[datensicherheit.de, 29.11.2016] Am 28. November 2016 wurde bekannt, dass bei der Hacker-Attacke auf die Telekom deren Router Teil eines weltweiten Botnetzes werden sollten, das ebenfalls auf die „Mirai“-Schadsoftware zurückgeht.

Hacker suchen nach öffentlichen Ports und anschließend nach schwachen Passwörtern

Die „Mirai“-Attacke zeigt laut Andy Green, Varonis, wie verwundbar wir und nicht zuletzt die digitale Wirtschaft tatsächlich sind – und das nicht zuletzt „dank des schon fast sträflich zu nennenden Leichtsinns“, wenn es um IT geht.
Zwar könne kann nichtsahnende Verbraucher entschuldigen, weil sie den heimischen Router und ihre IoT-Gadgets behandelten als würde es sich einfach um ein weiteres Haushaltsgerät handeln (einstecken und nicht weiter darüber nachdenken), aber unglücklicherweise brauchten selbst besonders einfach zu nutzende, wartungsfreie Router ein Minimum an Aufmerksamkeit. Dazu gehöre es, die Standardeinstellungen zu ändern und komplexe Passwörter zu verwenden – ein Standard in der IT von Unternehmen, sollte man annehmen. Die Realität sehe allerdings anders aus, und „Defaultitis“ sei erheblich weiter verbreitet als man glauben sollte. Üblicherweise suchten nun Hacker nach öffentlichen Ports und anschließend nach schwachen Passwörtern auf PoS-Servern oder -Geräten – und das seien entweder solche, die nie geändert worden seien, oder solche, die ausschließlich aus Bequemlichkeit so vergeben würden wie etwa „admin1234“.

Beibehalten der Standardeinstellungen erleichtert fremde Übernahme

Genau das sei die Technik, derer sich das „Mirai“-Botnet bei seinem Angriff auf IoT-Kameras bedient habe. Selbst wenn Angreifer andere gängige Methoden wie beispielsweise Phishing verwendeten, könnten sie sich Schwachstellen innerhalb der internen firmeneigenen Software mit beibehaltenen Default-Einstellungen zunutze machen.
So sei es geschehen beim „Mega-Hack“ auf die US-Handelskette Target. Die Hacker hätten bereits gewusst, dass es bei Target ein Account gegeben habe, bei dem die Standardeinstellungen leichtsinnigerweise beibehalten worden seien (es habe sich um eine beliebte IT-Managementsoftware gehandelt). Sich dieses Accounts zu bemächtigen sei vergleichsweise simpel gewesen. Anschließend sei genau dieses Konto mit zusätzlichen Rechten ausgestattet worden, was es den Angreifern erlaubt habe, unzählige Kreditkartendaten zu stehlen und aus dem Netzwerk heraus zu schleusen.

Gefahr für Unternehmen: Schwachstellen und „Defaultitis“

Die wichtigste Lektion, die das „Mirai“-Botnetz erteilt habe: Es werde immer Lücken an der Netzwerkgrenze geben. Wenn man von den allgegenwärtigen Phishing-Kampagnen hierbei einmal absehen wolle, werde es weiterhin Schwachstellen in Routern, Netzwerkgeräten und anderen Infrastrukturkomponenten geben – und diese erlaubten es Hackern ins Netzwerk zu gelangen.
Die menschliche Natur lasse sich nur sehr viel schwerer ändern als es im Sinne der IT-Sicherheit lieb sei. So sei mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass die „Defaultitis“ weiter grassiere. Unternehmenssoftware gehöre nicht zu den simpelsten Tools. Für IT-Abteilungen habe es deshalb Priorität, Applikationen und Systeme so schnell wie möglich zum Laufen zu bekommen. Nicht selten würden dann Standardeinstellungen und schwache Passwörter beibehalten, in der Hoffnung, dass der Benutzer sie dann selbst ändert. Für Unternehmen werde das ein Problem bleiben.

„Mirai“-Lektion sollte Lernkultur stärken!

Man könne getrost davon ausgehen, dass es Hackern immer wieder gelingen werde, die erste Verteidigungslinie eines Unternehmensnetzwerks zu durchbrechen oder zu umgehen, warnt Green.
Traditionelle Sicherheitssysteme sollte man deshalb ergänzen, um das Netzwerk im Hinblick auf potenzielle Eindringlinge zu überwachen. So gesehen könne man fast dankbar für die „Mirai“-Lektion sein. Green: „Das Vorkommnis hat jedenfalls sehr deutlich gezeigt, dass Unternehmen den Blick nach Innen richten sollten, wenn sie Datenschutzmaßnahmen planen und Risiken senken wollen.“

Weitere Informationen zum Thema:

VARONIS – The Inside Out Security Blog, 01.11.2016
Overheard: “IT security has nothing to learn from the Mirai attack”

datensicherheit.de, 05.10.2016
Schwere Datenschutzverletzung bei Yahoo wirft Fragen auf

[datensicherheit.de, 06.05.2016] Menschen neigten erwiesenermaßen dazu auf Links zu klicken – manche widerstünden dabei der Versuchung besser als andere, so Andy Green von Varonis. „Trotzdem könnte man erwarten, dass, wenn man in der Unternehmenshierarchie nach oben klettert bis auf die Führungsebene, Phishing dort eine weit weniger erfolgreiche Methode sein sollte.“ Anders als erwartet sei das nicht Fall, und auch Führungskräfte neigten dazu, auf die ihnen per E-Mail servierten Links zu klicken. Allerdings müssten es die „richtigen“ Links sein.

Cyber-Kriminelle nehmen Führungsebene gezielt ins Visier

Cyber-Kriminelle seien in letzter Zeit sehr viel besser darin geworden, Angriffe auf dieses spezielle Ziel hin zu konzipieren und damit die potenziell sensibelsten Unternehmensdaten ins Visier zu nehmen. Die Methode werde allgemein als „Whale Phishing“ oder auch „Whaling“ bezeichnet. Das Sicherheitsunternehmen Digitalis Reputation habe herausgefunden, dass Angreifer Soziale Medien nutzten, um die Gewohnheiten dieser speziellen Opferklientel besser zu verstehen. Green: „Nehmen wir an, das potenzielle Opfer interessiert sich für eine Sportart wie Kricket. Dann konzipiert der Hacker eine E-Mail-Nachricht, die sich auf genau dieses Kricket-Match bezieht. Die Absenderadresse ist so manipuliert, dass sie von einem Geschäftspartner zu kommen scheint, in Wirklichkeit befördert
sie aber eine schädliche Fracht direkt in den Posteingang der betreffenden Führungskraft. Sozusagen die Business-Class-Variante des gemeinen Phishing-Angriffs.“
Eine Führungskraft habe potenziell besonders wichtige und sensible Daten gespeichert oder könne auf sie zugreifen. Das mache „Whaling“ so interessant für einen Angreifer. Es seien eben nicht durchschnittliche Daten, die bei den üblichen Datenschutzverletzungen erbeutet würden, sondern in aller Regel wertvolles geistiges Eigentum und hoch vertrauliche Daten zu Geschäftsprozessen, Schlüsselkunden und -kontakten, vertrauliche Finanzdaten oder E-Mails mit kompromittierenden Inhalten. „Genau die Art von Informationen, die sich an die Konkurrenz verkaufen lässt oder die sich besonders gut für eine Ransomware-Attacke mit einer entsprechend hohen Lösegeldforderung eignet“, warnt Green.

Soziale Netzwerke als Informationsquellen für Angreifer

„Eine Phishing-Attacke funktioniert umso besser, je mehr der Angreifer über das potenzielle Opfer weiß. Auf welchen Link würde man wohl eher klicken: eine E-Mail des nigerianischen Finanzministers, bei der es um eine Geldanweisung geht, oder doch eher auf den Link, der von der eigenen, lokalen Bankfiliale zu kommen scheint … ?“, fragt Green.
Digitalis Reputation habe auch noch herausgefunden, dass bei Führungskräfte die Einstellungen der Privatsphäre beispielsweise auf facebook oder in anderen Sozialen Netzwerken betreffend nicht besser als der Durchschnitt seien. Weniger als die Hälfte der von Digitalis Reputation befragten Führungskräfte schränkten die Zahl derer ein, die ihr komplettes Profil einsehen könnten, nur 36 Prozent gingen sorgsamer mit ihren Einstellungen zur Privatsphäre um.

Führungskräfte sollten durchaus selbst ihre Cyber-Identität pflegen!

Es stelle sich die Frage, ob Führungskräfte also gänzlich darauf verzichten sollten, Soziale Medien zu nutzen. Einige Experten gingen davon aus, dass in diesem Fall Hacker die Arbeit für sie erledigten und mit Hilfe einer gefälschten Identität selbst ein Konto anlegten – eine Methode, die das Potenzial für ausgefeilte Phishing-Angriffe habe.
Es sei also durchaus empfehlenswert, dass sich Führungskräfte selbst um ihre Identität in Sozialen Medien kümmerten. Allerdings sollten auch sie keinesfalls mehr Daten als unbedingt nötig preisgeben. Ganz ähnlich wie in der Welt der Dateisysteme sollte man auf Einstellungen wie „jeder“/“alle“ komplett verzichten und den Kreis der Berechtigten auf „Freunde“ beschränken. Anbieter von Sozialen Netzwerken seien nicht unbedingt dafür bekannt, die Einstellungen zur Privatsphäre besonders zu schützen – eher im Gegenteil. Man sollte also sein Konto dahingehend regelmäßig überprüfen.

Schutz der digitalen Identität: keine einfachen Antworten

Sicherheitsexperten hätten immer wieder darauf hingewiesen, dass Soziale Netzwerke absichtlich bestimmte Informationen standardmäßig weitergäben. Green: „Zu diesen Informationen gehört typischerweise wer welche Freunde hat. Selbst wenn die Einstellungen restriktiver gesetzt werden, bekommt ein Angreifer immer noch eine ganze Reihe sehr brauchbarer Informationen frei Haus geliefert und kann recht gute Rückschlüsse auf Gewohnheiten, Interessen und Vorlieben einer Führungskraft ziehen.“
Es gebe leider keine einfachen Antworten darauf, wie man Führungskräfte in einem Unternehmen am besten schützt. Dieses Problem unterscheide sich nicht grundlegend von einem grundsätzlichen – Hacker würden es immer schaffen, in ein Netzwerk zu gelangen. Dann sei es umso wichtiger, unübliche System- und Dateiaktivitäten so frühzeitig wir möglich aufzudecken. „Das geht aber nur dann, wenn man diese Aktivitäten kontinuierlich überwacht“, betont Green.
Die Umfrageergebnisse von Digitalis Reputation bestätigten, dass es in jedem Falle sinnvoll sei, IT-Sicherheitsressourcen dazu einzusetzen, die Dateiaktivitäten von Führungskräften unter die Lupe nehmen. In Großunternehmen und Konzernen biete es sich sogar an, einen speziellen „Sicherheitsdienst“ innerhalb der IT-Abteilung für genau diesen Zweck abzustellen. „So oder so sollte man jeden Alarm und sämtliche Benachrichtigungen, die Konten von Führungskräften betreffen, ernstnehmen und nicht als ,false positives‘ ignorieren“, sagt Green. Hierbei sei es sinnvoll, jede einzelne Aktivität bis zum Finden der Ursache zu untersuchen.

Weitere Informationen zum Thema:

CITY A.M., 29.03.2016
Cyber security: Business leaders are inadvertently leaving their companies open to threats from social engineering