Sicherheit in der IT: Das Special der aktuellen Ausgabe

Im Interview: Ein Whitehat – ein ethischer Hacker - hat kürzlich diverse Mängel an Geräten des Internet of Things (IoT) entdeckt.

Hacker kommen überall rein. Ist nur eine Frage der Zeit.

Veröffentlicht am

Hacker kommen überall rein. Ist nur eine Frage der Zeit.

Hacker brauchen nur Zeit, um schlecht geschützte IoT-Geräte zu knacken

Viele Hersteller von IoT-Geräten vernachlässigen die Sicherheit. Im Interview ein Ex-Hacker, der das gar nicht gut findet.

Jean Pereira ist ein Whitehat, also ein ethischer Hacker, der Firmen zu IT-Sicherheit berät. Pereira brachte sich das Programmieren selbst bei. Im Alter von 14 hackte er die Server der US-Army. Danach entschied er sich, als professioneller Sicherheitsberater tätig zu werden. Er ist jetzt Geschäftsführer der SECBIZ IT-Security GmbH.

Hinweis: Sie lesen an dieser Stelle einen Auszug aus dem abgedruckten Artikel in unserem Kundenmagazin. Die jeweils aktuelle Print-Ausgabe bestellen Sie über die Formulare auf dieser Website. Wollen Sie eine ältere Ausgabe lesen, schreiben Sie uns an redaktion@datareport.de

Herr Pereira, sie haben gerade einhundert Sicherheitslücken in IoT-Geräten aufgespürt, die noch nicht einmal den Herstellern bekannt sind. Sagen Sie uns doch kurz, welche Geräte und Branchen betroffen sind.

Wir haben es hier mit Sicherheitslücken in der industriellen Produktion, der Telekommunikation, der Energieversorgung, in Krankenhäusern und in Transportmitteln zu tun. Ein Beispiel: RFID-Türen, also elektronische Schließsysteme mit Chipkarten. Manipuliert man diese, kann man Personen aussperren, einsperren oder sich selbst unbefugt Zugriff in Gebäude verschaffen.

Sagten Sie gerade Krankenhäuser?

Ja, Schwachstellen wurden auch in medizinischen Geräten aufgedeckt. Es ist möglich, sich zum Beispiel direkt in Herzschrittmacher einzuhacken. Oder in andere Geräte, die Blutdruckwerte, Herzfrequenz, Atmung messen. Außerdem könnten Hacker bis in die Datenbanken vordringen, in denen sich Patientendaten befinden. Abgesehen davon, dass die Daten entfernt werden können: Ich überlasse es Ihrer Phantasie, sich vorzustellen, was passiert wenn Sie operiert werden sollen und jemand ändert vorher die Angaben zu Ihrer Blutgruppe.

Wir haben zudem Probleme bei Überwachungskameras identifiziert. Die Kameras lassen sich fernsteuern, pausieren, ausschalten und auf andere Art manipulieren. Der Industriespionage stehen dabei die Türen sperrangelweit offen. Gefährlicher ist aber, dass man Produktionsanlagen genauso stilllegen kann wie Energieversorgungsanlagen. Hacker könnten gezielt flächendeckende Stromausfälle herbeiführen.

Bleiben wir beim Beispiel der Energieversorgung: Warum ist es für Hacker leicht, solche Systeme zu knacken?

Bei der von uns entdeckten Schwachstelle im Energieversorgungssystem handelt es sich um einen sogenannten „Zero-Day-Exploit“. Das bedeutet, der Exploit – also die Sicherheitslücke – ist dem Hersteller noch nicht bekannt und deswegen extrem gefährlich.

Grundsätzlich können Sicherheitslücken immer auftreten, jedoch wurden alle 100 Schwachstellen, die wir identifiziert haben, mit sehr wenig Zeitaufwand und Mühe aufgedeckt. Das bedeutet, dass alle diese Hersteller sich nicht ausreichend auf digitale Angriffe vorbereitet haben.

Das kann ich nur fahrlässig nennen. Hacker-Angriffe finden täglich auf jede Art von Ziel statt und der Verbraucher ist machtlos, wenn die Hersteller-Software nicht ausreichend geschützt ist. Ziel eines Hacker-Angriffs wird so ziemlich jedes Netz irgendwann. Die Frage ist, wie einfach oder schwierig ich es dem Hacker mache. Kommt ein Hacker nach den ersten Versuchen nicht weiter, sucht er sich meistens das nächste Ziel.

 

Nachfolgend ein Beispiel für einen Test zu einem Zero-Day-Exploit bei einem Mercedes GL aus dem Juli 2018, durchgeführt von Jean Pereira:

Gesetzentwurf geleakt: Bund will Befugnisse von Sicherheits- und Ermittlungsbehörden in punkto Cyber-Sicherheit erweitern.

Netzpolitik.org leakt IT-Sicherheitsgesetz des Bundes

Veröffentlicht am

Netzpolitik.org leakt IT-Sicherheitsgesetz des Bundes

IT-Sicherheitsgesetz des Bundes von Netzpolitik.org geleakt

Das Portal netzpolitik.org hat den noch internen Entwurf des sogenannten IT-Sicherheitsgesetzes 2.0 (Status: Referentenentwurf) publik gemacht. Offenbar will der Bund die Befugnisse der Sicherheits- und Ermittlungsbehörden in Sachen Cyber-Sicherheit erweitern  – was in der Öffentlichkeit zu Diskussion und Kritik führt. (Unterhalb des Artikels verlinken wir auf Gesetzentwurf und Diskussion.)

Zum Hintergrund: Im März hat Bundesminister Horst Seehofer die Digitale Agenda seines Ministeriums, des Bundesministeriums des Innern, für Bau und Heimat, vorgestellt. Das neue IT-Sicherheitsgesetz ist eines der Herzstücke dieser Agenda. Es soll den rechtlichen Rahmen für mehr Cybersicherheit in Deutschland neu setzen. Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen „Gefahrenlagen im Cyberraum“ mit erweiterten Kompetenzen abwehren.

Kopierte Mails wirken täuschend echt. Enthaltene Links und Anhänge bergen aber große Gefahr.

Malware Emotet ist zurück

Veröffentlicht am

Malware Emotet ist zurück

Emotet, der Trojaner, ist zurück

Die neue Taktik des Trojaners Emotet: Mails aus infizierten Postfächern zu kopieren und erneut zu versenden, um die Malware zu verbreiten. Vorsicht also.

Gefährliche E-Mails

Wir hatten schon Tipps zu gefährlichen E-Mail-Anhängen gegeben: Dieser Artikel ist immer noch aktuell. Leider. Sowohl der CERT-Bund (Computer Emergency Response Team) als auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnen derzeit nämlich vor einer neuen Spam- und Phishing-Welle: Die Schadsoftware „Emotet“ ist zurück. Dazu erklärte BSI-Präsident Arne Schönbohm schon im Dezember letzten Jahres auf der Homepage des BSI: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden.“

Der Trojaner Emotet reist mit Gepäck

Ein falscher Klick auf einen scheinbar seriösen Anhang oder Link – und der Trojaner wird heruntergeladen. Nicht nur liest er dann Kontakte und E-Mail-Inhalte aus Postfächern aus – die Cyberkriminellen benutzen die kopierten Inhalte und Adressen für die weitere Verbreitung der Malware. Außerdem hat Emotet zusätzliche Schadsoftware im Gepäck, er installiert diese selbständig. Das können zum Beispiel Banking-Trojaner wie Trickbot sein. Dieser greift inzwischen nicht mehr nur auf Daten im Online-Banking zu, sondern auch auf Passwörter, Cookies, Browser-Historien, Autofillin-Daten. Oder es kann Ransomware sein, die dann den befalle Rechner verschlüsselt, Sicherheitskopien löscht und den Kriminellen Erpressungsversuche ermöglicht. „Zahle, oder du bekommst deine Daten nie wieder“.

Bitte aufpassen: Absender und Links prüfen, Anhänge nicht öffnen

Also: Bitte aufpassen, die Mails wirken absolut echt, die Anhänge sind oft Office-Dokumente im Excel- oder Word-Format. Unten im Kasten haben wir auf einen Ratgeber-Artikel auf netzwelt.de verlinkt. Es lohnt sich, da einmal rein zu lesen, da auch seriöse Absender-Adressen wie die vom Bezahldienst Paypal, der Einkaufsplattform amazon, des Versandhändlers DHL und des Internet-Dienstleisters Telekom simuliert werden.

Außerdem ist es ganz leicht, die Adresse eines Links umzubenennen. Daher folgender Tipp: Fahren (nicht klicken!) Sie mit der Maus über den Link und schon wird Ihnen in einem kleinen Pop-up-Fenster am Mauszeiger anzeigt, welche URL sich hinter dem Link verbirgt. Weichen Link und tatsächliche URL voneinander ab, sollten Sie den Link nicht öffnen.

CERT-Bund zeigt Beispiele

Der Twitter-Account des @certbund zeigt in seinen Postings übrigens immer wieder Screenshots von Beispielen verdächtiger Absender, Links und Dokumente. Einfach den soeben verlinkten Account aufrufen und im Browser mal in die Postings reinlesen, dafür braucht man nicht mal einen eigenen Twitter-Account.

Sicher und mit Privatsphäre im Netz surfen? Es gibt nicht nur die üblichen Standardbrowser. Wir stellen Alternativen vor.

Welcher Browser passt zu mir?

Veröffentlicht am

Sicher surfen mit alternativen Browsern

Alternative Browser ausprobieren. Sicherheit geht vor.

Schnell surfen? Unbedingt. Aber auch sicher. Neben den Standard-Browsern gibt es alternative Lösungen, damit das Surfen im Netz auch sicher ist. Unterschiedliche Nutzer, unterschiedliche Bedürfnisse: Für jeden ist in der Browser-Welt etwas dabei.

Der weltweit meistgenutzte Browser ist derzeit laut Angaben des Statistikportals Statista der Google-Browser Chrome. Über die Hälfte aller Seitenaufrufe (Page Views) erfolgt mit diesem Browser. Page Views sagen natürlich noch nichts darüber aus, warum Nutzer bevorzugt bestimmte Browser verwenden. Vieles spricht erst einmal dafür, beim Surfen auf Standard und Marktmacht zu setzen: Die gängigen Browser laufen in der Regel stabil, schnell und bringen bestimmte Features mit, zum Beispiel das Browsen über mehrere Tabulatoren im selben Fenster oder anonymes Surfen.

Dazu hat jeder dieser Browser besondere Stärken: Der Internet Explorer beziehungsweise Microsoft Edge (je nach Version des Betriebssystems) sind gut in das Gesamtsystem von Windows-Rechnern integriert. Chrome lässt sich mit Plug-ins – optionalen Softwaremodulen zur Erweiterung der Funktionalität – hervorragend personalisieren. Auch Firefox bietet interessante Plug-ins und legt hohen Wert auf Datenschutz. Safari ist die Hauslösung von Apple und somit bestens auf die Apple-Betriebssysteme OSX/iOS abgestimmt. 

Spannende Alternativen

Es gibt aber noch andere Lösungen. Der Browsermarkt hat in den vergangenen Jahren spannende Alternativen mit ganz unterschiedlicher Fokussierung hervorgebracht. Es lohnt sich, einen Blick darauf zu werfen. (Links zu allen vorgestellten Browsern übrigens unterhalb des Artikels.)

Cliqz ist ein Browser, der vorinstallierte Plug-ins zu Anti-Tracking, zum anonymen Surfen und sicherem Verwalten von Passwörtern mitbringt. Weitere Plug-ins gibt es allerdings nicht, so dass diese Alternative zwar sehr gut die Privatsphäre schützt, aber überhaupt nicht individualisierbar ist.

Opera ist ein Browser mit modernem Kacheldesign, der von Haus aus einen nativen Werbeblocker, Phishing-Schutz – das Erkennen von gefälschten Webseiten – und ein integriertes Virtual Private Network (VPN) mitbringt, das das anonyme Surfen begünstigt.

Für viele Surfer spielt die Geschwindigkeit eine große Rolle. Dafür bieten sich dann eher unbekannte und neuere Browser wie Maxthon und Avant an. Beide setzen auf die gängigen Sicherheitskomponenten, beinhalten dazu aber spezielle Features, die die Performance stabil und schnell halten.

Last, but not least: Ein Lesertipp. Brave ist ein Open-Source-Browser mit schnellen Ladezeiten. Integriert ist ein Blocker für Ads (Werbung) und Tracker, die Regeln dafür kann man über die Einstellungen selbst festlegen. Tabbed Browsing versteht sich von selbst und es gibt die Möglichkeit, bevorzugte Webseiten mit Micropayments zu unterstützen. Die „Brave Rewards“ laufen über eine Blockchain, als Dank bekommt der Nutzer für seine Empfehlungen Tokens.

Sicherheit ist Trumpf

Aus einem Projekt im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stammt der Browser BitBox (Browser in the Box), den es sowohl in Chrome-Edition als auch in Firefox-Edition gibt. Die Idee dabei: Firefox und Chrome laufen innerhalb einer virtuellen Maschine und sind damit abgeschottet vom Betriebssystem. So werden Sicherheitsrisiken unmittelbar abgefangen, die über Browser den PC infizieren könnten.

Alternativen lohnen sich

Welcher Browser den persönlichen Bedürfnissen entspricht, lässt sich am besten durch Probieren auf dem heimischen Rechner herausfinden. Es ist nicht nötig, sich gleich vom bewährten Browser zu trennen. Warum nicht einfach ein oder zwei Alternativen installieren? Für die Installation von alternativen Browsern mit zusätzlichen Funktionen für sicheres Surfen spricht vor allem eine Tatsache: Der Browser ist das größte Einfalltor für Attacken aus dem Netz. Angriffe durch Malware und Trojaner erfolgen oft über verdächtige aktive Inhalte, die mit Hilfe von Software-Komponenten wie ActiveX, Flash oder JavaScript dargestellt werden.

Auch schon mal erlebt? Ein falscher Klick und der Bildschirm wird schwarz. Dahinter steckt organisierte Kriminalität.

Zugriff verweigert: Bitte zahlen.

Veröffentlicht am

Zugriff verweigert: Bitte zahlen

Kleiner Exkurs ins Darknet

Cyber-Erpressungen durch Krypto-Trojaner nehmen weltweit zu, gehandelt werden solche Schadprogramme im Darknet. Kleiner Exkurs in unbekannte Nebenwelten.

Überraschung!

Eine seltsame E-Mail, ein falscher Klick auf den Anhang, ein voreilig gestarteter Download. Zack, der Rechner ist mit einem Trojaner infiziert. Was dann folgt, ist immer häufiger dieses Szenario: Nach dem Download werden auf der Festplatte gespeicherte Daten umgehend verschlüsselt. Ein Zugriff auf diese ist binnen Sekunden nicht mehr möglich. Im Filesystem erscheint dann ein Text mit eindeutig erpresserischem Inhalt: „Zahle die Summe X, und du erhältst den Entschlüsselungscode sowie das zugehörige Entschlüsselungsprogramm.“ Ob man so tatsächlich die Daten wiederbekommt, ist ungewiss. Wenn man Pech hat, hört man nie wieder vom Erpresser.

Professionell aufgezogen

Diese Art von Schadsoftware wird auch als Ransomware oder Krypto-Trojaner bezeichnet. Erpresser, die in international aktiven, kriminellen Banden zusammenarbeiten, setzen solche Trojaner ein. Dabei handelt es sich um ein professionelles Geschäftsfeld mit Entwicklern, Vertrieblern und „Geldtransferagenten“. Von denen kann man diese Programme kaufen, über das sogenannte Darknet.

Das Darknet

Als Darknet bezeichnet man „Friend-to-friend“-Netzwerke, in denen die Teilnehmer ihre Verbindungen untereinander nicht automatisch über öffentliche, ungeprüfte Netzwerkknoten herstellen. Stattdessen wird mit Verschlüsselung gearbeitet, und zum Beispiel wird nur die eigene IP-Adresse weitergereicht, nicht aber die von anderen Personen oder Webseiten, mit denen man in Kontakt steht.

Bildlich gesprochen: Man könnte sich das Darknet wie ein Hinterzimmer aus einem Action-Film vorstellen, in dem geheime Pokerspiele stattfinden. Um an einem Spiel teilzunehmen, muss ich nicht nur wissen, wo die Hintertür ist, es gilt auch, am Wirt und am Türsteher vorbei zu kommen. Da es um ein illegales Glücksspiel geht, will man anonym bleiben und nur Bargeld für den Einsatz im Spiel dabei haben, dessen Herkunft nicht nachverfolgbar ist.

Zugang zum Darknet

Für den Zugang zum Darknet braucht es spezielle Tools wie zum Beispiel den Tor-Browser. Ohne Einladung gibt es oft keine Chance, überhaupt an den Link für einen Handelsplatz im Darknet zu kommen. Gehandelt werden nicht nur Erpressungstrojaner, sondern auch Drogen, Waffen, Kinder- und Gewaltpornographie, sowie alle anderen erdenklichen illegalen Dienstleistungen.

Ein Beispiel dafür, was über das Darknet möglich ist: Dokumentation auf Spiegel TV
Ex-Darknet-Dealer packt aus: „Und fertig ist ein Online-Drogen-Imperium“

 

In der neuen Print-Ausgabe des Datareport:

Der Konzern Beiersdorf wurde 2017 Opfer einer Attacke durch den Trojaner Notpetya. CIO Barbara Saunier wird auf der Hausmesse von Dataport am 4. April über die Learnings aus diesem Vorfall einen Vortrag halten. Wir haben sie vorab dazu kurz interviewt.