Mit dem Ende von Emotet hören die Angriffe leider nicht auf. Cyberkriminalität bleibt auch 2021 ein heißes Eisen. Aktuell stechen vor allem drei Entwicklungen bei Hackern und Cyberattacken hervor – ein Überblick.
1. Social-Engineering: Hacker als Sicherheitsforscher
Das sogenannte Social-Engineering ist subtil, oft intelligent, aber nicht neu. Es zielt mittels zwischenmenschlicher Beeinflussung darauf ab, bei adressierten Personen ganz bestimmte Verhaltensweisen hervorzurufen. Die Preisgabe vertraulicher Informationen etwa, der Kauf eines Produktes oder die Freigabe von Finanzmitteln. Logisch, dass Hacker vor dieser effektiven Methode nicht Halt machen. Wie wirksam Social-Engineering-Angriffe sind, zeigt ein aktueller Vorfall, vor dem Googles Sicherheitsabteilung TAG (Threat Analysis Group) im Januar warnte.
Dabei wollte eine in Fernost vermutete Hackergruppe Sicherheitsforscher ausspionieren – und zwar auf nie dagewesene Weise: Indem sich die Hacker selbst als aktive Forscher und Cybersecurity-Berater ausgaben, konnten sie sich über Monate das Vertrauen der vermeintlichen Kollegen erschleichen und für ihre Zwecke ausnutzen. So wurden unter anderem Social-Media-Konten erzeugt. Die täuschten dann Diskussionen zwischen erfundenen Personen vor oder ließen unter Einbeziehung echter Forscher gemeinsam Software-Werkzeuge entwickeln. Das Ganze ist als aufwendig vorbereitete Attacke zu sehen. Mutmaßliches Ziel: Malware in die Forscher- und Beraterszene einzuschleusen. Auf diese Weise könnten Forscher ausspioniert und sogar Kunden von Beratern angegriffen werden, zum Beispiel, wenn diese „neue“, scheinbar aus der Sicherheitsforschung selbst stammende, Tools einsetzen.
Der Angriff macht deutlich, wie fragil der Faktor Mensch ist und wie wirksam gut vorbereitete Social-Engineering-Angriffe sind. Der von Google aufgedeckte Vorfall ist damit Warnung und Weckruf zugleich, die Standards in der Sicherheitsbranche zu überprüfen.
2. Gigantischer Datenklau – bis hin zur Staatsaffäre
Nicht erst seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in Europa ist Datenklau eine ständige Bedrohung für mittelständische und große Unternehmen. Einmal mehr, weil die Folgekosten wie Bußgelder, Benachrichtigungskosten und erpresserische Lösegeldforderungen steigen. Dass fremde Datensätze in fremde Hände gelangen, ist bekannt und schnell passiert: Etwa beim Austausch von Tabellen per E-Mail, beim Transport von Kundendaten per USB-Stick oder bei der Konfiguration einer Web-Kundenschnittstelle.
Neu hingegen ist die Entwicklung, dass Angreifer Datensätze in ganz großem Stil kopieren, nämlich in Form gigantischer Datenbanken. Gigantisch meint in diesem Zusammenhang, dass dabei alle Grenzenüberschritten werden, die beim herkömmlichen „Datenschaden“ allein durch Speichervermögen und Begrenzungen von E-Mail-Anhängen gegeben sind. So wurde Anfang des Jahres 2021 bekannt, dass in Brasilien 220 Millionen Datensätze mit Namen, Geburtsdaten und Steuernummern geleakt wurden. Der Hack betrifft die gesamte steuerpflichtige Bevölkerung, was den Faktor Benachrichtigungsaufwand in absurde Höhen treibt und Unternehmen um ihre Existenz bringen könnte. Den Angriff hat das brasilianische Labor für Cybersicherheit PSafe aufgedeckt. Betroffen sind demnach auch Informationen über Unternehmen und Behörden.
Damit nicht genug. Zusätzlich zu den personenbezogenen Daten sind nach Informationen von Heise mehr als 104 Millionen Fahrzeuge betroffen, einschließlich Fahrgestellnummer, Kennzeichen, Meldegemeinde, Farbe, Marke, Modell, Baujahr, Hubraum und Kraftstoffart. Datensätze, die nun im Dark Net zum Verkauf stehen. Nach aktuellem Ermittlungsstand ist das Datenleck auf eine Kreditwürdigkeits-Agentur zurückzuführen. Ihr Key-Asset „Vertrauen“ dürfte die verdächtigte Bonitätsagentur – die nach eigenem Bekunden nicht schuld sein will – komplett verspielt haben.
3. Risiko statt Schutz: Die Firewall als Sicherheitsleck
Geschickte Hacker haben bislang unveröffentlichte Schwachstellen in SonicWall-Produkten ausgenutzt, um in die Systeme des Herstellers einzudringen. Die Cybersecurity Company SonicWall Inc. spricht von einer koordinierten, „highly sophisticated“ Attacke, die sich durch eine ganz besondere „Qualität“ auszeichnet: Werden bei neu entdeckten Schwachstellen in Sicherheitsprodukten üblicherweise die Kunden dieser Produkte angegriffen – und zwar so lange, bis diese mit einem Patch reagieren können – wurde hier in aller Sorgfalt und ohne viel Staub aufzuwirbeln der Hersteller selbst zum Opfer. Denn der setzt natürlich auch die eigenen Produkte ein.
Nach internen Ermittlungen erklärte SonicWall Ende Januar, dass sich gemäß Zwischenbericht ausschließlich das Fernwartungssystem (SMA 100) anfällig zeigte, für das bereits Sicherheits-Updates vorliegen. Die von vielen Mittelständlern eingesetzten SonicWall-Firewalls und VPN-Clients sowie Access Points seien nach eigenen Aussagen nicht betroffen. Der Super-Gau konnte also noch einmal abgewendet werden. Trotzdem ist allen SonicWall-Anwender empfohlen, die Mitteilungen des Herstellers intensiv und bis zur abschließenden Bewertung zu verfolgen.
Der Vorfall macht deutlich, dass der Einsatz von Sicherheitsprodukten neben der erhofften Schutzwirkung auch neue Risiken für die IT-Infrastruktur von Stadtwerken mit sich bringt. Aktuelle Entwicklungen, insbesondere zu Schwachstellen eingesetzter Lösungen, sollten IT-Administratoren unbedingt verfolgen. Solche Risiken lassen sich über eine Cyber-Versicherung abdecken.
Der Beitrag entstand ohne finanzielle Gegenleistung in Zusammenarbeit mit Experten von Erichsen.
Foto von Free-Photos auf Pixabay