Wer kennt die Situation nicht? Auf dem Weg ins Büro im Zug oder in der U-Bahn eben noch schnell die E-Mails checken, eine Präsentation durchgehen oder die aktuellen Geschäftsberichte überfliegen. Da Menschen aber von Natur aus sehr neugierig sind, bleiben wir dabei oft nicht allein, sondern haben "über die Schulter" noch den einen oder anderen ungebetenen Mitleser.
Dieses Verhalten beschränkt sich dabei nicht nur auf den Zug oder die U-Bahn, es geschieht ebenso im Büro, an Flughäfen, Bahnhöfen oder überall dort, wo wir unser Smartphone verwenden. Im schlimmsten Fall führt dieses Visual Hacking dazu, dass sensible Unternehmensdaten verloren gehen.
Das Ponemon Institute hat im Auftrag des Herstellers 3M und des Visual Privacy Advisory Council in Deutschland, den USA, dem Vereinigten Königreich, Frankreich, Indien, Korea und Japan 46 Unternehmen untersucht, um herauszufinden, wie weit dieses Verhalten verbreitet ist. Dabei wurden 157 Experimente von Visual Hacking durchgeführt, die in 91 Prozent der Fälle auch erfolgreich waren. 27 Prozent der Daten, auf die die Forscher dabei Zugriff erhielten, waren als vertraulich eingestuft.
- Notfall- und Rettungsdienste
Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen. - Der Durchschnittsuser
Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält. - Unternehmen
Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen. - Strafverfolgungs- und Regierungsinstitutionen
Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen. - Gesundheitswesen
Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten. - Bildungseinrichtungen
Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen. - Religiöse Institutionen
Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen. - Finanzwesen
Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
Wie kann ich meine Daten vor Visual Hacking schützen?
So verbreitet Visual Hacking auch sein mag, im Gegensatz zu APTs reichen hier schon vergleichsweise einfache und günstige Schutzmaßnahmen, um dem Verlust sensibler Daten vorzubeugen.
Im Büro sollte darauf geachtet werden, dass es klare Richtlinien zur Datensicherheit und der Verantwortung der Mitarbeiter gibt. Nur gut aufgeklärte Mitarbeiter, die sich der Risiken bewusst sind, lassen sowohl am Arbeitsplatz als auch in der Öffentlichkeit die nötige Vorsicht walten und schützen sich selbst und ihre Daten vor Visual Hacking.
Eine sehr einfache aber auch ebenso effektive Gegenmaßnahme ist das Schützen des Rechners und des Smartphones mit Passwort beziehungsweise einem PIN-Code oder idealerweise mit biometrischen Daten über einen Fingerabdrucksensor, wie er in vielen Smartphones bereits Standard ist. Der Rechner sollte, wenn man sich von ihm entfernt, immer gesperrt werden.
Bei Mitarbeitern, die mit vertraulichen Daten arbeiten müssen, lohnt sich die Anschaffung von zusätzlichen Blickschutzfiltern oder sogar die Bereitstellung von Laptops mit speziellen Blickschutzbildschirmen. Diese sorgen dafür, dass die Anzeige auf dem Bildschirm nur aus einem bestimmten Blickwinkel und einer gewissen Nähe zum Bildschirm einsehbar ist.
- Offenes Verderben
Öffentliche WLAN-Netzwerke stellen einen verbreiteten Angriffsvektor für Hacker dar, die auf der Suche nach privaten Daten sind. Sie sollten also wenn möglich stets den Umweg über VPN nehmen. Avast Software hat im Vorfeld des Mobile World Congress 2016 ein Experiment dazu am Flughafen von Barcelona durchgeführt. Das Ergebnis: Tausende MWC-Besucher hatten die Gefahr aus Bequemlichkeit ignoriert und ihre Devices und Daten aufs Spiel gesetzt. - Datenverzicht
Wo keine Daten sind, kann auch nichts gestohlen werden, verloren gehen oder missbraucht werden. Die erste Generation von Security-Lösungen für Mobile Devices versuchten die Geräte komplett abzuschirmen, um die Daten zu schützen. Inzwischen wissen wir, dass Device Management alleine nicht genügt. Verschiedene mobile Geräte und Betriebssysteme zu managen, kann dafür sorgen, dass IT-Abteilungen mit Anfragen überhäuft werden. Das wiederum fördert die allgemeine IT-Sicherheit in den betreffenden Unternehmen. Nicht. - Nonstop-No-Go
Ein weiterer Weg, Hacker vor den Kopf zu stoßen: Sorgen Sie dafür, dass Ihre Applikationen möglichst wenig Angriffsfläche bieten. Dazu sollten Sie sicherstellen, dass die Cyber-Bösewichte nicht massig Zeit haben, um einen strategischen Pfad zu Ihrer IP zu finden. Indem Sie dauerhafte Verbindungen gar nicht erst zulassen, machen Sie es den Angreifern schwer. - Vollstreckungsbescheid
Einer der schnellsten und einfachsten Wege, um Kontrolle über mobile Applikationen zu gewinnen: Prüfen Sie Ihre Richtlinien! Jedes Unternehmen sollte über einfach durchsetzbare Richtlinien verfügen, die sowohl den Zugriff der Mitarbeiter auf Mobile Apps als auch den Ressourcen-Zugriff der Applikationen selbst abdeckt. Angestellte, die nur über eine absehbare Zeit im Unternehmen sind, brauchen zum Beispiel keinen Zugriff auf das gesamte Netzwerk - stattdessen sollten sie nur auf die Applikationen zugreifen können, die sie für ihre Aufgaben benötigen. Übergreifende Berechtigungen von Third-Party-Apps sollten übrigens ebenfalls der Kontrolle der IT-Abteilung unterliegen und nicht den Mitarbeitern beziehungsweise Usern. - Schlüssel zum Glück
Security-Entwicklertools sind eine wunderbare Sache, wenn es um den Schutz Ihrer Daten geht. Mit jedem IT-Sicherheits-Layer wird es für die Netzschurken schwieriger, auf die Daten zuzugreifen. Klingt eigentlich logisch, oder? Und trotzdem ist das alles andere als "Business as usual". - Fusionsküche
IT-Sicherheit und der App-Entwicklungsprozess werden immer noch getrennt voneinander betrachtet. Dabei sollte Security längt im gesamten Entwicklungsprozess integriert sein - von den ersten Tests über die eigentliche Produktion bis hin zur Übermittlung an den App Store. Den Aspekt der IT-Sicherheit nicht in den Gesamtprozess mit einzubeziehen, kommt einem gewaltigen Fail gleich. Nur damit Sie Bescheid wissen. - Fremde Federn
Entwickler setzen bei der App-Entwicklung oft auf Komponenten von Dritten - zum Beispiel, wenn es um File-Format-Parsing oder Kompression geht. Diese modularen Bestandteile passen den Apps meist wie ein gut eingetragenes Paar Kampfhandschuhe und es wäre nicht effizient, diese jedesmal neu zu entwerfen. Allerdings sollten Ihre Entwickler in diesem Fall auf jeden Fall überprüfen, dass jede Komponente von Drittherstellern auf dem neuesten Stand ist. Auch nach Release!
Zu guter Letzt empfiehlt es sich grundsätzlich, die Zugriffsberechtigung auf vertrauliche Informationen per Account-Management einzuschränken. Damit lässt sich effektiv verhindern, dass Personen auf Daten zugreifen, für die sie keine Berechtigung haben. Solche Berechtigungen sollten schließlich auch nur im Bedarfsfall erteilt werden. Um einen noch besseren Schutz zu gewährleisten, ist es zusätzlich möglich, diese Zugriffsberechtigung zeitlich zu beschränken.
Im Vergleich zu gängigen Angriffsvektoren auf Unternehmen scheint Visual Hacking schon fast vernachlässigbar simpel und Low-Tech zu sein. Genau aus diesem Grund kann es aber auch so effektiv eingesetzt werden und sollte nicht unterschätzt werden.