2017 stand im Zeichen des IT-Sicherheitsgesetztes, das sicherstellen soll, dass die primären Schutzziele der IT-Sicherheit (Verfügbarkeit, Integrität und Vertraulichkeit) der sogenannten kritischen Infrastrukturen (KRITIS) sichergestellt sind, und dies insbesondere vor dem Hintergrund zunehmender Häufigkeit von Cyberattacken verschiedenen Ursprungs.

Den hohen Handlungsbedarf illustrieren zahlreiche Sicherheitsvorfälle und erfolgreiche Attacken:

 

Manipulierbare Baustellenampeln & Wasserwerke*

Sachverhalt

Im August 2016 erhielt das BSI einen Hinweis auf den möglichen Missbrauch einer bekannten Schwachstelle in einer Software, die unter anderem in Baustellenampeln genutzt werden kann. Die betroffenen Ampeln sind direkt aus dem Internet erreichbar und damit potenziell manipulierbar. Außerdem wurde das BSI auf mehrere offene, aus dem Internet einsehbare Steuerungssysteme von Wasserwerken in Deutschland aufmerksam gemacht.

Ursache und Schadenswirkung

In den Ampeln wird eine veraltete Fernwartungssoftware (RealVNC) eingesetzt, die

bekannte Schwachstellen aufweist und dadurch einen unautorisierten Zugriff ermöglicht. Updates für diese Schwachstellen sind vorhanden, wurden jedoch nicht eingespielt. Bei einigen der gemeldeten Lichtsignalanlagen wurde dem BSI berichtet, dass der autorisierte Benutzer nicht abgemeldet war, wodurch ein direkter Zugriff auf das System möglich war. Eine automatische Logout-Funktion war offenbar nicht vorhanden. Eine Übernahme und Steuerung der Ampeln wäre damit grundsätzlich denkbar, was möglicherweise einem gefährlichen Eingriff in den Straßenverkehr entspräche. In den Wasserwerken wurden Human Machine Interfaces

(HMI), also Benutzerschnittstellen, eingesetzt. Mindestens ein lesender Zugriff aus dem Internet war möglich. Weitere Zugriffe bis hin zu einer Steuerung von außen können nicht ausgeschlossen werden.

 

Störungen bei Telekom-Routern*

Sachverhalt

Am Sonntag, den 27. November 2016, kam es an Anschlüssen der Deutschen Telekom zu Störungen, die unter anderem den allgemeinen Internetzugang sowie die Internet-Telefonie (VoIP) und IPTV-Dienste betrafen. Von dieser Störung waren bundesweit ca. 900.000 Kundenanschlüsse betroffen. Die Router der Telekom waren zwar immun gegen den Versuch der Infektion durch eine in Routern des Herstellers Zyxel gefundene Schwachstelle, reagierten jedoch aufgrund einer weiteren, bis dahin unbekannten Schwachstelle fehlerhaft. Dies führte zu den massiven Störungen.

Ursache und Schadenswirkung

Ursache der Beeinträchtigungen war ein weltweiter Cyber-Angriff mit dem Ziel, Internetrouter mit Schadcode zu infizieren und diese zum Teil eines Botnetzes zu machen. Bei der verwendeten Schadsoftware handelte es sich um eine Weiterentwicklung der Botsoftware Mirai. Die Cyber-Kriminellen nutzen unter anderem eine in Routern des Herstellers Zyxel gefundene Schwachstelle in der Implementierung des Protokolls TR-064. Dieses wird normalerweise zur einfachen Konfiguration des Routers durch den Kunden verwendet. Kritisch wurde die gefundene Schwachstelle, weil das Protokoll fälschlicherweise auch aus dem Internet heraus angesprochen werden konnte. Genutzt wurde hierfür bei dem genannten Routermodell der Port 7547. Er ist eigentlich dem Protokoll TR-069 zugeordnet, das von einigen Internetservice-Anbietern verwendet wird, um Router aus der Ferne zu administrieren oder automatisiert Updates einzuspielen. Im vorliegenden Falle machte sich der Angreifer dies zunutze, indem er wahllos jeden im Internet auffindbaren Router mit dem zuvor in Mirai implementierten Angriffsvektor auf Port 7547 kontaktierte. Ziel war die Infektion des Gerätes und die Übernahme der Kontrolle.

 

Sicherheitslücken bei 1.000 Onlineshops in Deutschland*

Sachverhalt

Cyber-Kriminelle nutzten Sicherheitslücken der E-Commerce-Software Magento aus, um schädlichen Programmcode in Onlineshops einzuschleusen. Dieser spähte Zahlungsinformationen und weitere von Kunden bei einer Bestellung eingegebene persönliche Daten aus und übermittelte diese an die Täter.

Ursache und Schadenswirkung

In zahlreichen Online-Shops waren veraltete Versionen von „Magento“ im Einsatz. Im September 2016 wurden weltweit knapp 6.000 von diesen „Online-Skimming“-Angriffen betroffene Online-Shops identifiziert, darunter auch mehrere Hundert in Deutschland betriebene Shops. Die von den Angreifern ausgenutzten Sicherheitslücken wurden aber von vielen Shop-Betreibern trotz vorhandener Softwareupdates nicht geschlossen. Dies ermöglichte den Cyber-Kriminellen weiterhin, bei Bestellungen eingegebene Daten von Kunden auszuspähen. Bis Januar 2017 stieg die Anzahl bekannter betroffener Onlineshops in Deutschland auf mindestens 1.000 an.

 

Sabotage durch Ransomware Petya*

Sachverhalt

Ende Juni verbreitete sich eine Schadsoftware namens NotPetya / ExPetr weltweit in Unternehmensnetzen. In Einzelfällen hatte der Angriff massive Auswirkungen auf die Produktion und kritische Geschäftsprozesse von betroffenen Unternehmen.

Auch in Deutschland waren mehrere Unternehmen betroffen. Der Schwerpunkt der Cyber-Attacke lag in der Ukraine, dort ereigneten sich die ersten Fälle, insbesondere in Kritischen Infrastrukturen. In der Ukraine gab es bereits mehrfach IT-gesteuerte Sabotage-Angriffe auf Stromnetze, Flughäfen und das Bahnsystem. Die ersten internationalen Fälle betrafen Unternehmen, die Zweigstellen oder Niederlassungen in der Ukraine besaßen.

Ursache und Schadenswirkung

Die Schadsoftware gab vor, Daten zu verschlüsseln und diese gegen Zahlung eines Lösegelds wieder zu entschlüsseln. So wohl technische als auch strategische Merkmale unterschieden diese Schadsoftware jedoch von anderen RansomwareFamilien. ExPetr nutzte nicht nur wie WannaCry den EternalBlue-Exploit. Zusätzlich umfasste es auch eine Komponente, die Windows-Passwörter aus dem Speicher eines infizierten Systems stahl, sowie ein weiteres legitimes Administrationswerkzeug, das es ermöglicht, sich in einem Netzwerk von einem Rechner zum anderen zu verbinden. So erreichte ExPetr eine Reihe von Unternehmensbereichen, die für Produktion oder operative Tätigkeiten relevant sind. Ähnlich wie bei WannaCry investierten weltweit Sicherheitsfirmen, Behörden und private Sicherheitsforscher große Aufwände, um ExPetr zu analysieren. Innerhalb kurzer Zeit wurde festgestellt, dass der initiale Verbreitungsweg offenbar eine ukrainische Finanzsoftware namens M.E. Doc war. Die Webseite des Anbieters war kompromittiert worden, sodass über die Auto-Update-Funktionalität der Schadcode an Nutzer der Software übertragen wurde. Bei der Suche nach Wegen, die Verschlüsselung auch ohne Lösegeldzahlung aufheben zu können, erkannten mehrere Sicherheitsforscher, dass die Ransomware-Funktionalität in bestimmten Teilen nicht vollständig oder grob fehlerhaft implementiert worden war. Dies könnte ein Hinweis darauf sein, dass ExPetr nicht als kriminelles Ransomware-Werkzeug gedacht war, sondern eher als Sabotage-Werkzeug mit strategischer Absicht in der Ukraine eingesetzt werden sollte. Die Verbreitung außerhalb der Ukraine wäre dann unbeabsichtigt gewesen. Dies ist konsistent mit der Beobachtung, dass sich ExPetr nicht über das Internet ausbreitet, sondern lediglich im internen Netzwerk und in bereits geöffneten Verbindungen nach weiteren Opfersystemen sucht. Als Sabotage-Werkzeug ist ExPetr ähnlich effektiv wie Shamoon oder KillDisk, indem es durch Überschreiben wichtiger Festplattenteile das Starten von Rechnern unmöglich macht.

 

WannaCry*

Sachverhalt

Mit der Ransomware WannaCry wurde Anfang Mai 2017 eine große Sorge der IT-Sicherheitsgemeinschaft wahr. Ein Schadprogramm, das Dateien verschlüsselt und damit den Betrieb von Systemen und Dienstleistungen bis zur Zahlung einer Erpressungssumme unmöglich macht, kombiniert mit einem Schwachstellen-Scanner, der selbstständig ohne Nutzerinteraktion die Schadsoftware auf andere verwundbare Systeme im internen Netz weiterverbreitet, wurde aktiv. Es war eine „kleine Version“ eines Krypto-Wurms.

Ursache und Schadenswirkung

Ausgenutzt wurde eine SMBv1-Server Schwachstelle, für die von Microsoft bereits Mitte März ein Patch bereitgestellt wurde und deren Existenz später im Rahmen von Shadow-Broker-Veröffentlichungen öffentlich bekannt wurde. Aus sicher verschiedensten Gründen wurde der zur Verfügung gestellte Patch jedoch nicht überall eingespielt mit der Folge, dass ungepatchte Systeme für den Angriff anfällig waren. Im Fall von WannaCry war die Zahlungsfunktion, also die versprochene Möglichkeit, gegen Lösegeld ein Entschlüsselungsprogramm zu bekommen, fehlerhaft, sodass jegliche Lösegeldzahlung vergeblich war und es kaum Hoffnung auf Wiederherstellung gab. In Deutschland wurde mit der Deutschen Bahn ein Unternehmen öffentlich und medienwirksam getroffen, indem Anzeigetafeln an Bahnhöfen ausfielen und die Erpresser-Meldung anzeigten. Wenige weitere Fälle wurden öffentlich bekannt. Wenige Hundert Systeme sind darüber hinaus mit der Double-Pulsar-Hintertüre infiziert, ohne dass die Verschlüsselung aktiv wurde. Entsprechende Informationen werden CERT-Bund (wie auch anderen nationalen CERTs) von der Shadowserver Foundation zur Verfügung gestellt. Die Betroffenen können dann über die zuständigen Netzbetreiber durch das BSI benachrichtigt werden. International war die Betroffenheit in einzelnen Ländern deutlich höher. Vor allem Russland war betroffen, aber auch in Großbritannien waren über 60 Krankenhäuser betroffen, was unmittelbare Auswirkungen auf die Behandlung von Patienten nach sich zog.

 

Ransomware in Personalabteilungen*

Sachverhalt

Cyber-Kriminelle versendeten im Dezember 2016 gefälschte E-Mails mit angeblichen Bewerbungen gezielt an Mitarbeiter in Personalabteilungen von Unternehmen. Die E-Mails enthielten als Dateianhänge ein PDF- sowie ein Excel-Dokument. In dem PDF-Dokument, welches wie eine legitime Bewerbung wirkte, wurden Personalverantwortliche von Unternehmen persönlich angesprochen und es wurde Bezug auf eine tatsächlich offene Position im jeweiligen Unternehmen genommen. Das Excel-Dokument mit der angeblichen Bewerbungsmappe enthielt ein schädliches Makro. Beim Öffnen des Dokuments wurden die Empfänger aufgefordert, die „Bearbeitungsfunktion“ und damit die Ausführung von Makros zu aktivieren.

Ursache und Schadenswirkung*

Kam ein Empfänger der Aufforderung auf einem PC mit Windows-Betriebssystem nach, die Bearbeitungsfunktion zu aktivieren, wurde dessen PC mit der Ransomware „Goldeneye“ infiziert. Dabei handelt es sich um eine Weiterentwicklung der Ransomware-Kombination „Petya / Mischa“, die im März 2016 ebenfalls mit gefälschten Bewerbungen verbreitet wurde. Goldeneye verschlüsselt Dateien und modifiziert den Bootsektor der Festplatte. Ein Zugriff auf das System oder die Daten ist anschließend nicht mehr möglich. Die Opfer wurden aufgefordert, über das Internet ein Lösegeld von rund 1.000 Euro in Form von Bitcoins an die Täter zu bezahlen, um ein Entschlüsselungsprogramm zu erhalten. Während bei Petya / Mischa eine Schwachstelle in der Implementierung der Verschlüsselung eine Entschlüsselung der Daten auch ohne Zahlung des Lösegelds ermöglichte, war dies bei der Weiterentwicklung Goldeneye nicht mehr möglich. Ransomware ist ein für Cyber-Kriminelle seit Jahren etabliertes Geschäftsmodell und betrifft Desktop-Betriebssysteme wie Microsoft Windows und Apple Mac OS, Serversysteme unter Linux sowie mobile Betriebssysteme wie Google Android.

Infektionsvektoren von Ransomware für Desktop-Systeme sind aktuell hauptsächlich E-Mail-Anhänge oder Drive-by-Angriffe mittels Exploit-Kits. Bei Ransomware-Vorfällen werden Versäumnisse bei der Prävention deutlich aufgezeigt:

Schlecht gepflegte Systeme, fehlende, veraltete oder nicht überprüfte Backups, schwache Administrator-Passworte und fehlende Netzsegmentierung erleichtern den Angriff erheblich und führen zu beträchtlichen Schäden. Das Schadensausmaß ist davon abhängig, wie die betroffene Institution technisch und organisatorisch vorbereitet ist: Selbst wenn Präventivmaßnahmen nicht gegriffen haben und die Störung nicht abwenden konnten, kann eine gute Bewältigungsstrategie den Schaden erheblich begrenzen.

 

CEO-Betrug*

Sachverhalt

Dem BSI wurden zahlreiche Fälle von CEO-Betrug gemeldet. Zu den Betroffenen zählen auch Unternehmen der Kritischen Infrastrukturen und Behörden. So wurde eine Mitarbeiterin einer deutschen Landesbehörde per Mail „persönlich beauftragt“, eine „vertrauliche Finanztransaktion“ in Höhe von 961.000 Euro durchzuführen. Der Mail-Verkehr, der vorgeblich vom Präsidenten des Amtes stammte, wurde durch einen Anruf einer angeblichen Anwältin begleitet, die der Aufforderung Nachdruck verleihen sollte. Der höchste dem BSI bekannte Schaden in einem Einzelfall belief sich auf einen Verlust von 40 Millionen Euro bei einem Automobilzulieferer. Eine europäische Bank hat allein im ersten Halbjahr 2016 von ihren Kunden 50 Fälle von CEO-Betrug gemeldet bekommen. Insgesamt versuchten die Angreifer dabei, über 20 Millionen Euro zu erbeuten. In 20 dieser Fälle wurde der Angriff bereits im Unternehmen verhindert. Bei 20 weiteren Fällen wurden die Zahlungen durch die Bank aufgehalten oder konnten zurückgeholt werden. In den restlichen zehn bekannten Fällen entstand ein Schaden von insgesamt fünf Millionen Euro. Die Dunkelziffer ist deutlich höher.

Ursache und Schadenswirkung

Beim CEO-Betrug werden die Opfer sowohl per E-Mail als auch telefonisch kontaktiert. Ziel des Angreifers ist es, Mitarbeiter eines Unternehmens zur Transaktion eines hohen Geldbetrags von einem Geschäftskonto auf ein fremdes Konto zu verleiten. Zu den Zielgruppen zählen insbesondere Mitarbeiter im Finanz- und Rechnungswesen, die Zugriff auf Unternehmenskonten haben. Im Fokus stehen dabei zunehmend nicht nur international agierende Konzerne, sondern auch Unternehmen aus dem Mittelstand.

 

* Quelle: Alle Berichte zu IT-Sicherheitsvorfällen sind Zitate aus: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2016.pdf;jsessionid=FA2542A040D2735E9C9630AA5354A8CE.2_cid351?__blob=publicationFile&v=5

Fazit

Mit stetig steigender Komplexität der IT-Umgebungen wird es schwieriger, die IT-Systeme und Daten angemessen zu schützen. Ein akzeptables IT-Sicherheitsniveau lässt sich nur durch stetige Investition in die Entwicklung und vor allem in Kontrolle der Wirksamkeit der IT-Sicherheitsmaßnahmen erreichen. Einen Schwerpunkt sollte dabei wie schon in den vergangenen Jahren die Schulung der Anwender bilden, denn nach wie vor entsteht eine große Anzahl von Schwachstellen durch nicht-sicherheitskonformes Verhalten, die von Cyberkriminellen gern genutzt werden, um Systeme zu kompromittieren.