Zurzeit liest man regelmässig von neuen Cyber-Angriffen, welche Unternehmen und Privatpersonen hart treffen. Welche Präventivmassnahmen derartige Angriffe verhindern können und was im Falle einer erfolgreichen Attacke unternommen werden muss, erfahren Sie im nachfolgenden Artikel
Einleitung
Im Jahr 2017 war wieder vermehrt von unterschiedlichen Cyber-Attacken in den Medien zu lesen, so zum Beispiel im Mai, als der Krypto-Trojaner „Wannacry“ die Runde um die Welt machte und dabei Systeme privater, wie auch institutioneller Akteure befallen hatte. Aus diesem Grund scheint es an der Zeit, im Zuge eines Überblicks vorerst aufzuzeigen, welche Arten von Cyber-Attacken zurzeit zu befürchten sind, welche Präventivmassnahmen sogar von Privatanwendern einfach umzusetzen sind und was es zu unternehmen gilt, wenn man trotz der besprochenen Vorkehrungen Opfer einer Cyber-Attacke werden sollte.
Die gängigsten Arten von Cyber-Attacken
Im Folgenden sollen die gängigsten Arten von Cyber-Attacken in aller Kürze umrissen werden. Dieser Überblick erhebt dabei in keiner Weise Anspruch auf Vollständigkeit.
Trojaner
Unter Trojaner versteht man grundsätzlich unerwünschte Software, die ohne das Wissen des Nutzers auf dessen System installiert wird. Wie ein Trojaner in das System eingespeist wird, kann dabei vielfältige Formen haben. So können Trojaner bei unzureichend geschützten Betriebssystemen zB. über sogenannte Drive-Bys installiert werden: User steuern eine Website an, welche als „Wirt“ der Schadsoftware fungiert und von dort an das System übergeben wird. Weiter besteht die Möglichkeit, dass ein Trojaner durch die Installation einer kompromittierten, aber eigentlich erwünschten Software mitinstalliert wird. Daneben können Trojaner natürlich auch manuell auf unbeaufsichtigten und ungeschützten Systemen installiert werden.
Die Zwecke von Trojanern sind ebenso vielseitig wie deren Verbreitungsmethoden: Einige Trojaner sind mit der Absicht verfasst, sensible Daten, wie Kreditkarteninformationen oder Login-Daten der Nutzer an die Angreifer zu senden. Andere ermöglichen Zugriff auf Cloud-Applikationen und die darin gespeicherten Dateien und wieder andere verfolgen das Ziel, Nutzer über das eingebaute Mikrophon oder die Kamera auszuspionieren. Ausserdem werden Trojaner auch durch Regierungen und Geheimdienste eingesetzt, um Verdächtige – beispielsweise im Rahmen von Strafverfolgungen – gezielt auszuspionieren.
Krypto-Trojaner / Ransomware
Eine Sonderform des Trojaners stellt der sogenannte Krypto-Trojaner (oder Ransomware) dar, der in den vergangenen Wochen prominent in Fach- und Massenmedien diskutiert wurde. Ziel eines Krypto-Trojaners ist es, das befallene System und die damit zu erreichenden Daten mittels moderner Verschlüsselungstechnologien für den Nutzer unzugänglich zu machen. Dabei werden bei den meisten bekannten Angriffen nicht nur die lokal abgelegten Daten verschlüsselt, sondern auch im selben Netzwerk befindende Server oder andere Speichermedien befallen, deren Daten im Anschluss ebenfalls nicht mehr zugänglich sind. Dabei bleiben die Daten zwar auf den Speichermedien bestehen, der Zugriff ist allerdings nur noch mittels Schlüssel möglich, über den lediglich der Angreifer verfügt.
Damit verbunden ist denn auch das eigentlich Motiv des Angriffes: Betroffenen Nutzern werden beim Starten eines befallenen Rechners Erpresser-Mitteilungen eingeblendet, welche einen gewissen Betrag für die Entschlüsselung der Daten fordern. Bezahlt werden muss dies meist in Bitcoins oder einer anderen Krypto-Währung, da dies eine komplett anonymisierte Transaktion durch den Einsatz von Block-Chain Technologien ermöglicht. Es sind einige Fälle bekannt, in denen die Daten von zahlenden Opfern entschlüsselt wurden. Daneben berichteten aber auch unzählige Opfer, dass die Zahlung des geforderten Betrags keine Entschlüsselung der Daten zur Folge hatte.
Befallen von Ransomware werden sowohl Privatpersonen, Unternehmen, als auch Institutionen. Welche Auswirkungen ein solcher Angriff hat, hängt massgeblich mit den getroffenen Sicherheitsmassnahmen ab, was im Teil „Präventivmassnahmen“ eingehender beleuchtet wird.
DDOS (Distributed Denial of Service = Verweigerung des Dienstes) -Attacken
Unter DDOS-Attacken werden koordinierte Massenzugriffe auf Webservices verstanden, welche die den Services zugrunde liegenden Server überlasten und Websites, Webapps, oder andere Anwendung somit zum Absturz bringen. DDOS-Attacken sind einer der primitivsten Angriffe und können bereits mit wenig Fachwissen realisiert werden. Da DDOS-Attacken meist nur zu einer temporären Down-Time des Services führen, ist nicht mit Folgeschäden zu rechnen. Trotzdem können zB im eCommerce Bereich mittels DDOS-Attacken erhebliche Schäden herbeigeführt werden.
Eine Ausnahme spielen dabei Angriffe, bei denen die DDOS-Attacke als Ablenkung eingesetzt wird. Dabei werden Server vorerst durch Massenzugriffe zum Absturz gebracht, um in diesem Moment mittels anderer Technologien weitere Angriffe auf die betroffene Infrastruktur auszuführen.
Phishing
Phishing meint das Abgreifen sensibler Informationen, wie Kreditkarteninformationen oder Login-Daten durch Unbefugte. Dies geschieht durch den Einsatz unterschiedlicher Technologien. Wie oben bereits beschrieben, kommen hiezu bisweilen speziell dafür ausgerichtete Trojaner zum Einsatz. Ebenso werden Methoden des Social Engineering zur Beschaffung von Informationen verwendet – dann beispielsweise, wenn sich ein Angreifer per Telefon als Supporter eines verwendeten Services ausgibt und so die benötigten Daten direkt beim Nutzer erfragt. In diesem Fall gilt, wie so oft, dass nicht die Technik die grösste Schwachstelle darstellt, sondern der bedienende Mensch.
Ausserdem werden zwecks Phishing Login Seiten bekannter Websites, wie eCommerce Plattformen, oder eBanking Seiten detailgenau nachgebaut, um Nutzer mittels betrügerischer Emails zu veranlassen, Ihre Informationen auf diesen Fake-Seiten freiwillig preiszugeben.
Präventivmassnahmen
Im Folgenden sollen einige Präventivmassnahmen vorgestellt werden, die einfach umzusetzen sind und die eklatantesten Sicherheitslücken, die von Cyber-Attacken ausgenutzt werden, schliessen.
Aktualität des Betriebssystems und installierter Anwendungen
Der allerwichtigste Punkt, ist das Aktuellhalten von Betriebssystem und installierten Programmen. Denn die Herausgeber von Softwareprodukten sind darauf bedacht, ihre Produkte stets so sicher wie nur möglich zu halten. Aus diesem Grund geben Microsoft, Google, Apple & Co. in regelmässigen Abständen Software-Patches heraus, die neu entdeckte Sicherheitslücken schliessen. So konnte beispielsweise der verheerende Krypto-Trojaner „Wannacry“, der im Mai 2017 weltweit die Runde machte, auf den neuesten Versionen von Windows 10 und MacOS nicht installiert und ausgeführt werden. Aus diesem Grund empfiehlt es sich, kritische Updates vom System automatisch installieren zu lassen.
Neben dem Betriebssystem muss aber auch die zusätzlich installierte Software stets auf dem neuesten Stand gehalten werden. Denn so sind zB auch Angriffe bekannt, bei denen Trojaner über Microsoft Office Makros (zB Markups) verteilt wurden. Ein solcher Angriff kann nur dann erfolgreich sein, wenn ein Privatanwender oder ein Unternehmen mit einer veralteten Version der beliebten Microsoft Büro-Software arbeitet.
Aktualität von Antiviren-Software
Wichtig ist neben der Aktualisierung von Betriebssystem und installierter Drittsoftware auch das Aktuellhalten der Antiviren-Software. So gehört der hauseigene Windows Defender beispielsweise zu den Boardmitteln von Windows 10 und wird von Sicherheitsexperten als das einzige Antischad-Programm unter Windows empfohlen (hier lesen Sie weshalb). Allerdings nützt diese Software wenig, wenn sie sich nicht bei jeder Nutzung des Systems automatisch mit einer Datenbank aktueller Schadsoftware abgleicht. Aus diesem Grund sollten Sie besonders unter Windows 10 automatische Updates für den Windows Defender aktivieren.
Back-Ups der Systeme
Erstellen Sie regelmässige Back-Ups der eingesetzten Systeme. So können Sie sicher sein, dass ihre Daten im Falle eines Angriffes nicht verloren gehen, sondern nach der Bereinigung des Systems wieder verwendet werden können. Wichtig dabei ist, dass sie die Massenspeichermedien, auf denen die Back-Ups abgelegt werden, nicht mit den internet- oder netzwerkfähigen Geräten verbunden halten. Denn im Falle von „Wannacry“ zB wurden nicht nur die einzelnen Systeme befallen, sondern der Krypto-Trojaner verschlüsselte ebenfalls Daten, welche auf Servern oder Festplatten im selben Netzwerk lagen. Deshalb gilt: Back-Up-Medien nach der Erstellung der Sicherheitskopie sofort vom Computer oder dem Netzwerk entfernen und am besten in einem anderen Gebäude aufbewahren (Schutz vor schädlichen Umweltereignissen wie Feuer, Wasser etc.).
Besondere Risiken
Einige Nutzer sind systembedingt besonders hohen Risiken ausgesetzt. Gründe für diese erhörten Risiken sind zB die folgenden:
- Einsatz von massgeschneiderten Software Lösungen
- Einsatz von veralteten Betriebssystemen (Legacy zB Windows XP), da keine Nachfolgelösung bzw. updates angeboten werden (sehr selten)
- Einsatz von veralteter Software, da keine Nachfolgelösung bzw. keine updates angeboten werden (besonders in der Unternehmenswelt vielerorts anzutreffen)
- Einsatz von virtuellen Systemen (zB Parallels unter MacOS, oder Wine unter Linux)
Nutzer von Microsoft Windows werden tendenziell eher Opfer einer Cyber-Attacke, als Nutzer von sogenannten „–nix“-Systemen (Unix, GNU, Linux), wobei sich dies auf die starke Verbreitung von Windows in der Geschäftswelt zurückführen lässt – nicht aber auf die grundsätzliche Unantastbarkeit besagter Systeme. So konnte der Youtube-Kanal „The PC Security Channel“ eindrücklich zeigen, wie sich der Krypto-Trojaner „Wannacry“ unter Ubuntu mittels Wine ausführen lässt.
In Zeiten weiter Verbreitung von Smartphones mit den Betriebssystemen iOS und Android (beides „–nix“-Systeme) nehmen Technologien, die Angriffe auf ebendiese Betriebssysteme ermöglichen, stetig zu.
Opfer einer Attacke – was nun?
Sie sind Opfer eines Cyber-Angriffs geworden? Befolgen Sie immer die folgenden Schritte:
- Entfernen Sie das befallene System vom Netzwerk, damit der Angriff nicht auf andere, noch nicht kompromittierte Systeme übergeben werden kann
- Schalten Sie deaktivierte Geräte im Netzwerk nicht ein, solange sich das befallene System im Netzwerk befindet (falls Sie nicht wissen, welche Systeme befallen sind, lassen Sie deaktivierte Geräte ausgeschaltet)
- Konsultieren Sie einen IT-Spezialisten, der die befallenen Systeme neu installiert und Daten aus den Back-Ups wiederherstellt
- Melden Sie den Angriff an MELANI
Experten raten ausserdem davon ab, geforderte Lösegeld-Summen im Falle von Krypto-Trojanern zu bezahlen. Zum einen ist es höchst unsicher, dass die Zahlung der Forderung zur Freigabe der Daten durch die Erpresser führt, andererseits gewinnt das Geschäftsmodell von Krypto-Trojanern durch die Zahlung weiter an Attraktivität.
Fazit
Cyber-Security betrifft nicht nur Unternehmen und Institutionen, sondern auch vermehrt Privatanwender. Dabei gilt: Hundertprozentige Sicherheit ist eine Illusion. Am sichersten ist aber, wer auf aktuellen Betriebssystemen und mit aktueller Software arbeitet. Aktivieren Sie zu diesem Zweck automatische Updates an Ihrem Rechner und verwenden sie ausschliesslich Software der neuesten Generation. Vorbeugend empfiehlt es sich für jedermann, Back-Ups der verwendeten Computer zu erstellen und diese ohne Netzwerkzugang (am besten in einem anderen Standort) aufzubewahren. Falls Sie Opfer einer Cyber-Attacke geworden sind, sollten Sie sich nicht dazu hinreissen lassen, allfällige Lösegeldforderungen zu begleichen. Wenden Sie sich an einen IT-Spezialisten und melden Sie den Angriff MELANI.
Weiterführende Informationen
- ICT-Law
- Melde- und Analysestelle Informationssicherung MELANI | melani.admin.ch
- Wie schütze ich mich? MELANI | melani.admin.ch