Wie sicher ist Ihre IT? Wir sagen es Ihnen!

Wissen Sie, ob Sie oder Ihr Unternehmen im Fokus von Cyber-Kriminellen stehen oder Daten von Ihnen im Darknet abrufbar sind? Warum das gar nicht so abwegig ist, verdeutlicht unser Experte an aktuellen Beispielen. Darüber hinaus erklärt er die Gefahren von Emotet, einem oft unbemerkten Trojaner, und zeigt auf, wie ein 360° IT-Security-Workshop Ihre IT-Sicherheit unterstützt.

Während wir uns in der gar nicht so weißen Vorweihnachtszeit an Glühwein wärmten und die Jagdsaison auf die Weihnachtsgeschenke begonnen hatte, tauchten Ende November / Anfang Dezember zwei Nachrichten über spektakuläre Fälle von Cybercrime auf. Die Rede ist von der Bekanntmachung des Cyberangriffs auf die Marriott Hotelgruppe sowie den umtriebigen Emotet-Trojaner. Dass gerade die Zeit vor Weihnachten so lukrativ ist für Cyberkriminelle, liegt auf der Hand. Lassen Sie mich aber vorab kurz die Sinne dafür schärfen, wie sehr wir alle – privat wie beruflich – im Fokus von Cybercrime stehen.

Die Frage „Wie groß ist eigentlich das Internet?“ lässt sich nur schwer beantworten – zumal sich seine Größe etwa alle zwei Jahre verdoppelt. Für 2020 wird eine Größe von 40 Zettabyte angenommen. Also so viel: 40.000.000.000.000.000.000.000. Aufgeteilt auf – Stand heute – 1,24 Milliarden Webseiten weltweit.

Vom Darknet berichtet man, es sei über 1.000fach größer als das Internet, wobei über die Hälfte der Seiten als illegal eingestuft werden: Handel mit Drogen, Waffen, Menschen – aber eben auch mit Cybercrime. Schlüsselfertige Malware (Trojaner, Ransomware etc.) zum Spottpreis. Kein Wunder, dass der Schaden durch Computerbetrug allein in Deutschland bereits im sehr hohen zweistelligen Millionenbereich liegt. Jährlich.

Zu glauben, man sei als Privatperson oder Kleinunternehmen kein interessantes Opfer, ist grob fahrlässig. Für Behörden und größere Unternehmen gilt dies umso mehr. Eine entsprechende Lektion gab es Anfang Januar 2019: Der jüngste Diebstahl von Daten Tausender Politiker und Prominenter wurde durch einen 20-jährigen Schüler getätigt, vom heimischen PC in der elterlichen Wohnung aus. Laut aktuellen (Stand Januar 2019) Erkenntnissen ist er im Darknet an die diversen Zugangsdaten gekommen.

Ich empfehle an dieser Stelle einen Selbst-Check über den Anbieter spycloud.com. Gibt man dort seine Mail-Adresse ein, erfährt man, wie oft und wann diese eine Mail-Adresse im Darknet aufgetaucht ist. Und es wird angezeigt, wie oft die verwendete Domain auftaucht. Ich habe dies einmal mit meinem privaten Hotmail-Konto überprüft. Als ich dort in Klartext sah, dass die Kombination aus meiner Mail-Adresse und einem meiner früheren Passwörter irgendwo im Darknet auftauchte, war ich erschrocken. Ein echtes Aha-Erlebnis, das dem Gedanken „Mir passiert schon nix“ einen gehörigen Strich durch die Rechnung gemacht hat. Testen Sie es gerne selbst, gerne auch mit ihrem Firmen-Account.

Sollten auch Sie einen Treffer bemerken, überlegen Sie, ob Sie dieses eine Passwort auch woanders verwenden. Dann sollte man sich schleunigst für alle Konten ein neues Passwort ausdenken. „123456“, „password“ und „qwert“ sind übrigens keine guten Ideen. Die Hitliste der beliebtesten Passwörter 2018 in Deutschland ist nach wie vor nicht wirklich originell. Seien Sie also einfallsreich! Oder hängen Sie den Haustürschlüssel gut sichtbar an den Türknauf, nachdem Sie das Haus verschlossen haben? Eben!

Das perfekte Passwort soll ja im Optimalfall aussehen, als ob man mit dem Kopf auf die Tastatur gefallen ist. Problematisch wird es, wenn man für unterschiedliche Konten unterschiedliche Passwörter verwendet und sich die alle merken soll. Ein kleiner Tipp: Überlegen Sie sich einen Satz, in dem auch eine Zahl vorkommt. Beispiel: „In der Schule hatte ich in Mathe immer eine Zwei.“ Daraus kreiert man aus den Anfangsbuchstaben sein Passwort, also hier: IdShiiMi12. Dies ist nun Bauteil 1 für Ihr Passwort. Bauteil 2 ist ein ausgedachtes Kürzel für Ihr Konto selbst, also beispielsweise TWI für Twitter. Diese beiden Bauteile trennen Sie mit einem Sonderzeichen, so dass sich in unserem Beispiel ergeben könnte: IdShiiMi12?TWI.

Am 30. November 2018 gab die Hotelkette Marriott, zu der u.a. Westin, Sheraton und Le Meridien Hotels gehören, bekannt, Opfer eines großangelegten Cyberangriffs geworden zu sein, den man erstmalig im September bemerkt habe. Hierbei wurden Daten von ca. 500.000 Gästen der Tochtermarke Starwood gestohlen: Personaldaten, Ausweisnummern, Kreditkartendaten… Und während die Suche nach den Verursachern läuft (aktueller Stand Dezember 2018: US-Ermittler beschuldigen chinesische Geheimdienste), lässt sich frei über die möglichen und wahrscheinlichen Folgen dieses Angriffs spekulieren. Gestohlene Personaldaten eignen sich prima für einen Identitätenklau. Erbeutete Email-Adressen, die konkreten Personen zuzuordnen sind, können mit gezielten Phishing Mails angegriffen werden. Wer hat noch nicht eine Mail („Bitte bestätigen Sie Ihr Kennwort“) erhalten, die einen sicherheitskritischen Vorfall auf das vermeintliche Konto bei Paypal o.ä. vorgeben? Und wir können sicher sein, dass genügend Leute auf diese Mails hereinfallen.

Nach aktuellem Stand der Ermittlungen läuft dieser Datenabfluss sogar bereits seit 2014 und blieb in dieser ganzen Zeit unbemerkt. Den Angreifern ist es offenbar sogar gelungen, Tools zur Entschlüsselung von verschlüssselten Daten zur entwenden. Sämtliche Daten lagen also offen lesbar zur Verfügung.

Neben dem Kratzer am Image kann sich Marriott nun auf äußerst unangenehme Sanktionen vorbereiten. Allein die Sanktionen im Rahmen der Datenschutzgrundverordnung (DSGVO) werden empfindlich sein. Wir erinnern uns: Der Bußgeldrahmen beträgt bis zu 4% des weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Bei Marriott lag dieser in 2017 bei insgesamt knapp 23 Milliarden US-Dollar (Quelle: Statista).

Welcher Mittel sich die Angreifer bedient hatten, wird derzeit ermittelt. Aber seien wir ehrlich: Wie soll dies nach inzwischen vier Jahren noch nachvollziehbar sein? Irgendwo wird es irgendwann bei irgendwem einen eher unscheinbaren Angriff gegeben haben, der von Mensch und System gänzlich unbemerkt blieb.

Experten von Trend Micro entdeckten 2014 den Trojaner Emotet. Dieser treibt in immer neuen Varianten sein Unwesen. Eins seiner jüngsten Opfer: Das Klinikum Fürstenfeldbruck, bei dem Mitte November über eine Woche die komplette IT lahm gelegt war. Auch wenn die Auswirkungen in diesem Fall noch einigermaßen überschaubar waren, so erinnert dieser Fall doch stark an die erfolgreichen Angriffe einer Ransomware (Verschlüsselungstrojaner), die die Daten von Krankenhäusern in Neuss und Arnsberg verschlüsselt hatte.

Wie agiert Emotet? Emotet agiert mit sogenanntem Spear Phishing, d.h. er greift seine Opfer gezielt und mit individualisierter Ansprache an. Seine Malware versteckt er in angehängten Dateien oder in Links, die auf bösartige Webseiten verweisen. Emotet wirkt nicht nur für sich allein, sondern lädt weitere Schadsoftware aus dem Internet nach.

Das Perfide: Die Mails, die er dabei als Transportmittel verwendet, werden scheinbar von Kontakten aus der Adressliste des Angegriffenen geschrieben. Dazu ist es wiederum notwendig, dass Emotet nicht nur die Mail-Adressen von Freunden, Kollegen, Geschäftspartnern etc. kennt, sondern auch die Beziehungen und das Kommunikationsverhalten untereinander. So kann er die Mails entsprechend individualisieren.

Emotet steckt also schon viel früher im Netzwerk. Er wird nicht sofort aktiv, sondern versteckt sich, um in aller Ruhe den Kommunikationsverkehr innerhalb des Netzwerks (lateraler Datenverkehr) auszuspionieren. Selbst Sandbox-Lösungen haben es schwer, Emotet aufzuspüren.

Was also tun? Effektiven Schutz kann nur eine Kombination aus intelligenter Security-Technologie sowie erhöhter Wachsamkeit der Mitarbeiter bieten. Ein Virenscanner allein ist quasi völlig machtlos. Bitte verstehen Sie dies nicht als Anregung, künftig komplett auf einen Virenscanner zu verzichten! Der ist wie der Anschnallgurt im Auto: Alleine kann er den Unfall nicht verhindern, aber ohne ihn wäre es ebenso fahrlässig. Moderne Security setzt auf verhaltensbasierte Erkennung und Analyse, sucht nach möglichen Schwachstellen und Auffälligkeiten im Netzwerk. Dies alles ist jedoch Makulatur, sobald ein Mitarbeiter allzu arglos Dateianhänge öffnet. Hier sind erhöhte Wachsamkeit und ein gesundes Misstrauen gefordert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) listet eine Reihe von Schutzmaßnahmen auf, auf die ich hier gerne verweise.

Dieser ganzheitliche Ansatz ist im Übrigen das Klettergerüst für den 360° IT-Security-Workshop, den meine Kollegen und ich anbieten. Wir verstehen uns dabei wie eine Fachkraft im Reisebüro. Möglicherweise ist man sich innerhalb Ihrer Reisegruppe noch uneins über das Reiseziel. Möglicherweise haben Sie bereits mehr oder weniger konkrete Ideen, wohin Ihre Reise gehen soll. Möglicherwiese möchten Sie für Ihren zweiwöchigen Urlaub in Ägypten nur einen Tauchausflug buchen. Möglicherweise war Ihnen nicht bewusst, dass für Reisen nach Ägypten Ihr Reisepass noch mindestens sechs Monate nach Reiseende gültig sein muss. Kurz: Wir verstehen uns als Anlaufstelle, um Ihnen vielleicht noch den einen entscheidenden Tipp zu geben oder auch, um Ihre Reise komplett durchzuplanen.

Für den 360° IT-Security-Workshop bedeutet dies: Wir betrachten Ihre Infrastruktur nicht mit technischen Hilfsmitteln, sondern evaluieren gemeinsam mit Ihnen Ihren Bedarf an IT-Security und geben nützliche Tipps zu neuen Technologien, aber auch zu Maßnahmen wie Schwachstellenanalysen oder Mitarbeiterschulungen.