Sicherheit in der IT: Das Special der aktuellen Ausgabe

Im Interview: Ein Whitehat – ein ethischer Hacker - hat kürzlich diverse Mängel an Geräten des Internet of Things (IoT) entdeckt.

Hacker kommen überall rein. Ist nur eine Frage der Zeit.

Veröffentlicht am

Hacker kommen überall rein. Ist nur eine Frage der Zeit.

Hacker brauchen nur Zeit, um schlecht geschützte IoT-Geräte zu knacken

Viele Hersteller von IoT-Geräten vernachlässigen die Sicherheit. Im Interview ein Ex-Hacker, der das gar nicht gut findet.

Jean Pereira ist ein Whitehat, also ein ethischer Hacker, der Firmen zu IT-Sicherheit berät. Pereira brachte sich das Programmieren selbst bei. Im Alter von 14 hackte er die Server der US-Army. Danach entschied er sich, als professioneller Sicherheitsberater tätig zu werden. Er ist jetzt Geschäftsführer der SECBIZ IT-Security GmbH.

Hinweis: Sie lesen an dieser Stelle einen Auszug aus dem abgedruckten Artikel in unserem Kundenmagazin. Die jeweils aktuelle Print-Ausgabe bestellen Sie über die Formulare auf dieser Website. Wollen Sie eine ältere Ausgabe lesen, schreiben Sie uns an redaktion@datareport.de

Herr Pereira, sie haben gerade einhundert Sicherheitslücken in IoT-Geräten aufgespürt, die noch nicht einmal den Herstellern bekannt sind. Sagen Sie uns doch kurz, welche Geräte und Branchen betroffen sind.

Wir haben es hier mit Sicherheitslücken in der industriellen Produktion, der Telekommunikation, der Energieversorgung, in Krankenhäusern und in Transportmitteln zu tun. Ein Beispiel: RFID-Türen, also elektronische Schließsysteme mit Chipkarten. Manipuliert man diese, kann man Personen aussperren, einsperren oder sich selbst unbefugt Zugriff in Gebäude verschaffen.

Sagten Sie gerade Krankenhäuser?

Ja, Schwachstellen wurden auch in medizinischen Geräten aufgedeckt. Es ist möglich, sich zum Beispiel direkt in Herzschrittmacher einzuhacken. Oder in andere Geräte, die Blutdruckwerte, Herzfrequenz, Atmung messen. Außerdem könnten Hacker bis in die Datenbanken vordringen, in denen sich Patientendaten befinden. Abgesehen davon, dass die Daten entfernt werden können: Ich überlasse es Ihrer Phantasie, sich vorzustellen, was passiert wenn Sie operiert werden sollen und jemand ändert vorher die Angaben zu Ihrer Blutgruppe.

Wir haben zudem Probleme bei Überwachungskameras identifiziert. Die Kameras lassen sich fernsteuern, pausieren, ausschalten und auf andere Art manipulieren. Der Industriespionage stehen dabei die Türen sperrangelweit offen. Gefährlicher ist aber, dass man Produktionsanlagen genauso stilllegen kann wie Energieversorgungsanlagen. Hacker könnten gezielt flächendeckende Stromausfälle herbeiführen.

Bleiben wir beim Beispiel der Energieversorgung: Warum ist es für Hacker leicht, solche Systeme zu knacken?

Bei der von uns entdeckten Schwachstelle im Energieversorgungssystem handelt es sich um einen sogenannten „Zero-Day-Exploit“. Das bedeutet, der Exploit – also die Sicherheitslücke – ist dem Hersteller noch nicht bekannt und deswegen extrem gefährlich.

Grundsätzlich können Sicherheitslücken immer auftreten, jedoch wurden alle 100 Schwachstellen, die wir identifiziert haben, mit sehr wenig Zeitaufwand und Mühe aufgedeckt. Das bedeutet, dass alle diese Hersteller sich nicht ausreichend auf digitale Angriffe vorbereitet haben.

Das kann ich nur fahrlässig nennen. Hacker-Angriffe finden täglich auf jede Art von Ziel statt und der Verbraucher ist machtlos, wenn die Hersteller-Software nicht ausreichend geschützt ist. Ziel eines Hacker-Angriffs wird so ziemlich jedes Netz irgendwann. Die Frage ist, wie einfach oder schwierig ich es dem Hacker mache. Kommt ein Hacker nach den ersten Versuchen nicht weiter, sucht er sich meistens das nächste Ziel.

 

Nachfolgend ein Beispiel für einen Test zu einem Zero-Day-Exploit bei einem Mercedes GL aus dem Juli 2018, durchgeführt von Jean Pereira:

Quellcode lesen und schreiben zu können, bereitet auf die Zukunft vor. Für Kinder und Jugendliche gibt es viele Plattformen zum spielerischen Lernen.

Programmieren für Kinder

Veröffentlicht am

Programmieren für Kinder

Programmieren für Kinder: Diese Angebote gibt es

Programmieren galt lange als Hobby von Stubenhockern und Einzelgängern. Heute gilt: Quellcode lesen und schreiben zu können, bereitet auf die Zukunft vor. Kinder und Jugendliche stehen dem Thema meist aufgeschlossen gegenüber – und es gibt tolle Möglichkeiten, sie zu fördern.

Wer einmal gesehen hat, wie ein dreijähriges Kind beim Anblick einer Tageszeitung instinktiv zu „wischen“ beginnt, begreift: Die nächste Generation wächst grundlegen anders auf. Für Kinder sind digitale Medien allgegenwärtig. Wenn sich Algorithmen und künstliche Intelligenz weiter so rasant entwickeln wie momentan, werden diese vermutlich in Zukunft die Aufgaben von Programmierern übernehmen. Trotzdem könnte es für Menschen sehr wichtig sein, Programm-Codes zumindest lesen und nachvollziehen zu können.

Derzeit gibt es viele Angebote, die Kindern den Einstieg ins Coding ermöglichen:

In der Webanwendung Scratch programmieren Kinder, indem sie bunte Blöcke mit Befehlen aneinanderreihen. Sie erschaffen kleine Spiele oder Animationen und lernen dabei, wie Schleifen, Bedingungen und Variablen funktionieren. Da die Kinder selbst keinen Quellcode nutzen, führt Vertippen nicht zu Syntaxfehlern und Enttäuschung.

Auf visuelles Programmieren setzt auch der App Inventor. Das Programm ist nur auf Englisch erhältlich und auch sonst eher für Ältere geeignet. Nutzer können komplexe Apps entwickeln und sie dann auf ihr Androidgerät laden.

Spiele wie AntMe! und das englischsprachige CodeCombat binden Programmiersprachen wie Visual Basic und HTML ein. Die Kinder verwalten einen Ameisenstaat oder lassen virtuelle Helden, Edelsteine einsammeln, indem sie den entsprechenden Code eintippen.

Die bunte Optik und die charmanten, oft tierischen Protagonisten lassen vergessen, dass Wissen vermittelt wird. Die Plattform Code.org bietet gar Projekte an, die an Star Wars oder Elsa die Eiskönigin angelehnt sind. Das Spektrum reicht von Kursen für Kinder ab vier Jahren bis zu komplexen Inhalten, bei denen auch 16-Jährige gefordert werden.

Viele Projekte bietet auch die Plattform You++. Die Ergebnisse, wie etwa animierte Grußkarten, können einfach mit Freunden geteilt werden. Das eigene Werk zu präsentieren, ist für die Kinder eine tolle Bestätigung und stärkt den Ehrgeiz. You++ bietet zudem Inhalte für den Schulunterricht. Die Plattform Appcamps hat sich gar auf Unterrichtsmaterialien spezialisiert. Der Gedanke dahinter: Was außerhalb der Schule geschieht, erreicht oft nur die Kinder, die sich bereits für das Thema interessieren.

Diese Angebote sind, zum Teil als eingeschränkte Versionen, kostenlos. Links zu den vorgestellten Tools unterhalb dieses Artikels.

Kopierte Mails wirken täuschend echt. Enthaltene Links und Anhänge bergen aber große Gefahr.

Malware Emotet ist zurück

Veröffentlicht am

Malware Emotet ist zurück

Emotet, der Trojaner, ist zurück

Die neue Taktik des Trojaners Emotet: Mails aus infizierten Postfächern zu kopieren und erneut zu versenden, um die Malware zu verbreiten. Vorsicht also.

Gefährliche E-Mails

Wir hatten schon Tipps zu gefährlichen E-Mail-Anhängen gegeben: Dieser Artikel ist immer noch aktuell. Leider. Sowohl der CERT-Bund (Computer Emergency Response Team) als auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnen derzeit nämlich vor einer neuen Spam- und Phishing-Welle: Die Schadsoftware „Emotet“ ist zurück. Dazu erklärte BSI-Präsident Arne Schönbohm schon im Dezember letzten Jahres auf der Homepage des BSI: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden.“

Der Trojaner Emotet reist mit Gepäck

Ein falscher Klick auf einen scheinbar seriösen Anhang oder Link – und der Trojaner wird heruntergeladen. Nicht nur liest er dann Kontakte und E-Mail-Inhalte aus Postfächern aus – die Cyberkriminellen benutzen die kopierten Inhalte und Adressen für die weitere Verbreitung der Malware. Außerdem hat Emotet zusätzliche Schadsoftware im Gepäck, er installiert diese selbständig. Das können zum Beispiel Banking-Trojaner wie Trickbot sein. Dieser greift inzwischen nicht mehr nur auf Daten im Online-Banking zu, sondern auch auf Passwörter, Cookies, Browser-Historien, Autofillin-Daten. Oder es kann Ransomware sein, die dann den befalle Rechner verschlüsselt, Sicherheitskopien löscht und den Kriminellen Erpressungsversuche ermöglicht. „Zahle, oder du bekommst deine Daten nie wieder“.

Bitte aufpassen: Absender und Links prüfen, Anhänge nicht öffnen

Also: Bitte aufpassen, die Mails wirken absolut echt, die Anhänge sind oft Office-Dokumente im Excel- oder Word-Format. Unten im Kasten haben wir auf einen Ratgeber-Artikel auf netzwelt.de verlinkt. Es lohnt sich, da einmal rein zu lesen, da auch seriöse Absender-Adressen wie die vom Bezahldienst Paypal, der Einkaufsplattform amazon, des Versandhändlers DHL und des Internet-Dienstleisters Telekom simuliert werden.

Außerdem ist es ganz leicht, die Adresse eines Links umzubenennen. Daher folgender Tipp: Fahren (nicht klicken!) Sie mit der Maus über den Link und schon wird Ihnen in einem kleinen Pop-up-Fenster am Mauszeiger anzeigt, welche URL sich hinter dem Link verbirgt. Weichen Link und tatsächliche URL voneinander ab, sollten Sie den Link nicht öffnen.

CERT-Bund zeigt Beispiele

Der Twitter-Account des @certbund zeigt in seinen Postings übrigens immer wieder Screenshots von Beispielen verdächtiger Absender, Links und Dokumente. Einfach den soeben verlinkten Account aufrufen und im Browser mal in die Postings reinlesen, dafür braucht man nicht mal einen eigenen Twitter-Account.

Die E-Mail will partout nicht sterben. Sie ist in vielen Organisationen relevanter Bestandteil der Unternehmensorganisation. Leider hat sie ihre Tücken.

Dein Freund, die E-Mail. #nicht

Veröffentlicht am

Dein Freund, die E-Mail. #nicht

Die E-Mail hat ihre Tücken.

Klick. E-Mail gesendet. Von 65.000 Empfängern im Verteiler antworten 230 an Alle. Das machte in kürzester Zeit eine Anzahl von über 17 Millionen E-Mails innerhalb einer halben Stunde. Für uns ein Anlass, auf Fehlerquellen im Mailverkehr zu gucken.

Dienstag, 26. März 2019, 13 Uhr 33. Die netteste Zusammenfassung dessen, was zu diesem Zeitpunkt in Hamburg passiert ist, liest sich so (Quelle: NDR.de):

Hamborger Ämter güngen in E-Mails ünner

En E-Mail-Mallöör hett över Stünnen för Chaos in de Hamborger Ämter sorgt. En Mitarbeidersche vun’n externen Bedriev „Dataport“ harr güstern ut Versehen en interne Mail an all fiefunsösstigdusend Amtslüüd schickt. Hunnerte hefft denn dorop antert – an ehr un an de fiefunsösstigdusend. Na twee Stünnen mit Hunnertdusende vun Mails harr „Dataport“ de Saak wedder ünner Kontroll.

Was geschah

Wer den Schaden nicht hatte, konnte sich über den Vorfall gut amüsieren. Die Twitter-Gemeinde und einige Zeitungen haben gelacht und gefrotzelt. Für alle Involvierten bedeutete die Mailschwemme vor allem: Ärgernis und zum Teil Arbeitsunfähigkeit. Innerhalb von nur fünf Minuten waren 65.000 Postfächer überfüllt mit mindestens 20 Antworten an alle. Und das setzte sich noch gut eine Stunde lang so fort.

Die Hamburger Morgenpost beschrieb es so anschaulich, als wäre sie dabei gewesen, zwei Stunden später in einem Artikel: „Was soll das?“, „Warum bekomme ich diese Mail?“, „Bitte löschen Sie mich aus Ihrem Verteiler“, „Hört auf zu antworten“, „Hilfe“ – im Sekundentakt ploppten bei sämtlichen Mitarbeitern neue Nachrichten auf. Und das überlastete den Server schließlich. „Hier geht nichts mehr“, heißt es aus mehreren Behörden.

Dataport sorgte innerhalb von 30 Minuten dafür, dass an die Verteilerliste nicht mehr geantwortet werden konnte. Trotzdem waren die Server voll ausgelastet und brauchten rund zwei Stunden, um die Warteschlange an Mails abzuarbeiten. Den Mitarbeitern der Behörden blieb leider nur die Möglichkeit, ihre Postfächer von Hand „zu bereinigen“. Es hieß also: Betreff der auslösenden Mail in die Suche des eigenen Outlook-Postfachs kopieren, alle Ergebnisse markieren, alle löschen. Und das mehrmals.

Fehlerquellen aufdecken

Es macht Sinn, sich einmal anzusehen, warum so etwas passiert und wie es sich vermeiden lässt. Denn so ein Fehler – ausgelöst durch den Faktor „Mensch“ – passiert immer wieder auch vielen anderen Unternehmen, die mit Mail-Verteilern arbeiten. Und das sind etliche, in öffentlicher Hand genauso wie in Non-Profit-Organisationen oder Wirtschaftsunternehmen.

  • Als Empfänger einer Mail nicht sofort antworten. Wundern ist erlaubt – „Warum erhalte ich jetzt diese Mail? Das geht mich doch nichts an?“ – aber: Erstmal in den Kopfbereich der Mail gucken. Dort kann man einsehen, wer adressiert wird. Verteilerlisten haben in jeder Organisation bestimmte Namen und folgen einem Schema. Empfehlung: Sich einfach mal fünf Minuten Zeit nehmen und sich orientieren: Wie lauten die Namen der Listen in meinem Unternehmen?
  • Verteilerlisten lassen sich mit einem Klick aufklappen. Spätestens dann kann man erkennen, dass eine große Anzahl von Personen adressiert wird.
  • Fühle ich mich zu Unrecht adressiert, suche ich nach dem Absender und spreche diesen direkt an. Den Absender ermittele ich natürlich gleichfalls im oberen Bereich der E-Mail.
  • Niemand kann alle Funktionen eines Programms kennen. Wenn man neu im Unternehmen ist oder das Gefühl von Wissenslücken hat, die Kollegen helfen sicher gerne bei Fragen.
  • Vor allem aufmerksam bleiben. Als Beispiel: Ich möchte einen Termin über Outlook organisieren, eine Kalenderfreigabe aktivieren oder eine Mail versenden. Dabei suche ich im Adressbuch die Empfänger aus. Ein schneller Klick und ich habe jemanden hinzugefügt. Regel Nummer eins: Bevor ich auf „Senden“ klicke, prüfe ich die Empfänger(-Liste). Ein Klick kann eben auch mal daneben gehen in der Eile.
Fazit

Irren ist menschlich, eine Sekunde der Unaufmerksamkeit hat sich bitter gerächt. Uns in der Redaktion hat dieser bedauerliche Vorfall aber auch zum Nachdenken angeregt. Die Technik könnte „besser“ – oder sagen wir „hilfreicher“ – sein. Zum Beispiel wäre eine Warnung in Form einer Bestätigungsabfrage sinnvoll. Sie sind im Begriff, eine E-Mail an XY Personen zu versenden. An dieser Stelle wären die Software-Hersteller gefragt.

Verteilerlisten sind unumgänglich in der Unternehmensorganisation – zumindest solange, wie diese noch über Mails abgewickelt wird. Wir werden uns in der dritten Ausgabe des Kundenmagazins im Herbst daher einmal mit modernen, kollaborativen Tools beschäftigen, die die E-Mail in Organisationen ablösen können oder es zum Teil auch schon tun.

Der Schaden hätte sich sicher minimieren oder sogar ganz vermeiden lassen mit etwas mehr Aufmerksamkeit der Situation gegenüber. Das gilt für ernsthafte Fragen wie „Warum bin ich in diesem Verteiler. Bitte austragen“ genauso wie für scherzhafte Kommentare oder gut gemeinte Handlungsempfehlungen á la „Bitte nicht mehr auf diese Mails antworten. Ihr crasht gerade den Server.“

Sie haben eine Meinung zu diesem Thema? Dann schreiben Sie an die Redaktion unter redaktion@datareport.de. Wir werden Ihre Anregungen gerne aufgreifen und weiter thematisieren.

Auch schon mal erlebt? Ein falscher Klick und der Bildschirm wird schwarz. Dahinter steckt organisierte Kriminalität.

Zugriff verweigert: Bitte zahlen.

Veröffentlicht am

Zugriff verweigert: Bitte zahlen

Kleiner Exkurs ins Darknet

Cyber-Erpressungen durch Krypto-Trojaner nehmen weltweit zu, gehandelt werden solche Schadprogramme im Darknet. Kleiner Exkurs in unbekannte Nebenwelten.

Überraschung!

Eine seltsame E-Mail, ein falscher Klick auf den Anhang, ein voreilig gestarteter Download. Zack, der Rechner ist mit einem Trojaner infiziert. Was dann folgt, ist immer häufiger dieses Szenario: Nach dem Download werden auf der Festplatte gespeicherte Daten umgehend verschlüsselt. Ein Zugriff auf diese ist binnen Sekunden nicht mehr möglich. Im Filesystem erscheint dann ein Text mit eindeutig erpresserischem Inhalt: „Zahle die Summe X, und du erhältst den Entschlüsselungscode sowie das zugehörige Entschlüsselungsprogramm.“ Ob man so tatsächlich die Daten wiederbekommt, ist ungewiss. Wenn man Pech hat, hört man nie wieder vom Erpresser.

Professionell aufgezogen

Diese Art von Schadsoftware wird auch als Ransomware oder Krypto-Trojaner bezeichnet. Erpresser, die in international aktiven, kriminellen Banden zusammenarbeiten, setzen solche Trojaner ein. Dabei handelt es sich um ein professionelles Geschäftsfeld mit Entwicklern, Vertrieblern und „Geldtransferagenten“. Von denen kann man diese Programme kaufen, über das sogenannte Darknet.

Das Darknet

Als Darknet bezeichnet man „Friend-to-friend“-Netzwerke, in denen die Teilnehmer ihre Verbindungen untereinander nicht automatisch über öffentliche, ungeprüfte Netzwerkknoten herstellen. Stattdessen wird mit Verschlüsselung gearbeitet, und zum Beispiel wird nur die eigene IP-Adresse weitergereicht, nicht aber die von anderen Personen oder Webseiten, mit denen man in Kontakt steht.

Bildlich gesprochen: Man könnte sich das Darknet wie ein Hinterzimmer aus einem Action-Film vorstellen, in dem geheime Pokerspiele stattfinden. Um an einem Spiel teilzunehmen, muss ich nicht nur wissen, wo die Hintertür ist, es gilt auch, am Wirt und am Türsteher vorbei zu kommen. Da es um ein illegales Glücksspiel geht, will man anonym bleiben und nur Bargeld für den Einsatz im Spiel dabei haben, dessen Herkunft nicht nachverfolgbar ist.

Zugang zum Darknet

Für den Zugang zum Darknet braucht es spezielle Tools wie zum Beispiel den Tor-Browser. Ohne Einladung gibt es oft keine Chance, überhaupt an den Link für einen Handelsplatz im Darknet zu kommen. Gehandelt werden nicht nur Erpressungstrojaner, sondern auch Drogen, Waffen, Kinder- und Gewaltpornographie, sowie alle anderen erdenklichen illegalen Dienstleistungen.

Ein Beispiel dafür, was über das Darknet möglich ist: Dokumentation auf Spiegel TV
Ex-Darknet-Dealer packt aus: „Und fertig ist ein Online-Drogen-Imperium“

 

In der neuen Print-Ausgabe des Datareport:

Der Konzern Beiersdorf wurde 2017 Opfer einer Attacke durch den Trojaner Notpetya. CIO Barbara Saunier wird auf der Hausmesse von Dataport am 4. April über die Learnings aus diesem Vorfall einen Vortrag halten. Wir haben sie vorab dazu kurz interviewt.