Der Hacker: Made in Hollywood?

Der Hacker: Made in Hollywood?

Ein Hacker ist klug, deutlich klüger als der Durchschnitt. Mit wenigen Klicks und ein paar Tastenkombinationen hat er sich in die Systeme von Regierungen, Behörden und großen Unternehmen gehackt. Er meidet die Öffentlichkeit und agiert im Verborgenen. Seine Haut ist blass, er trägt stets dunkle Kleidung und arbeitet bis spät in die Nacht hinein – so gibt es uns Hollywood jedenfalls vor. Und die von der Filmindustrie geschaffenen Stereotype bleiben in unserem Bewusstsein. Doch wer steckt eigentlich hinter den ausgeklügelten Angriffen, die Unternehmen in Angst und Schrecken versetzen? Wie können wir uns die Entwickler von Ryuk, Emotet und WannaCry vorstellen?

Im August 1986 wurden Computersabotage sowie die unbefugte Manipulation von Daten und Datenträgern, als spezielle Form der Sachbeschädigung in das Strafgesetzbuch aufgenommen. Oftmals wird der Begriff „Hacken“, vor allem im deutschsprachigen Raum, mit kriminellen Absichten gleichgesetzt. Doch nicht jeder Hacker ist kriminell – einige werden von Unternehmen in IT-Sicherheitsfragen zugezogen oder sogar gebucht, um die internen Systeme auf mögliche Sicherheitslücken zu testen. Abhängig vom Einhalten der Gesetzmäßigkeiten und der Intention ihrer Aktivitäten, lassen sich Hacker verschiedenen Gruppen zuteilen:

  • White Hats: Die „Ethical“ Hacker bewegen sich auf legalem Weg durch die Systeme von Unternehmen, die sie dafür engagiert haben, gezielt nach Schwachstellen in ihrer IT-Infrastruktur zu suchen.
  • Black Hats: Im Englischen auch bekannt als „Cracker“ sind sie die schwarzen Schafe der Hacker-Herde. Sabotage von Systemen, Erpressung und Diebstahl von vertraulichen Daten und Informationen, das ist es, worauf es Black Hats abgesehen haben. Mit ihren Hacks richten sie oftmals große finanzielle Schäden an. Die Motive können durchaus verschiedene Hintergründe haben.
  • Grey Hats: Es gibt nicht immer nur schwarz oder weiß. Zwischen den White Hats und den Black Hats agiert diese Gruppe von Hackern in einer gesetzlichen „Grauzone“. Sie machen Schwachstellen in Systemen ausfindig und veröffentlichen diese auf verschiedenen Plattformen, damit diese von den Verantwortlichen so schnell wie möglich behoben werden. Das unterscheidet sie beispielsweise von den White Hats, welche Sicherheitslücken direkt an die Betroffenen melden, ohne an die Öffentlichkeit zu gehen. Das öffentliche „Anprangern“ der IT-Schwachstellen erreicht nämlich auch Black Hats.

Einige Hacker erlangten durch ihre Tätigkeiten besondere Aufmerksamkeit. Sie gelten als „Erfinder“ besonderer Hacking-Techniken, drangen in hochgesicherte Netzwerke von Regierungen und Unternehmen ein oder deckten strenggeheime Dokumente auf. Im Folgenden stellen wir einige davon vor:

Der Vater des Social Engineering: Durch seine Social Engineering-Techniken erbeutete Kevin Mitnick sensible Unternehmensinformationen, Quellcodes und Zugänge zu Datenbanken. Unter anderem soll er mehrere Male in das Netzwerk des Verteidigungsministeriums der USA und der NSA eingedrungen sein. In den 1990er-Jahren wurde er vom FBI zum „meistgesuchtesten Hacker der Welt“ erklärt. Nachdem er einige Jahre im Gefängnis verbrachte, wechselte Mitnick die Seite. Heute arbeitet er als Penetrationstester und Dozent und berät als Geschäftsführer seiner eigenen Firma große Unternehmen bei Sicherheitsfragen ihrer Systeme.

Hagbard Celine: Karl Koch, auch bekannt als „Hagbard Celine“ ist einer der bekanntesten deutschen Hacker. Gemeinsam mit anderen Hackern verkaufte er Daten von US-Computersystemen an den russischen Geheimdienst KGB. Koch wurde im Alter von 23 Jahren tot in seinem Auto aufgefunden. Die genaue Todesursache ist jedoch bis heute nicht vollständig aufgeklärt.

Mit Spielzeugpfeife zum Ruhm: John Draper alias „Captain Crunch“ war einer der ersten Telefonhacker (Phreaker) und wurde dadurch bekannt, dass er mit einer Spielzeugpfeife aus einer Cap’n Crunch Müsli-Packung die Gebührenübermittlung einer amerikanischen Telefongesellschaft überging.[1] Gemeinsam mit einigen seiner Freunde entwickelte er die Blue Box, welche den 2600 Hertz-Ton abspielen kann, um damit kostenlose Telefongespräche führen zu können. Großes Interesse an dem Geschäft mit dem Phreaking hatte auch die organisierte Kriminalität, die damit einen guten „Umsatz“ verzeichnen konnte. Die Telefongesellschaften schrieben jedoch zeitgleich rote Zahlen und verklagten Draper als Erfinder und Verursacher dieser Entwicklung. Er wurde zu einer Bewährungsstrafe von fünf Jahren verurteilt, von denen er vier Monate im Staatgefängnis verbringen musste. In den 1970er Jahren machte er Bekanntschaft mit Steve Jobs und Steve Wozniak, den Gründern von Apple. Draper entwickelte unteranderem das Apple-Textverarbeitungsprogramm „EasyWriter“. Im Juli 2018 veröffentlichte Draper seine Autobiographie unter dem Titel „Beyond the little Blue Box“.

Whistleblower: Unter dem Pseudonym Mendax (lat. Lügner) attackierte Julian Assange fremde Computer und wurde nach einer Anklage in 24 Fällen des illegalen Hackens für schuldig befunden. 2006 gründete er die Enthüllungsplattform Wikileaks und verbreitete zensierte und vertrauliche Dokumente, welche der Öffentlichkeit normalerweise nicht oder nur eingeschränkt zugänglich sind. Aufgrund dieser Arbeit wurde Assange mehrere Male festgenommen und erfolglos verklagt. Über die Jahre hinweg geriet der Wikileaks Gründer öfter mit dem Gesetz in Konflikt, im April 2019 wurde er von der Londoner Polizei verhaftet und sitzt seitdem in einem Hochsicherheitsgefängnis in Großbritannien.

Auf das Motiv kommt es an

Die Digitalisierung, das Internet der Dinge und die globale Vernetzung machen es Hackern möglich, größere Bereiche der Gesellschaft, Wirtschaft und Politik, auch über die Landesgrenzen hinaus ihr Unwesen zu treiben. Die Ziele und Motive hinter den Aktivitäten der Hacker sind dabei sehr verschieden: Die Einen streben nach Reichtum, andere wollen politische und wirtschaftliche Veränderungen bewirken.

Hacktivists sind Cyberkriminelle, die aus politischen, religiösen oder anderen ideologischen Überzeugungen ihre Hacker-Fähigkeiten einsetzen, um gezielt die Systeme von Unternehmen, Regierungen oder Behörden manipulieren. Ein bekanntes Beispiel ist die Aktivistengruppe Anonymous. Die Gruppe wurde bereits gegen verschiedene Organisationen wie der NSA, den IS und Scientology aktiv. Aktionen von Hacktivisten sind beispielhaft dafür, wie Proteste und Rebellion in der digitalisierten Zukunft aussehen könnten. Im Juli diesen Jahres drangen Hacktivisten in die Server der bulgarischen Steuerbehörde NAP ein und stahlen Datensätze von rund 5 Millionen bulgarischen Bürgern und Unternehmen. In einer E-Mail an die Landesmedien forderten die Hacker die Freilassung des Politikaktivisten Julian Assange.

Auch „professionell“ kriminelle Organisationen machen sich die Digitalisierung zu Nutze und lagern mehr und mehr ihrer illegalen Aktivitäten in vernetzte Umgebungen aus. Die Gefahr, die von diesen Gruppen ausgeht, ist hoch, denn sie verfügen nicht nur über viele Ressourcen, sondern auch über die nötige kriminelle Energie.

Hacker, die im Auftrag von Regierungen arbeiten, verfolgen allen voran das Ziel der Spionage, aber auch Manipulation und Lahmlegen von öffentlichen Diensten stehen auf ihrer To-Do Liste. Der Cyberangriff auf iranische Uranzentrifugen im Jahr 2010, sei angeblich von staatlichen Akteuren initiiert worden. Microsoft meldete im Juli, dass rund 10.000 Nutzer innerhalb eines Jahres von Hackern, die für andere Regierungen arbeiten, angegriffen wurden. Im Gegensatz zu privaten Cyberkriminellen ist es für staatlich gesponserte Hacker leichter, in fremde Netzwerke zu gelangen, denn ihre Ressourcen sind quasi unbegrenzt.

Die Motive eines Hackers zu verstehen, kann für Unternehmen äußerst hilfreich sein. Mit der Identifikation des Angreifers können eventuelle Angriffsszenarien schon im Voraus ermittelt werden. Hat ein Hacker beispielsweise „nur“ die Absicht, sich selbst zu bereichern oder ist es eine Art Anschlag, der einem Unternehmen wirklich Schaden soll? Die Politik, Behörden und die Wirtschaft sehen eine große Bedrohung durch Cyber-Spionage, Kritische Infrastrukturen unterliegen dem wachsenden Risiko, durch Cyberangriffe sabotiert zu werden.

Grundsätzlich lässt sich eins feststellen: Das von Hollywood geschaffene Bild eines Außenseiters verblasst. Zum Vorschein treten äußerst differenzierte Gruppen, die durch die fortschreitende Digitalisierung unserer Welt verschiedenste Facetten dieser aufzeigen – von gut bis böse, im Alleingang oder in einem ganzen Team, um anderen zu schaden oder für das Wohl der Allgemeinheit.

Das Zeitalter der Informationen: Was macht Ihre Daten so wertvoll?

Das Zeitalter der Informationen: Was macht Ihre Daten so wertvoll?

Auf die Bedürfnisse zugeschnittene Anzeigen, schnelles Bestellen und zeitige Lieferung von Gütern aller Art, bequemes Bezahlen mit nur einem Klick. Das Internet macht für Verbraucher einiges möglich und deutlich bequemer. Doch dafür wird auch oft eine Gegenleistung erwartet: Ihre Daten.

Wissen Sie wo, welche und wie viele persönlichen Daten Sie bereits preisgegeben haben? Oftmals handelt es sich um Namen, Geburtsdatum und Kontaktdaten sowie Anschrift, aber auch sensiblere Informationen wie Bank- und Kreditkartendaten. Mindestens eine Handvoll von Unternehmen kann Sie anhand dieser Informationen identifizieren und speichert sie in ihren Systemen. Doch auch indirekt geben Sie Daten über sich preis: Bei Ihrer Online-Suche beispielsweise nach dem perfekten Geschenk für Ihren Partner, einer Amazon-Buchbestellung zum Thema Buddhismus oder bei der Recherche nach dem nächst gelegenen HNO-Arzt hinterlassen Sie digitale Spuren. Unternehmen können Ihnen so auf Basis dieser Daten passende Angebote anzeigen und anbieten.

Aus der Kopplung dieser unterschiedlichen Informationsquellen ergibt sich mehr oder weniger ein eindeutiges Bild von Ihnen. Das was Sie ausmacht, Ihre persönlichen Daten, aber auch Werte und Interessen sowie Wünsche fügen sich aus Einzelteilen zu einem Gesamtbild zusammen – Ihrer Identität. Für ein Unternehmen, das Sie als Kunden gewinnen und wissen will, was sie brauchen, sind diese Angaben der Jackpot. Sie können Sie identifizieren und gezielt mit ihren Produkten ansprechen. Doch nicht nur für Unternehmen sind Ihre Daten ein wertvolles Gut – auch Hacker gieren danach.

Immer wieder schmücken Datendiebstähle bei namenhaften Unternehmen die Schlagzeilen diverser Medien: Equifax, MasterCard, Marriott und der Cambridge Analytica Skandal im Hause Facebook, um nur einige zu nennen. Der Schaden kann oft nicht einmal genau beziffert werden. Zwar kämpfen betroffene Unternehmen um ihre Reputation und den Bestand ihrer Kunden, doch wie sieht es auf der Seite der Nutzer aus? Was macht die Nutzerdaten so wertvoll? Und wie schlimm ist es eigentlich, wenn Sie die Hoheit über Ihre Daten verlieren?

Daten als Rohstoffe der digitalen Welt

Diese Metapher begegnet uns innerhalb dieser Thematik häufig und zeichnet ein deutliches Bild von dem Wert der Daten für Unternehmen, welcher in den letzten Jahren stark gewachsen ist. Nicht ohne Grund ergeben sich neue Berufsfelder, die sich allein mit der Erhebung, Analyse und Verarbeitung von Daten befassen: Big Data Scientist, Category Manager, Data Strategist oder etwa Experte für Künstliche Intelligenz.

Innerhalb einer Studie zum Thema Datenschutz gaben 85 Prozent von 1000 befragten IT-Entscheidern an, dass Daten zur Bewältigung der geschäftlichen Herausforderungen so wertvoll wie Zahlungsmittel seien. 56 Prozent gaben weiterhin an, die analysierten Informationen zur Bestimmung der Nachfrage zu nutzen.

Auch Verbraucher sind sich laut einer Umfrage von Foresight Factory im Auftrag der GDMA darüber im Klaren, welchen Beitrag ihre Daten im Wirtschaftsgeschehen leisten. Eine Mehrheit von 60 Prozent der befragten Deutschen gehen davon aus, dass je privater die Angaben sind, desto mehr von einem Unternehmen als Gegenleistung dafür erwartet werden könnte. Dabei werden ein besserer Service, Rabatte oder kostenlose Produkte als mögliche Leistungen angeführt. Allerdings werden die Angebote zu den Services den verfügbaren Nutzerdaten stark angepasst: Android-Nutzer etwa zahlen weniger bei Amazon-Einkäufen als iPhone-Nutzer.

Brutto oder Netto? – Ihre Daten als Handelsware

Die Geschäftsidee einiger Unternehmen basiert ausschließlich auf der Erhebung und Analyse von Nutzerdaten. Nehmen wir Google oder Facebook als Beispiel, die eine große Menge an täglichen Nutzern verzeichnen können. Beide Unternehmen bieten den Verbrauchern ihre Dienste kostenlos an, ihr Geld verdienen sie vor allem mit Anzeigenplätzen. Diese sollten möglichst genau definiert werden können, wofür eine Menge an Daten nötig ist. Dazu reichen bereits nur wenige Klicks und Likes auf Facebook aus, um genau zu bestimmen, welche Vorlieben, Interessen, aber auch politische Ansichten, Intelligenz und sexuelle Orientierung Sie haben.

Anfang des Jahres machte Facebook beispielsweise mit einem aktuellen Forschungsprojekt Schlagzeilen. Das Medienunternehmen soll Berichten zufolge Nutzern im Alter von 13 bis 35 Jahren bis zu 20 Dollar pro Monat gezahlt haben, um einen sehr detaillierten Einblick in ihre Smartphone-Aktivitäten zu erlangen. Aktivitäten wie etwa Chat-Unterhaltungen und besuchte Webseiten. Das bringt uns zu der nächsten Frage: Wie viel sind Ihre Daten wirklich wert? Reichen 20 Dollar pro Monat, um seine Identität offenzulegen?

Der konkrete Wert der eigenen Daten ist schwer zu fassen. Die Financial Times versuchte dies trotzdem und setzte 2013 einen Kalkulator auf, worüber Nutzer einen pauschalen Wert ihrer Daten errechnen können. Das auf US-Daten basierende Tool vermittelt einen Eindruck, wie sich der Wert durch bestimmte Angaben wie spezifische Gesundheitsdaten oder einem Familienstatus ändern kann. Auffällig ist: Alles bleibt unter einem Dollar.

Einen ganz anderen Eindruck vermittelt die Strafzahlung von Equifax. Die US-amerikanische Wirtschaftsauskunftei wurde 2017 Opfer eines verheerenden Datendiebstahls, bei dem sensible Informationen von mehr als 140 Millionen US-Amerikanern abgegriffen wurden. Das Unternehmen zahlte eine Strafe von bis zu 700 Millionen US-Dollar, von der ein Teil des Geldes den Opfern des Hacks zu Gute kam, indem allen Betroffenen eine Kreditüberwachung finanziert wurde. Damit sollten etwa verdächtige Aktivitäten auf den Konten überwacht werden.

Ihre Datenidentität

Eine sehr klare Meinung über den Wert von personenbezogenen Daten hat der Gesetzgeber: Jeder Mensch ist individuell und schützenswert. Die Bundesrepublik hat im Rahmen des Allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG jedem Menschen ein Recht zur informationellen Selbstbestimmung eingeräumt. Zweck dieses Rechts ist es, selbst über die Nutzung und Veröffentlichung seiner Daten zu bestimmen. Darauf aufbauend trat die Datenschutzgrundverordnung im Mai 2018 in Kraft. Das schutzwürdige Gut sind personenbezogene Daten natürlicher Personen. Angaben von Unternehmen oder Vereinen fallen also nicht darunter.

Unter personenbezogenen Daten werden Daten verstanden, die eine natürliche Person identifizieren oder identifizierbar machen, wie Namen und Geburtsdaten. Dabei reicht bereits eine indirekte Verknüpfung aus, sodass auch Kundennummern oder IP-Adressen unter diesen Schutz fallen. Hinzu kommen Daten, die das Gesetz als besonders sensibel einstuft. Dazu gehören etwa religiöse und weltanschauliche Überzeugungen, Angaben zur Gesundheit, genetische und biometrische Daten. Die DSGVO räumt dem Verbraucher somit noch umfassendere Rechte ein und bürdet datensammelwütigen Unternehmen strengere Auflagen auf. Das Sammeln sowie Speichern von Daten muss beispielsweise stets zweckbezogen sein, dem Grundsatz der Datenminimierung folgen und vor unbefugten Zugriffen Dritter geschützt werden.

Das Prinzip der Integrität und Vertraulichkeit – Datensicherheit bei Unternehmen

Personenbezogene Daten müssen von den jeweiligen Unternehmen vor der Einsicht unbefugter Dritter geschützt werden. Das beinhaltet die nicht autorisierte Verarbeitung und den Schutz der Daten vor Beschädigung und Verlust.

Durch die Datenschutzgrundverordnung unterstehen Unternehmen der Pflicht, für den Schutz der Daten zu sorgen und Datenverluste durch Cyberattacken zu vermeiden. Bei Verstoß droht ein weitaus höheres Strafmaß, als noch zu Zeiten des Bundesdatenschutzgesetzes. Bis zu vier Prozent des weltweiten Jahresumsatzes können als Strafe festgesetzt werden.

Wird ein Unternehmen Opfer eines Cyberangriffs, stehen neben den personenbezogenen Daten von Kunden, Mitarbeitern und Geschäftspartnern auch unternehmensbezogene Daten, wie vertrauliche Akten und Betriebsgeheimnisse auf dem Spiel. Diese Daten werden zwar nicht von der Datenschutzgrundverordnung erfasst, jedoch muss auch hier ein umfangreicher Schutz geschaffen werden. Somit haben Unternehmen die doppelte Verantwortung: Sie müssen ihre eigenen sowie auch fremde Daten von Kunden, Geschäftspartnern und Mitarbeitern schützen.

Es gibt viele Maßnahmen, die ein Unternehmen ergreifen kann, um sich und sensible Daten vor Hackern zu schützen. Im Rahmen dieses Risikomanagements ist eine Maßnahme die Verschlüsselung von Daten. Bei der Übertragung von Sender zu Empfänger oder bei der Datenspeicherung können verschiedene Verschlüsselungsmechanismen eingesetzt werden, wie etwa die Ende-zu-Ende-Verschlüsselung bei der E-Mail-Kommunikation. Die gespeicherten oder versendeten Informationen werden nicht mehr als Klartext übertragen, sondern in eine codierte Nachricht umgewandelt, die nur mit dem passenden Schlüssel wieder lesbar wird. Den passenden Schlüssel besitzen dabei nur die Mitarbeiter, die berechtigt sind, darauf zu zugreifen. Die Gefahr einer Einsicht durch Unbefugte kann dadurch erheblich minimiert werden.

Erkennen Sie den Wert Ihrer Daten

Daten sind ein kostbares Gut im Wirtschaftsleben. Auch Verbraucher werden sich mehr und mehr bewusst darüber, dass Daten über sie gesammelt werden. Dieses Bewusstsein wird durch die geforderte hohe Transparenz der Unternehmen durch die DSGVO gestärkt. Der Schutz dieser Daten stellt eine weitere hohe Priorität für Unternehmen dar. Doch wozu die gespeicherten Daten letztendlich eingesetzt werden, welche Schlüsse daraus gezogen werden können und wo diese Daten überhaupt alles erhoben werden, darüber wird sich kaum einer im Klaren sein.

„Sextortion“-Masche: Sicherheitsexperten warnen vor Spam-Welle

„Sextortion“-Masche: Sicherheitsexperten warnen vor Spam-Welle

Eine extrem hohe Spam-Welle sogenannter „Sextortion“-E-Mails verzeichnet das Hornetsecurity Security Lab seit dem frühen Morgen des 17. September. Die Menge der Erpressermails entspricht derzeit fast 20 Prozent der gesamten weltweit eingegangenen schadhaften E-Mails, welche von den Hornetsecurity Spam-Filtern blockiert werden.
Die Nachrichten stammen größtenteils von über 340.000 legitimen E-Mail-Adressen, welche scheinbar kompromittiert wurden. Rund 19 Prozent wurden aus dynamischen IP-Adressbereichen versandt, die auf infizierte Rechner zurückzuführen sind. Insgesamt sind über 25.000 Hosts an der massenhaften Sextortion-Kampagne beteiligt. Zudem stellten die Sicherheitsexperten des Security Labs fest, dass mehr als 80 Prozent der E-Mails aus Vietnam, Indien, Brasilien, Italien und Deutschland verschickt wurden– die globalen Aktivitäten lassen darauf schließen, dass es sich hier um ein größeres Botnetz handelt.
Das Opfer erhält die Erpresser-Nachricht von einer nahezu identischen E-Mail-Adresse des Empfängers: Es macht den Anschein, dass das E-Mail-Konto des Users gehackt worden wäre. Hierbei handelt es sich jedoch um einen E-Mail-Spoofing-Angriff. Die Mail enthält keinerlei Links und ist rein textbasiert, weshalb herkömmliche Spamfilter diese Art von Cyberangriff nicht erkennen. In der Nachricht behauptet der Hacker, in Besitz von Videomaterial zu sein, das er über die Webcam des Opfers aufgenommen hat, während dieser angeblich pornografische Webseiten besuchte. Sollte der Empfänger der Nachricht nicht innerhalb von 60 Stunden 300 Euro auf das Bitcoin-Konto des Hackers überweisen, droht der Cyberkriminelle damit, die angeblich gespeicherten Videoaufnahmen an alle Kontakte im Adressbuch des „gehackten“ E-Mail-Kontos zu versenden.

Beispiel der Erpressermail:

Betreff: Ihre Daten sind gefahrdet. Passworter sofort ändern!
Sextorion E-Mail
Bei genauerem Hinsehen lässt sich die E-Mail schnell als Spam identifizieren. Die Schreibweise und Grammatik weisen darauf hin, dass es sich bei dem Text um eine Übersetzung handelt. Auch die Aufforderung, mit Bitcoin zu bezahlen, ist typisch für die kriminellen Machenschaften von Hackern, da die Transaktion sehr schwer bis kaum nachzuvollziehen ist.
Die IT-Sicherheitsexperten des Hornetsecurity Security Labs empfehlen, auf keinen Fall der Zahlung in der Erpressermail nachzugehen und den Anti-Spoofing Schutz zu überprüfen und zu konfigurieren.
Hinweis für Hornetsecurity Kunden: Die „Sextortion“-E-Mail wird mit unseren Standardfiltern unter Quarantäne gestellt.
Diagnose Cyberangriff: Wenn Krankenhäuser zum Ziel von Hackern werden

Diagnose Cyberangriff: Wenn Krankenhäuser zum Ziel von Hackern werden

Wird der Klinikrechner zum Angriffsziel von Cyberkriminellen, stehen Menschenleben auf dem Spiel. Denn auch der Gesundheitssektor wird zunehmend digitalisiert: Patientendaten werden nicht mehr in Papierakten verwahrt, sondern auf Computern gespeichert. Daten von Herzschrittmachern und Insulinpumpen werden über WLAN auf Smartphones übertragen. Etliche medizinische Geräte sind mit dem Internet verbunden. Und durch die zunehmende Vernetzung entstehen immer mehr Einfallstore für Cyberangriffe, die tödliche Folgen haben können. Sind zum Beispiel die Patientendaten durch einen IT-Ausfall für Schwestern und Ärzte nicht mehr zugänglich, könnten unter anderem Medikamente falsch verabreicht werden. Welche Dosis von welchem Medikament bekommt Patient X zu welcher Zeit? Besonders bei Herz- oder Diabetesmedikamenten kann eine Überdosierung lebensgefährlich sein. Und auch im OP-Saal besteht eine immense Gefahr: schon eine minimale Manipulation eines medizinischen Gerätes kann bei einer Operation am Herzen oder Gehirn eines Patienten nicht nur zu irreversiblen Schäden, sondern auch zum Tod führen.

Vernetzte Maschinen in der Medizin – eine Gefahr?

Im Medizinsektor spielen die Digitalisierung und die Vernetzung eine zunehmend große Rolle – ob im Operationssaal, im Labor oder in der Pflege. Der Medizinroboter DaVinci wird zum Beispiel bereits in vielen US-Kliniken und deutschen Krankenhäusern für die minimal-invasive Chirurgie eingesetzt. Von einem Kontrollpult aus steuert der Chirurg die Instrumente, DaVincis Roboterarme setzen die Handbewegungen um.
Roboter, die Menschen im Labor beim Umgang mit potenziell gefährlichen Stoffen unterstützen und Nanoroboter, die durch Blutgefäße schwimmen und pharmazeutische Wirkstoffe zu dem Punkt im Körper bringen, an dem sie benötigt werden. Die Zukunft der Medizintechnik ist vielversprechend, aber einer stetigen Gefahr ausgesetzt: Denn jedes IT-System ist bei unzureichender Sicherheit angreifbar und stellt ein potenzielles Ziel für Cyberkriminelle dar.
Bereits 2015 fanden Sicherheitsforscher knapp 70.000 medizinische Geräte mit Sicherheitslücken, unter anderem aus der Nuklearmedizin, Infusionsgeräte, Anästhesie-Equipment und Geräte für bildgebende Verfahren. Die Lücken an medizinischen Geräten bleiben auch bei Cyberkriminellen nicht unentdeckt. Erst im Juli dieses Jahres wurde das Deutsche Rote Kreuz im Saarland und in Rheinland-Pfalz Opfer einer Ransomware-Attacke. Die Erpressersoftware verschlüsselte Datenbanken und Server und legte so das gesamte Netzwerk des DRK-Klinikverbundes lahm. Aus Sicherheitsgründen wurden die Server vom Netz genommen. Die Versorgung der Patienten sei aber zu jeder Zeit gewährleistet gewesen, Patientenaufnahmen und ärztliche Befunde wurden vorerst mit Stift und Papier durchgeführt. Nach einigen Tagen wurden die Server des DRKs wieder in Betrieb genommen. Die Daten konnten aus einem Backup wiederhergestellt werden.
Im darauffolgendem Jahr geriet das Klinikum Neuss ins Visier von Hackern. Ein Mitarbeiter öffnete den infizierten Anhang einer schädlichen E-Mail und lud so einen Erpressungstrojaner auf das interne IT-System herunter, welcher sich auf sämtlichen Rechnern des Krankenhauses ausbreitete. Binnen kürzester Zeit mussten die Mitarbeiter des eigentlich hochdigitalisierten Krankenhauses in Neuss wieder auf die analoge Dokumentationsweise umsteigen.

Große Sicherheitslücken in Gesundheitseinrichtungen

Die Sicherheitsmaßnahmen in Krankenhäusern und anderen Gesundheitseinrichtungen sind im Gegensatz zu denen großer Unternehmen weniger ausgereift. Der Klinikalltag ist hektisch, Computer werden beim Verlassen des Arbeitsplatzes nicht gesperrt, für Software-Updates ist kaum Zeit. Veraltete Geräte und Systeme werden untereinander vernetzt und mit dem Internet verbunden – Sicherheitslücken entstehen an etlichen Stellen. Der Angriff in Neuss zeigt, dass das Haupteinfallstor von Cyberattacken auch hier primär die E-Mail ist. Fehlende Sensibilisierung der Mitarbeiter gibt Angriffen mit schadhaften Anhängen in E-Mails die Möglichkeit, Daten zu verschlüsseln, kopieren oder zu stehlen. Für eine Entschlüsselung fordern die Hacker ein Lösegeld, meist in Form von Kryptowährungen wie Bitcoins. Bei dem Fall des Neusser Krankenhauses konnten die Daten dank eines Backups wiederhergestellt werden und es wurde kein Lösegeld gezahlt, doch die Systeme mussten trotzdem heruntergefahren werden. Trotz des Backups hat der Cyberangriff das Krankenhaus rund eine Million Euro gekostet.

Wie können sich Krankenhäuser schützen?

Cyberangriffe sind nicht mehr nur ein Problem von Großkonzernen in der Industrie, sondern sind laut dem Global Risk Report 2019 des Weltwirtschaftsforums eine der weltweit größten Bedrohungen. In Anbetracht der globalen Gefahren durch Cyberangriffe, vor allem bei Attacken auf Krankenhäuser und andere Kritische Infrastrukturen besteht ein hoher Handlungsbedarf zur Sicherung von IT-Systemen.
Das Problem: Cyberkriminelle wählen immer perfidere Vorgehensweisen, um Malware und andere Schadprogramme einzuschleusen. Ein einfaches Anti-Viren-Programm reicht nicht mehr aus, um die gesamte Unternehmens-IT zu schützen. Tiefgehende Filtersysteme mit ausgeklügelten Erkennungsmechanismen, mit denen schadhafte E-Mails frühzeitig erkannt werden, bilden die Grundlage für einen vollwertigen Schutz.
Um die Erfolgsquote von Social Engineering Angriffen wie CEO-Fraud oder Phishing zu verringern, können Krankenhaus-Mitarbeiter in Schulungen zum Thema IT-Sicherheit mehr über die Merkmale schädlicher E-Mails lernen – das verringert das Risiko einer Verbreitung von Malware durch Mitarbeiter und darauffolgende Schäden.
Doch die finanziellen Mittel für die Sicherung der IT-Systeme sind begrenzt. Und auch die aktuelle Gesetzeslage macht es für Krankenhäuser schwierig, Medizingeräte abzusichern, denn diese dürfen, nachdem sie einmal zertifiziert wurden, nicht mehr verändert werden – auch nicht mit Softwareupdates. Letztendlich gilt: Die Digitalisierung bietet bei nicht bedachten Sicherheitslücken mehr Angriffsvektoren für Cyberkriminelle. Zwar gab es noch keinen gezielten Cyberangriff auf ein Krankenhaus, der einem Patienten schadete, doch es müssen geeignete und wirksame Vorkehrungen getroffen werden, um dies vorsorglich zu vermeiden. Der Sicherheit der IT-Infrastruktur in Krankenhäusern muss ein höherer Stellenwert zugeschrieben werden – denn schlussendlich kann jeder Cyberangriff auf eine Einrichtung des Gesundheitssektors, nicht nur finanzielle, sondern auch gesundheitliche Folgen haben.
Quellen
Cyberkriminalität – ein globales Risiko?

Cyberkriminalität – ein globales Risiko?

Dürren, Flutwellen, Trinkwasserkrisen und massenhaftes Aussterben von Arten – Bedrohungen, die unsere Lebensweise gefährden. Doch es sind nicht mehr nur umweltbedingte Katastrophen, die einen erschreckend großen Einfluss auf das Dasein nehmen. Im Hinblick auf Cyberkriminalität offenbart sich ein wachsendes Gefährdungspotenzial für die nationale und globale Sicherheit.

Cyberangriffe sind keine unsichtbare Bedrohung mehr: Bis 2021 schätzen Experten, dass Unternehmen weltweit mit Schäden von bis zu 6 Billionen US-Dollar rechnen müssen. Die Imageverluste und monetären Einbußen, die Firmen bereits durch Hackerangriffe erfuhren, sind immens. Doch welchen physischen Einfluss können Cyberattacken auf die Sicherheit der Bürger haben? Welche sichtbaren und spürbaren Schäden können Hacker mit einem Angriff anrichten?

Der Global Risk Report 2019 zeigt, dass Cyberangriffe nun zum dritten Jahr in Folge neben Wetterextremen, dem Scheitern des Klimaschutzes und Naturkatastrophen zu den schwerwiegendsten globalen Bedrohungen gehören. Darüber hinaus gelten großflächige Cyberattacken und der Zusammenbruch Kritischer Infrastrukturen aufgrund eines Cyberangriffs sogar als zweithäufigste Gefahr hinsichtlich Wahrscheinlichkeit und Auswirkungspotential.

Die weltweite Stabilität wird also nicht mehr nur von Naturkatastrophen oder Terrorismus beeinflusst, auch die Auswirkungen von Cyberangriffen sind bei Vorkehrungen der globalen Sicherheit zu berücksichtigen. Der Fokus der Cyberkriminellen liegt nicht mehr ausschließlich auf großen Unternehmen oder Privatpersonen, um sich finanziell zu bereichern. Industrien sowie Kritische Infrastrukturen wie Krankenhäuser und andere Versorgungsbetriebe werden immer öfter zur Zielscheibe von Cyberattacken. 2010 sorgte der Computerwurm Stuxnet im IT-System iranischer Atomanlagen für irreparablen Schaden an etlichen Uranzentrifugen. Der Angriff gilt als der erste cyber-physische Angriff, der immense Defizite an einem militärischen Ziel anrichtete.

Wenn der Strom nicht fließt: Angriffe auf Versorgungsbetriebe

Eine Studie des Ponemon Instituts ergab, dass 90 Prozent der Versorgungsbetriebe unter anderem in den Vereinigten Staaten, England, Deutschland, Australien, Mexiko und Japan Opfer mindestens einer erfolgreichen Cyberattacke wurden. Befragt wurden dazu mehr als 700 Security-Experten, tätig in Kritischen Infrastrukturen. Die Teilnehmer gaben an, dass etwa die Hälfte der Attacken zu Ausfallzeiten der Versorgungsbetriebe geführt hat.

Der Blogbeitrag „Kritische Infrastrukturen – der wohl verwundbarste Punkt eines Landes“, gab bereits einen Einblick darüber, was für verheerende Folgen eine Cyberattacke auf staatliche Versorgungsbetriebe haben kann. Ein Angriff, der einen Stromausfall verursacht, würde unter anderem zum Zusammenbruch des Verkehrssystems und dem Ausfall von Kühlungssystemen führen. Vor allem in Krankenhäusern ist das Kühlen von speziellen Impfstoffen oder Medikamenten für dessen Wirkung essenziell.

Dass Hacker durchaus in der Lage sind Kritische Infrastrukturen lahmzulegen, zeigte ein Angriff auf das ukrainische Stromnetz: Kurz vor Weihnachten im Jahr 2015 sabotierten Cyberkriminelle die Infrastruktur des Landes. Ein Mitarbeiter öffnete aus einer E-Mail  heraus ein schädliches Programm, welches die Schadsoftware „Black Energy“ installierte und nach und nach zum Ausfall der Versorgungssysteme führte. Die Folge: 700.000 Menschen hatten für circa 24 Stunden keinen Strom.

Vermehrte Angriffe auf den Gesundheitssektor

In den vergangenen Jahren rückten Gesundheitseinrichtungen vermehrt in den Fokus cyberkrimineller Aktivitäten. 2016 schleusten Hacker ein Schadprogramm in das Netzwerk des Lukas-Krankenhauses in Neuss ein. Das Krankenhaus musste wieder auf die Benutzung von Papier und Stift zurückgreifen. Die Strahlentherapie für Krebspatienten musste gestoppt und auch die Notaufnahme geschlossen werden.

2018 musste auch das Klinikum Fürstenfeldbruck über eine Woche ohne ihre Computer auskommen – schuld daran war ein Cyberangriff. Krankenwägen mussten andere Krankenhäuser ansteuern, nur noch lebensgefährlich verletzte oder erkrankte Patienten wurden in das Klinikum gebracht. Im Sommer 2019 wurden zudem mehrere Einrichtungen des Deutschen Roten Kreuzes angegriffen.

Die Vorfälle zeigen, wie verwundbar die IT-Systeme von Krankenhäusern sind. Und was passiert, wenn sich Cyberkriminelle die Schwachstellen zu Nutze machen, um zum Beispiel medizinische Geräte mit Schadsoftware zu infizieren?

Die Worst-Case-Szenarien: Werden Patientendaten verschlüsselt, haben Schwestern und Ärzte keinen Zugriff mehr auf alte Akten, in denen zum Beispiel mögliche Allergien gegen Antibiotika und andere Arzneimittel vermerkt sind. Eine allergische Reaktion oder Überdosis kann für einen Patienten tödlich enden. Doch es sind nicht nur Daten, die von Hackern verschlüsselt, gestohlen oder manipuliert werden können. Heutzutage sind diverse medizinische Geräte an das Internet angeschlossen, darunter Geräte der bildgebenden Diagnostik wie MRT und CT oder Infusionspumpen und Herzschrittmacher. Eine Manipulation der Geräte bei einer Operation an überlebenswichtigen Organen kann Leben kosten.

Kleine Sicherheitslücke, große Auswirkungen

Unsere digitale Welt schafft eine Verbindung zwischen unserem analogen Leben und unseren online Aktivitäten. Die Ausmaße von Angriffen auf die IT-Infrastruktur von beispielsweise staatlichen oder gesundheitlichen Einrichtungen können großen Einfluss auf das physische Leben haben. Das beweisen die zahlreichen genannten Beispiele. Mit einer wachsenden Anzahl an Cyberattacken unter anderem auf Kritische Infrastrukturen, die neben Unternehmen immer mehr in den Fokus geraten, ist definitiv zu rechnen. Dass es tatsächlich zu einem der beschriebenen Worst-Case-Szenarien kommt, damit ist jedoch derzeit nicht mit zu rechnen. Eine Sensibilisierung für das Thema IT-Sicherheit und Risiken von Cyberattacken gilt dennoch als essentiell. Denn bereits eine kleine Sicherheitslücke kann schwerwiegende Folgen haben – die mittlerweile mit den Gefahren durch Naturkatastrophen zu den größten globalen Bedrohungen gezählt werden.

Quellen
Absender BSI: E-Mails mit schädlichen Anhängen im Umlauf

Absender BSI: E-Mails mit schädlichen Anhängen im Umlauf

Warnung aus dem Hornetsecurity Security Lab: Derzeit versenden Cyberkriminelle E-Mails mit schädlichen Anhängen im Namen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die E-Mails tragen den Betreff „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“. Aufhänger ist der europäische Rechtsakt zur Cybersicherheit und ein eventueller Missbrauch der persönlichen Daten. Die Cyberkriminellen fordern den Empfänger auf, den Anhang zu öffnen und zu prüfen, welche Daten auf welchen Internetseiten betroffen sind. Es wird außerdem empfohlen, die Passwörter umgehend zu ändern. Die textliche Aufbereitung und das eingebaute BSI-Logo geben der Mail einen seriösen Charakter und wirken täuschend echt.

So sieht die E-Mail aktuell aus: 

Absender BSI: E-Mails mit schädlichen Anhängen im Umlauf

Bei den zuletzt eingegangenen E-Mails wurde die Absenderadresse meldung@bsi-bund.org für den Betrug verwendet. Die Mail kommt von diversen Servern, primär werden sie vom Server „bsi-bund.org“ mit der IP-Adresse 185.212.128.50 versandt. Um klassische Anti-Spam-Programme mit aktiver SPF-Überprüfung auszuhebeln, wurden auch die korrekten SPF Records für die Domain „bsi-bund.org“ gesetzt, die auf den oben genannten Server verweisen.

Der Schein trügt: Im Anhang der E-Mail befindet sich eine *pdf.lnk-Datei, die beim Öffnen automatisch ein PowerShell Kommando ausführt, das mit dem Mshta[1] Windows Tool ein .hta-Dokument von der Domain „grouph[.]xyz“ ausliest und startet. Hierbei wird der Rechner des Benutzers mit der Ransomware „Sodinokibi“ infiziert.

Auf diese Punkte sollten Sie achten:

– Absender meldung@bsi-bund.org
– Server: diverse, u.a. bsi-bund.org mit der IP-Adresse 185.212.128.50
– Betreff: „Warnmeldung kompromittierter Benutzerdaten – Bundesamt für Sicherheit in der Informationstechnik“
– Inhalt: Möglicher Missbrauch von persönlichen Daten, Aufforderung zum Öffnen des Anhangs

 

[1] https://attack.mitre.org/techniques/T1170/