Sichere Updates notwendig
Leider gibt es auch eine Schattenseite der Updates. Nämlich dann, wenn sie von Cyberkriminellen benutzt werden, um mit ihnen massenhaft Malware zu verbreiten. Solche Angriffe werden Supply-Chain-Attacken genannt und funktionieren so: Angreifer schleusen einen verseuchten Code in eine legale, open-source oder kommerzielle Applikation. Sobald die Nutzer diese Anwendung installieren oder updaten, bekommen sie automatisch die Malware mitgeliefert. Gerade weil die Sicherheitsbranche den Cyberkriminellen immer mehr entgegenzusetzen hat, werden Supply-Chain-Attacken häufiger.
Sich vor Supply-Chain-Angriffen zu schützen, ist eine komplexe Aufgabe für Unternehmen und auch für die Softwareentwickler selbst. Um Installationsprogramme und Updates sicher zu machen, muss die Softwarebranche auf angemessene Sicherheitsmaßnahmen achten. Dazu gehören neben traditionellen Schutzprogrammen auch getrennte Netzwerke mit eingeschränkten Zugriffen für Updates sowie eine reduzierte und kontrollierte Nutzung von Services bei den verbundenen Geräten.
Das Netzwerk muss streng überwacht werden, so dass auf Unregelmäßigkeiten sofort reagiert werden kann. Entscheidend sind aber letztlich auch achtsame Mitarbeiter, denen die Tragweite eines sorglosen Umgangs mit Sicherheitsrichtlinien bewusst ist.
Hacker sind ein Stück weit auch darauf angewiesen, dass Menschen Fehler machen und sich nicht an die Regeln halten. Deshalb sollten regelmäßige Penetrationstests durchgeführt werden, denn sie sind für Unternehmen eine gute Möglichkeit um festzustellen, wo ihre Schwachstellen liegen und wie Cyberkriminelle in ihr Unternehmen eindringen könnten.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Kritische Daten schützen
Obwohl jeder darauf achten sollte, was er anklickt und wie er sich im Internet verhält, gibt es einige Sicherheitsbedrohungen, die sich vom Anwender nicht so einfach kontrollieren lassen. Folgende Maßnahmen können aber dazu beitragen, die Privatsphäre und sensible Daten im Internet so gut wie möglich zu schützen:
1. Ein leistungsstarker und aktuell gehaltener Virenschutz ist Pflicht. Es gibt auch sehr gute kostenlose Programme, die vor Malware einschließlich Spyware und Erpresser-Software schützen.
2. "Prüfen & Ändern" ist die Devise für mehr Sicherheit. Wenn ein Passwort älter als vier Wochen ist, dann sollte es geändert werden. Der Router ist das Gateway für alle damit verbundenen Geräte und ein Einfallstor für Schädlinge - deshalb muss hier begonnen werden. Im Anschluss daran sollten die Passwörter der einzelnen Geräte und schließlich die der einzelnen Anwendungen geändert werden, vor allem wenn es bei einem davon jüngst zu einem Angriff kam. Hier ist die Wahrscheinlichkeit sehr groß, dass die Passwörter nicht mehr sicher sind.
3. Auch wenn es schwierig ist: Für jede Anwendung müssen verschiedene Passwörter verwendet werden - vor allem, wenn es um Accounts mit sensiblen Daten wie Banking oder Facebook geht. Geeignete Passwort-Manager können dabei helfen, den Überblick zu behalten, denn sie speichern die einzelnen Passwörter sicher hinter einem Master-Passwort.
4. Zwei-Phasen-Authentifizierung ist beim Log-in bestimmter Websites ratsam. So könnte beispielsweise beim Online-Banking das Handy als zweite Sicherheitsinstanz eingesetzt werden, indem es einen Code empfängt, der zur Verifizierung der Log-in-Daten eingegeben werden muss.
5. Nach wie vor sind Phishing-E-Mails im Umlauf, die zum Öffnen von Anhängen auffordern oder nach persönlichen Daten oder Banking-Details fragen. Sobald Nutzer darauf antworten, erhalten Cyberkriminelle Zugang zu den Accounts, die mit diesen Passwörtern gesichert sind, oder die verseuchten Anhänge infizieren den PC mit Erpressersoftware oder anderer Malware.
Fazit
Ein Jahr nach WannaCry weiß niemand, wann und wie der nächste Angriff dieser gewaltigen Dimension erfolgen wird. Fest steht aber, dass der Kampf gegen Cyberkriminelle weitergehen wird. Wenn die Guten gewinnen wollen, müssen sowohl die Softwarebranche als auch die Anwender jeden Tag aufs Neue ihren Beitrag dazu leisten.
"Saubere" Updates auch für ältere Systeme zur Verfügung zu stellen, die im nächsten Schritt von den Anwendern installiert werden, wäre ein gemeinsamer Schritt in die richtige Richtung. (hal)