Die größten Cybervorfälle von 2016 und deren Wirkung auf 2017
Jeder Jahresanfang ist von Reflexion, Rückblicken und Überlegungen geprägt, was man in diesem Jahr genauso oder anders machen möchte. Vieles ist passiert im letzten Jahr in der Welt der IT-Sicherheit.
Dabei lassen sich viele negative Vorfälle vermeiden, wenn Menschen aus der Vergangenheit lernen. Wenn wir hingegen unsere jüngste Vergangenheit vergessen oder ignorieren, wiederholen wir die immer selben Fehler, anstatt aus ihnen zu lernen. Ich möchte mit diesem Artikel herausarbeiten, welche Vorfälle des letzten Jahres Auswirkungen auf 2017 haben werden und was wir in diesem Jahr besser machen können, als Individuen genauso wie als Unternehmen oder als Organisation.
Für diesen Artikel habe ich mir Unterstützung des Boxcryptor-Teams geholt. Zu jedem Vorfall wird einer unserer Entwickler einen Kommentar oder Tipps abgeben. Dadurch erhalten Sie einen Einblick, wie unsere Sicherheitsspezialisten diese Vorfälle einschätzen und wie sie damit umgehen würden.
Da es wirklich schwer ist zu entscheiden, was am wichtigsten war, gehe ich einfach chronologisch vor. Was hat Sicherheitsexperten am Anfang des Jahres 2016 beschäftigt? Ganz genau: Ransomware und Verschlüsselung.
1. Der Aufstieg von Ransomware
Datenquelle: Google Trends (www.google.com/trends)
Diese Google-Trends-Tabelle zeigt wie groß Ransomware tatsächlich im Jahr 2016 im Vergleich zu den vier Vorjahren war. Viele sehen bei dem Anstieg von Ransomware eine Verbindung zu der weiteren Verbreitung der digitalen Währung Bitcoin. Das Wall Street Journal schreibt dazu:
Bitcoin is now the preferred payment method of most ransomware infections because it allows users to send and receive money from anywhere in the world, often anonymously.
Wird dieser Trend auch 2017 fortbestehen?
Es ist traurig, aber wahrscheinlich, ja. Ransomware oder Verschlüsselungstrojaner sind ein zu gutes Geschäftsmodel für Cyberkriminelle und die Anonymität von Bitcoin gibt ihnen unfreiwillig Rückendeckung. Wir haben das Phänomen im Februar auf unserem Blog abgedeckt, als alles begann und neben vielen Privatpersonen auch mehrere Krankenhäuser mit Ransomware erpresst wurden. Später im Jahr hat einer unserer Entwickler ein Fall von Ransomware genauer unter die Lupe genommen.
Christian Olbrich, Softwareentwickler bei Boxcrptor seit 2012, sagt dazu:
„In Bezug auf Ransomware gibt es nichts Besseres als Backups – entweder auf externen Festplatten oder in der Cloud. Manche Cloud-Anbieter bieten Versionierung, Sie können also alle Änderungen, die ein Virus macht, innerhalb eines bestimmten Zeitfensters zurücksetzen. In Kombination mit vorsichtigem Umgang mit Dateien aus dem Internet müssen Sie sich nie wieder über Ransomware Gedanken machen.“
2. Die Verschlüsselungs-Debatte
Ungefähr zur gleichen Zeit entbrannte auf der anderen Seite des Atlantiks in den USA eine hitzige Debatte zwischen zwei einflussreichen Gegenspielern – zwischen Apple und dem FBI. Dank dieser Debatte wusste plötzlich jeder etwas zu Verschlüsselung zu sagen, auch diejenigen, die nicht in der IT-Branche arbeiten und sonst auch nicht so sicherheitsbewusst sind. Das FBI wollte die Diskussion gerne in die Richtung lenken, dass eine Entscheidung entweder für Sicherheit oder für Privatsphäre getroffen werden muss.
Schon öfters wurde aus mutmaßlichen Sicherheitsgründen das Recht auf Privatsphäre eingeschränkt. Wir sind jedoch der Meinung dass Sicherheit und Privatsphäre Hand in Hand gehen müssen und wahrscheinlich jeder IT-Spezialist auf der Welt würde da zustimmen.
Verschlüsselung ist eine grundlegende Voraussetzung dafür, dass stabile Demokratien und die digitalisierte Industrie 4.0 funktionieren. Fast schon komisch ist die Tatsache, dass Politiker und Sicherheitsbehörden die Schwächung der Verschlüsselung mit Backdoors für Behörden fordern, obwohl sie selbst Verschlüsselung nutzen und darauf angewiesen sind. Das FBI, beispielsweise, braucht und will zuverlässige Verschlüsselung ohne Hintertürchen, um so operieren zu können, wie sie es gerade tun. Sie wollen Verschlüsselung für sich selbst aber nicht für andere. Sorry, so funktioniert das nicht. Wir hoffen, dass die Diskussion 2017 eine positivere Wendung nimmt. Denn die Sicherheit, die wir auf Kosten von Privatsphäre erhalten, ist eine trügerische.
Apple hat vorerst gewonnen. Es gibt keine spezielle FBI-Backdoor in ihrer iPhone-Verschlüsselung. Doch das Thema ist noch nicht gegessen und in der aufgeheizten, aktuellen Situation scheint es, als würde die Debatte 2017 weitergeführt werden.
Robert Freudenreich, Mit-Gründer von Boxcryptor, sagt dazu:
„Wirksame Verschlüsselung ist essentiell für unser aller Leben und Arbeiten im 21. Jahrhundert. Die Schwächung von Verschlüsselung um Einzelne zu fassen, geht auf Kosten der Sicherheit aller anderen. Außerdem kann man nie wissen, wem die Instrumente, die jetzt geschaffen werden, in fünf oder zehn Jahren in den Schoß fallen werden.”
3. DDoS-Attacken und das Internet der Dinge
DDoS-Attacken gibt es nicht erst seit 2016. Doch im letzten Jahr entwickelten sie sich von einem Nischenthema, von dem hauptsächlich IT-Spezialisten wissen, zu einem Thema, das relevant für alle ist. Warum? Ganz einfach, da Ihr Kühlschrank ein Komplize in der nächsten DDoS-Attacke sein könnte. Das Internet der Dinge (IoT) beschreibt die Entwicklung, dass immer mehr Geräte „smart“ werden, also mit dem Internet verbunden sind. Dadurch wird unser Leben noch komfortabler und wir können unsere angeborene Faulheit ein bisschen weiter kultivieren.
Während für Ihren Computer, Laptop oder Ihr Smartphone regelmäßig Updates verfügbar sind, werden diese neuen smarten Geräte sehr selten geupdated. Dadurch bleiben Sicherheitslücken bestehen, die Software ist nicht auf dem neuesten Stand und dadurch leichter zu hacken. Dies wird zum Problem, wenn eine Armee von smarten Geräten gehackt und zusammengeführt wird, um eine DDoS-Attacke durchzuführen. Genau das ist im Oktober letzten Jahres passiert.
Eine DDoS-Attacke verursacht die Störung einer Online-Dienstleistung, da aufgrund von zu vielen Zugriffen auf eine Webseite diese nicht mehr erreichbar ist. Wenn Sie möchten, dass eine Webseite zusammenbricht, müssen Sie „einfach“ ein paar Millionen Leute gleichzeitig dazu bringen, diese aufzurufen und den gebotenen Dienst in Anspruch zu nehmen.
Im Fall der DDoS-Attacke im Oktober 2016 hat das Mirai-Botnet genau das gemacht. Die Server von Dyn – einer Firma, die Domain Name Systems verwaltet – wurde angegriffen. Da viele weitere Webseiten auf Dyn angewiesen sind, war der Angriff besonders effektiv. Da Dyn nicht mehr funktionierte, waren große Seiten wie Airbnb, Spotify, Twitter, eBay, Reddit oder die New York Times nicht mehr erreichbar. Und was ist dieses Mirai-Botnet? Das ist eine Sammlung von IoT-Geräten, beispielsweise von Digitalkameras und DVD-Playern. Sie wurden gehackt und für diese Attacke missbraucht. Es ist also tatsächlich möglich, dass Ihre Digitalkamera ein Komplize in der größten DDoS-Attacke der Geschichte war.
Die Anzahl an Geräten, die mit dem Internet verbunden sind, steigt immer mehr. Darum ist die Wahrscheinlichkeit groß, dass das nicht die letzte DDoS-Attacke dieser Größenordnung war.
Michi, Systemadministrator bei Boxcryptor seit 2015, rät…
…Privatpersonen: „Wenn Sie nicht Teil von DDoS-Attacken sein wollen, sollten Sie das Internet of Things meiden. Es muss wirklich nicht alles vernetzt sein. Alles, was mit dem Internet verbunden ist, muss zwangsläufig regelmäßig geupdatet werden und bei vernetzten Geräten wird dabei momentan noch sehr geschlampt. Selbst Markenware hat manchmal schlimme Sicherheitslücken und Programmierer, die sich nicht um Sicherheit, sondern nur um Funktionalität kümmern.“
…Unternehmen und Organisationen: „Für die Abwehr von DDoS-Attacken gibt es leider kein Allheilmittel, darum sind sie ja auch so erfolgreich. Helfen könnte ein für alle Fälle eingerichtetes CDN (Content Delivery Network) wie Akamai oder Cloudflare.“
4. Datenlecks und Passwort-Diebstähle
Laut ZDNet wurden im Jahr 2016 mehr als 2,2 Milliarden Unterlagen aufgrund von fast 3000 Datenlecks unrechtmäßig veröffentlicht.
LinkedIn wurde beispielsweise schon 2012 gehackt. Doch erst letztes Jahr wurde klar, wie viele Accounts tatsächlich betroffen waren. Eine Datenbank mit Login-Informationen von 117 Millionen Nutzern wurde im Darkweb von einem russischen Hacker zum Verkauf angeboten. Die Passwörter waren zwar verschlüsselt, aber nicht mit einem Salt versehen. Offensichtlich hat LinkedIn erst nach dem ersten Vorfall in 2012 damit angefangen, die verschlüsselten Passwörter zusätzlich mit Salts zu sichern.
Neben LinkedIn gab es ein Datenleck bei Tumblr (65 Millionen Konten betroffen) und unglaubliche 427 Millionen Konten wurden bei Myspace kompromittiert.
Doch das bei weitem schlimmste Jahr 2016 hatte wohl Yahoo. Wenn Sie immer noch eine E-Mail-Adresse bei Yahoo haben, ist es höchste Zeit zu wechseln. Im September bestätigte Yahoo den Diebstahl von 500 Millionen Kontoinformationen, inklusive Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und gehashten Passwörtern. Laut Sicherheitsspezialist Graham Cluley sind zwar die Passwörter gesichert, jedoch können die abgegriffenen Informationen für Phishing-Kampagnen und weitere Angriffe über E-Mail (zum Beispiel zur Verteilung von Viren und Ransomware) missbraucht werden. Yahoo-Nutzer sollten nun besonders vorsichtig sein und nicht auf Links und Anhänge in E-Mails klicken.
Aber es wurde noch schlimmer. Im Dezember wurde bekannt, dass es einen weiteren Hack gab. Diesmal waren mit 1 Milliarde wahrscheinlich fast alle Yahoo-Nutzer betroffen.
Im Cloud-Bereich gab es ein paar kleinere Vorfälle, die natürlich für die Betroffenen genauso schlimm sind wie die großen Lecks. Ein Hacker hat sich zum Beispiel Zugriff auf Pippa Middletons iCloud verschafft, private Bilder entwendet und versucht, diese zum Verkauf anzubieten. Außerdem tauchten 68 Millionen ebenfalls 2012 entwendete Dropbox-Anmeldedaten mit verschlüsselten Passwörtern auf.
Wenn Sie Ihre Bilder in der Cloud verschlüsseln, wie hier mit Boxcryptor, sind sie im Fall eines Datenlecks beim Cloud-Provider geschützt.
Besonders Passwortdiebstähle von unverschlüsselten Passwörtern sind gefährlich – einerseits für die Betroffenen, da die Accounts völlig ungeschützt sind – andererseits für alle von uns, da die Menge an entwendeten Passwörtern sich auf die allgemeine Passwortsicherheit auswirkt.
Mit jedem Passwort, das Cyberkriminelle aus einer Passwort-Datenbank rekonstruieren können, wächst auch deren Liste an schon einmal verwendeten Passwörtern. Diese Liste an Passwörtern können sie dann bei anderen Datenbanken mit einer Brute-Force-Software automatisiert durchgehen. Je mehr Passwörter die Hacker also gesammelt haben, desto erfolgreicher sind sie beim knacken zukünftiger Passwort-Datenbanken. Wenn Sie ganze Wörter als Passwörter verwenden, ist die Wahrscheinlichkeit groß, dass Ihr Passwort in diesen Datenbanken enthalten ist. Ein Blick auf die am meisten genutzten und beliebtesten Passwörter zeigt, wie unkreativ wir eigentlich sind. Besonders beliebt sind, neben Klassikern wie 123456, Passwort und qwertz leicht vorhersehbare Wörter wie der Lieblingssport, Figuren aus aktuellen Blockbustern oder einfach nur Filmtitel. Doch selbst weniger offensichtliche Passwörter können anhand dieser Datenbanken schneller und einfacher geknackt werden.
Was hilft? Mit einem Passwortmanager, der willkürlich 16-Zeichen-lange Passwörter erstellt und Zwei-Faktor-Authentifizierung kann ihnen nicht mehr viel passieren.
Nicole, Softwareentwicklerin bei Boxcryptor seit 2014 meint:
„Es ist wichtig, Passwörter nie für mehrere Anwendungen gleichzeitig zu verwenden. Da es natürlich sehr schwer ist, sich viele verschiedene sichere Passwörter zu merken, ist die Verwendung eines Passwort-Managers die beste Lösung. So muss man sich nur noch ein Passwort merken. Ich persönlich halte es auch für sinnvoll, mehrere E-Mail-Adressen zu verwenden und diese auch nach Wichtigkeit aufzuteilen. So ist es beispielsweise nicht zu empfehlen, für die Online-Shopping-Tour dieselbe E-Mail-Adresse wie für Paypal oder Ähnliches zu verwenden.“
5. 1984: Überwachung und von Regierungen autorisierte Hacker
Zwei stabile Demokratien haben im letzten Jahr jeweils ein Gesetz verabschiedet, das ein großer Rückschritt für den Schutz der Privatsphäre des Einzelnen ist. Im November räumte das Parlament von Großbritannien mit der Investigatory Powers Bill der Regierung neue Hacking- und Überwachungsmöglichkeiten ein. Das Gesetz, auch Snooper’s Charter (Schnüffler-Charta) genannt, soll Terrorismus verhindern und Sicherheit garantieren. Der Geschäftsführer der Open Rights Group nennt es
one of the most extreme surveillance laws ever passed in a democracy.
Momentan läuft eine Petition, die das Gesetz doch noch verhindern soll. Doch es ist sehr wahrscheinlich, dass das Gesetz Anfang 2017 in Kraft tritt, was bedeutet dass 48 Behörden die Erlaubnis erhalten, ohne eine richterliche Anordnung Aufzeichnungen von Online-Aktivitäten einzusehen. Um dies zu ermöglichen, müssen Telekommunikationsunternehmen und Internetfirmen die Verbindungsdaten und das Surfverhalten ihrer Kunden 12 Monate lang speichern. Außerdem dürfen Polizei und Geheimdienst mit richterlicher Erlaubnis Computer hacken.
Als ähnlich problematisch sehen viele die Änderung der Rule 41 in den USA. Ab sofort dürfen das FBI und Strafverfolgungsbehörden mit einer richterlichen Verfügung mehrere Computer im gesamten Land durchsuchen. Vorher durften nur PCs in dem Verwaltungsbezirk, in dem die Verfügung ausgestellt wurde, untersucht werden.
Laut fortune.com warnen Bürgerrechtler vor Missbrauch dieser Änderung:
Civil liberties groups have warned Rule 41 represents a dangerous expansion of the government’s surveillance power, and will lead law enforcement bodies to “forum shop”—seeking warrants in districts where a judge is most likely to grant them.
Durch diese Änderung wird es vermutlich deutlich einfacher für Behörden, eine richterliche Verfügung zu erhalten, um Computer durchsuchen zu können. Gegner der neuen Rule 41 sehen sogar einen Verstoß gegen den Vierten Zusatzartikel zur Verfassung der Vereinigten Staaten, der willkürliche Durchsuchungen und Beschlagnahmungen verbietet.
Jonas, Softwareentwickler bei Boxcryptor seit 2012, sagt:
„Sich gegen staatliche Überwachung zu schützen ist nicht leicht und vielleicht auch nicht nötig, solange man nicht ins Visier der Behörden kommt. Wenn Sie sich jedoch in Großbritannien oder den USA aufhalten und nicht damit einverstanden sind, dass Sie theoretisch überwacht werden könnten, oder wenn Sie beispielsweise Journalist und aufgrund Ihrer Recherchen auf Privatsphäre angewiesen sind, hilft Selbstverteidigung durch Verschlüsselung. Verschlüsseln Sie Ihre Geräte, Ihre Cloud, Ihre Kommunikation und nutzen Sie ein VPN für anonyme Internetverbindungen.“
6. Trump
Trump-Organisationen wurden letztes Jahr mehrfach angegriffen. Es gab ein Datenleck bei seiner Hotelkette, außerdem wurden Lebensläufe von zukünftigen Praktikanten seiner Präsidentschaftskampagne öffentlich. ZDNet trifft den Nagel bezüglich dieser Vorfälle auf den Kopf:
Let's hope his cybersecurity strategy is better when he's in office.
Dies bringt uns dazu, warum er überhaupt auf dieser Liste gelandet ist. Manche müssen wahrscheinlich immer noch die Tatsache verdauen, dass Donald Trump bald Präsident der Vereinigten Staaten von Amerika ist. Außerdem ist vielen noch nicht klar, was seine Präsidentschaft bedeutet, was er im Amt umsetzen wird und welche Positionen er einnehmen wird. Wir fragen uns natürlich besonders, wie es um seine Cybersicherheits-Politik bestellt sein wird und was seine Einstellung zu Privatsphäre ist. Über seine Pläne weiß man bis jetzt wenig Konkretes.
Jedoch zeichnet sich schon einmal ab, dass er nicht Pro-Verschlüsselung sein wird. In der oben angeführten Debatte zwischen Apple und dem FBI stellte sich Trump deutlich auf die Seite des FBIs. Doch wie das FBI und viele Behörden weltweit, hätte auch Trump gerne Regeln, die nicht für ihn, sondern nur für die anderen gelten. Sehr sprechend ist beispielsweise sein Aufruf zum Boykott von Apple in einer Rede. Wenig später tweetete er jedoch wieder munter von seinem iPhone.
Wir wissen wirklich nicht, was Trump als Präsident in Bezug auf Cybersicherheit machen wird. Darum gibt es zu diesem Punkt auch keinen Kommentar vom Team.
Was wird das Jahr 2017 bringen? Wir haben keine Ahnung was Trump vorhat. Also warten wir einfach mal ab. Wir sind uns ziemlich sicher, dass Cyberkriminelle nicht einfach aufhören werden, Ransomware zu verteilen und damit Geld zu verdienen. Es ist also nach wie vor wichtig, sich bestimmter Gefahren bewusst zu sein. Passwort-Diebstähle und Datenlecks sind immer möglich, also sollten Sie Ihre sensiblen Daten immer bestmöglich schützen, beispielsweise mit Verschlüsselung. Mit dem richtigen Bewusstsein und ein paar Sicherheitsvorkehrungen sind Sie jedoch bereit für ein erfolgreiches, Datenleck-freies und glückliches Jahr 2017.