Hackerangriffe – Von Vorfällen, Verhalten und Vorsichtsmaßnahmen
Meldungen über Hackerangriffe gehören inzwischen zu den regelmäßigen Themen in den Medien, sie stehen schon fast auf einer Stufe mit dem Wetter oder den Fußballergebnissen. Kein Wunder, denn Cyber-Attacken werden weltweit zu einem immer größeren Problem. Und trotzdem haben diese Berichte in Deutschland bisher kaum zu einem Umdenken geführt. Prävention, das richtige Verhalten nach einem Angriff und zusätzliche Maßnahmen, wie der Einsatz von Open-Source-Systemen, sind vielerorts mangelhaft.
Die Mitarbeiter kommen morgens ins Büro, schalten ihre Computer ein und es geht – nichts. Oder fast nichts. Statt ihres gewohnten Desktops sehen sie nur eine Botschaft, die sie zum Zahlen eines Lösegelds auffordert. Vielleicht haben sie auch keinen Zugang mehr zu ihrem Account oder sie stellen fest, dass die Server offline sind. Die normale Arbeit ist jedenfalls nicht mehr möglich, Anträge in einer Behörde können nicht mehr bearbeitet werden, ein Unternehmen muss vielleicht sogar die komplette Produktion stoppen. Egal, ob Firma, Behörde oder öffentliche Einrichtung, viel zu oft haben die Betroffenen in solchen Fällen erstmal ein großes Fragezeichen über dem Kopf, was denn nun zu tun sei.
Ransomware
Wenn die Betroffenen von verschiedenen Dateien ausgesperrt wurden, ist es gut möglich, dass sie Opfer von Ransomware geworden sind. Mit dieser Art von Schadsoftware können Hacker den Zugriff auf einzelne Dateien, bestimmte Bereiche oder ganze Systeme sperren. Im Anschluss folgt meist recht schnell eine Lösegeldforderung, oft per Mail oder in einer Textdatei, um die infizierten Rechner wieder freizugeben.
Ransomware ist nicht nur aufgrund der Folgen besonders heimtückisch, sondern auch, weil es eine unüberschaubare Zahl an Varianten davon gibt. Das Bundesamt für Sicherheit in der Informationstechnik schätzt, dass 2022 weltweit über 116 Millionen neue Varianten von Schadsoftware in Umlauf gekommen sind [1]. Ähnlich und ebenso bedrohlich sind die Zahlen, die das Sicherheitsunternehmen Kaspersky für das vergangene Jahr herausgegeben hat: Täglich wurden hier über 400.000 neue Bedrohungen festgestellt, und das nur in der hauseigenen Antiviren-Software [2].
In Deutschland sind die Hacker mit diesem Vorgehen leider noch viel zu oft erfolgreich. Bei 71 Prozent der hierzulande verübten Ransomware-Attacken gelingt es den Tätern, Dateien zu verschlüsseln. Zu diesem Ergebnis kommt das Sicherheitsunternehmen Sophos in einer aktuellen Studie [3]. Vor allem in kleinen und mittelständischen Unternehmen herrscht oft die Meinung vor, dass Sicherheits-Updates genügen und sie sowieso nicht in das Fadenkreuz der Hacker geraten, weil es ja nicht viel zu holen gibt. Die meisten Lösegeldzahlungen liegen zwar weltweit aktuell zwischen einer und fünf Millionen Dollar, doch oft geben sich Hacker auch mit deutlich kleineren Summen zufrieden [4]. Ganz nach dem Motto "Kleinvieh macht auch Mist", denn für sie ist der Profit nur wenige Klicks entfernt.
Was nun also tun, wenn man erwischt wurde? Die entsprechenden Kapazitäten und Kenntnisse der IT-Mitarbeiter vorausgesetzt, lassen sich manche Ransomware-Vorfälle auch intern bewältigen. Oft sind die Täter nämlich nur bei ihrer Schadsoftware kreativ, aber nicht bei ihrem weiteren Vorgehen. Häufig nutzen sie die gleichen Formulierungen bei ihren Forderungen, ändern nicht den Namen einer Textdatei, nutzen immer wieder dieselben Mailadressen oder fordern die gleichen Summen als Überweisung oder in Bitcoins wie bei ihren vorherigen Taten. Anhand dieser Merkmale lässt sich die eingesetzte Ransomware identifizieren. Übersichten samt passendem Decryptor gibt es im Internet [5]. Wer sich das nicht zutraut, kann natürlich auch ein spezialisiertes Security-Unternehmen hinzuziehen. Aber auch dann gibt es keine Garantie, das Problem zeitnah in den Griff zu bekommen.
Meistens dauert es zwischen einer Woche und einem Monat, bis alle Systeme nach einem Ransomware-Angriff wieder funktionieren – teilweise können aber auch mehrere Monate vergehen [4]. Eine Zeit, die für viele Unternehmen das Aus bedeuten kann. Die Betroffenen sollten sich deshalb genau überlegen, wie schnell der Schaden die geforderte Summe übersteigt. Aus wirtschaftlicher Sicht ist es dann die klügere Wahl, das Lösegeld zu zahlen. Andererseits fördert man so auch die Aktivitäten der Hacker, denn sie haben ihr Ziel ja erreicht. Und da es für die Täter funktioniert hat, kann es auch gut sein, dass sie später erneut zuschlagen.
Höchste Zeit also, dass Unternehmen und öffentliche Einrichtungen das Thema nicht mehr auf die leichte Schulter nehmen. Beispiele, wie gefährlich eine solche Attacke ist, gibt es schließlich genug. 2017 geriet etwa die Ransomware WannaCry in die Schlagzeilen, die selbst Jahre nach ihrem ersten Auftreten noch Schäden in Milliardenhöhe verursachte [6]. Und auch 2023 gab es wieder einen globalen Angriff mit Ransomware, bei dem laut BSI auch eine dreistellige Zahl von deutschen Unternehmen betroffen war [7].
DDoS und Botnetze
Gefahr aus dem Internet droht aber nicht nur durch Angriffe mit Ransomware, sondern auch durch sogenannte Distributed-Denial-of-Service-Attacken, oder kurz DDoS. Die Täter überlasten dabei Server mit unzähligen Anfragen, wodurch sie diese schließlich lahmlegen. In manchen Fällen sind die Folgen eines solchen Angriffs recht harmlos, etwa wenn die Webseite eines Unternehmens oder die Server eines Online-Videospiels vorübergehend nicht erreichbar sind. Es kommt jedoch auch immer häufiger vor, dass deutlich empfindlichere Ziele getroffen werden und die Angriffe einen politischen Hintergrund haben.
Anfang April 2023 gab es beispielsweise eine ganze Welle an DDoS-Angriffen in Deutschland. Ziel waren die Webseiten von Polizeidienststellen, Landesregierungen und Stadtverwaltungen verschiedener Bundesländer [8]. Die Störungen wurden zwar spätestens nach ein paar Tagen behoben, doch Services und Kommunikationswege für die Bürgerinnen und Bürger waren in dieser Zeit nicht oder nur sehr eingeschränkt nutzbar.
Ebenfalls im April gab es einen DDoS-Vorfall bei der europäischen Flugsicherungsbehörde Eurocontrol [9]. Die russische Hackervereinigung "Killnet" hatte den Angriff zuvor angekündigt, weil Eurocontrol nach ihrer Aussage die Ukraine unterstütze. Zwar sagte ein Vertreter der Flugsicherung, dass die Hacker nicht auf die Kontrollsysteme zugreifen konnten, aber trotzdem war die interne und externe Kommunikation so stark beeinträchtigt, dass die Mitarbeiter auf andere Tools zurückgreifen mussten. Kaum auszumalen also, was für katastrophale Folgen ein solcher Angriff schlimmstenfalls haben könnte.
Um so einen massiven und konzentrierten Angriff überhaupt durchführen zu können, nutzen die Täter häufig sogenannte Botnetze. Dabei haben sie im Vorfeld eine Vielzahl an Computern infiziert, die sie dann gebündelt für eine Attacke einsetzen. Hacker benutzen Botnetze aber nicht nur im DDoS-Bereich, sondern auch um massenhaft Spam- oder Phishingmails zu verschicken oder den eigentlichen Ursprung zu verschleiern. In solchen Fällen sehen die Betroffenen nur, dass der Angriff von den infizierten Rechnern ausgeht, aber nicht, wer im Hintergrund die Fäden in der Hand hält.
Wer von einem DDoS-Angriff betroffen war, kann im Nachgang die eingesetzten IP-Adressen sperren. Aufgrund der Vielzahl der Adressen ist das aber eine sehr mühselige Aufgabe, außerdem können die Täter bei weiteren Angriffen auch problemlos neue IPs verwenden. Sinnvoller ist es, vorher seine Daten auf mehreren Servern zu verteilen. Für Anschaffung und Wartung entstehen zwar zusätzliche Kosten, ein solcher Schritt kann aber vor Totalausfällen schützen. Wie gesehen bei Eurocontrol.
Social Engineering
Bei Hackern sind auch sogenannte Social-Engineering-Angriffe immer mehr in Mode. Diese Art von Cyberattacken erlebte während der Corona-Pandemie eine erste Hochzeit. Dabei kamen unzählige Mails und nachgebaute Webseiten in Umlauf, die angeblich über neue Maßnahmen informieren sollten oder Hilfsgelder versprachen. Die Täter konnten dann die Daten und Passwörter abgreifen, die die ahnungslosen Opfer dort eingaben.
Nach dem Abklingen der Pandemie haben die Täter ihre Strategie angepasst. Inzwischen setzen sie verstärkt auf nachgebaute Online-Shops, wie das BSI im aktuellen Lagebericht zur IT-Sicherheit in Deutschland berichtet [1]. Statt mit Informationen zu aktuellen Themen werden die Menschen dabei mit Schnäppchen und Angeboten angelockt. Je nachdem, welche Daten die Täter in die Hände bekommen und auf wie vielen anderen Seiten Username und Passwort auch verwendet werden, können die Folgen ganz unterschiedlich sein. Möglicherweise kaufen die Hacker auf Kosten der Opfer auf den echten Webseiten ein. Sie könnten aber auch die komplette digitale Identität eines Menschen ergaunern und beispielsweise mit Fotos der Betroffenen Social-Media-Profile anlegen. Die Tür steht ihnen dann jedenfalls offen.
Wer aufmerksam bleibt, kann sich viel Ärger ersparen.
Wer seinen Fehler bemerkt, sollte so schnell wie möglich sämtliche Passwörter ändern. Und das nicht nur bei seinen Mail-Konten oder oft genutzten Seiten, sondern auch auf Portalen, die man möglicherweise schon länger nicht besucht hat. Wo es möglich ist, sollte zudem eine Zwei-Faktoren-Authentifizierung aktiviert werden. Änderungen von Dritten erfolgen dann erst nach einer weiteren Bestätigung, etwa per SMS oder in einer App.
Präventiv gilt bei diesem Thema schlicht: wachsam bleiben! Das ist natürlich manchmal leichter gesagt als getan. Wer hat noch nicht vor dem ersten Kaffee oder kurz vor Feierabend gedankenlos auf den Mailanhang eines Kollegen geklickt? Trotzdem sollte man sich mögliche Hinweise immer wieder vor Augen halten: Ist der Absender oder der Anhang verdächtig? Sieht eine Webseite anders aus als gewohnt, wenn auch nur im Detail? Was steht in der Adressleiste? Gibt es Rechtschreibfehler im Text? Wer aufmerksam bleibt, kann sich viel Ärger ersparen.
Mehr Offenheit im doppelten Sinn
Ein Punkt, der nach einem Hackerangriff oft vernachlässigt wird, ist die Kommunikation. Dabei kann gerade der offene Umgang dabei helfen, das Problem zu lösen oder die Auswirkungen zu minimieren. Ausbleibende Kommunikation verschlimmert die Situation dagegen in jedem Fall.
Dabei ist es für Unternehmen oder Behörden ebenso wichtig, das Problem nach innen und nach außen anzusprechen. Besonders durch die offene interne Kommunikation lässt sich das Problem meist deutlich schneller in den Griff bekommen. Ein unachtsamer Klick kann jedem passieren. Versucht aber dann jemand seinen Fehler zu verschleiern, kann wertvolle Zeit verloren gehen. Für IT-Teams oder Sicherheitsunternehmen ist es wichtig, frühzeitig den Ort und den Zeitpunkt des illegalen Zugriffs festzustellen. So können sie die Art des Angriffs bestimmen, Systeme isolieren und weitere Maßnahmen ergreifen.
Und auch die externe Kommunikation sollten die Betroffenen nicht vernachlässigen. Unternehmen sollten ihre Kunden und Partner so schnell wie möglich über den Vorfall informieren, etwaige Datenlecks eingestehen und sie über Fortschritte auf dem Laufenden halten. Nur so können auch sie ihre Planung anpassen und Maßnahmen ergreifen. Es ist schon schlimm genug, wenn bei einem Unternehmen nach einem Hackerangriff die Produktion stillsteht – ein gestörtes Kundenverhältnis muss dann nicht noch hinzukommen. Gleiches gilt für Angriffe auf Behörden, denn nur wer das Problem anspricht, kann Verunsicherungen bei der Bevölkerung aus dem Weg räumen.
Offenheit ist bei den Themen Hackerangriffe und Security aber auch in doppelter Hinsicht wichtig. Und zwar was den Einsatz von Open-Source-Systemen angeht. Von den Anfängen mit dem GNU-Projekt über Linus Torvald mit seinem Linux-System bis hin zum Apache-Webserver hat kaum eine andere Technologie unseren heutigen Umgang mit Hardware und Software so beeinflusst.
Vor allem der Einsatz eines auf Open Source basierendem IT-Service-Management-Systems (ITSM) in Kombination mit einem Informationssicherheitsmanagement (ISM) kann heutzutage entscheidende Vorteile bringen. Durch das Zusammenspiel dieser Systeme können User deutlich schneller auf Bedrohungslagen reagieren und strukturiert und letztendlich effektiv vorgehen. Beispielsweise mit Hilfe einer Impact-Analyse, die die betroffenen Bereiche visualisiert. So lassen sich alle Zwischenfälle und Gegenmaßnahmen dokumentieren, damit andere Kollegen auch später noch einen Überblick über zurückliegende Vorgänge haben.
Es klingt zunächst widersprüchlich: Bei Open Source liegt der Quell-Code offen, jeder User kann ihn einsehen, editieren und nach den eigenen Vorlieben anpassen. In der Theorie können also auch Hacker darauf zugreifen, mögliche Schwachpunkte auskundschaften und sie für ihre Zwecke nutzen. In der Praxis ist das durch die Vielzahl der User, die sich mit dem Quellcode beschäftigen, aber so gut wie ausgeschlossen.
Gerade da so viele Menschen gemeinsam an einem Source-Code arbeiten, werden Schwachstellen und Einfallstore oft in Windeseile erkannt und geschlossen. Und auch beim Aufkommen neuer Schadvarianten lässt sich Open-Source-Software in kürzester Zeit an die neuen Bedrohungen anpassen, meist deutlich schneller als bei proprietären Programmen, deren Code Verschlusssache der Entwickler ist. Bei Open Source dagegen sind Änderungen für jedermann sichtbar, werden protokolliert und von den Entwicklern geprüft. Dass es ein fehlerhafter Code, ob beabsichtigt oder nicht, in eine freigegebene Version schafft, ist also ziemlich unwahrscheinlich. Und das macht die Open-Source-Community beim Kampf gegen Cyber-Bedrohungen so stark.
Kein Wunder also, dass in den USA bereits 90 der 100 größten Unternehmen Open-Source-Systeme einsetzen [10]. Und auch hierzulande ist Fortschritt zu spüren, nicht zuletzt durch das Ziel der Bundesregierung, verstärkt auf Open Source zu setzen [11]. Doch leider ist auch noch viel zu oft zu hören, dass sich Einrichtungen auf die traditionellen Sicherheitsvorkehrungen beschränken. BSI-Grundsicherung, ISO 27001 und der Aufbau eines ISM sind effektive Mittel für mehr Sicherheit gegen Hacker. Und auch wenn es die komplette Sicherheit nie geben wird, kann Open Source ein weiteres wichtiges Puzzleteil sein.
Wie sich die Zahl der Hackerangriffe in den nächsten Jahren entwickeln wird, können wir nur abwarten. Ein Rückgang ist jedenfalls unwahrscheinlich. Wer sein Sicherheitskonzept – egal ob vor oder nach einem Angriff – noch nicht überdacht hat, sollte das jetzt schleunigst tun.
- BSI: Die Lage der IT-Sicherheit in Deutschland 2022 im Überblick
- Kaspersky: Jahresanalyse 2022: 400.000 neue schädliche Dateien pro Tag
- Sophos: State of Ransomware 2023 – Ein Ende der Datenverschlüsselung ist nicht in Sicht
- Sophos: The State of Ransomware 2023
- Bleib virenfrei: Ransomware-Liste inkl. Decryptor (zum Entschlüsseln)
- t3n: Ransomware reloaded: Wannacry verursacht immer noch Schäden in Milliardenhöhe
- BSI: Weltweiter Ransomware-Angriff
- Berliner Morgenpost: Hackerangriffe in Berlin: Hauptstadt-Portal läuft wieder
n-tv: Cyberangriff verursacht Störungen bei Polizei-Internetseite
Staatskanzlei Thüringen: Hacker-Angriffe gegen Webseiten der Thüringer Landesregierung
Kieler Nachrichten: Schleswig-Holsteins Landesportal von Cyberattacke betroffen - Blick: Pro-russische Hacker greifen Europas Flugsicherungsbehörde an
- Github: Octoverse 2022 – The state of open source software
- eGovernment: Bundesregierung fördert Open Source mit rund 51 Millionen Euro