Cybersecurity

Von größter Bedeutung für die deutsche Wirtschaft

4 Aktuelle Bedrohungen für die Cybersecurity – Die Analyse des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Nach Angaben des BSI verschiebt sich die Cyber-Kriminalität aktuell in den Bereich der gezielten Cyber-Angriffe. Ein typisches Beispiel dafür war eine wiederholte intensive Ransomware-Kampagne Ende 2018 und Anfang 2019. Als besonders schwerwiegender Cyber-Angriff ist der Vorfall bei einem norwegischen Aluminiumlieferanten zu verzeichnen. So wurde der Konzern im März 2019 Opfer einer massiven Cyber-Attacke mit der Ransomware LockerGoga. Betroffen waren die meisten Geschäftsfelder, die Produktion musste weitgehend auf manuellen Betrieb umgestellt werden.¹¹

IT-Labor einer Cybercrime-Dienststelle.

Infektionen durch Schadprogramme sind seit Jahren eine der größten Bedrohungen für die Cyber-Sicherheit, sowohl für Unternehmen als auch für Privatanwender und Behörden. Eine aktuell sehr gefährliche Malware ist Emotet. Das schon seit 2010 bekannte Schadprogramm ist seit Ende 2018 wieder vermehrt mithilfe von schädlichen Office-Dokumenten verteilt worden, aber mit immer ausgefeilteren Mechanismen, beispielsweise dem „Outlook-Harvesting“, sprich: der Analyse des Mailverlaufs infizierter Computer, dem Nachladen von beliebigen anderen Schadprogrammen im Kontext kooperierender und arbeitsteiliger Computerkriminalität sowie der Verwendung von Techniken, die bisher nur bei Advanced Persistens Threats (APTs) eingesetzt wurden.¹² Auch die Bedrohungslage durch Botnetze – Verbünde von Rechnern oder Systemen, die von einem fernsteuerbaren Schadprogramm [Bot] befallen sind – ist nach Angaben des BSI wie in den Vorjahren anhaltend hoch.

Folgende Angriffsmethoden und -mittel analysiert das BSI aktuell:

• Identitätsdiebstahl: Eine häufige Form des Identitätsdiebstahls ist das sog. Phishing, zum einen durch Techniken des Social Engineerings, um das Opfer zur Herausgabe sensibler Informationen zu bewegen. Zum anderen können Identitätsdaten durch den Einsatz spezieller Schadsoftware entwendet werden. Phishing, ein englisches Kunstwort, setzt sich aus einem „P“ für Passwort und dem Wort „fishing“ zusammen.¹³ Betroffene von wichtigen Datenabflüssen von Kundeninformationen sind aktuell einige namhafte Unternehmen, zum Beispiel die Hotelkette Marriott oder die Social-Media-Plattform Facebook.¹⁴ Als „Pharming“ wird die Manipulation einer Hostdatei von Webbrowsern beschrieben, um Anfragen auf gefälschte Websites umzuleiten, es handelt sich hierbei um eine Weiterentwicklung des klassischen Phishings.¹⁵
• Schadprogramme (Malware): Schadprogramme umfassen alle Arten von Computerprogrammen, die unerwünschte oder schädliche Funktionen auf einem Computersystem ausführen können. Die Begriffe Trojaner, Viren, Würmer etc. werden in der Presse und den Medien oft synonym für alle Arten von Schadprogrammen genutzt. Schadprogramme sind fester Bestandteil der meisten Angriffsszenarien, z.B. bei der Infektion eines Clients durch Ransomware, bei der Kommunikation von Botnetzen aber auch bei APT-Angriffen. Allein im Jahr 2019 wurden von dem IT-Sicherheits-Unternehmen AV-Test insgesamt rund 114 Mio. neue Schadprogramm-Varianten registriert. Davon entfallen ca. 65 Mio. auf das Betriebssystem Windows, ca. 3,4 Mio. auf Android, ca. 0,09 Mio. auf MacOS und mehr als 39 Mio. in die Kategorie Sonstiges. Dies bedeutet im Durchschnitt ca. 320.000 neue Schadprogramme pro Tag.¹⁶
• Ransomware: Ransomware wurde spätestens mit dem Angriff von WannaCry im Jahr 2017 der breiten Öffentlichkeit bekannt und bezeichnet Schadsoftware, die den Zugriff auf den eigenen Rechner oder die eigenen Dateien verwehrt oder einschränkt. Dies erfolgt meistens durch eine am Bildschirm eingeblendete Nachricht, manchmal ist die Mitteilung nur vorgetäuscht oder sind Einschränkungen leicht zu umgehen. Das Ziel von Ransomware ist die Zahlung eines Lösegelds (Ransom) u fordern, bevor die Ressourcen wieder freigegeben werden. In den meisten Fällen wird die Zahlung mit einer Krypto-Währung wie Bitcoin oder Ethereum gefordert, um die Anonymität der Täter zu wahren.¹⁷ Digitale Erpressungen können sowohl Wirtschaftsunternehmen als auch Privatpersonen betreffen und gehen meistens mit der Verwirklichung klassischer Cybercrimedelikte, wie beispielsweise Computersabotage einher.¹⁸ Ransomware verbreitet sich durch:
  • Spam-E-Mails mit Schadsoftware in Anhängen oder über URLs
  • Drive-By-Exploits, Schwachstellen in Browsern, Browser-Plug-Ins oder Betriebssystemen
  • Exploit-Kits

Unternehmen mit komplexerer IT-Infrastruktur können von folgenden Cyber-Attacken betroffen sein:

• Schadsoftware für das Ausspähen von Passwörtern
• Zugriff auf Systeme durch Schwachstellen in Fernwartungs-Werkzeugen (Remote Administration Tools)
• Schadsoftware tarnt sich nach der Infektion des Systems als legitimer Prozess

Im Jahr 2019 wurden verschiedene Ransom-Attacken auf Häfen, Flughäfen, Unternehmen im Logistikbereich (Container), Zeitungen und Restaurantketten gemeldet. Unter anderem gab es auch Ransom-Attacken auf deutsche Krankenhäuser.¹⁹

• Distributed Denial of Service (DDoS): DDoS-Angriffe haben häufig zur Folge, dass Websites nicht mehr erreichbar sind, Netzwerkdienste ausfallen oder kritische Geschäftsprozesse wegen Überlastung blockiert werden. Solche DDoS-Angriffe werden von Cyberkriminellen oft genutzt, um gezielt Schaden anzurichten, ihre Opfer zu erpressen, oder Aufmerksamkeit für eine eigene Sache zu erregen, aber auch, um andere Attacken zu verschleiern oder erst zu ermöglichen. Dabei werden die Angriffe häufig mittels einer großen Anzahl von Computern, ggf. Servern, parallel durchgeführt. Die Auswirkungen von DDoS-Angriffen können erheblich sein. So können sie für die betroffenen Institutionen einen großen wirtschaftlichen Schaden verursachen und auch einen Reputationsverlust nach sich ziehen. Deutsche Unternehmen mussten laut einer Studie des Unternehmens Netscout im Jahr 2018 einen DDoS-Gesamtschaden von rund vier Milliarden Euro verzeichnen.²⁰
• Botnetze: Unter einem Bot versteht man Computersoftware, die weitgehend selbstständig sich wiederholende Aufgaben abarbeitet, ohne dabei mit dem menschlichen Nutzer interagieren zu müssen. Kommunizieren Bots untereinander, spricht man von einem Botnetz, die eine Gruppe von Software-Bots sind, die nach Infektion mit einer Schadsoftware von einer zentralen Einheit ferngesteuert werden. Ein sog. Botmaster kann dabei das Botnetz überwachen und Befehle ausgeben, während die eigentlichen Nutzer des infizierten Computers diese Manipulation nicht bemerken.²¹ Durch die Nutzung von Botsoftware haben Cyber-Kriminelle Zugriff auf eine große Zahl von fremden Systemen (Computer, Smartphones, Router, IoT-Geräte etc.) und können diese für kriminelle Zwecke missbrauchen. Neben dem Abgreifen persönlicher Daten des Anwenders und Betrug beim Onlinebanking können auch die Ressourcen des gekaperten Systems von einem Angreifer missbraucht werden, um beispielsweise Kryptowährungen zu berechnen oder DDoS-Angriffe durchzuführen. Aufgrund eines modularen Aufbaus ist aktuelle Schadsoftware in der Lage, ihre Funktionalitäten durch das Nachladen von Erweiterungen dynamisch anzupassen oder zu erweitern. Damit können die Betreiber eines Botnetzes flexibel dessen Einsatzzweck verändern und an aktuelle Gegebenheiten individuell anpassen.²² In den letzten Monaten wurden Botnetze hauptsächlich zum Informationsdiebstahl, zum Betrug beim Onlinebanking sowie zur Verteilung von Schadprogrammen genutzt. Dazu wurden verstärkt mit Botsoftware infizierte Android-Systeme beobachtet, hier mit einer vergleichsweise hohen Infektionsrate in Deutschland. Allein im Jahr 2019 wurden täglich bis zu 110.000 Botinfektionen deutscher Systeme registriert und über das BSI an die deutschen Internet-Provider gemeldet.²³