den Kriminellen auch vergleichsweise einfache Tricks genutzt, um die Systeme der Opfer zu übernehmen. Ganz oben auf der Liste stehen bis heute die in MS-Office-Dokumente einbettbaren Makros, die es erlauben, programmierbare Scripts auf den betroffenen Rechnern auszuführen. Verteilt werden solche manipulierten Dateien oft über Phishingmails, die unbedachte Nutzerinnen und Nutzer, meist ohne zu wissen, dass auch Word- oder Excel-Dateien Schadcode enthalten können, öffnen. Frank Rieger appellierte auf dem 36C3 daher auch an Microsoft, die Ausführung von Makros in Office-Dokumenten ein für alle Mal abzuschaffen. Zumindest IT-Administratoren sollten mit ihren Vorgesetzten aber klären, ob Makros in der Firma wirklich noch zeitgemäß sind. Immerhin führten die immer häufiger notwendig werdenden Lösegeldzahlungen zu einem Umdenken in den IT-Abteilungen von Verwaltungen und Unternehmen, diagnostizieren CCC-Sprecher Rieger und seine Mitstreiterinnen und Mitstreiter. Der durch Cyberkriminelle verursachte Schaden wird so eindeutiger zu beziffern und lässt sich einfacher gegen die Kosten professioneller IT-Sicherheits-Mitarbeiter abwägen. Die größten Sicherheitsprobleme der Zukunft sehen die CCC-Hackerinnen und Hacker daher auch in anderen Bereichen.
5G, intelligente Stromzähler und smarte Türschlösser
In vielen der heute recht achtlos installierten, smarten Elektrogeräte für den Alltag sehen die Hackerinnen und Hacker tickende Zeitbomben. Ob es um intelligente Türklingeln geht oder Audioassistenten wie Alexa. Die zunehmende Vernetzung der Welt trägt dazu bei, dass solche Geräte in Zukunft ebenfalls zu immer attraktiveren Angriffszielen werden. Die bei den Betreiberfirmen anfallenden persönlichen Daten der Kundinnen und Kunden gelten genauso als gefährdet. So seien zum Beispiel die Video-Klingeln der Amazon-Marke Ring leicht zu hacken. Kriminelle seien dadurch in der Lage aus der Ferne auszukundschaften, wann ein Einbruch lohnt und dann bei passender Gelegenheit zuzuschlagen. Die eigentlich als Sicherheitstechnologie vermarktete Klingel werde so selbst zum Risikofaktor. Vom Eingriff in die Privatsphäre der Kundinnen und Kunden ganz zu schweigen. Gerade auch bei den in Deutschland bald verpflichtend werdenden smarten Stromzählern gebe es nach wie vor große Sicherheitsbedenken. Vor allem aber sei nicht klar, wie die Technik sich im Laufe der kommenden Jahre entwickeln werde. Gut möglich, dass die Kundinnen und Kunden schon in wenigen Jahren auf einem Berg nicht mehr mit Sicherheitsupdates versorgter Elektronikgeräte sitzen werden. Spätestens wenn selbst die berühmte Milchkanne per 5G am Netz hängt, wird sich zeigen, ob die Gerätehersteller diesmal die Sicherheit von Anfang an mitdenken.
Auch in öffentlichen Datenquellen wie Google Streetview oder den immer detaillierter werdenden Satellitenaufnahmen, die über Kartendienste eingesehen werden können, sehen die Hackerinnen und Hacker eine mögliche Gefahrenquelle. Persönliche Informationen über Privatpersonen geraten so oft unbeabsichtigt mit an die Öffentlichkeit. Auch hier werde die Verbreitung von Mobilfunknetzen der fünften Generation weitere Gefahrenquellen schaffen. Besonders unangenehm: Hier sind mitunter Menschen betroffen, die selbst gar nicht die entsprechenden Services nutzen.
Jetzt für morgen planen
Für 2020 und die folgenden Jahre rechnen Frank Rieger und der CCC mit weiteren Datenschutz-Desastern. Die Digitalisierungsstrategie von heute sei, so Rieger, der Datenreichtum von morgen. Immer mehr technisch unbedarfte Nutzerinnen und Nutzer greifen heute auf Cloud-Services zu. Oft ohne das selbst überhaupt zu wissen. In Rechenzentren von Google, Apple und Co. gespeicherte Adressbücher, Fotoalben oder Dokumente stellen potenzielle Angriffsflächen für die Kriminellen von morgen dar. Das gilt sowohl für private Anwenderinnen und Anwender als auch für die Systeme in Betrieben. Denn auch dort wird die lokale IT-Infrastruktur immer enger und häufig unbemerkt mit der Cloud verzahnt. Um in Zukunft nicht abermals mit den unaufgeräumten technischen Problemen aus der Vergangenheit konfrontiert zu werden, gilt es jetzt die Weichen richtig zu stellen.
Bei uns wird jeder Zugriff, jede Datei multidimensional auf Viren, Ransomware oder sonstige Schadcodes geprüft. Mit unserem Safe sind Sie sicher.