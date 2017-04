Man sollte meinen, dass sich inzwischen herumgesprochen hat, dass IT-Systeme angreifbar sind. Auch die bekanntesten Angriffswege sollte eigentlich jeder kennen: Neben Sicherheitslücken in den Systemen selbst sind vor allem die Nutzer der Systeme die größte Schwachstelle. Zu schnell auf einen Link in einer Mail geklickt, in ein gefälschtes Formular die Zugangsdaten getippt, unsichere Passwörter, die dazu auch noch auf verschiedenen Systemen verwendet werden, ignorierte Systemupdates oder der sorglos eingesteckte USB-Stick, der vor dem Büro gefunden wurde. Die Situationen, in denen Anwender selbst ungebetene Besucher in ihre IT-Systeme einladen, sind unzählig. Und es scheint keine Besserung in Sicht.

Aus Schaden wird man klug? Manchmal…

Laut dem DBIR 2017 von Verizon waren in fast der Hälfte der Fälle Mails der Startpunkt einer Attacke: Ob direkt mit Schadsoftware im Anhang oder mit Links, die wiederum auf Webseiten mit Schadcode oder gefälschten Formularen verweisen. Dieses Vorgehen ist für die Angreifer offensichtlich erfolgversprechend, dazu reicht es einfach mal selbst zu schauen, wie viele angebliche DHL-Paketbenachrichtigungen, „Sicherheitshinweise“ irgendwelcher Banken oder von Paypal man erhält. Laut Verizon kann man sich hier nicht mal auf „aus Schaden wird man klug“ verlassen, in einigen Organisationen fielen Mitarbeiter sogar mehrmals auf die gleichen derartigen Angriffe herein.

An dieser Stelle muss ich an eine Begebenheit aus meiner Kindheit denken: Mein kleiner Bruder meinte damals, es wäre eine gute Idee, auf einem Sessel rumzuturnen, beugte sich über die Lehne, der Sessel kippte, mit ihm mein Bruder, der dann mit dem Kopf auf den Boden knallte. Platzwunde, Krankenhaus, Platzwunde genäht, wieder heim. Abends kam sein Vater heim und fragte ihn, wie er das denn geschafft hätte. Mein Bruder war schon immer mehr praktisch als theoretisch veranlagt: „Ich bin hier auf den Sessel geklettert, auf die Lehne, genau so…“ Nun gut, wir kannten den Weg ja dann schon. Was ich damit sagen will: Natürlich ist der Mensch grundsätzlich lernfähig, aber manchmal reicht es eben nicht, dass man einmal auf die Schnauze fällt, manchmal muss man einen Fehler mehrfach machen, bevor man versteht, was man da falsch gemacht hat.

Aber das muss man doch merken?

Immer wieder, wenn ich solche Mails sehe, selbst wirklich gut gemachte Phishing-Mails, die auf den ersten Blick echt aussehen, frage ich mich spätestens bei den Adressen, zu denen man da geschickt werden soll, wie man darauf hereinfallen kann. Okay, es gibt eine Ausnahme: Bei einem homographischen Angriff ist es schon schwerer, da leider immer noch nicht alle Browserhersteller ihre Browser dahingehend gesichert haben. Hier machen sich Angreifer zunutze, dass es in verschiedenen Schriften Zeichen gibt, die sich stark ähneln. Zum Beispiel gibt es im kyrillischen Alphabet Zeichen, die aussehen wie a, c, e, o, p, x und y – aber eben andere Zeichen sind. Holt man sich nun also die Domain paypal.com, dann sieht das in den meisten Browsern aus wie paypal.com – aber eigentlich ist der Domainname xn--pypal-4ve.com.

Aber es gibt einen einfachen und immer wieder empfohlenen Weg, selbst in solchen Fällen nicht zum Opfer zu werden: Man klickt einfach nicht den Link in der Mail, sondern macht sich die Mühe die Webadresse eben selbst in den Browser zu tippen statt einfach auf den Link in der Mail zu klicken. Macht ein bisschen mehr Aufwand, aber ist eine absolut sichere Methode gegen solche Angriffe.

Letzten Monat veröffentlichte F-Secure einige Zahlen aus den Tests des eigenen Red Team: 52% der Anwender klickten auf den Link in einer gefälschten LinkedIn Mail, bei einer Mail mit einem Link zu einer gefälschten Login-Seite besuchten 26% eben diese Seite und 13% gaben ihre Anmeldedaten ein. Das ist vielleicht nicht repräsentativ, aber es passt zu den Zahlen von Verizon.

Ransomware

Laut Verizon gab es auch einen Anstieg bei den Ransomware-Angriffen auf Unternehmen. Also bei den erfolgreichen Angriffen. Dabei sollten solche Angriffe eigentlich kaum noch zum Erfolg führen dürfen: Sie sind lange bekannt, auch die Möglichkeiten, sich davor zu schützen, sollten gerade in Unternehmen doch vorhanden sein. Entsprechende Scanner auf den Mailservern, Firewalls, Malware-Scanner auf den internen Servern und den Clients, Information der Anwender zum korrekten Verhalten und vor allem Backuplösungen, bei denen potentiell infizierte Geräte keinen Zugriff auf die Backupspeicher bekommen – die Schutzmöglichkeiten sind da und auch kein Hexenwerk (oder Raketenwissenschaft).

Warum also sind solche Angriffe immer noch und sogar häufiger erfolgreich? Nun, Verizon hält hier veraltete Schutzmaßnahmen in vielen Unternehmen für den Grund. Bei heise security folgert man daraus, dass es offenbar viele Verantwortliche lieber darauf ankommen lassen würden, am Ende ein bis zu sechsstelliges Lösegeld zu bezahlen, statt Geld in die Hand zu nehmen, um die eigenen Systeme zeitgemäß abzusichern.

Was man dagegen tun kann

Wenn es um die Abwehr von IT-Angriffen geht, hätte es sich Verizon sehr einfach machen können und auf die an unzähligen Stellen im Netz gemachten Tipps verweisen können: Sichert die Logins mindestens durch sichere Passwörter, besser durch eine Authentifizierung mit mindestens zwei Faktoren, verschlüsselt, macht Updates, schult eure Mitarbeiter… Diese Hinweise werden seit Jahren ja immer und immer wieder gegeben und sehr wahrscheinlich kennen sie auch diejenigen, die sich nicht daran halten.

Digitale Gesellschaft? Echt nicht…

In einem anderen Zusammenhang machte ich mir ein paar Gedanken zum Thema „Digitale Gesellschaft“: Wie weit ist die Digitalisierung in unserer Gesellschaft angekommen? Sind wir eine „digitale Gesellschaft“ oder nicht? Wenn ich dann den Report von Verizon lese, dann bestätigt mich das in meiner Ansicht, dass wir als Gesellschaft noch einen langen Weg vor uns haben, bevor wir tatsächlich als „digitale Gesellschaft“ bezeichnet werden können. Viel zu viele stellen sich bei der Nutzung der modernen Technik an wie Kleinkinder, die eine geladene Schusswaffe finden und damit spielen, ohne zu wissen, was sie da eigentlich in der Hand haben. Und es ist bekannt, wie so etwas im schlimmsten Fall ausgehen kann…

Nein, eine „digitale Gesellschaft“ sind wir dann, wenn grundsätzliche Regeln der IT-Sicherheit für die überwiegende Mehrheit der Menschen so selbstverständlich sind, wie das Umschauen vor dem Überqueren einer Straße oder das Abschließen der Haustür, wenn man in den Urlaub fährt.

Vielleicht richtet es die künstliche Intelligenz?

Die Fortschritte im Bereich künstliche Intelligenz sind enorm und möglicherweise gibt es dann bald den „gesunden Menschenverstand“ als App? Dann beobachten uns Siri und Alexa über Kameras ständig und statt auf ein gesprochenes Kommando von uns zu warten, mischen sie sich aktiv ein?

„Hey Mensch, du möchtest diesen Link jetzt nicht klicken, das willst du wirklich nicht“.

Eben ein „gesunder Maschinenverstand“ statt dem offenbar nicht überall vorhandenen „gesunden Menschenverstand“?

Natürlich: Es wird immer Angriffe geben, es wird auch immer erfolgreiche Angriffe geben und davon werden viele – wenn nicht die meisten – auf Fehler von Menschen zurückzuführen sein. Es wird auch immer Sicherheitslücken geben und immer Menschen, die aus welchen Motiven auch immer Lücken suchen und auch ausnutzen werden. Absolute Sicherheit wird es niemals geben. Das ist so im Leben, es gibt immer Risiken. Auch Anschnallpflicht und Airbags können manchmal nicht verhindern, dass Autounfälle tödliche Folgen haben.

Man kann selbstverständlich auch nicht pauschal sagen, dass Menschen verarscht werden wollen oder einfach zu doof für ihre Technik sind, aber im Fall von Unternehmen, in denen häufig Menschen ausdrücklich für das Thema IT und deren Sicherheit bezahlt werden, sollten manche Dummheiten einfach nicht mehr vorkommen. In so einer Position sollte eine gewisse Portion Paranoia einfach dazu gehören.

Und bis dahin werden wir weiter und wahrscheinlich noch häufiger über Einbrüche in IT-Systeme lesen können, schließlich steckt entsprechende Technik in immer mehr Geräten, der Einfallsreichtum der Hersteller ist ja unbestritten vorhanden und kennt scheinbar keine Grenzen (ehrlich, ein Dildo mit Kamera? Wer kommt auf so eine Idee?).

Beitragsbild: TheDigitalWay via Pixabay, Lizenz: CC0