Bericht über Bedrohungen für Websites I 2015

Сomentários

Transcrição

Bericht über Bedrohungen für Websites I 2015
Bericht über Bedrohungen für Websites I 2015
INHALT
Einleitung
3
Zusammenfassender Überblick
4
Bedrohungen im Web
5
Internetkriminalität und Malware
21
Gezielte Angriffe
36
Datenlecks
53
Soziale Medien und Online-Betrug
63
Ausblick
77
Empfehlungen
79
Über Symantec
82
2
I Symantec Website Security Solutions
Einleitung
Über 41,5 Millionen Angriffssensoren, die pro Sekunde mehrere Tausend Ereignisse
registrieren – mit dem Symantec™ Global Intelligence Network verfügt Symantec über
einige der umfassendsten Informationsquellen zu Bedrohungen aus dem Internet.
Dieses Netzwerk erfasst Bedrohungen in über 157 Ländern und Regionen dank einer Kombination aus
Symantec-Produkten und -Diensten wie
157
• dem Symantec DeepSight™ Threat Management
System,
• den Symantec™ Managed Secu­rity Services,
• Symantec Website Security Solutions,
• Norton™-Produkten und
• externen Datenquellen.
Außerdem unterhält Symantec eine der weltweit umfassendsten Datenbanken über IT-Schwachstellen, die
aktuell mehr als 60 000 Schwachstellen in über 54 000
Produkten von mehr als 19 000 Anbietern enthält.
Angaben zu Spam, Phishing und Malware werden
über verschiedene Quellen erfasst, darunter:
• das „Probe Network“ von Symantec (ein System aus
über 5 Millionen Lockvogel-Konten),
• Symantec.cloud,
• die Malware-Scans und Schwachstellenanalysen von
Symantec Website Security Solutions und
• etliche andere Sicherheitstechnologien von Symantec.
Die bei Symantec.cloud eingesetzte unternehmenseige­
ne Heuristiktechnologie Skeptic™ kann neue und aus­
geklügelte Bedrohungen erkennen, bevor sie die Netzwerke der Nutzer erreichen. Dazu werden in 14 Rechen­
zentren täglich über 1,7 Milliarden Webanfragen gefiltert und monatlich über 8,4 Milliarden E-Mails verarbeitet. Mithilfe eines weit gespannten Netzes von Unternehmen, Herstellern aus der IT-Sicherheitsbranche
und über 50 Millionen Nutzern trägt Symantec auch
Informationen über Phishing-Angriffe zusammen.
Symantec Website Security Solutions bietet 100-pro­
zentige Zuverlässigkeit und bearbeitet täglich über
6 Milliarden Anfragen an das Online Certificate Status
3
I Symantec Website Security Solutions
Symantec unterhält eine der weltweit
umfassendsten Datenbanken über
IT-Schwachstellen
19 000
54 000
60 000
Anbieter
Produkte
bekannte Schwachstellen
Skeptic™, die bei Symantec.cloud
eingesetzte unternehmenseigene
Heuristiktechnik
14 Rechenzentren
1,7 Milliarden Webanfragen
8,4 Milliarden E-Mail-Nachrichten
Protocol (OCSP) über den Gültigkeitsstatus digitaler Zertifikate weltweit, die dem Standard X.509 entsprechen. Dank
all dieser Ressourcen verfügt Symantec über hervorragende Informationen, anhand derer sich Angriffe, Schadcode,
Phishing und Spam erkennen und analysieren lassen und
Trends auf diesen Gebieten fundiert bewertet werden
können. Das Ergebnis ist der Symantec Website Security
Threat Report, in dem IT-Verantwortliche in großen und
kleinen Unternehmen sowie Verbraucher die wichtigsten
Informationen finden, um ihre Systeme wirkungsvoll und
zukunftsfähig zu schützen.
Zusammenfassender Überblick
Die Schlagzeile des Jahres 2014 im Bereich Website-Sicherheit war natürlich Heartbleed,
denn von dieser Sicherheitslücke war einer der Grundpfeiler der Internetsicherheit betroffen. Es ging also ausnahmsweise einmal nicht um besonders clevere oder gewissenlose
Kriminelle, sondern um eine Schwachstelle, die weder den Entwicklern und Testern noch
den Anwendern der Open-Source-Software Heartbeat aufgefallen war – ein vielleicht
überfälliger Hinweis darauf, wie wichtig ständige Wachsamkeit bei der Entwicklung und
Implementierung von Software und dem Schutz von Websites ist.
Selbstverständlich blieben Internetkriminelle nicht untä­tig,
während die allgemeine Aufmerksamkeit auf Heartbleed ge­
richtet war. Im Gegenteil: Das Jahr 2014 war durch professionellere, raffiniertere und aggressivere Methoden für Angriffe,
Diebstahl und Sabotageakte gekennzeichnet, unter denen
sowohl Unternehmen als auch Verbraucher litten.
Schwachstellen schwächen jedermann
Heartbleed war nicht die einzige schlagzeilenträchtige
Schwachstelle des Jahres 2014. Auch Poodle und ShellShock
wurden von Kriminellen ausgenutzt, um über Websites auf
Server zuzugreifen, Daten zu stehlen und Malware zu implementieren.
Interessanterweise ging der Anteil der mit Malware infizier­
ten Websites 2014 auf eine von 1126 zurück, etwa die Hälfte
des Vorjahreswerts, obwohl nach wie vor rund drei Viertel
aller Websites Schwachstellen aufweisen. Das mag teilweise
auf effektivere Website-Sicherheit zurückzuführen sein, liegt
aber vermutlich auch daran, dass viele Kriminelle auf andere
Verbreitungsvektoren umgestiegen sind, darunter soziale
Medien und mit Malware infizierte Werbung, das sogenannte
Malvertising.
Leider wurden auch 2014 wieder zu viele Schwachstellen
in auf Geräten und Servern installierter Software nicht oder
zu spät geschlossen, obwohl die entsprechenden Patches
verfügbar waren. Aufgrund dessen fiel es Kriminellen leicht,
diese Schwachstellen auszunutzen. Viele Angreifer nutzten
sogenannte „Dropper“, d. h. speziell zur Suche nach bekann­
ten, ungepatchten Schwachstellen und Sicherheitslücken
entwickelte Malware. Diese wurde gewöhnlich in einem
Drive-by-Angriff oder über soziale Medien in das Zielsystem
eingeschleust.
http://www.symantec.com/connect/blogs/underground-blackmarket-thriving-trade-stolen-data-malware-and-attack-services
http://www.symantec.com/connect/blogs/australiansincreasingly-hit-global-tide-cryptomalware
Cyberkriminelle „arbeiten“ professioneller als je zuvor
Die Internetkriminalität wurde 2014 insgesamt raffinierter,
mit Spezialisierungen, Serviceanbietern und dynamischen
Märkten, wie sie bislang nur aus legalen High-Tech-Branchen
bekannt waren.
Ein Web-Toolkit für Drive-by-Downloads kann beispielsweise
für 100 bis 700 US-Dollar pro Woche abonniert werden.
Aktualisierungen und Support rund um die Uhr sind im Preis
inbegriffen. Ein DDoS-Angriff (Distributed Denial of Service)
kann für 10 bis 1000 US-Dollar täglich in Auftrag gegeben
werden.1 Auf dem „Käufermarkt“ kosten Kreditkartendaten
zwischen 0,50 und 20 US-Dollar je Karte, während 1000
Follower in einem sozialen Netzwerk mitunter schon für 2 bis
12 US-Dollar zu haben sind.
Amoralische, aggressive Angriffsmaschen
Kriminelle hatten noch nie viel Mitgefühl mit ihren Opfern,
doch 2014 loteten sie mit ihren niederträchtigen Taktiken
neue moralische Tiefen aus.
Zwischen Mai und September stieg die Anzahl der Angriffe
mit Krypto-Ransomware auf das 14-Fache.2 Krypto-Ransom­
ware ist eine Art Malware, mit der ausgewählte Dateien des
Opfers, von Fotos bis hin zu wichtigen Verträgen und Rech­
nungen, verschlüsselt werden. Das Opfer wird dann aufge­
fordert, ein Lösegeld für den zum Entschlüsseln der Daten
erforderlichen privaten Schlüssel zu zahlen. Viele dieser Erpresser verlangen eine Zahlung in Bitcoins über eine mit Tor
anonymisierte Website, damit sie nicht beim Zahlungsempfang identifiziert und strafrechtlich verfolgt werden können.
Bei Betrugsversuchen in sozialen Medien und PhishingAngriffen nutzten Kriminelle Gesundheitsskandale und die
Furcht vor Hackerangriffen als Aufhänger, um ihre Opfer
zum Klicken zu bewegen. Im harmlosesten Fall gelangt das
Opfer dadurch auf eine Pay-per-Klick-Website. Oft löst der
Klick jedoch das Herunterladen von Malware aus oder führt
zu einer Phishing-Website, auf der das Opfer mit einem
gefälschten „Anmeldeformular“ zur Preisgabe vertraulicher
Daten gebracht werden soll.
1
2
Symantec Website Security Solutions I
4
Bedrohungen im Web
5
I Symantec Website Security Solutions
Auf einen Blick
1
Durch die Schwachstelle Heartbleed waren im April 2014 etwa eine halbe
Million vertrauenswürdiger Websites anfällig für den Diebstahl von Daten
aus dem Arbeitsspeicher.3
Durch die Berichterstattung über Heartbleed wurden jedoch auch viele
2
Menschen für die Problematik der richtigen Implementierung von SSL
und TLS sensibilisiert und die Qualität der verfügbaren Lösungen stieg
insgesamt an.
3
Kriminelle machen sich die Technik und Infrastruktur seriöser Werbenetz­
werke zunutze, um Malware und Betrugsversuche zu verbreiten.
Die Anzahl der mit Malware infizierten Anonymisierer-Websites stieg 2014
4
stark an. Mit fünf Prozent aller infizierten Websites sind Anonymisierer
deshalb erstmals in den Top Ten der am häufigsten infizierten Websites
vertreten.
5
3
Die Anzahl der Websites, auf denen Malware gefunden wurde, ging
gegenüber 2013 auf etwas mehr als die Hälfte zurück.
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
Symantec Website Security Solutions I
6
Einleitung
Im Verlauf des Jahres 2014 wurden die Bedrohungen im Internet größer und
aggres­siver als je zuvor. Neu bekannt gewordene Schwachstellen in gängigen Tools
und Verschlüsselungsalgorithmen trugen ebenso zu dieser Entwicklung bei wie ein
aggressiveres und hartnäckigeres Verhalten der Angreifer.
Die Bedrohungslage spitzte sich 2014 extrem zu und dieser
Trend wird aller Wahrscheinlichkeit nach auch 2015 anhal­
ten. Die aufgedeckten Schwachstellen und neue MalwareVarianten machten deutlich, dass die Websicherheit zu einem
geschäftskritischen Thema geworden ist, das ununterbrochen von Fachleuten überwacht werden muss.
4
Zum Redaktionsschluss dieses Dokuments lagen erste Be­
richte von Sicherheitsexperten über eine neue Schwachstelle
in SSL/TLS vor, die sie „FREAK“ nannten.4 FREAK ermöglicht
Man-in-the-Middle-Angriffe auf Daten, die verschlüsselt
zwischen Websites und deren Besuchern ausgetauscht wer­
den. Möglicherweise könnte das dazu führen, dass Lauscher
diese Daten abfangen und ent­schlüsseln können. Sollte es
den Angreifern gelingen, die genutzte Verschlüsselung zu
knacken, könnten sie in den Besitz von Anmeldedaten und
anderen vertraulichen Informationen gelangen und diese für
einen gezielten Angriff auf die betroffene Website missbrau­
chen.
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
7
I Symantec Website Security Solutions
Schlagzeilenträchtige Schwachstellen
Heartbleed
ShellShock und Poodle
Heartbleed machte im April 2014 Schlagzeilen, als bekannt
wurde, dass eine Schwachstelle in der OpenSSL-Kryptografie­
bibliothek von Angreifern ausgenutzt werden konnte, um bei
einer verschlüsselten Sitzung Daten aus dem Arbeitsspei­cher
des Webservers zu stehlen. Unter den gestohlenen Daten
konnten sich unter Umständen Kredit­kartendaten, Kenn­
wörter und sogar private Schlüssel befinden, mit denen
der gesamte verschlüsselte Daten­austausch entschlüsselt
werden konnte.5
Heartbleed war nicht die einzige 2014 aufgedeckte Schwachstelle in Online-Umgebungen. Im September wurde die
auch als „Bash Bug“ bekannte Schwachstelle „ShellShock“
entdeckt. Diese Schwachstelle ist in den meisten Versionen
von Linux, Unix und Mac OS X vorhanden. ShellShock war ein
besonders gutes Beispiel dafür, wie schnell sich die Situation
eines Website-Betreibers ändern kann. Selbst wenn er heute
alle verfügbaren Sicherheitspatches einspielt und alle Server
auf den neues­ten Stand bringt, kann sich schon morgen
herausstellen, dass viele dieser Patches nicht ausreichend
sind und die Server erneut aktualisiert werden müssen – am
besten sofort.
Zu dieser Zeit nahmen Sicherheitsexperten an, dass 17 Pro­
zent der Webserver, die durch SSL- bzw. TLS-Zertifikate vertrauenswürdiger Zertifizierungsstellen geschützt waren,
diese Schwachstelle aufwiesen.6 Das hatte enorme Auswir­
kungen auf Unternehmen und Verbraucher.
Natürlich musste die Schwachstelle geschlossen werden,
um die große Menge gefährdeter vertraulicher Daten zu
schützen. Ebenso wichtig war jedoch die Sensibilisierung der
Öffentlichkeit, da die Kunden der betroffenen Unternehmen
ihre Kennwörter zur richtigen Zeit ändern muss­ten. Die
Betreiber der betroffenen Websites mussten zunächst die
gepatchte Version von OpenSSL einspielen, dann neue SSLZertifikate installieren und die alten Zer­tifikate widerrufen.
Dann, und erst dann, mussten die Kunden ihre Kennwörter
ändern, um die Bedrohung endgültig abzuwehren. Die korrekte Vermittlung dieser komplexen Zusammenhänge an eine
breite Öffentlichkeit war nicht einfach.
In den meisten Unternehmen reagierten die Verantwortlichen
schnell. Nach nur fünf Tagen war die Schwachstelle in keiner
der „Alexa Top 1000“ und in nur 1,8 Prozent der 50 000 am
häufigsten aufgerufenen Websites zu finden.7
Die einfachste Angriffsmasche nutzte Webserver und das
Common Gateway Interface (CGI) als Einfallstor. CGI ist eine
gängige Schnittstelle für das Erstellen dynamischer Webinhalte. Die Angreifer versteckten ein schädliches Kommando
in einer Umgebungsvariablen. Die eigentliche Schwachstelle
befand sich in der Shell Bash auf dem Ser­ver, die den in der
Variablen enthaltenen Befehl interpre­tierte und ausführte.8
ShellShock wurde von zahlreichen Angreifern ausgenutzt, um
Malware in Server und die mit ihnen verbundenen Netzwerke
einzuschleusen und eine Reihe von Geräten auszuspionieren.
Im Oktober fand Google eine Schwachstelle, die unter dem
Namen Poodle bekannt wurde und die Verschlüsse­lung
erneut ins Zentrum der öffentlichen Aufmerksamkeit rückte.
Diese Schwachstelle konnte möglicherweise von Kriminellen
ausgenutzt werden, um den Teil des „Handshake“-Prozesses
zu manipulieren, in dem ein Client und ein Server eine Version
von SSL oder TLS finden, die beide unterstützen. Normalerweise wird die neueste von beiden Parteien unterstützte
Version ausge­wählt, doch mit Poodle hätte ein Angreifer die
Nutzung der veralteten Version SSL 3.0 erzwingen können,
wenn der Server diese noch unterstützte.9
Das wiederum hätte einen Man-in-the-Middle-Angriff und
das Entschlüsseln sicherer http-Cookies ermöglicht. Bei
einem solchen Angriff könnte der Kriminelle beispielsweise
Anmeldedaten stehlen und sich Zugang zu Online-Konten des
Opfers verschaffen. Poodle erwies sich jedoch als weniger
gefährlich als Heartbleed, weil der An­greifer Zugang zum
Netzwerk zwischen Client und Server benötigte, um diese
Schwachstelle ausnutzen zu können. Gefährdet waren also
beispielsweise Benutzer öffentlicher WLAN-Hotspots.
http://www.symantec.com/connect/blogs/heartbleed-bug-posesserious-threat-unpatched-servers
http://news.netcraft.com/archives/2014/04/08/half-a-million-widelytrusted-websites-vulnerable-to-heartbleed-bug.html
7
http://www.symantec.com/connect/blogs/heartbleed-reports-field
8
http://www.symantec.com/connect/blogs/shellshock-all-you-needknow-about-bash-bug-vulnerability
9
http://www.symantec.com/connect/blogs/poodle-vulnerability-oldversion-ssl-represents-new-threat
5
6
Symantec Website Security Solutions I
8
Schlagzeilenträchtige Schwachstellen
Schlagzeilenträchtige Schwachstellen und die Zeit, bis
ein Patch verfügbar ist
SSL- und TLS-Zertifikate sind nach wie vor unver­
zichtbar
Kurz nach ihrer Bekanntgabe machten Angriffe Schlagzeilen,
die diese Schwachstellen ausnutzten. Das erinnert an ZeroDay-Angriffe, es gibt jedoch wesentliche Unterschiede. Heartbleed und ShellShock könnten als eine eigene Schwachstellenart betrachtet werden, weil sie den Angriff auf Server
(anstelle von Endgeräten) ermöglichen. Als ausschlaggebend
erwies sich jedoch, dass die von diesen Schwachstellen
betroffene Software auf so vielen Systemen und Geräten installiert ist. Das machte sie sofort zu einem äußerst lukrativen
Ziel für Angreifer und beide Schwachstellen wurden innerhalb
weniger Stunden nach Bekanntwerden ausgebeutet.
Die Online-Sicherheit wurde 2014 gebeutelt, doch das sollte
nicht darüber hinwegtäuschen, dass SSL-Zertifikate und ihre
moderneren Äquivalente, die TLS-Zertifikate, nach wie vor
effektiv und unerlässlich sind. Heartbleed zeigte auch, wie
schnell die Anbieter von Online-Sicher­heitslösungen auf eine
Bedrohung reagieren können.
Nach dem Bekanntwerden der Schwachstellen veröffent­lichte
Symantec sehr schnell Signaturen, die das Aufde­cken und
Blockieren solcher Angriffe ermöglichten. Doch wie die Spitzen in der Grafik zeigen, waren zu diesem Zeitpunkt bereits
zahlreiche Angriffe im Gange. Vier Stunden nach der Bekanntgabe von Heartbleed nutzten Angreifer diese Schwachstelle
bereits aus.
Organisationen wie das CA/Browser Forum, dem z. B.
Symantec angehört, arbeiten hart und unermüdlich an der
Verbesserung der Branchenstandards. Die Grundlagen der
Website-Sicherheit, und damit die Sicherheit Ihrer Website
und Ihrer Besucher, sind also nach wie vor robust – und sie
werden ständig verbessert.
Heartbleed- und ShellShock-Angriffe weltweit, April–November 2014
40
Heartbleed-Angriffe
weltweit
35
Tausend
30
ShellShock-Angriffe
weltweit
25
20
15
5
0
M
J
J
Quelle: Symantec
9
I Symantec Website Security Solutions
A
S
O
N
Schwachstellen im Überblick
Trotz leichter jährlicher Schwankungen ist bei der Gesamtzahl der bekannten Schwachstellen ein klarer Auf­wärtstrend
erkennbar. Für die Mehrzahl der bekannten Schwachstellen
sind Gegenmaßnahmen, Abhilfen oder Patches verfügbar.
Doch Malware-Autoren wissen, dass viele Systemadministratoren ihre Systeme nicht oder nicht zeitnah aktualisieren, sodass auch bereits bekannte und gut dokumentierte Schwachstellen noch in Angriffen ausgenutzt werden können. In vielen
Fällen werden dazu sogenannte „Dropper“ verwendet, d. h.
Spezial-Malware, die ein System nach einer Reihe bekannter
Schwachstellen durchsucht und ungepatchte Schwachstellen
ausnutzt, um weitere Malware zu installieren. Das verdeut­
licht, wie wichtig das zeitnahe Einspielen von Updates ist.
Mit dieser Methode erleichtern Exploit-Toolkits wie Sakura
und Blackhole Angreifern das Ausnutzen ungepatchter
Schwachstellen, die seit Monaten oder sogar Jahren bekannt
sind. Für eine Schwachstelle werden mitunter mehrere
Angriffsmethoden entwickelt. Toolkits für Web­angriffe führen
zunächst eine Schwachstellenanalyse in einem Browser
durch, um anfällige Plugins zu finden und die am besten
geeignete Angriffsform auszuwählen. Viele Toolkits nutzen
die neuesten Angriffsmethoden und Schwachstellen gar
nicht aus, wenn sie über eine ältere Schwachstelle in ein
System eindringen können, denn Zero-Day-Schwachstellen
sind selten und können lukrativer in „Watering Hole“- und
anderen gezielten Angriffen eingesetzt werden.
Neue Schwachstellen
2014
2013
2012
6549
6787
5291
−3,6 %
+28 %
Quelle: Symantec | Deepsight
Symantec Website Security Solutions I 10
2010
6253
2011
4989
5291
6787
2011
2009
4814
2012
2008
5562
891
2013
2007
4644
351
591
2014
2006
4842
2012
In Browsern gefundene
Schwachstellen
2011–2014
2013
Insgesamt aufgedeckte
Schwachstellen
2006–2014
639
Opera
2014
Mozilla Firefox
Microsoft Internet
Explorer
Google Chrome
6549
Apple Safari
Quelle: Symantec I Deepsight
Quelle: Symantec I Deepsight
In Plugins gefundene Schwachstellen nach Monat, 2013/14
Java
80
Apple
71
70
Adobe
60
54 54
50
40
ActiveX
53
48
48
45
30
31
29
27
20
10
5
F
M
Quelle: Symantec I Deepsight
A
M
J
J
11
8
A
2013
4
S
30
23
29
17
J
37
36
35
O
N
13
8
2
D
J
F
M
A
M
J
J
A
S
O
N
D
2014
Bekannte Schwachstellen stellen zwar ein generelles Risiko dar, doch Zero-Day-Schwachstellen können noch
wesentlich gefährlicher sein. Als „Zero-Day“ werden Schwachstellen bezeichnet, die erst aufgedeckt werden, nachdem
Kriminelle sie gefunden und ausgenutzt haben. Weitere Informationen zu diesem Thema finden Sie im Kapitel über
gezielte Angriffe.
11 I Symantec Website Security Solutions
Plug-in Vulnerabilities by Month
Infizierte Websites
Ähnlich wie im Vorjahr wiesen etwa drei Viertel der 2014 von
Symantec untersuchten Websites Schwachstellen auf. Der
Anteil der kritischen Schwachstellen stieg jedoch von 16 auf
20 Prozent.
Der Anteil der mit Malware infizierten Websites war hin­gegen
deutlich niedriger als 2013: Statt in jeder 566. wur­de nur
in jeder 1126. Website Malware gefunden. Das schlug sich
vermutlich in der Anzahl der abgewehrten Angriffe pro Tag
nieder, denn diese ging ebenfalls zurück, wenn auch nur um
12,7 Prozent. Jede infizierte Website war also, im Durchschnitt, für mehr Angriffe verantwort­lich als 2013. Ein Grund
hierfür ist, dass manche Toolkits für Webangriffe inzwischen
in einem Malware-as-a-Service-Modell in der Cloud angeboten werden. Ein Angreifer könnte beispielsweise das HTMLTag iFrame oder verschleierten JavaScript-Code nutzen, um
schädlichen Code direkt aus dem webbasierten Malware-asa-Service-Toolkit in eine Website einzuschleusen, statt den
Angriff aus schädlichem Code zu starten, der sich auf einer
infizierten Website befindet. Der Anstieg bei Malware-as-aService führte auch zu einem Rückgang der Anzahl neuer
betrügerischer Domänen, auf denen Malware gehostet wird.
Diese ging um 47 Prozent zurück, von 56 158 im Jahr 2013
auf 29 927 im Jahr 2014.
Toolkits für Angriffe auf Websites durchsuchen die Computer
der Opfer nach anfälligen Plugins, um eine erfolg­verspre­
chende Angriffsform auszuwählen. Diese Toolkits werden oft
auf speziellen Systemen gehostet, deren IP-Adresse schnell
geändert und deren Domänenname dynamisch generiert
werden kann, um das Auffinden und Ausschalten der kriminellen Infrastruktur zu erschweren. Die Angreifer können
sogar kontrollieren, wie der Angriff durchgeführt wird. Sie
nutzen das, um beispielsweise nur dann anzugreifen, wenn
auf der ursprünglich infizierten Website ein bestimmtes
Cookie gesetzt ist. Damit lässt die Malware sich vor den
Malware-Scans von Suchmaschinen und Sicherheitsexperten
verbergen. Weitere Informatio­nen über Toolkits zum Angriff
auf Websites finden Sie weiter unten in diesem Kapitel.
Bei der Analyse der am häufigsten infizierten Website-Kate­
gorien fiel auf, dass Anonymisierer-Websites sich erstmals
unter den Top Ten befinden. Vielleicht liegt das schlicht
daran, dass diese Websites in jüngerer Vergangenheit häufiger besucht werden, weil immer mehr Verbraucher daran
interessiert sind, beim Surfen ihre Privatsphäre zu schützen
und nicht von ihren Internetserviceanbietern verfolgt zu
werden. Kriminelle würden damit nicht zum ersten Mal der
Menge folgen.
Top-10 der bei Schwachstellenanalysen von Webservern gefundenen ungepatchten Schwachstellen
Nr.
Schwachstelle
1
SSL/TLS-Schwachstelle POODLE
2
Cross-Site-Scripting
3
Unterstützung für SSL-Version 2
4
Unterstützung für schwache SSL-Chiffrensammlungen
5
ungültige SSL-Zertifikatskette
6
Attribut „sicher“ im Cookie einer verschlüsselten (SSL-)Sitzung nicht gesetzt
7
Schwachstelle in der SSL-/TLS-Neuverhandlung
8
unbeabsichtigte Offenlegung von Daten durch die PHP-Funktion strrchr()
9
Cross-Site-Scripting mit http-Methode „Trace“
10
Schwachstelle in der Fehlerbehandlung der OpenSSL-Funktion bn_wexpend()
Quelle: Symantec Website Security Solutions
Symantec Website Security Solutions I 12
Anteil untersuchter Websites,
die Schwachstellen aufwiesen
Anteil kritischer
Schwachstellen
76 %
20 %
−1 %
+4 %
77 %
16 %
+25 %
+8 %
55 %
24 %
Quelle: Symantec | Website Security Solutions
Quelle: Symantec | Website Security Solutions
2014
2014
2013
2013
2012
2012
Im Jahr 2014 wurden 20 Prozent aller auf seriösen Websites gefundenen Schwachstellen als „kritisch“ eingestuft. Das heißt, dass jede
fünfte Schwachstelle direkt zum Zugriff auf vertrauliche Daten, Manipulieren des Inhalts der Website oder zum Infizieren der Computer
der Website-Besucher missbraucht werden könnte.
Anteil der Websites, in denen Malware gefunden wurde
1250
1 von
1000
1126
750
500
532
566
250
2012
Quelle: Symantec | Website Security Solutions
13 I Symantec Website Security Solutions
Plug-in Vulnerabilities by Month
2013
2014
Die am häufigsten mit Malware infizierten
Website-Arten 2013/14
Anteil dieser
Kategorie an der
Gesamtzahl
infizierter Websites
Die 10 am häufigsten
infizierten WebsiteKategorien 2014
Nr.
Top-10 des Jahres
2013
Anteil
2013
1
Technologie
21,5 %
Technologie
9,9 %
2
Hosting-Anbieter
7,3 %
Unternehmen
6,7 %
3
Blogs
7,1 %
Hosting-Anbieter
5,3 %
4
Unternehmen
6,0 %
Blogs
5,0 %
5
Anonymisierer
5,0 %
illegale Websites
3,8 %
6
Unterhaltung
2,6 %
Online-Handel
3,3 %
7
Online-Handel
2,5 %
Unterhaltung
2,9 %
8
illegale Websites
2,4 %
Automobil
1,8 %
9
Placeholder
2,2 %
Bildung
1,7 %
virtuelle
Gemeinschaften
1,8 %
virtuelle
Gemeinschaften
1,7 %
10
Quelle: Symantec | SDAP, Safe Web, Rulespace
Blockierte Webangriffe pro Monat, 2013/14
900
linear (2013)
800
linear (2014)
700
Tausend
600
500
400
300
200
100
J
F
Quelle: Symantec | SDAP
M
A
M
J
J
2013
A
S
O
N
D
J
F
M
A
M
J
J
A
S
O
N
D
2014
Symantec Website Security Solutions I 14
Plug-in Vulnerabilities by Month
Neue verschiedene betrügerische Internetdomänen
2014
2013
2012
2011
29 927
56 158
74 001
55 000
−47 %
−24 %
+34 %
Quelle: Symantec | .cloud
Die Anzahl der voneinander verschiedenen betrügerischen Webdomänen ging 2014 um 47 Prozent zurück. Das deutet
auf die verstärkte Nutzung cloudbasierter Malware-as-a-Service-Angebote hin.
Blockierte Webangriffe pro Tag
2014
2013
2012
2011
496 657
568 734
464 100
190 000
−12,7 %
+23 %
+144 %
Quelle: Symantec | SDAP
Der größte Teil des 12,7-prozentigen Rückgangs in der Anzahl der durchschnittlich abgewehrten Angriffe pro Tag fiel in
die zweite Jahreshälfte 2013, der rückläufige Trend hielt in abgeschwächter Form aber auch 2014 an.
Da die meisten untersuchten Websites noch immer Schwachstellen aufweisen, nutzen viele Website-Betrei­ber Schwachstellenanalysen offensichtlich noch nicht optimal. Das heißt
natürlich nicht, dass Malware-Scans ebenfalls nicht effektiv
eingesetzt werden. Malware wird jedoch oft nach der Ausnutzung einer Schwachstelle in ein System eingeschleust und
wie in vielen Bereichen des Lebens ist vorbeugen auch hier
besser als heilen.
15 I Symantec Website Security Solutions
Da so viele Websites Schwachstellen aufweisen, nutzten
Kriminelle diese bereits in früheren Jahren erfolgreich aus.
Dieser Trend hielt 2014 an. Viele Angreifer nutzten auch
die 2014 aufgedeckten Schwachstellen in SSL und TLS sehr
schnell aus. Außerdem stiegen die Anzahl der Betrugsversuche in sozialen Medien und das Malvertising-Volumen
2014 an. Das deutet darauf hin, dass Kriminelle auf der
Suche nach alternativen Methoden zur Verbreitung von
Malware sind.
Die fünf am häufigsten
genutzten Toolkits für
Webangriffe 2012
Die fünf am häufigsten
genutzten Toolkits für
Webangriffe 2013
8%
17 %
3%
7%
10 %
10 %
5
41 %
5
14 %
26 %
23 %
19 %
22 %
Blackhole
Sonstige
Sakura
G01 Pack
Phoenix
Blackhole
Redkit
Sakura
Nuclear
Styx
Sonstige
Coolkit
Quelle: Symantec I SDAP, Wiki
Quelle: Symantec I SDAP, Wiki
Die fünf am häufigsten
genutzten Toolkits für
Webangriffe 2014
Zeitliche Verteilung
der Nutzung der
Top-5-Toolkits 2014
100 %
50 %
5
23 %
10 %
7%
5%
5%
Sakura
Nuclear
Styx
Orange Kit
Blackhole
Sonstige
Quelle: Symantec I SDAP, Wiki
0%
J
F
M
A
M
J
J
A
S
O
N
D
Sonstige
Blackhole
Orange Kit
Styx
Nuclear
Sakura
Quelle: Symantec I SDAP, Wiki
Symantec Website Security Solutions I 16
Plug-in Vulnerabilities by Month
Malvertising
Am Anfang des Jahres 2014 nutzten Internetkriminelle eine
Kombination aus Ransomware und Malvertising, um eine
Rekordzahl von Opfern auf die Website Browlock umzuleiten.
Browlock ist eine der weniger aggressiven RansomwareVarianten. Statt auf dem Computer des Opfers Malware auszuführen, werden JavaScript-Tricks verwendet, um das Verlassen der einmal aufgerufenen Website und das Schließen
der entsprechenden Reiterkarte zu verhindern. Die Website
ermittelt dann, wo das Opfer sich befindet, und zeigt eine
standortspezifische Seite an, auf der das Opfer beschuldigt
wird, durch den Zugriff auf Pornografie-Websites straffällig
geworden zu sein. Dann wird das Opfer aufgefordert, ein
Bußgeld an die örtliche Polizei zu zahlen.
Die Browlock-Angreifer kaufen anscheinend Werbung bei
seriösen Werbenetzwerken, um die Besucherzahl ihrer Website zu erhöhen. Diese Werbung leitet die Besucher zuerst auf
eine Porno-Website und dann auf die Website von Browlock.
Die von den Browlock-Angreifern gekauften Umleitungen
kommen von verschiedenen Quellen, doch die meisten von
ihnen sind sexbasierte Werbenetzwerke.10
Die Opfer müssten eigentlich nur ihren Browser schließen,
um den Angreifern zu entkommen. Da die Angreifer immer
wieder Werbung kaufen, scheint die Investition sich jedoch
zu lohnen. Viele Opfer zahlen vermutlich, weil sie über die
Werbung für eine Porno-Website zur Website von Browlock
gelangt sind und sich daher schuldig fühlen.
Malvertising im Überblick
Malvertising wird nicht nur zur Verbreitung von Ransomware
benutzt. Manche Angreifer locken ihre Opfer mit schädlicher Werbung auf Websites, die ihre Geräte mit Trojanern
infizieren. Besonders raffinierte schädliche Werbung kann
Malware sogar in sogenannten Drive-by-Angriffen auf Besuchergeräten installieren, auch wenn der Website-Besucher
nicht auf die infizierte Werbung klickt.
Für Kriminelle ist Malvertising interessant, weil sie auf
diesem Weg beliebte seriöse Websites ausnutzen können,
um eine große Anzahl potenzieller Opfer zu erreichen. Zudem
sind Werbenetzwerke in der Regel in der Lage, bestimmte
Personengruppen gezielt anzusprechen. Kriminelle nutzen
dies aus, indem sie die Aufhänger ihrer Betrugsversuche auf
dieselben Zielpersonen zuschneiden. So nehmen seriöse
Werbenetzwerke Internetkriminellen mitunter unbewusst die
Arbeit ab.
Darüber hinaus ändern Kriminelle ihre Taktik, um unerkannt
zu bleiben. Manchmal lassen sie beispielsweise mehrere
Wochen lang eine normale Werbung laufen, um einen
seriösen Eindruck zu erwecken, bevor sie diese Werbung in
schädliche Werbung umwandeln. Werbenetzwerke sollten
Werbung deshalb nicht nur beim Hochladen, sondern auch
danach regelmäßig überprüfen.
Website-Betreiber sind kaum in der Lage, Malvertising zu verhindern, da sie keine direkte Kontrolle darüber haben, welche
Werbung vom Werbenetzwerk auf ihrer Website angezeigt
wird. Sie können das Risiko jedoch reduzieren, indem sie ein
Werbenetzwerk auswählen, das die verfügbaren Funktionen
einschränkt, sodass keine Malware in die angezeigte Werbung eingebettet werden kann. Selbstverständlich spielt
auch die sorgfältige Prüfung des ausgewählten Werbenetzwerks eine große Rolle.
Beispiel einer Browlock-Website, mit der
ein Bußgeld für den illegalen Aufruf von
Pornografie-Websites verlangt wird11
http://www.symantec.com/connect/blogs/massivemalvertising-campaign-leads-browser-locking-ransomware
Ebd.
10
17 I Symantec Website Security Solutions
11
Denial of Service
Mit Denial-of-Service-Angriffen nehmen Internetkriminelle ebenfalls gezielt bestimmte
Unternehmen oder Organisationen ins Visier. Dazu schicken sie massenweise Anfragen
oder Nachrichten an ein kritisches System, etwa eine Website oder einen E-MailServer. Ziel ist es, das System zu überlasten und lahmzulegen, um dessen Betreiber
finanziellen Schaden zuzufügen oder seinen Geschäftsbetrieb zu stören.
Verteilte Denial-of-Service-Angriffe (Distributed Denial of Service, DDoS) sind keine neue Bedrohung, doch ihre Häufigkeit
und Intensität nehmen zu.12 Bei DNS-Verstär­kungsangriffen
beobachtete Symantec zwischen Januar und August 2014
beispielsweise einen Anstieg um 183 Prozent.13 Laut einer
Umfrage von Neustar wurden 60 Prozent der befragten
Unternehmen 2013 Opfer eines DDoS-Angriffs. 87 Prozent
dieser Unternehmen wurden sogar mehrfach angegriffen.14
Zu den möglichen Gründen für einen DDoS-Angriff gehören
das Erpressen von Löse­geld, Ablenkungsmanöver, um dasselbe Unternehmen unbemerkt an anderer Stelle anzugreifen, Hacktivismus und Racheakte. DDoS-Angriffe werden
zunehmend als Service auf dem Schwarzmarkt angeboten.
Für Preise ab 10 bis 20 US-Dollar kann der Käufer die Intensität und Dauer des Angriffs auswählen.
Millionen
Vom Symantec Global Intelligence Network festgestellte DDoS-Angriffe
8
DDoS-Angriffe
7
DNS-Verstärkungsangriffe
6
allgemeine ICMP-Flood-Angriffe
5
Denial-of-Service-Angriffe
mit Generic TCP SYN Flooding
4
3
2
1
0
J
F
M
A
M
J
J
A
S
O
N
D
Quelle: Symantec I DeepSight Symantec Global Intelligence Network
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
14
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf
12
13
Symantec Website Security Solutions I 18
Unsere Verwundbarkeit nimmt zu
Tim Gallo
In den letzten Jahren wurde das sogenannte Schwachstellenmanagement zu einem
Hauptgesprächsthema. Oft wird es jedoch noch als lästige Zeitverschwendung oder
bestenfalls als eine interessante Idee betrachtet, die bei Weitem nicht so wichtig ist
wie die Abwehr von Angriffen oder das Verfolgen von Internetkriminellen. Im Jahr
2014 wurde uns jedoch mehrfach vor Augen geführt, wie wichtig der richtige Umgang mit Schwachstellen ist. Drei schwerwiegende Schwachstellen machten 2014
Schlagzeilen, und das nicht nur in den Newslettern der Sicherheitsbranche. Poodle,
ShellShock und Heartbleed gingen in allen wichtigen Medien um die Welt.
Jede dieser Schwachstellen wurde in einem Bereich gefun­
den, der beim Schwachstellenmanagement bis dahin igno­
riert worden war. Vor Heartbleed konzentrierte das Schwachstellenmanagement sich auf Laptops und Server, weil Unter­
nehmen wie Adobe und Microsoft regelmäßig Berichte über
und Patches für neu aufgedeckte Schwachstellen in ihren
Produkten veröffentlichten. Natürlich wurden und werden
auch weiterhin neue Schwachstellen in Adobe- und Microsoft-Produkten aufgedeckt, doch es gibt solide Prozesse für
das Patch-Management, von der Bekanntmachung einer
Schwachstelle bis hin zum Einspielen des Patches.
Betriebssystem- und Anwendungsanbieter haben das Einspielen von Patches inzwischen weitestgehend automatisiert,
sodass Angreifer sich gezwungen sahen, ihre Taktiken zu
ändern. Sie stiegen auf neue Angriffsmetho­den, oder genauer
gesagt auf die altbewährte Methode der Schwachstellensuche, um. Bei der erneuten, gründ­lichen Durchsuchung von
Anwendungen fanden die Angreifer offensichtlich Schwachstellen in Bereichen, die bislang als sicher galten.
ShellShock ist ein gutes Beispiel für ein Szenario, das wir in
den kommenden Jahren vermutlich häufiger sehen werden.
Je nach Sichtweise war ShellShock eine mangelhafte
Funktion oder ein Designfehler in der Bourne Again Shell
(Bash)15, der über 25 Jahre lang übersehen worden war.
Dann fanden Kriminelle eine Methode zum Ausbeuten dieser
Schwachstelle und sie machte Schlagzeilen. ShellShock war
also schon Bestandteil des Internets, als dieses noch in den
Kinderschuhen steckte. Diese Sicherheitslücke wurde nicht
nur zu Angriffen auf Router und Webserver mit dem Betriebssystem Linux ausgenutzt, sondern auch für Angriffe auf
Heartbleed hat sogar
ein eigenes Logo.
E-Mail-Server und sogar DDoS-Bots, auf denen diese Shell
unterstützt wird. Kurz gesagt nahmen Angreifer so ziemlich
jedes auf Unix basierende System ins Visier, das die Bash
nutzte.
Eine Shell ist eine befehlszeilenbasierte Anwenderschnittstelle für die Interaktion mit dem Betriebssystem. Bash ist eine der meistgenutzten Shells in
allen Varianten von Unix und Linux.
15
19 I Symantec Website Security Solutions
In den kommenden Jahren wird die Ausbeutung von
Schwachstellen wie dieser vermutlich zum Normalfall wer­
den. Für diese Vermutung gibt es mehrere Gründe. Erstens
ist inzwischen deutlich geworden, dass Angreifer nicht
immer wieder auf dieselben Methoden und Angriffsmaschen
zurückgreifen. Stattdessen investieren sie in die Suche nach
bislang unbekannten Schwachstellen in häufig genutzten älteren Infrastrukturelementen, die für breit gestreute Angriffe
geeignet sind.
Zweitens hatten die drei schlagzeilenträchtigsten Schwach­
stellen des Jahres 2014 zwei interessante Gemeinsamkeiten:
Sie befanden sich in wichtigen Infrastrukturkomponenten
des Internets und wiesen auf ein schmutziges Geheimnis der
Anwendungsentwicklung hin – die Wiederverwendung von
Quellcode. Wiederverwen­dung bedeutet, dass Entwickler
Abschnitte aus vorhande­nen in neue Anwendungen kopieren.
Die Methode ist so alt wie das Programmieren selbst und
kann dazu führen, dass völlig verschiedene Anwendungen
dieselben Schwachstellen aufweisen.
Die Bibliothek OpenSSL, in der die Sicherheitslücke Heartbleed gefunden wurde, ist ein hervorragendes Beispiel für
diese Praxis. Der betroffene Code galt als zuverlässig und
praxiserprobt und wurde daher oft nicht einmal getestet.
Doch dann wurde eine neue Schwachstelle in dieser Bibliothek entdeckt und Entwickler weltweit mussten so schnell
wie möglich prüfen, ob ihr wiederverwendeter Code sicher
war.
Drittens bieten immer mehr Unternehmen im Rahmen soge­
nannter Bug-Bounty-Programme Prämien für das Finden
und Melden von Fehlern in ihrer Software an. Gleichzeitig
drohen für die Suche nach Schwachstellen keine Gefängnisstrafen mehr.16 Es gibt also mehr Anreize für die Suche nach
Schwachstellen und weniger Gründe, sich bei einer unverantwortlichen Preisgabe oder sogar eindeutig gewinnsüchtigem
Verhalten vor negativen Konsequenzen zu fürchten.
16
Hoffentlich werden in Zukunft auch Sicherheits- und Abwehr­
maßnahmen weiterentwickelt und konsequenter eingesetzt
werden. Schließlich wird den meisten IT-Exper­ten spätestens
nach einigen Wochen durchgearbeiteter Nächte klar, wie vor­
teilhaft eine sorgfältige Planung ist. Auch die konsequente,
unternehmensweite Durchsetzung von Richtlinien für die
Konfiguration und das E­inspielen von Patches trägt dazu bei,
Infrastrukturen weniger anfällig für Angreifer zu machen.
Eine weitere Option für überlastete IT-Experten ist die Verlagerung der Infrastruktur in die Cloud.
Wenn wir die Arbeit eines IT-Sicherheitsbeauftragten als
ständigen Zyklus aus dem Auffinden und Beheben von
Schwachstellen verstehen, ist die Existenz immer neuer (oder
neu entdeckter) Schwachstellen die Grundlage für ein korrektes Verständnis der Bedrohungslage. Um als Sicherheitsexperten effektiver zu sein, sollten wir auch den Schutz vor und
die Reaktion auf Angriffe und das Sammeln und Auswerten
von Informationen in unseren Arbeitsalltag einbeziehen.
Dazu müssen wir besser planen und testen, uns über aktuelle
Bedrohungen auf dem Laufenden halten und unsere eigene
Infrastruktur gut genug kennen, um einschätzen zu können,
welche dieser Bedrohungen ihr gefährlich werden können.
Wir müssen uns bewusst sein, dass die Struktur des Internets vermutlich noch immer von Schwachstellen geradezu
durchlöchert ist. Deshalb müssen wir nicht nur wachsam,
sondern auch für eine rasche und effektive prozessorientierte
und programmatische Reaktion auf neu entdeckte Schwachstellen vorbereitet sein. Wenn wir dies versäumen, setzen
wir unsere Zukunft aufs Spiel.
http://www.wired.com/2013/03/att-hacker-gets-3-years
Symantec Website Security Solutions I 20
Internetkriminalität
und Malware
21 I Symantec Website Security Solutions
Auf einen Blick
1
Ein konstantes Preisniveau auf dem Schwarzmarkt für Internetkriminelle
deutet auf eine gleichbleibend hohe Nachfrage nach gestohlenen Identitä­
ten, Malware und kriminellen Services hin.
2
Im Vergleich zu 2013 ging die Anzahl der bekannten Schwachstellen 2014
3
Die Anzahl neuer Malware-Varianten stieg 2014 im Vergleich zum Vorjahr
4
5
zurück, doch der langfristige Trend ist weiterhin steigend.
um 26 Prozent auf 317 256 956.
Angriffe mit Ransomware nahmen zu und wurden brutaler. Die Anzahl der
Ransomware-Angriffe, bei denen Dateien verschlüsselt wurden, stieg gegen­
über 2013 auf das 45-Fache.
Die Anzahl der als Bots missbrauchten Computer ging 2014 um 18 Prozent
zurück.
Symantec Website Security Solutions I 22
Einführung
Tag für Tag werden mithilfe gefälschter E-Mails und Websites vertrauliche Kontodaten
gestohlen. Computer werden mit Malware infiziert und zum Versenden von Spam oder
für Denial-of-Service-Angriffe missbraucht. Vielleicht noch schlimmer ist es, wenn Ransomware die Dateien eines Opfers verschlüsselt und seinen Computer unbrauchbar
macht.
E-Mails sind nach wie vor eine effektive Methode zur Ver­
breitung von Spam, Phishing und Malware und der Anteil
der Malware enthaltenden E-Mails steigt weiter an. Internetkriminelle haben einen eigenen Schwarzmarkt, auf dem sie
Malware, Services und gestohlene Kreditkarten kaufen und
verkaufen und Botnetze mieten und vermieten können.
In Zusammenarbeit mit Sicherheitsfirmen wie Symantec
konnten Ermittler auch 2014 in verschiedenen Ländern
Botnetze stören und Internetkriminelle verhaften. Da­durch
ging das Ausmaß der Cyberkriminalität zeitweise spürbar
zurück.
Der Schwarzmarkt
In zahlreichen „dunklen Ecken“ des Internets floriert ein
Schwarzmarkt, auf dem gestohlene Daten, Malware und
kriminelle Services gehandelt werden.17 Die Betreiber dieser
illegalen Märkte nutzen Zugangsbeschränkungen und Anonymisierungsnetzwerke wie Tor, um ihre Aktivi­täten vor der
Öffentlichkeit zu verbergen.18 Wie in allen Märkten weisen
Preisschwankungen auf Veränderungen bei Angebot und
Nachfrage hin. E-Mails sind deutlich und Kreditkartendaten
unwesentlich billiger geworden, während Kontodaten stabil
blieben.
Einige dieser Märkte gibt es seit min­destens zehn Jahren,
doch Beobachtungen von Symantec zeigen, dass alle dort
tätigen Akteure immer professionel­ler agieren. Der Preis für
Produkte und Services, die dem Käufer einen direkten finanziellen Gewinn bieten, bleibt stabil.19
Ein Toolkit für Drive-by-Downloads mit Aktualisierungen
und Support rund um die Uhr kann beispielsweise für 100
bis 700 US-Dollar pro Woche gemietet werden. Eine sechs
Monate lang gültige „Lizenz“ für die als SpyEye oder Trojan.
SpyEye bekannte Malware für Angriffe auf Online-BankingSitzungen kostet 150 bis 1250 US-Dollar und DDoS-Angriffe
können für 10 bis 1000 US-Dollar pro Tag in Auftrag gegeben
werden.20
Internetkriminelle können auch einsatzbereite Malware, Kits
für Webangriffe und Schwachstellendaten „von der Stange“
kaufen. Es gibt sogar Malware-as-a-Service-Angebote mit
einer regelrechten Support-Infrastruktur für Betrugsversuche
im Internet.
Diese Märkte ermöglichen Internetkriminellen eine gefährliche Spezialisierung. Während einige sich auf die Entwicklung
von Viren und Trojanern konzentrieren, perfektionieren
andere die Verbreitung von Malware, den Einsatz von Botnetzen oder die Ausnutzung gestohlener Kreditkartendaten.
Schwarzmarktpreise für Kreditkartendaten aus verschiedenen
Ländern
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
20
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
17
18
19
23 I Symantec Website Security Solutions
Schwarzmarktpreise für gestohlene Daten
1000 gestohlene
E-Mail-Adressen
0,50 bis 10 USD
Spam, Phishing
Kreditkartendaten
0,50 bis 20 USD
illegale Einkäufe
eingescannte
echte Pässe
1 bis 2 USD
Identitätsdiebstahl
gestohlene Konten
in Online-Spielen
10 bis 15 USD
illegaler Erwerb virtueller Güter
maßgeschneiderte
Malware
12 bis 3500 USD
Umleitung von Online-Zahlungen, Bitcoin-Diebstahl
1000 Follower in
einem sozialen
Netzwerk
2 bis 12 USD
Generieren von Interesse bei Besuchern
gestohlene CloudKonten
7 bis 8 USD
Hosten eines Befehls- und Steuerungsservers
1 Million nachweis­
bar versandter
Spam-E-Mails
70 bis 150 USD
Spam, Phishing
registrierte und
aktivierte russische
SIM-Karte für ein
Handy
100 USD
Betrug
Quelle: Symantec
Symantec Website Security Solutions I 24
Malware
Ende 2013 verhafteten russische Ermittler „Paunch“, den mutmaßlichen Autor des
Exploit-Kits Blackhole. Dies stellte einen kleinen Sieg im langen Kampf gegen Malware
dar, da Blackhole bei einem großen Teil der Internetangriffe eingesetzt worden war.21,22
Natürlich wurde die so entstandene Marktlücke schnell von
anderen Kits für Webangriffe gefüllt. Malware für den Diebstahl von Bankkontendaten ist nach wie vor weit verbreitet.
Im Jahr 2014 erschlossen Kriminelle sich neue „Märkte“,
indem sie beispielsweise mit dem Banking-Trojaner Snifula
japanische Finanzinstitute angriffen.23 Im Nahen Osten
wurde erstmals eine einheimische Malware namens njRAT
beobachtet.24
Im Oktober enthielten nur sieben Prozent der für Betrugs­
versuche verwendeten E-Mails einen Link zu einer schädlichen Website. Im November stieg dieser Anteil jedoch auf
41 Prozent an. Anfang Dezember wurde ein weiterer Anstieg
beobachtet, vermutlich aufgrund einer Welle von SocialEngineering-Nachrichten, darunter angebliche E-Mail-
Benachrichtigungen über ein eingegangenes Fax oder eine
Nachricht auf dem Anrufbeantworter.
Der in diesen E-Mails enthaltene Link nutzte eine geka­perte
Domäne und führte zu einer mit der Skriptsprache PHP
erstellten Landing Page. Wenn ein Empfänger auf diesen
Link klickte, wurde Malware wie Downloader.Ponik oder
Downloader.Upatre heruntergeladen. Beides sind bekannte
Trojaner, die dazu dienen, bereits gekaperte Computer mit
zusätzlicher Malware wie dem Datenstehler Trojan.Zbot
(auch als „Zeus“ bekannt) zu infizieren.25
Insgesamt ging die Anzahl der Malware verbreitenden
E‑Mails im Vergleich zum Rekordjahr 2013 jedoch zurück.
Neue (im genannten Jahr erstellte) Malware-Varianten
Quelle: Symantec I .cloud
2014
2013
317 256 956
251 789 458
+26 %
Im Jahr 2014 wurden 317 Millionen neue Malware-Komponenten erstellt, also fast eine Million pro Tag. Damit sind nun insgesamt
1,7 Milliarden Malware-Komponenten verfügbar.
Anteil der E-Mails mit Link zu Malware statt Malware-Anhang
Quelle: Symantec I .cloud
12 % –13 % 25 %
2014
+2 %
23 %
2013
http://en.wikipedia.org/wiki/Blackhole_exploit_kit
http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/
http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions
24
http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene
25
http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics
21
22
23
25 I Symantec Website Security Solutions
2012
Anteil der E-Mails, die Malware enthalten (insgesamt)
1 244
1 196
von
1 291
von
2014
von
2013
2012
Quelle: Symantec I .cloud
Anteil der per E-Mail verbreiteten Malware, die in einem Link und
nicht in einem Anhang verborgen war (nach Monat)
60
50
%
40
30
20
10
0
J
M
M
J
S
N
J
M
2012
Quelle: Symantec I .cloud
M
J
S
N
J
M
2013
M
J
S
N
2014
12 Prozent der 2014 zur Verbreitung von Malware genutzten E-Mails enthielten einen schädlichen Link anstelle eines MalwareAnhangs. Zum Vergleich: Im Jahr 2013 lag dieser Anteil bei 25 Prozent.
Anteil der E-Mails, die einen Virus enthielten, 2012–2014
100
150
1 von
200
250
300
350
400
J
Quelle: Symantec I .cloud
M
M
J
2012
S
N
J
M
M
J
2013
S
N
J
M
M
J
S
N
2014
Symantec Website Security Solutions I 26
Ransomware
Im Jahr 2013 wurden 4,1 Millionen Angriffe mit Ransomware beobachtet, 2014
waren es mit 8,8 Millionen mehr als doppelt so viele. Noch beunruhigender ist der
Anstieg dateiverschlüsselnder Malware. Im Jahr 2013 beobachtete Symantec 8274
Angriffe mit Krypto-Ransomware, 2014 waren es mit 373 342 über 45-mal so viele.
Ransomware kommt in vielen Gewändern daher und kein Betriebssystem kann seine Benutzer effektiv vor ihr schützen.26
Obwohl Sicherheitsexperten nach wie vor davon abraten, die
von den Kriminellen geforderten Lösegelder zu zahlen, sehen
viele Unternehmen und Verbraucher sich aus den verschiedensten Gründen gezwungen, dies zu tun. Das bedeutet
natürlich, dass diese Angriffsform für Internetkriminelle
profitabel bleibt und weiterhin verwendet wird.
Anders ausgedrückt: 2013 war Krypto-Ransomware noch
recht ungewöhnlich. Sie kam bei jedem 500. Angriff mit
Ransomware zum Einsatz, das entsprach einem Anteil von
0,2 Prozent. Bis Ende 2014 stieg dieser Anteil auf 4 Pro­zent
oder einem von 25 Angriffen mit Ransomware an.
Für die Opfer ist Krypto-Ransomware sicher eine der perfi­
desten Angriffsformen überhaupt. Kriminelle verschlüsseln
beispielsweise Familienfotos, Hausarbeiten, Musik oder den
noch unvollendeten Roman des Opfers auf dessen Festplatte
und verlangen ein Lösegeld für das Entschlüsseln dieser
Dateien. Die beste und bislang einzig wirksame Gegenmaßnahme ist das separate Aufbewahren von Sicherheitskopien,
vorzugsweise offline.
Ransomware-Angriffe je Monat, 2013/14
900
800
700
Tausend
600
500
400
300
200
100
J
F
M
A
M
J
J
A
S
O
N
D
J
2013
Quelle: Symantec I Response
26
http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0
27 I Symantec Website Security Solutions
F
M
A
M
J
J
2014
A
S
O
N
D
Krypto-Ransomware
Wie bereits erwähnt stellte Symantec 2014 über 45-mal so viele Angriffe mit
Krypto-Ransomware fest wie im Vorjahr.27
Die erstmals im März 2014 beobachtete Malware Crypto­
Defense ist ein gutes Beispiel dafür, wie gefährlich KryptoRansomware sein kann und wie schwierig es ist, die dafür
verantwortlichen Erpresser zu finden. CryptoDefense wird
als E-Mail-Anhang verbreitet und verschlüsselt die Dateien
der Opfer mit asymmetrischer Kryptografie und dem starken
Chiffrier­verfahren RSA 2048.
Die beobachteten Varianten gehören verschiedenen MalwareFamilien an, darunter Cryptolocker28, Crypto­Defense29 und
Cryptowall30, gehen jedoch nach dem gleichen Schema vor:
Statt den Desktop des Opfers durch Verschlüsseln unbrauch­
bar zu machen, werden persönli­che Dateien verschlüsselt
und ein privater Schlüssel zu ihrer Entschlüsselung auf einer
Website abgelegt, wo das Opfer ihn gegen ein Lösegeld
abrufen kann. Diese Angriffs­form ist also noch brutaler als
herkömmliche Ransomware.
Dann wird das Opfer aufgefordert, eine Website im Anony­
misierungsnetzwerk Tor31 aufzurufen und dort ein Lösegeld
in Bitcoins zu zahlen. Die Nutzung von Anonymisierungs­
netz­werken und Bitcoins ist typisch für Krypto-RansomwareAngriffe und macht es ungemein schwierig, die Erpresser zu
finden und auszuschalten.
Angreifer nutzen verschiedene Methoden, um die Computer
ihrer Opfer zu infizieren. Am häufigsten wird Krypto-Ransomware als E-Mail-Anhang verschickt und dabei als Stromrech­
nung, Zahlungsaufforderung oder Bild getarnt. Oft wird
Krypto-Ransomware von einem Kriminellen ver­breitet und
von einem anderen ausgeführt. Das ist nur ein Beispiel für die
zunehmende Spezialisierung in der Inter­netkriminalität, wo
das Infizieren einer bestimmten Anzahl von Computern inzwi­
schen als Service für einen Pauschalpreis angeboten wird.
Das Risiko für die Kriminellen ist also gering, ihr Profit dagegen beträchtlich. Schätzungen von Symantec zufolge bringt
CryptoDefense seinen Betreibern über 34 000 US-Dollar
pro Monat ein.32 Damit ist Krypto-Ransomware derzeit die
profitabelste Form der Internetkriminalität.
Angriffe mit Krypto-Ransomware 2013/14
80
72
70
62
Tausend
60
50
43
48
46
40
36
30
24
0,2 % über das ganze Jahr
20
10
J
F
M
A
M
J
J
2013
A
S
O
N
D
6
5
J
F
10 12
9
M
M
A
J
J
2014
A
S
O
N
D
Quelle: Symantec I Response
Im Jahr 2013 wurde bei 0,2 Prozent aller Ransomware-Angriffe Krypto-Ransomware verwendet. Bis zum Jahresende 2014 stieg dieser
Anteil auf 4 Prozent.
http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99
Ebd.
30
Ebd.
31
Tor ist eine Kombination aus Software und einem offenen Netzwerk, mit der die Benutzer ihre Anonymität und Privatsphäre im Internet schützen
und Dritte daran hindern können, ihre Online-Transaktionen zu analysieren. Die Betreiber von Tor sind keine Kriminellen, doch ihr Angebot kommt
mitunter – wie in diesem Fall – auch Kriminellen zugute.
32
http://www.symantec.com/connect/blogs/cryptodefenseSymantec Website Security Solutions I 28
cryptolocker-imitator-makes-over-34000-one-month
27
28
29
Bots und Botnetze
Gegenüber 2013 ging die Anzahl der als Bots missbrauchten
Computer im Jahr 2014 um 18 Prozent zurück. Das liegt zum
großen Teil daran, dass das FBI, das bei Europol angesiedelte
Europäische Zentrum zur Bekämpfung der Cyberkriminalität
EC3 und weitere Ermittlungsbehörden in verschiedenen Ländern mit Symantec und anderen Technologieunterneh­men
zusammenarbeiteten, um Bot­netze zu finden und abzuschal­
ten. Ihr vielleicht spektaku­lärster Erfolg des Jahres 2014 war
das Abschalten des Botnetzes Gameover Zeus, das seit seiner
Inbetriebnahme im Jahr 2011 Millionen von Computern infiziert hatte.33, 34 Gameover Zeus ist jedoch nur ein Beispiel für
die effektive Zusammenarbeit zwischen IT-Unternehmen und
Ermitt­lungsbehörden, die in den vergangenen zwei Jahren
zum Abschalten einer ganzen Reihe von Botnetzen führte.35, 36
Kriminelle Aktivitäten nach Ursache: Bots, 2013/14
Land/Region
Rang 2014
Anteil der Bots 2014
Rang 2013
Anteil der Bots 2013
China
1
16,5 %
2
9,1 %
USA
2
16,1 %
1
20,0 %
Taiwan
3
8,5 %
4
6,0 %
Italien
4
5,5 %
3
6,0 %
Ungarn
5
4,9 %
7
4,2 %
Brasilien
6
4,3 %
5
5,7 %
Japan
7
3,4 %
6
4,3 %
Deutschland
8
3,1 %
8
4,2 %
Kanada
9
3,0 %
10
3,5 %
Polen
10
2,8 %
12
3,0 %
Quelle: Symantec I GIN
Die USA und China sind zwei der bevölkerungsreichsten Länder weltweit und haben eine hohe Konzentration an Internetnutzern. Im
Jahr 2013 nahmen die USA in der Rangliste der Länder mit den meisten als Bots missbrauchten Computer noch den zweiten Platz hinter
China ein, doch 2014 überholten sie das Land der Mitte. Auch das kann vermutlich auf das Abschalten des Botnetzes Gameover Zeus
zurückgeführt werden.
33
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
34
http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/
35
http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets
36
http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption
29 I Symantec Website Security Solutions
Anzahl der als Bots missbrauchten Computer
−18 %
1,9 Millionen
2,3 Millionen −33 %
3,4 Millionen
2014
2013
2012
Quelle: Symantec I GIN
Das Abschalten des Botnetzes Gameover Zeus durch die „Operation Tovar“ trug wesentlich dazu bei, dass die Anzahl der als Bots
missbrauchten Computer 2014 stark zurückging. Gameover Zeus war vor allem für Angriffe auf Online-Banking-Transaktionen und zum
Verbreiten der Ransomware CryptoLocker benutzt worden.37
Anteil am
Spamvolumen
Geschätztes
Spamvolumen
pro Tag
Die zehn führenden Spam versendenden Botnetze 2014
Kelihos
51,6 %
884 044
Spanien 10,5 %
USA 7,6 %
Argentinien 7,3 %
Unbekannt/
Sonstige
25,3 %
432 594
USA 13,5 %
Brasilien 7,8 %
Spanien 6,4 %
Gamut
7,8 %
133 573
Russland 30,1 %
Vietnam 10,1 %
Ukraine 8,8 %
Cutwail
3,7 %
63 015
Russland 18,0 %
Indien 8,0 %
Vietnam 6,2 %
Darkmailer 5
1,7 %
28 705
Russland 25,0 %
Ukraine 10,3 %
Kasachstan 5,0 %
Darkmailer
0,6 %
9596
Russland 17,6 %
Ukraine 15,0 %
China 8,7 %
Snowshoe
0,6 %
9432
Kanada 99,9 %
USA 0,02 %
Japan 0,01 %
Asprox
0,2 %
3581
USA 76,0 %
Kanada 3,4 %
Großbritannien
3,3 %
Darkmailer 3
0,1 %
1349
USA 12,7 %
Polen 9,6 %
Südkorea 9,1 %
Grum
0,03 %
464
Kanada 45,7 %
Türkei 11,5 %
Deutschland 8,5 %
Name des Botnetzes
Standort der meisten missbrauchten Computer
1. Platz
2. Platz
3. Platz
Quelle: Symantec I .cloud
37
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
Plug-in Vulnerabilities by Month
Symantec Website Security Solutions I 30
OS X im Visier
In den letzten Jahren reagierte Apple mit längst überfälligen
Sicherheitsfunktionen auf die Bedrohungen, denen das Be­
triebssystem OS X seit einiger Zeit ausgesetzt gewesen war.
XProtect durchsucht heruntergeladene Dateien nach Malware und warnt den Benutzer, wenn er eine Datei herunterlädt, die Apple als schädlich bekannt ist. GateKeeper nutzt
Code Signing, um Benutzervorgaben darüber durchzusetzen,
welche Apps in OS X ausgeführt werden dürfen. Der Benutzer
kann beispielsweise angeben, dass nur Apps aus dem offiziellen Mac App Store auf seinem Computer installiert werden
dürfen. Alternativ dazu kann auch das Installieren von Apps
erlaubt werden, deren Entwickler von Apple als vertrauens­
würdig eingestuft wurden oder die ihre Apps signieren.
Dank dieser Sicherheitsfunktionen ist es für Angreifer nun
schwerer, in OS X Fuß zu fassen. Einige sind aber nach wie
vor erfolgreich. Wie alle signaturbasierten Sicherheitslösungen kann XProtect schädliche Apps nur blockieren, wenn eine
entsprechende Signatur vorliegt. Oft werden die Signaturen
jedoch erst aktualisiert, wenn zahlreiche Computer bereits
infiziert sind. Zudem werden immer wieder schädliche Apps
gefunden, die anscheinend von seriösen Entwicklern signiert
wurden. Grund dafür sind von Kriminellen gestohlene oder
gefälschte Code-Signing-Schlüssel.
Die 2014 am häufigsten beobachteten Angriffsmaschen in
OS X ähnelten Bedrohungen, die bereits aus anderen Betriebs­
systemen bekannt sind. Macs werden inzwischen ebenso
per Browser mit Malware infiziert wie andere Computer.
Der Trojaner Flashback infizierte beispielswei­se allein im
Jahr 2012 mehr als 600 000 Macs und ist noch immer nicht
ausgemerzt. Varianten dieses Trojaners nehmen in der Top10-Liste der am häufigsten blockierten Malware 2014 die
Plätze 3 und 10 ein. Auch Malware, mit der die Konfiguration
von DNS, Browsern oder Suchfunktionen auf OS X-Systemen
geändert werden kann, sind auf dieser Liste vertreten.
Zwei berüchtigte Bedrohungen wiesen auf ein Problem hin,
das im Zusammenhang mit OS X besonders brisant ist: Raubkopien von OS X-Apps, die Malware enthalten.
38
http://www.thesafemac.com/iworm-method-of-infection-found/
31 I Symantec Website Security Solutions
OSX.Wirelurker ist ein Trojaner, mit dem sowohl Macs mit
dem Betriebssystem OS X als auch Geräte mit dem Betriebssystem iOS angegriffen werden können, die mit einem
infizierten Computer verbunden sind. Wirelurker erregte
Aufmerksamkeit, als es in 467 OS X-Anwendungen in einem
App-Store in China gefunden wurde, der von einem Drittan­
bieter gehostet wurde. Diese schädlichen Apps wurden über
356 000 Mal heruntergeladen, bevor Apple die Initiative er­
griff und diese Apps blockierte, sodass sie nicht mehr ausgeführt werden können.
OSX.Luaddit ist eine auch als iWorm bekannte Malware,
die infizierte Computer in ein OS X-Botnetz einbindet. Die­s­e
Bedrohung wurde in Raubkopien mehrerer kommerzieller
Produkte gefunden, darunter Adobe Photoshop, Microsoft
Office und Parallels. Diese Raubkopien wurden auf TorrentSites angeboten und Tausende Mal herunter­geladen.
Eine weitere erwähnenswerte Bedrohung ist Malware für den
Bitcoin-Diebstahl, darunter OSX.Stealbit.A und OSX.Stealbit.B.
Diese Programme überwachen das Opfer beim Internetsurfen
und stehlen seine Anmeldedaten, wenn es eine bekannte
Bitcoin-Website besucht. OSX.Stealbit.B gehörte 2014 zu den
fünf am häufigsten beobachteten OSX-Bedrohungen.
OSX.Slordu ist ein Trojaner, der auf infizierten Computern
eine Hintertür öffnet und anscheinend auch Daten stiehlt.
Auffällig ist, dass es sich hier um eine für OS X angepasste
Variante einer weit verbreiteten Hintertür-Malware für
Windows zu handeln scheint.
OSX.Ventir ist eine modular aufgebaute Malware, die durch
Komponenten zum Öffnen einer Hintertür, Aufzeichnen von
Tastaturanschlägen und anderen Spionagefunktionen erwei­
tert werden kann. Ein Angreifer muss also nur die Kompo­
nenten herunterladen und auf einem gehackten Computer
installieren, die er für den geplanten Angriff benötigt.
OSX.Stealbit.A überwacht das Opfer beim Internetsurfen
und stiehlt seine Anmeldedaten, wenn es eine bekannte
Bitcoin-Website besucht.
Die zehn am häufigsten blockierten Malware-Programme
für Mac OS X, 2013/14
Platz
Name der Malware
Anteil an den 2014
beobachteten
Bedrohungen
Name der Malware
Anteil an den 2013
beobachteten
Bedrohungen
1
OSX.RSPlug.A
21,2 %
OSX.RSPlug.A
35,2 %
2
OSX.Okaz
12,1 %
OSX.Flashback.K
10,1 %
3
OSX.Flashback.K
8,6 %
OSX.Flashback
9,0 %
4
OSX.Keylogger
7,7 %
OSX.HellRTS
5,9 %
5
OSX.Stealbit.B
6,0 %
OSX.Crisis
3,3 %
6
OSX.Klog.A
4,4 %
OSX.Keylogger
3,0 %
7
OSX.Crisis
4,3 %
OSX.MacControl
2,9 %
8
OSX.Sabpab
3,2 %
OSX.FakeCodec
2,3 %
9
OSX.Netweird
3,1 %
OSX.Iservice.B
2,2 %
10
OSX.Flashback
3,0 %
OSX.Inqtana.A
2,1 %
Quelle: Symantec I SDAP
Symantec Website Security Solutions I 32
Plug-in Vulnerabilities by Month
Malware auf virtuellen Systemen
Die Virtualisierung schützt nicht vor Malware. Immer mehr Malware-Programme
können erkennen, ob sie auf einem physischen oder virtuellen System laufen, und
ihr Verhalten entsprechend anpassen, um unentdeckt zu bleiben.39 Mehrere Jahre
lang überprüfte ein relativ stabiler Anteil von knapp 18 Prozent aller MalwareProgramme, ob sie auf einem VMware-System ausgeführt werden. Anfang 2014
stieg dieser Anteil sprunghaft auf 28 Prozent an.40
Diese Funktion wird nicht nur genutzt, um die Malware vor
Sicherheitsexperten zu verbergen. Malware, die auf einer
virtuellen Maschine installiert wurde, kann andere virtuelle
Maschinen auf derselben Hardware oder sogar den Hypervisor infizieren und damit nicht nur das Risiko für die Benutzer
enorm erhöhen, sondern auch das Entfernen der Malware
erschweren.41 Das wurde beispielsweise bei W32.Crisis beob­
achtet, einer Malware, die gezielt nach virtuellen Maschinen
auf einem Host-Computer sucht und sie infiziert.42
Für IT-Manager stellen Angriffe dieser Art ein besonderes
Risiko dar. Sie lassen sich kaum mit Intrusion-DetectionSystemen, Firewalls oder anderen herkömmlichen Lösun­gen
zur Abwehr von Angriffen an der Netzwerkgrenze erkennen,
die eine virtuelle Maschine als Sandbox nutzen, um Malware
aufzudecken. Zudem werden virtuelle Ma­schinen oft weniger
gut geschützt, weil die Verantwort­lichen von der (irrtümlichen)
Annahme ausgehen, dass Malware keine Gefahr für virtuelle
Maschinen darstellt. Die Netzwerkhardware, Hypervisoren
und softwaredefi­nierten Netzwerke eines Unternehmens
dürfen bei der Sicherheitsplanung und dem Einspielen von
Patches auf keinen Fall übersehen werden.
http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines
Ebd.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf
42
Ebd.
39
40
41
33 I Symantec Website Security Solutions
Digitale Erpressung: eine kurze Geschichte
der Ransomware
Peter Coogan
Das ganze Jahr 2014 hindurch machte Krypto-Ransomware
immer wieder Schlagzeilen. Im Gegensatz zu herkömmlichen
Ransomware-Varianten versucht diese jüngste und bislang
gefährlichste Form der digitalen Erpressung nicht, ganze
Systeme unbrauchbar zu machen. Stattdessen werden
einzelne Dateien auf den infizierten Geräten verschlüsselt.
In den meisten Fällen sind die Opfer nicht in der Lage, sie
wiederherzustellen. Wie bei allen Ransomware-Angriffen
soll das Opfer dann ein Lösegeld zahlen, um seine Daten zu
„befreien“.
Diese Malware-Form gibt es seit über zehn Jahren, doch seit
einigen Jahren nimmt sie immer mehr überhand. Das liegt
vermutlich daran, dass zahlreiche Internetkriminelle von
gefälschter Antivirensoftware auf die lukrativere Ransomware umsteigen. Die Entwicklung von gefälschter Antivirensoftware über Ransomware zu Krypto-Ransomware ist klar
erkennbar, doch Malware-Entwickler ruhen sich nur selten
auf ihren Lorbeeren aus. Diese digitalen Erpresser suchen
vermutlich bereits nach neuen Berei­chen, in denen sie ihr
Unwesen treiben können.
Gefälschte Antivirensoftware und andere angebliche
Sicherheitslösungen täuschen dem Benutzer vor, dass sein
System Malware enthält, und bieten an, diese zu entfernen
– natürlich gegen ein Entgelt. Betrugsversuche dieser Art
gibt es schon lange. Sie erreichten ihren Höhepunkt um
das Jahr 2009, als ein Bericht von Symantec 43 Millionen
Installationsversuche durch 250 verschiedene vorgebliche
Sicherheitsprogramme zählte, die von den Opfern für 30 bis
100 US-Dollar „gekauft“ werden sollten.43
Ransomware ist eine Malware-Variante, mit der infizierte
Computer für den Besitzer unbrauchbar gemacht werden.
Daraufhin zeigt die Ransomware eine Nachricht an, in der
ein Lösegeld gefordert und das Entfernen der Ransomware
versprochen werden. Symantec wies 2012 auf die zuneh­
mende Bedrohung durch Ransomware hin. Die Er­presser
verlangten in Europa zwischen 50 und 100 Euro und in den
USA bis zu 200 US-Dollar, um ein System wieder brauchbar
zu machen.44
Nach dem Auftauchen und augenscheinlichen Erfolg des
inzwischen berüchtigten Trojan.Cryptolocker45 im Jahr 2013
stiegen mehrere Malware-Autoren auf Krypto-Ransomware
um. Infolgedessen wurden 2014 eine ganze Reihe neuer
Krypto-Ransomware-Familien beobachtet, die den altbekannten Erpressertaktiken mit neuen Metho­den und
Ausweichmanövern auf modernen Plattformen zum Erfolg
verhelfen sollen.
Zwei der 2014 am häufigsten beobachteten Vertreter dieser
Familie waren Trojan.Cryptodefense46 und sein Ableger Cryptowall. CryptoDefense tauchte erstmals im Februar 2014 auf.
Die Angreifer nutzten Tor und verlangten Bitcoins, um unerkannt zu bleiben, verschlüsselten Dateien mit RSA 2048 und
setzten zahlungsunwillige Opfer unter Druck. Die ursprüngliche Lösegeldforderung von 500 Euro oder US-Dollar wurde
verdoppelt, wenn das Opfer nicht schnell genug zahlte.
Analysten stellten jedoch schon bald fest, dass den MalwareAutoren bei der Implementierung der Verschlüsse­lung ein
Fehler unterlaufen war: Der zum Entschlüsseln der Dateien
erforder­liche Schlüssel wurde auf dem Computer des Opfers
gespeichert. Nachdem diese Information veröffentlicht wur­
de, behoben die Malware-Autoren den Fehler und boten die
korrigierte Version unter dem neuen „Markennamen“ Cryptowall an. Seitdem wurde Cryptowall weiterentwickelt, um es
noch aggressiver zu machen: Die Malware verschafft sich nun
zusätzliche Zugriffsrechte, erkennt Malware-Scans und nutzt
das anonyme Netzwerk Invisible Internet Project (I2P) für
den Datenaustausch mit den Angreifern. Ermittlern zufolge
brachte Cryptowall seinen Betreibern allein im ersten Monat
mindestens 34 000 US-Dollar47 und in den ersten sechs
Monaten über eine Million US-Dollar ein.48
PC mit verschiedenen Versionen des Betriebssystems
Windows sind schon seit geraumer Zeit lukrative Ziele für
Ransomware-Angreifer. Das wird wohl auch in absehbarer
Zukunft so bleiben. Dennoch begannen die Angreifer 2014,
sich neue Plattformen für die digitale Erpressung zu erschlie­
ßen. Die kriminelle Bande Reveton brachte Ransomware für
Android-Geräte in Umlauf, die unter den Namen Android.
Lockdroid.G49 und Koler bekannt wurde. Mithilfe eines TDS
(Traffic Distribution System) konnte die Gruppe auf drei Ziele
gerichtete Angriffe durchführen. Wenn ein Opfer eine von
den Angreifern kontrollierte Website aufrief und bestimmte
andere Bedingungen erfüllte, wurde die Browsersitzung auf
eine plattformspezifische Variante der Ransomware umge­
leitet.
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf
45
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99
46
http://www.symantec.com/security_response/writeup.jsp?docid=2014-032622-1552-99
47
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
48
http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/
49
http://www.symantec.com/security_response/writeup.jsp?docid=2014-050610-2450-99
Symantec Website Security Solutions
43
44
I 34
Damit war Ransomware plötzlich plattformübergreifend einsetzbar. Benutzer
von Android wurden auf eine Webseite geleitet, auf der Android.Lockdroid.G
heruntergeladen wurde, Benutzer von Internet Explorer auf eine Seite, auf der
das Angriffs-Toolkit Angler ihr System mit Trojan.Ranslomlock.G50 infizierte
und Benutzer anderer Browser in den Betriebssystemen Windows, Linux und
OS X auf die Website von Browlock51, einer anderen Ransomware-Variante,
die im Webbrowser verfügbare Tools nutzt, um das Opfer am Verlassen der
Website zu hindern und zum Zahlen eines Lösegelds zu bewegen.
Im Juni 2014 wurde Android.Simplocker52 aufgedeckt, die erste Dateien
verschlüsselnde Ransomware für Android. Sie zeigte zunächst eine Lösegeldforderung auf Russisch an, doch im Juli 2014 erschien die Version Android.
Simplocker.B53 mit einer englischen Lösegeldforderung und einem angeblich
vom FBI stammenden Schreiben als Aufhänger. Im Oktober 2014 erschien
die auch als Porndroid bekannte Version Android.Lockdroid.E54, ebenfalls mit
einer angeblichen FBI-Ermittlung als Aufhänger. Diese fotografierte das Opfer
mit seiner eigenen Webcam und zeigte das Foto neben der Lösegeldforderung
an. Auch Android.Lockdroid wurde weiterentwickelt und verfügt inzwischen
über weitere Social-Engineering-Methoden und eine Wurmfunktion, mit der es
sich eigenständig per SMS zu allen Kontakten im Adressbuch eines infizierten
Geräts schicken kann.
Auf der Suche nach weiteren Plattformen für Erpressungsversuche stie­ßen
Ransomware-Autoren auf NAS-Geräte (Network Attached Storage). Da auf
diesen Geräten zahlreiche Dateien gespeichert werden, sind auch sie ein
lukratives Ziel. Mit dem Trojan.Synolocker55 nutzten Kriminelle eine bis dahin
unbekannte Schwachstelle im DiskStation Manager des NAS-Anbieters Synology aus, um sich Zugriff auf NAS-Geräte zu verschaffen, sämtliche Dateien
zu verschlüsseln und ein Lösegeld für das Entschlüsseln zu verlangen. Diese
Schwachstelle wurde inzwischen behoben, doch dieser Fall macht deutlich,
dass auf Ransomware spezialisierte Kriminelle ständig auf der Suche nach
neuen potenziellen Opfern sind.
Ransomware „Porndroid“ für Android-Geräte
Warum wird Ransomware so schnell und intensiv weiterentwickelt? Mit Löse­
geldern zwischen 100 und 500 US-Dollar je Opfer sind Ransomware-Angriffe
äußerst einträglich. Zudem wurden Lösegeldzahlungen in Bitcoins im Verlauf
des Jahres 2014 zunehmend zur Norm, insbesondere bei neuer Ransomware. Die Anonymität dieser Internetwährung erleichtert es den Kriminellen,
unerkannt zu bleiben und ihre Beute durch diverse Geldwä­scheverfahren
unauffindbar zu machen.
Neben der bereits beschriebenen Welle neuer Ransomware-Familien beobach­
tete Symantec auch ein steigendes Angriffsvolumen für die ein­zelnen Varian­
ten. Im Vergleich zu 2013 stieg die Anzahl der Angriffe mit Ransomware um
113 Prozent. Angesichts der Einträglichkeit dieser Angriffsform und der stei­
genden Anzahl neuer Malware-Varianten ist damit vermutlich noch nicht der
Höhepunkt dieser Entwicklung erreicht. Im Gegenteil: Ein weiteres starkes
Wachstum in diesem Bereich ist nur zu wahrscheinlich.
http://www.symantec.com/security_response/writeup.jsp?docid=2011-051715-1513-99
http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware
http://www.symantec.com/security_response/writeup.jsp?docid=2014-060610-5533-99
53
http://www.symantec.com/security_response/writeup.jsp?docid=2014-072317-1950-99
54
http://www.symantec.com/security_response/writeup.jsp?docid=2014-103005-2209-99
55
http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99
50
51
52
35 I Symantec Website Security Solutions
Gezielte Angriffe
Symantec Website Security Solutions I 36
Auf einen Blick
1
Im Jahr 2014 wurden mehr Fälle staatlich gesponserter Internet­
spionage aufgedeckt als in früheren Jahren.
2
Den Angreifern steht immer ausgefeiltere Malware zur Verfügung,
die auf professionelle Softwaretechnik und Entwicklungsmethoden
schließen lässt.
3
Mit Kampagnen wie Dragonfly, Waterbug und Turla wurden Industrie­
anlagen, Botschaften und andere empfindliche Ziele angegriffen.
4
Die Anzahl der Spear-Phishing-Angriffe stieg 2014 um acht Prozent
an, während die Anzahl der Angriffe pro Tag insgesamt zurückging.
Das deutet darauf hin, dass Angreifer ihre potenziellen Opfer nun für
längere Zeit ausspionieren, um sie dann gezielt mit einer besonders
erfolgversprechenden Methode anzugreifen.
37 I Symantec Website Security Solutions
Einleitung
Im Verlauf des Jahres 2014 analysierte Symantec mehrere Fälle von Internetspiona­
ge unter besonderer Berücksichtigung der Methoden, die bei Angriffen auf Tausende
empfindlicher, aber gut geschützter Unternehmen und Organisationen weltweit ein­
gesetzt wurden. Die Ergebnisse zeigen, wie beunruhigend professionell viele Internetkriminelle inzwischen sind.
Stellen Sie sich vor, Sie seien CISO eines osteuropäischen
diplomatischen Korps. Im Verlauf des Jahres 2014 erhärtet
sich Ihr Verdacht, dass viele Ihrer Botschaften in Europa mit
einem Backdoor-Trojaner infiziert wurden. Sie beauftragen
eine Sicherheitsfirma mit einer genaueren Untersuchung
und Ihre schlimmsten Befürchtungen werden bestätigt. Die
Untersuchung zeigt, dass eine Reihe Ihrer Mitarbeiter SpearPhishing-E-Mails erhielten, die genau auf die jeweiligen
Empfänger zugeschnitten waren. Mit diesen E-Mails wurden
die Computer der betroffenen Mitarbeiter mit einem Troja­
ner infiziert. Neben diesen sehr sorgfältig formulierten
E-Mails nutzten die Angreifer auch Zero-Day- und WateringHole-Angriffe. So konnten sie unbemerkt über 4500 Computer in mehr als 100 Ländern infizieren.56
Das vielleicht Schlimmste an diesem Szenario ist, dass es
sich nicht um ein Gedankenspiel handelt, sondern um eine
Beschreibung des Angriffs Waterbug.
Dieser Angriff wies Ähnlichkeiten mit anderen gezielten Angriffen wie Turla und Regin auf. Aufgrund der Opfer und der
äußerst ausgeklügelten Angriffsmethoden geht Symantec
davon aus, dass eine staatlich gesponserte Gruppe für
Waterbug verantwortlich war.57
56
57
Angesichts immer professionellerer Angriffe ist gute ITSicherheit heute unverzichtbar. Die Anwendung von Best
Practices für die Internetsicherheit sollte daher die Norm
sein. Angreifergruppen, die von verschiedenen Staaten
großzügig finanziell unterstützt werden, sind bei Weitem
nicht die einzige Bedrohung, der Unternehmen und staat­
liche Stellen ausgesetzt sind. Sogenannte patriotische
Hacker, Hacktivisten, kriminelle Erpresser, Datendiebe und
diverse andere Internetkriminelle setzen ähnliche Taktiken
ein, obwohl sie über weniger Ressourcen und in der Regel
weniger extensives Know-how verfügen.
Bei E-Mail-basierten Angriffen hat sich 2014 nicht viel
geändert. Webbasierte Angriffe werden dagegen immer
ausgeklügelter. Bei Spionageangriffen kommen zunehmend
Toolkits für Webangriffe zum Einsatz. Zudem wird meist
nicht mehr nur eine Angriffsmasche, sondern eine Kombinationen aus mehreren Methoden verwendet. Finanziell
motivierte Internetkriminelle nutzen schon seit vielen
Jahren Toolkits für Webangriffe, doch ihr breiter Einsatz in
der Internetspionage ist ein recht neues Phänomen.
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/waterbug-attack-group.pdf
Ebd.
Symantec Website Security Solutions I 38
Internetspionage
Sicherheitsexperten von Symantec waren 2014 fast acht Monate lang mit der
Analyse der raffiniertesten Malware für die Internetspionage beschäftigt, die sie je
gesehen hatten. Die leistungsstarken Tools der unter dem Namen Regin bekannten
Malware wurden zum Ausspionieren von Regierungen, Infrastrukturbetreibern,
Unternehmen, Wissenschaftlern und Privatpersonen benutzt. Bei Angriffen auf
Betreiber von Telekommunikationsnetzen ging es den Angreifern offenbar darum,
Anrufe mithören zu können, die durch die Infrastruktur dieser Unternehmen geroutet wurden.58
Regin ist äußerst komplex, mit einem gut getarnten,
fünfstufigen Installationsprozess. Ein modulares Design
ermöglicht das nachträgliche Hinzufügen und Entfernen
bestimmter Funktionen. Weder die mehrstufige Installation
noch das modulare Design sind neu, doch bei der Entwicklung von Regin kamen höchstwahrscheinlich moderne
Softwaretechnik und professionelle Entwicklungsverfahren
zum Einsatz. Die Malware enthält beispielsweise Dutzende
Module für Aufgaben wie den Fernzugriff, das Speichern
von Screenshots, Stehlen von Kennwörtern, Überwachen
von Datenübertragungen und Wiederherstellen gelöschter
Dateien.59
Die Entwicklung muss Monate, wenn nicht sogar Jahre ge­
dauert haben. Die Angreifer verfügen also über beachtliche
Ressourcen. Regin ist perfekt für langfristige Überwachungs­
kampagnen geeignet. Der in die Entwicklung investierte
Aufwand deutet auf einen Staat im Hintergrund hin.
Vor Kurzem wurde eine großzügig mit Ressourcen ausge­
stattete Angreifergruppe entdeckt, die von Ermittlern
„Equation Group“ getauft wurde.62 Die Ermittlungen zeigten, dass diese Gruppe 2014, aber auch schon in früheren
Jahren, über hochgradig spezialisierte Angriffs­methoden
verfügte. Doch das ist noch nicht alles: Internetspione
entwickeln nicht nur ihre eigenen Werkzeuge ständig
weiter, sondern nutzen auch zunehmend auf dem Schwarz­
markt erhältliche Angriffskits, Zero-Day-Angriffe und
maßgeschneiderte Malware. Das Exposé über die Equation
Group macht deutlich, wie professionell die Entwicklung
von Spezialmalware heute verläuft. Internetspione nutzen
anscheinend dieselben Best Practices wie seriöse Softwarehersteller.
Symantec beobachtete 2014 noch eine zweite, ähnlich
aufwendige Spionagekampagne, Turla.60 Dabei kamen
ebenfalls Spear-Phishing- und Watering-Hole-Angriffe zum
Einsatz (siehe unten). Turla richtete sich gegen staatliche
Einrichtungen und Botschaften verschiedener früherer
Ostblockländer. Nach der Installation von Turla konnten die
Angreifer per Fernzugriff auf infizierte Computer zugreifen
und dort Dateien kopieren und löschen, Verbindungen zu
Servern herstellen u. a. m. Aufgrund der gewählten Angriffs­
ziele und der Komplexität der Malware geht Symantec auch
in diesem Fall von einem staatlich gesponserten Angriff
aus.61
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
http://www.symantec.com/en/uk/outbreak/?id=regin
http://www.symantec.com/connect/blogs/turla-spying-tool-targets-governments-and-diplomats
62
http://www.symantec.com/connect/blogs/equation-advanced-cyberespionage-group-has-all-tricks-book-and-more
58
59
60,61
39 I Symantec Website Security Solutions
Cybersecurity in der Industrie
Je mehr Geräte mit dem Internet verbunden sind, desto mehr potenzielle Einfalls­
tore für Angriffe und vielleicht sogar Sabotageversuche stehen Angreifern zur Auswahl. Das trifft insbesondere auf die in vielen industriellen Produktionsanlagen und
Versorgungsunternehmen genutzten industriellen Steuerungssysteme (Industrial
Control Systems, ICS) zu. Viele dieser Geräte sind internetfähig, weil dies die Überwachung und Steuerung erleichtert.
Anzahl aufgedeckter Schwachstellen in ICS und SCADA-Systemen, 2012–2014
90
80
70
75
14
Schwachstellen
13
12
einzelne Anbieter
60
9
50
35
7
30
10
Quelle: Symantec I Deepsight
39
40
8
6
4
20
2
10
2012
2013
2014
Symantec beobachtete 2014 mehr Angriffe auf ICS als in
früheren Jahren. Die Internetspionagekampagne Dragonfly
richtete sich beispielsweise gegen eine ganze Reihe von
Zielen, darunter Stromerzeuger, Betreiber von Stromversorgungsnetzen und Erdölleitungen sowie Her­steller von Industrieanlagen und -ausrüstungen.63 Die meis­ten Opfer waren
in den USA, Spanien, Frankreich, Italien, Deutschland, der
Türkei und Polen ansässig.
Jeder Angriff auf ein ICS erinnert natürlich an Stuxnet
und die Sabotage des iranischen Nuklearprogramms. Die
Betreiber von Dragonfly sind jedoch, zumindest bislang,
weniger aggressiv. Ihre vorrangigen Ziele scheinen Industriespionage und der langfristige Zugang zu den infizierten
Systemen zu sein. Dadurch erlangen die gut ausgestatteten
Angreifer natürlich umfassende Kenntnisse wichtiger industrieller Systeme, die sie – zumindest theoretisch – in die
Lage versetzen, verheerende Sabotageakte durchzuführen,
wenn sie oder ihre Hintermänner das wollen.
Dragonfly besteht aus einer Kombination aus eigens erstellter Malware und auf russischsprachigen Schwarzmarktforen erhältlicher Standardmalware. Es wurde mithilfe von
Spear-Phishing-E-Mails und webbasierten Watering-HoleAngriffen verbreitet, wobei zunächst gezielt kleinere und
weniger gut geschützte Zulieferunternehmen der eigentlich
anvisierten Opfer infiziert wurden.
63
64
Anzahl aufgedeckter Schwachstellen in
ICS und SCADA-Systemen und Anzahl der
betroffenen Anbieter pro Jahr
ttp://www.symantec.com/connect/blogs/dragonfly-western-energyh
companies-under-sabotage-threat
http://en.wikipedia.org/wiki/OLE_for_Process_Control
Vielen Unternehmen fällt es schwer, insbesondere ältere
Systeme adäquat vor Malware-Infektionen zu schützen.
Mit­unter können sie sich den mit dem Einspielen von
Patches verbundenen Produktionsausfall nicht leisten, in
anderen Fällen sind anwenderspezifische und unzureichend
geschützte Lösungen im Einsatz, bei denen Schwachstellen
nicht oder nicht rechtzeitig behoben werden. OLE for Pro­
cess Control64 (OPC), ein häufig in der Automatisierungs­
technik verwendetes Protokoll, ist nur ein Beispiel dafür.
OPC ist ein gut dokumentierter offener Standard, der jedoch
nur schwache Auflagen für Verschlüsselung, Authentifizie­
rung oder andere Sicherheitsmaßnahmen enthält. Dadurch
entstehen Schwachstellen, die mit Malware ausgenutzt wer­
den können. Ein Ziel von Dragonfly war es, Informationen
über Systeme in den Zielunternehmen zu finden, die OPC
nutzen.
Mit Dragonfly wurden die Updateserver der Anbieter von
ICS-Software gezielt angegriffen, eine neue und raffinierte
Variante eines Watering-Hole-Angriffs. Bei herkömmlichen
Watering-Hole-Angriffen suchen die Angreifer nach
Schwach­stellen auf Websites Dritter, die von den eigentlich
anvisierten Opfern häufig besucht werden. Sie miss­brau­
chen diese Websites dann, um die Computer der eigentlichen Opfer bei deren nächstem Besuch mit Malware zu
infizieren. Die Dragonfly-Angreifer gingen einen Schritt
weiter: Sie missbrauchten die Updateserver der von den
Zulieferern ihrer eigentlichen Opfer genutzten ICS-Software,
um die Lieferkette ihrer Opfer zu hacken.
Symantec Website Security Solutions I 40
Spähangriffe
Neben Social-Engineering-Maschen wie Spear-Phishing und Watering-Hole-Angriffen
nutzen Angreifer auch andere Methoden, um im Netzwerk eines anvisierten Unter­
nehmens Fuß zu fassen. Sie klopfen beispielsweise die Netzwerkgrenze ab, um
mögliche Einfallstore zu finden.
Dabei spielen Spähangriffe eine größere Rolle als je zuvor.
Sie sind in der Regel die erste Etappe einer Kampagne und
dienen dazu, Informationen über die anvi­sierten Systeme
und über Schwachstellen zu finden, die die Angreifer ausnutzen können.
Ein Blick auf die meistgenutzten Zero-Day-Schwachstellen
des Jahres 2014 macht deutlich, wie weit verbreitet Späh­
angriffe inzwischen sind. CVE-2013-7331 liegt mit großem
Abstand auf Platz 1, obwohl Angreifer über diese Schwach­
stelle gar nicht in ein System eindringen, sondern „nur“ das
Netzwerk ausspionieren können, in dem es sich befindet.
Zum Planen zukünftiger Angriffe ist natürlich auch das
nützlich. Wenn ein Angreifer erst einmal die internen Hostnamen, IP-Adressen und verschiedene interne Pfadnamen
kennt, kann er die nächsten Schritte viel zielgerichteter
planen.
Darüber hinaus blieb CVE-2013-7331 für lange Zeit
ungepatcht. Wie die Nummer erkennen lässt, wurde die
Schwachstelle schon 2013 entdeckt. Im Februar 2014
wurde sie bekanntgegeben, doch erst im September war
ein Patch verfügbar. Selbst Angreifer, die erst durch die
Bekanntgabe von dieser Schwachstelle erfuhren, hatten
also 204 Tage lang Zeit, um sie auszunutzen.
41 I Symantec Website Security Solutions
Das liegt möglicherweise daran, dass die Gefährlichkeit
dieser Schwachstelle unterschätzt wurde. Da Angreifer
diese Schwachstelle nicht direkt ausnutzen konnten, um
die Kontrolle über ein betroffenes System zu übernehmen,
erhielt die Behebung anderer Schwachstellen vermutlich
eine höhere Priorität. Internetkriminelle erkannten dies und
nutzten die Schwachstelle aus, um anvisierte Netzwerke
auszukundschaften.
Bedrohungen dieser Art sollten von der Sicherheitsbranche
allgemein ernster genommen werden. Eine Schwachstelle,
die es einem Hacker ermöglicht, Informationen über
ein Netzwerk, einen Computer oder ein anderes Gerät
zu sam­meln, ist an sich natürlich weniger gefährlich als
eine Schwachstelle, mit der ein Angreifer sich zusätzliche
Zugriffs­rechte verschaffen kann. Doch wenn ein Internetkrimineller mithilfe einer solchen Schwachstelle ein unzureichend gesichertes System entdeckt, das er sonst nicht
gefunden hätte, ist der angerichtete Schaden durchaus
vergleichbar.
Watering-Hole-Angriffe und
Zero-Day-Schwachstellen
Hidden Lynx, eine äußerst gewiefte Gruppe von Auftrags-Hackern, wurde erstmals
im September 2013 beobachtet und war auch 2014 weiter aktiv. Unter anderem
nutzte die Gruppe die Schwachstelle CVE-2014-033265 in einem Watering-HoleAngriff aus, der auf jedem Computer, von dem die gehackte Website aufgerufen
wurde, eine Backdoor einrichtete. Diese wurde später für Angriffe und zum
Ausschleusen gestohlener Daten verwendet.
Bei Watering-Hole-Angriffen auf verschiedene japani­sche
Websites und Unternehmen und Organisationen, die mit der
französischen Luft- und Raumfahrtbranche in Verbindung
stehen, wurde die Zero-Day-Schwachstelle CVE-2014-1776
verwendet. Die Ermittler von Symantec gehen jedoch davon
aus, dass Hidden Lynx nicht für diese Angriffe verantwort­
lich ist.66
Bei einem weiteren schwerwiegenden Watering-Hole-Angriff
wurden CVE-2014-0515, eine Zero-Day-Schwachstelle in
Adobe Flash, und eine bestimmte Software eines seriösen
Herstellers gemeinsam ausgenutzt. Der Angriff war nur er­
folgreich, wenn beide Programme installiert waren. Symantec
geht daher davon aus, dass es sich hier um einen gezielten
Angriff auf ein oder eine kleine Anzahl von Zielunternehmen
handelte.
In einem weiteren Fall nutzte die Internetspionagegruppe
Sandworm eine bis dahin unbekannte Schwachstelle in
Microsoft Windows aus, um auf Computern der NATO, verschiedener ukrainischer und westeuropäischer staatlicher
Organisationen sowie bei mehreren Energie- und Telekommunikationsunternehmen Malware zu installieren.67
Auch die erstmals 2012 beobachtete Elderwood-Gang ist
weiter aktiv. Anfang 2014 nutzte sie beispielsweise drei
neue Zero-Day-Schwachstellen aus, um ihre Opfer anzu­
greifen.68
Mit 24 lag die Zahl der 2014 entdeckten Zero-Day-Schwachstellen leicht über dem 2013 aufgestellten Rekord. Das
deutet darauf hin, dass diese Anzahl sich auf einen neuen,
deutlich höheren Normalwert einpegelt. Es ist natürlich
möglich, dass Internetkriminellen zahlreiche weitere ZeroDay-Schwachstellen bekannt sind, die sie bislang unbemerkt ausnutzen oder in Reserve halten.
http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10zero-day-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi
http://www.symantec.com/connect/blogs/zero-day-internet-vulnerabilitylet-loose-wild
67
http://www.symantec.com/connect/blogs/sandworm-windows-zero-dayvulnerability-being-actively-exploited-targeted-attacks
68
http://www.symantec.com/connect/blogs/how-elderwood-platformfueling-2014-s-zero-day-attacks
65
66
Angreifer können eine Zero-Day-Schwachstelle in zwei
Phasen ausnutzen. Wenn sie sie selbst finden, können sie
die Schwachstelle ausnutzen, um ein System auszuspionie­
ren oder zu hacken, bevor der entsprechende Softwareher­
steller die Schwachstelle bekanntgegeben hat. Nach der
Bekanntgabe einer Schwachstelle können sie die Zeit ausnutzen, die bis zur Veröffentlichung eines Patches vergeht.
Dieser Zeitraum kann mehrere Tage, Wochen oder sogar
Monate lang sein. Oft vergeht zusätz­liche Zeit, bevor ein bereits verfügbarer Patch in allen betroffenen Infrastrukturen
eingespielt wird.
Für die fünf am häufigsten ausgenutzten Schwachstellen
des Jahres 2014 vergingen zwischen der Bekanntgabe und
der Veröffentlichung eines Patches insgesamt 295 Tage,
im Gegensatz zu nur 19 Tagen im Jahr 2013. Die durchschnittliche Länge dieses auch als „ungeschütztes Fenster“
bezeichneten Zeitraums stieg von vier Tagen im Jahr 2013
auf 59 Tage im Jahr 2014 an. Die am häufigsten ausgenutzte Schwachstelle des Jahres 2014 war CVE-2013-7331.
Wie aus der Nummer ersichtlich, wurde diese Schwachstelle
bereits im Vorjahr entdeckt. Sie wurde jedoch erst 2014
bekanntgegeben und bis zur Herausgabe eines Patches
vergingen weitere 204 Tage. Auch für die Schwachstellen
auf Platz zwei und drei unserer Rangliste der am häufigsten
ausgenutzten Schwachstellen war das „ungeschützte Fens­
ter“ mit 22 bzw. 53 Tagen deutlich länger als der Durchschnitt des Jahres 2013.
Der Erfolg mancher Internetspione beruht auf der geziel­ten
Ausnutzung des „ungeschützten Fensters“ verschiedener
Schwachstellen. Andere Angreifer stellen die Nutzung einer
Zero-Day-Schwachstelle hingegen ein, sobald Informationen
über diese Schwachstelle veröfffentlicht werden. Sie steigen
also schon auf eine andere, noch un­bekannte Schwachstelle
um, bevor ein Patch verfügbar ist. Wenn beispielsweise die
Malware, die diese Schwachstelle ausnutzt, über ein sogenanntes Watering Hole verbreitet wird, können sie durch
ihren Rückzug verhindern, dass der Betreiber der als Watering Hole missbrauchten Website über die nun bekannte
Schwachstelle auf ihre Aktivitäten aufmerksam wird. Dass
die Angreifer dazu in der Lage sind, deutet auf die enormen
Ressourcen hin, die ihnen zur Verfügung stehen.
Symantec Website Security Solutions I 42
Zero-Day-Schwachstellen
24
+4 %
2014
23
2013
+64 %
14
2012
Quelle: Symantec I Deepsight, SDAP, Wiki
Zeit bis zur Veröffentlichung einer Signatur und eines Patches für die fünf am häufigsten
ausgenutzten Schwachstellen
19 Tage
4 Tage
Gesamtdauer der Verwundbarkeit 2013
Durchschnittliche Zeit bis zur
Veröffentlichung des Patches 2013
+276 Tage
+51 Tage
295 Tage
55 Tage
Gesamtdauer der Verwundbarkeit 2014
Durchschnittliche Zeit bis zur
Veröffentlichung des Patches 2014
Quelle: Symantec I Deepsight, SDAP, Wiki
Quelle: Symantec I Deepsight, SDAP, Wiki
2014 erfolgten 57 Prozent der Angriffe auf die fünf am häufigsten ausgenutzten Schwachstellen nach der Ver­
öffentlichung einer Signatur, also innerhalb von 90 Tagen nach der Bekanntgabe der Schwachstelle, aber vor
der Herausgabe eines Patches durch den Softwareanbieter.
57 %
2014
Platz
CVE
Anteil 2014 insgesamt
1
Microsoft ActiveX Control CVE-2013-7331
81 %
2
Microsoft Internet Explorer CVE-2014-0322
9,5 %
3
Adobe Flash Player CVE-2014-0515
7,3 %
4
Adobe Flash Player CVE-2014-0497
2,0 %
5
Microsoft Windows CVE-2014-4114 OLE
<1%
Im Jahr 2014 verstrichen zwischen der Bekanntgabe der fünf am häufigsten ausgenutzten Schwachstellen durch den jeweiligen
Softwarehersteller und der Herausgabe des entsprechenden Patches insgesamt 295 Tage. Im Vorjahr waren es nur 19 Tage. Im Jahr
2014 blockierte Symantec Endpoint Protection 57 Prozent der Angriffe auf die fünf am häufigsten ausgenutzten Schwachstellen
innerhalb der ersten 90 Tage nach der Bekanntgabe, oft bevor ein Patch verfügbar war.
43 I Symantec Website Security Solutions
Zero-Day-Schwachstellen insgesamt nach Jahr, 2006–2014
25
24
23
20
15
13
15
14
14
12
10
9
8
5
2006
2007
2008
2009
2010
2011
2012
2013
2014
Quelle: Symantec | SDAP
Die 5 am häufigsten ausgenutzten Zero-Day-Schwachstellen
4 19
2013
59
2014
durchschnittliche Zeit bis zur Verfügbarkeit eines Patches des Anbieters
kumulative Dauer des „ungeschützten Fensters“ für die 5 am häufigsten
ausgenutzten Zero-Day-Schwachstellen
295
25
Anzahl der erkannten Angriffe in Tausend
81 % Microsoft ActiveX Control
CVE-2013-7331
20
81 %
10 % Microsoft Internet Explorer
CVE-2014-0322
15
10
7%
Adobe Flash Player
CVE-2014-0515
2%
Adobe Flash Player
CVE-2014-0497
Microsoft
ActiveX
Control
< 1 % Microsoft Windows
CVE-2014-4114 OLE
5
0
25
50
75
100
125
150
175
200
225
250
275
300
Tage nach Bekanntwerden der Schwachstelle
Das sogenannte „ungeschützte Fenster“, der Zeitraum zwischen der Bekanntgabe einer Zero-Day-Schwachstelle und der Veröffentli­
The window of vulnerability, the duration between the publication date and the patch date, for the most frequently exploited zero-day
chung eines Patches, war 2014 deutlich länger als im Vorjahr. CVE-2014-0322, CVE-2014-0515 und CVE-2014-4114 wurden in einer
vulnerabilities grew in 2014. CVE-2014-0322, CVE-2014-0515, and CVE-2014-4114 were all exploited during 2014 in a number of
ganzen Reihe gezielter Angriffe ausgenutzt, unter anderem von den Angreifergruppen Hidden Lynx und Sandworm.
targeted attacks, including attacks related to Hidden Lynx and Sandworm.
Symantec Website Security Solutions I 44
Informationen über aktuelle Bedrohungen
Heutzutage müssen die Sicherheitsverantwortlichen aller Unternehmen und Orga­
nisationen über aktuelle Bedrohungen informiert sein, um einschätzen zu können,
wovor sie ihr Netzwerk schützen müssen.
Investitionen in branchenführende Technik allein reichen
nicht mehr aus. Um zu verstehen, welche Angreifergruppen aus welchen Motiven welche Unternehmen aufs Korn
nehmen, ist eine Kombination aus Informationen über
aktuelle Bedro­hungen, Risikomanagement und den besten
verfügbaren Sicherheitslösungen erforderlich. Ein solides
Verständnis der relevanten Bedrohungen ist unverzichtbar,
da Unterneh­men inzwischen fest damit rechnen müssen,
angegriffen zu werden. Es ist nur eine Frage der Zeit.
45 I Symantec Website Security Solutions
Die raffiniertesten Angreifer verlassen sich nicht nur auf
Toolkits, mit denen sie bereits bekannte Schwachstellen
ausnutzen können, sondern nutzen auch Zero-DaySchwachstellen aus. Ein ausgereiftes Sicherheitsmanagement erschwert ihnen das Handwerk. Informationen über
aktuelle Bedrohungen sollten mit Daten über verdächtige
Vorfälle aus dem gesamten Unternehmen in Bezug gebracht
werden, um eine Rangliste der zu treffenden Maßnahmen
zu erstellen. Darüber hinaus sollten nicht nur die Kennt­
nisse und Fähigkeiten der Mitarbeiter, sondern auch die
verwendeten Prozesse ständig neu überprüft und aktuali­
siert werden. Gut geschützte Unternehmen sind auch für
technisch versierte Angreifer schwerer zu hacken. Sorgen
Sie dafür, dass Ihr Unternehmen nicht das schwächste Glied
Ihrer Lieferkette wird.
In gezielten Angriffen genutzte Methoden
Verteilung der Spear-Phishing-Angriffe
nach Unternehmensgröße, 2011–2014
Quelle: Symantec | .cloud
Großunternehmen
> 2500
Mitarbeiter
Mittlere
Unternehmen
251–2000
Mitarbeiter
Kleine
Unternehmen
1–250
Mitarbeiter
100 %
50 %
39 %
41 %
31 %
25 %
31 %
30 %
34 %
2012
2013
2014
50 %
19 %
Im Jahr 2014 gingen 41 Prozent
aller Spear-Phishing-E-Mails an
Großunternehmen. Wie schon 2013
waren kleine und mittelständische
Unternehmen weder durch ihre
Größe noch durch ihre relative
Anonymität gegen Angriffe dieser
Art gefeit. Im Gegenteil: Hartnäckige
Angreifer umgingen auch 2014 die
Sicherheitsmaßnahmen ihrer eigentlich
anvisierten Opfer mit Angriffen auf
kleinere Zulieferer.
32 %
18 %
0
2011
Risiko eines Spear-Phishing-Angriffs, nach Unternehmensgröße
Quelle: Symantec I .cloud, SRL
Anteil 2014
Anteil 2014 in %
Anteil 2013
Anteil 2013 in %
Großunternehmen
mit über 2500
Mitarbeitern
1 von 1,2
83 %
1 von 2,3
43 %
Mittlere Unternehmen mit 251 bis
2500 Mitarbeitern
1 von 1,6
63 %
1 von 3,5
33 %
Kleine Unternehmen
mit bis zu 250
Mitarbeitern
1 von 2,2
45 %
1 von 5,2
19 %
Im Jahr 2014 wurden 83 Prozent aller Großunternehmen mit Spear-Phishing-Kampagnen angegriffen. Im Vorjahr waren es 43 Prozent.
Symantec Website Security Solutions I 46
Die 10 am häufigsten mit Spear-Phishing angegriffenen Branchen, 2013–2014
Fertigung
neuartige Dienstleistungen
18
13
11
Unternehmensdienstleistungen
Großhandel
15
10
5
Transport, Kommunikation,
Versorgung
Insgesamt war die Fertigungsindustrie 2014 das Hauptziel
von Spear-Phishing: Jeder
fünfte Angriff galt einem
Unternehmen dieser Branche.
20
14
Finanzen, Versicherung,
Immobilien
7
6
5
öffentliche Verwaltung
Einzelhandel
20
13
2
Bergbau
1
1
Bau
1
1
16
3
2013
5
10
2014
15
20
25 %
Quelle: Symantec | .cloud
Risiko eines Spear-Phishing-Angriffs, nach Branche
2014
Branche
Anteil
Anteil
in %
Bergbau
1 von 2,3
Großhandel
2013
Branche
Anteil
Anteil
in %
43 %
Bergbau
1 von 2,7
37 %
1 von 2,9
34 %
öffentliche Verwaltung
(Behörden)
1 von 3,1
32 %
Fertigung
1 von 3,0
33 %
Fertigung
1 von 3,2
31 %
Transport,
Kommunikation,
Ver- und Entsorgung
1 von 3,4
29 %
Großhandel
1 von 3,4
29 %
öffentliche Verwaltung
1 von 3,4
29 %
Transport,
Kommunikation,
Ver- und Entsorgung
1 von 3,9
26 %
Finanzen, Versicherung,
Immobilien
1 von 4,8
21 %
Finanzen, Versicherung,
Immobilien
1 von 4,8
21 %
Einzelhandel
1 von 4,8
21 %
neuartige
Dienstleistungen
1 von 6,6
15 %
neuartige Dienstleistungen
1 von 6,5
15 %
Bau
1 von 11,3
8%
Unternehmensdienstleistungen
1 von 6,9
15 %
Land- und Forstwirtschaft, Fischerei
1 von 12,0
8%
Quelle: Symantec | .cloud, SRL
Der Bergbau war 2014 die am schwersten von Spear-Phishing betroffene Branche: 43 Prozent aller Bergbauunternehmen wurden
mit mindestens einer Spear-Phishing-Kampagne angegriffen. In dieser Kategorie sind Unternehmen zusammengefasst, die mit
Bergbaumethoden Metalle oder Mineralien abbauen oder Energie gewinnen.
47 I Symantec Website Security Solutions
Spear-Phishing-E-Mails pro Tag
73
83
–12 %
2014
–28 %
116
2012
2013
Quelle: STAR Malware Ops
Die Anzahl der von Symantec identifizierten Spear-Phishing-E-Mails ging 2014 leicht zurück. Es gibt jedoch keine Anzeichen dafür,
dass die Intensität gezielter Angriffe ebenfalls abnimmt. Die Anzahl E-Mail-basierter Kampagnen insgesamt nahm zu. Die SpearPhishing-Kampagnen des Jahres 2014 waren raffinierter als in den Vorjahren: Angreifer versuchten, Sicherheitsmaßnahmen mit
sorgfältig formulierten Nachrichten und speziell erstellter Malware zu umgehen.
E-Mail-basierte Spear-Phishing-Kampagnen
2014
Veränderung
2013
Veränderung
2012
Kampagnen
841
+8 %
779
+91 %
408
Empfänger je
Kampagne
18
–20 %
23
–81 %
111
Angriffe je
Kampagne
25
–14 %
29
–76 %
122
durchschnittliche
Kampagnendauer
9 Tage
+13 %
8 Tage
+173 %
3 Tage
Quelle: Symantec I .cloud, SRL
Die Anzahl gezielter Spear-Phishing-Angriffe stieg 2014 um 8 Prozent, obwohl die durchschnittliche Anzahl der täglich versandten
Spear-Phishing-E-Mails um 12 Prozent zurückging. Die Spear-Phishing-Kampagnen des Jahres 2014 erinnerten weniger an Spam. Die
Anzahl der jeweils anvisierten Opfer war kleiner und die Angreifer investierten mehr Zeit in die Planung und Koordination der Angriffe.
Insbesondere widmeten sie der Aufklärung vor dem eigentlichen Angriff deutlich mehr Aufmerksamkeit. Zudem beobachtete Symantec
mehrere „verteilte gezielte Angriffe“, bei denen vermutlich mindestens zwei Angreifergruppen zusammenarbeiteten. Diese Angriffe
wurden so geplant und koordiniert, dass sie trotz relativ großer E-Mail-Volumen nicht als Spam bezeichnet werden können.
Häufig in Spear-Phishing-E-Mails verwendete Begriffe
Die am häufigsten in Spear-Phishing-E-Mails verwendeten Begriffe
Quelle: Symantec I .cloud, SRL
Symantec Website Security Solutions I 48
Risiko eines Spear-Phishing-Angriffs, nach Abteilung
2014
Anteil
Quelle: Symantec I .cloud, SRL
Anteil in %
Vertrieb/Marketing
1 von 2,9
35 %
Betrieb
1 von 3,8
27 %
Finanzen
1 von 3,3
30 %
Forschung und Entwicklung
1 von 4,4
23 %
IT
1 von 5,4
19 %
Ingenieurwesen
1 von 6,4
16 %
Personalverwaltung
1 von 7,2
14 %
Sonstige
1 von 9,3
11 %
Mitarbeiter im Vertrieb und Marketing sind prozentual am stärksten von Spear-Phishing-Angriffen betroffen, mehr als ein Drittel von
ihnen erhielten 2014 mindestens eine solche E-Mail.
Risiko eines Spear-Phishing-Angriffs, nach Position
2014
Anteil
Quelle: Symantec I .cloud, SRL
Anteil in %
Manager
1 von 3,8
26 %
Mitarbeiter ohne
Führungsverantwortung
1 von 3,7
27 %
Praktikant
1 von 3,9
26 %
Direktor
1 von 5,4
19 %
Mitarbeiter im Support
1 von 7,6
13 %
Sonstige
1 von 9,3
11 %
Manager waren 2014 die am häufigsten anvisierten Führungskräfte, mehr als ein Viertel von ihnen waren betroffen.
49 I Symantec Website Security Solutions
Durchschnittliche Anzahl täglicher Spear-Phishing-Angriffe, 2012–2014
250
225
200
175
150
125
100
75
50
25
0
J
M
Quelle: Symantec I .cloud
M
J
S
N
J
2012
M
M
J
S
N
2013
J
M
M
J
S
N
2014
Analyse der 2013/14 in gezielten Angriffen genutzten Spear-Phishing-E-Mails
Platz
Dateityp
Anteil 2014
Dateityp
Anteil 2013
1
.doc
41,2 %
.exe
31,3 %
2
.exe
24,0 %
.scr
18,4 %
3
.scr
9,7 %
.doc
7,9 %
4
.au3
8,7 %
.pdf
5,3 %
5
.jpg
4,9 %
.class
4,7 %
6
.class
3,6 %
.jpg
3,8 %
7
.pdf
3,3 %
.dmp
2,7 %
8
.bin
2,0 %
.dll
1,8 %
9
.txt
1,5 %
.au3
1,7 %
10
.dmp
1,1 %
.xls
1,2 %
Microsoft-Word-Dokumente überholten 2014 ausführbare Dateien und sind nun der am häufigsten für schädliche E-MailAnhänge missbrauchte Dateityp. Mindestens 35 Prozent aller Spear-Phishing-Angriffe könnten abgewehrt werden, wenn
die E-Mail-Gateways von Unternehmen so konfiguriert würden, dass alle ausführbaren Dateien und Bildschirmschoner
aus eingehenden E-Mails entfernt werden. Alternativ dazu könnten diese Anhänge schon vor dem Erreichen des E-MailGateways unschädlich gemacht werden. Cloudbasierte Filtersysteme können Spear-Phishing-Angriffe aufdecken und
abwehren, bevor sie das Netzwerk eines Unternehmens erreichen.
Quelle: Symantec I .cloud
Symantec Website Security Solutions I 50
Sicherung industrieller Steuersysteme
Preeti Agarwal
Gezielte Angriffe haben sich von stümperhaften Eindringversuchen zu einer der
wichtigsten Methoden der Cyberspionage entwickelt. Industrielle Steuersysteme
(Industrial Control Systems, ICS) gehören zu den bevorzugten Zielen von Angreifern,
die die nationale Sicherheit des Ziellands gefährden wollen. Eine Reihe von Ländern
investieren daher bereits in Technik und Strategien zur stärkeren Sicherung von ICS.
Industrielle Steuersysteme oder ICS sind Systeme und
Geräte für die Steuerung, Überwachung und Administration kritischer Infrastrukturelemente in der Energie- und
Wasserversorgung, der Abwasserentsorgung, in Erdöl- und
Erdgasnetzen, der Industrie, dem Transportwesen und
ähnlichen Wirtschaftszweigen. Zu den verschiede­nen
Arten von ICS gehören SCADA-Systeme, d. h. Syste­me zur
Prozessüberwachung und -steuerung (englisch: Supervisory
Control and Data Acquisition), speicherprogrammierbare
Steuerungen (SPS, englisch: Programmable Logic Controllers, PLC) und Prozessleitsysteme (PLS, englisch: Distributed Control Systems, DCS).
Gezielte Angriffe auf ICS sind inzwischen weit verbreitet.
Trotz der potenziell verheerenden sozialen und ökonomi­
schen Auswirkungen werden sie jedoch oft totgeschwiegen,
um die Reputation des Opfers zu schützen. Das wahre Aus­
maß des Problems ist daher nicht bekannt.
Die Motive der Angreifer reichen von der Spionage bis hin
zur Sabotage. Das bekannteste Beispiel ist noch immer
Stuxnet, ein 2010 aufgedeckter Angriff auf die SCADASysteme des iranischen Atomprogramms, bei dem der Be­
trieb zahlreicher Uranzentrifugen gestört wurde. Seitdem
fanden jedoch viele ähnliche Angriffe statt, auch 2014. Die
Angreifergruppe Dragonfly drang in strategisch wichtige
ICS einer ganzen Reihe von Unternehmen ein. Obwohl die
Gruppe sich (bislang) auf Spionage beschränkt, war sie
theoretisch in der Lage, die Anlagen ihrer vornehmlich
im Energiesektor tätigen Opfer zu beschädigen und die
Energieversorgung der betroffenen Länder empfindlich zu
stören oder vollständig zu unterbrechen.
Ebenfalls 2014 startete die Spionagegruppe Sandworm
eine ausgeklügelte Malware-Kampagne, bei der die mit dem
Internet verbundenen Mensch-Maschine-Schnittstellen
(MMS) mehrerer bekannter ICS-Anbieter gezielt angegriffen
und als Einfallstor missbraucht wurden, um Schwachstellen
in den ICS auszunutzen. Dabei handelte es sich möglicher-
69
weise um Spähangriffe zur Vorbereitung weiterer Kampagnen. Bei einem Internetangriff auf ein deutsches Stahlwerk
wurde Ende 2014 ein Hochofen schwer beschädigt.69
Zusammenfassend lässt sich sagen, dass sowohl die Häufigkeit als auch die Komplexität der Angriffe auf ICS so stark
gestiegen sind, dass die bessere Sicherung dieser Systeme
nun eine wichtige und dringende Aufgabe ist.
Viele ICS sind bereits seit vielen Jahren in Betrieb. Ihre
Betreiber verlassen sich deshalb oft darauf, dass die
genutzte Hard- und Software so hoch spezialisiert ist und
die anwenderspezifischen Protokolle so wenig bekannt sind,
dass herkömmliche Hackerangriffe unwahrscheinlich sind
und die physische Sicherung der Anlagen ausreicht. Die
meisten dieser Systeme wurden entwickelt, als die professionelle Nutzung internetbasierter Technik noch in den
Kinderschuhen steckte. Die vorrangigen Designziele waren
daher Zuverlässigkeit, einfache Wartung und ständige Verfügbarkeit. Der Online-Sicherheit wurde wenig oder keine
Aufmerksamkeit gewidmet. Inzwischen sind die Kontrollpaneele vieler SCADA-Systeme jedoch mit dem Intranet des
Betreibers verbunden, um den Fernzugriff zu unterstützen.
Das bietet Internetkriminellen eine deutlich größere An­
griffsfläche und ermöglicht es ihnen, bislang unerreichbare
Schwachstellen auszunutzen.
Sobald ein Angreifer in das Intranet eingedrungen ist, kann
er in der Regel eine unzureichend geschützte Infrastruktur­
komponente finden, die mithilfe einer Zero-Day-Schwachstelle oder eines Brute-Force-Angriffs gehackt werden kann.
Der Angreifer kann dann das gesamte ICS ausspionieren.
Die MMS mancher ICS sind sogar direkt mit dem Internet
verbunden und machen Angreifern die „Arbeit“ so noch
leichter. Sie können die Kontrollpaneele von ICS mit gän­
gigen Suchmaschinen finden und Schwachstellen oder
ungeänderte Standardkonfigurationen ausnutzen, um sich
Zugang zu ihnen zu verschaffen. Das dazu erforderliche
Know-how ist nicht besonders umfangreich.
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile
51 I Symantec Website Security Solutions
Neben den bereits beschriebenen Einfallstoren haben ICS
auch mehrere inhärente Schwachpunkte. Viele anwenderspezifische Webanwendungen können das Einschleusen von
Malware über einen Pufferüberlauf, per SQL-Injektion oder
Cross-Site-Scripting nicht verhindern. Schwache Authenti­
fizierungs- und Autorisierungsverfahren ermöglichen es
Angreifern, sich Zugang zu kritischen ICS-Funktionen zu
verschaffen. Schwache Authentifizierung in ICS-Protokollen
macht sie anfällig für Replay-Angriffe, IP-Spoofing und
andere Man-in-the-Middle-Angriffe. So kann ein Angreifer
schädliche Befehle an eine speicherprogrammierbare
Steuerung oder gefälschte Statusdaten an ein MMS
schicken.
Bei der Entwicklung und Aktualisierung speicherprogrammierbarer Steuerungen werden sogenannte Kontaktpläne
(englisch: Ladder Logic oder Ladder Diagram) benutzt.
Wenn eine zum Entwerfen oder Hochladen dieser Kontakt­
pläne verwendete Workstation gehackt wird, kann der
Angreifer sich wertvolle Kenntnisse über das System
verschaffen, die die Vorbereitung weiterer Angriffe vereinfachen.
Zur umfassenden Sicherung einer ICS-Umgebung sollten
Unternehmen einen Sicherheitsplan erstellen, der relevante
Standards und gesetzliche Vorgaben, potenzielle Risikofaktoren und deren geschäftliche Auswirkungen sowie die
erforderlichen Gegenmaßnahmen definiert. Zudem muss
die Sicherheit in alle Phasen des industriellen Prozesses,
von der Planung bis zum routinemäßigen Betrieb, integriert
werden.
Das zum Fernzugriff auf ein ICS verwendete Netzwerk
sollte unbedingt vom Intranet des Betreibers getrennt sein.
So lässt sich das Risiko eines Angriffs aus dem eigenen
Netzwerk deutlich reduzieren. Aus praktischen Gründen ist
eine Verbindung zwischen den beiden Netzwerken jedoch
oft erforderlich. In solchen Fällen sollte die Anzahl der
Verbindungspunkte so klein wie möglich gehalten werden.
Außerdem sollten sich alle Verbindungspunkte hinter der
Firewall des Unternehmens befinden und geschützte Kommunikationskanäle wie VPN nutzen.
ICS-Umgebungen werden ständig weiterentwickelt und
immer mehr Anbieter unterstützen die Nutzung von Sicherheitssoftware auf Standard-SCADA-Servern und für die
Entwicklung genutzten Workstations. Auf vielen speicherprogrammierten Steuerungen und Prozessleitsystemen
werden dagegen noch immer vom ICS-Anbieter modifizierte
Betriebssysteme verwendet. Wenn ICS einmal installiert
sind, müssen sie ständig verfügbar sein und haben kaum
verfügbare Ressourcen für Sicherheitssoftware. Zudem ist
der verwendete Code oft zeitabhängig und reagiert daher
empfindlich auf die Installation zusätzlicher Software. Das
schließt die Installation herkömmlicher Sicherheitssoftware der Enterprise-Klasse in vielen Fällen aus. Angesichts
dieser Herausforderungen gibt es kein Patentrezept für die
Sicherung von ICS. Stattdessen muss für jede Ebene eine
eigene, möglichst lückenlose Lösung gefunden werden.
Dabei sollten die Netzwerkgrenze, die Verbindungspunkte
zwischen Intranet und Internet, die Netzwerkebene, die
einzelnen Hosts und die Anwendungsebene besondere
Berücksichtigung finden.
Darüber hinaus sollten nach Möglichkeit Kontrollgeräte
ausgewählt werden, die sich durch ein sicheres Design
aus­zeichnen. Hersteller müssen die Verantwortung dafür
übernehmen, dass die Sicherheit schon bei der Entwicklung
berücksichtigt wird.
In Zukunft wird die Nutzung von Mobilgeräten für den
Zugriff auf die MMS von ICS wahrscheinlich steigen. Aus
dem Blickwinkel einer effizienten Administration ist das
eine sehr positive Entwicklung, doch gleichzeitig wird die
Angriffsfläche für Hacker dadurch noch größer.
Es ist auch nicht auszuschließen, dass Hacker allgemein
verwendbare Methoden für Angriffe auf ICS entwickeln. Das
würde das Angebot an Toolkits für Angriffe auf ICS auf dem
Schwarzmarkt verbessern und einen deutlichen Anstieg der
Angriffe nach sich ziehen.
Seit 2010 wurden mehrere verschiedene Varianten von
Stuxnet entdeckt, die auf eine fortschreitende Entwicklung schließen lassen. Bei jüngeren auf ICS gerichteten
Bedrohungen fällt ebenfalls auf, dass bei verschiedenen
Kampagnen ähnliche Angriffsvektoren und Module sowie
Mehrzweck-Trojaner verwendet werden, um gängige ICSProtokolle anzugreifen. Höchstwahrscheinlich sind derzeit
weitere ICS mit bislang unerkannter Malware infiziert, die
bislang „nur“ zum Ausspionieren der entsprechenden Systeme verwendet wird. Die Angreifer könnten jederzeit einen
Grund finden, von der Spionage zur Sabo­tage überzugehen.
Wir müssen deshalb auf Angriffe gefasst sein, bei denen
bislang unbekannte Schwachstellen in unseren kritischen
Infrastrukturen ausgenutzt werden, mit möglicherweise
gefährlichen Konsequenzen.
Symantec Website Security Solutions I 52
Datenlecks
53 I Symantec Website Security Solutions
Auf einen Blick
1
Im Jahr 2014 gab es weniger Superlecks (mit mehr als 10 Millionen
offenbarten Identitäten) als 2013.
2
Die Anzahl der Angriffe, bei denen Identitäten gestohlen wurden,
nahm jedoch zu.
3
Externe Angreifer sind für 49 Prozent der Datenlecks verantwortlich.
4
Angriffe auf Kassensysteme wurden häufiger und komplexer.
5
In einer Symantec-Umfrage gaben 57 Prozent der Befragten an,
sich Sorgen um die Sicherheit ihrer Daten zu machen.
54 I Symantec Website Security Solutions
Einführung
Auch 2014 griffen Internetkriminelle Banken und andere Finanzinstitute sowie die
Kassensysteme von Einzelhändlern wieder direkt an und stahlen dabei unglaubliche
Mengen an Daten.
Die amerikanische Bank JPMorgan Chase musste beispielsweise zugeben, dass Angreifer bei einem der größten
Daten­diebstähle der Geschichte die Kontaktdaten von
76 Millionen Privathaushalten und 7 Millionen kleiner
Unternehmen erbeuteten.70
die Fotos jedoch bei äußerst gezielten Angriffe auf die
Konten der betroffe­nen Prominenten gestohlen. Das Unter­
nehmen wies Spekulationen zurück, dass die Diebstähle ein
Hinweis auf allgemeine Schwächen in seinen Sicherheitsmaßnahmen seien.74
Im September 2014 wurde die amerikanische Baumarktket­
te Home Depot Opfer eines Angriffs, bei dem 56 Millionen
Kreditkartennummern gestohlen wurden. Auch die Kassen­
systeme von Einzelhändlern sind weiterhin gefährdet; bei
einem Angriff auf den Büroausstatter Staples wurden die
Daten von einer Million Kundenkarten gestohlen.71 Viele,
vielleicht sogar die meisten, Datenlecks bleiben jedoch un­
erkannt oder werden verschwiegen.72,73
Im Verlauf des Jahres 2014 gab es weniger „Superlecks“ als
2013, die Anzahl der Datenlecks insgesamt stieg jedoch um
23 Prozent. Persönliche und Finanzdaten von Verbrauchern
werden auf dem Schwarzmarkt weiterhin gut bezahlt. Inter­
netkriminelle sind daher nach wie vor sowohl auf große
Datenmengen bei großen Unternehmen und Institutionen
als auch auf leichte Beute bei kleinen Unternehmen aus. Mit
der richtigen Kombination aus DLP, Verschlüsselung, IDS
und anderen relevanten Sicherheitsmaßnahmen können
viele Datendiebstähle vereitelt werden. Effektive Sicher­
heits­richtlinien und die Sensibilisierung der Benutzer spie­
len ebenfalls eine entscheidende Rolle.
Im August 2014 wurden fast 200 Fotos von Prominenten
auf der Website 4chan veröffentlicht. Dieser schlagzeilenträchtige Vorfall verstärkte bereits vorhandene Kundenbefürchtungen in puncto Datenschutz. Apple zufolge wurden
Datenlecks insgesamt
312
Quelle: Symantec I CCI
+23 %
2014
253
+62 %
2012
2013
Superlecks mit über 10 Millionen gestohlenen Identitäten
4
2014
–50 %
8
156
+700 %
2013
Quelle: Symantec I CCI
1
2012
Obwohl die Anzahl der Superlecks mit mehr als 10 Millionen gestohlenen Identitäten 2014 gegenüber dem Vorjahr zurückging, war die
Anzahl der Datenlecks insgesamt größer als 2013. Das deutet darauf hin, dass der Identitätsdiebstahl sich auf einem neuen, höheren
Niveau stabilisiert.
http://www.reuters.com/article/2014/10/03/us-jpmorgan-cybersecurity-idUSKCN0HR23T20141003
http://staples.newshq.businesswire.com/press-release/corporate/staples-provides-update-data-security-incident
http://www.insurancejournal.com/news/west/2014/03/07/322748.htm
73
http://www.ponemon.org/news-2/7
Symantec Website
74
https://www.apple.com/uk/pr/library/2014/09/02Apple-Media-Advisory.html
70
71
72
Security Solutions I 55
Die Hauptursachen für Datenlecks 2013/14
80
2014
70
2013
60
Prozent
50
49
40
30
34
29
20
27
22
21
10
8
6
0
Hacker
versehentliche
Preisgabe
Diebstahl oder
Verlust eines
Computers bzw.
Speichermediums
Quelle: Symantec | CCI
Diebstahl durch
Mitarbeiter
Mit 49 Prozent waren externe Angreifer auch 2014 wieder die Hauptursache von Datenlecks, 2013 waren sie für 34 Prozent der Vor­
fälle verantwortlich. Auf Platz zwei und drei folgen die versehentliche Preisgabe mit 22 Prozent und der Verlust oder Diebstahl eines
Computers bzw. Speichermediums mit 21 Prozent. Im letzteren Fall lässt sich zumindest der Datendiebstahl vermeiden, indem ver­
trauliche Daten routinemäßig verschlüsselt werden. Ein Lichtblick ist, dass der Anteil dieser beiden Kategorien von 56 Prozent 2013
auf 43 Prozent 2014 zurückging.
Zeitlicher Verlauf von Datenlecks 2013/14
40
180
159
35
147
140
130
120
30
113
25
100
20
Vorfälle
Preisgegebene Identitäten (Millionen)
160
78
80
60
15
59
53
43
10
40
32
23
20
12
3
6
8
J
J
0
J
F
2013
M
A
M
8
0,3 0,8
A
S
O
N
D
5
10
3
2
J
F
2014
M
1
1
A
M
J
J
A
S
O
6,5
N
0,4
0
D
Quelle: Symantec I CCI
Auch die Anzahl der gestohlenen Identitäten insgesamt ging zurück, von 552 Millionen im Jahr 2013 auf 348 Millionen im Jahr 2014.
56 I Symantec Website Security Solutions
Gestohlene Identitäten insgesamt
384
–37 %
Millionen
552
93
+493 %
Millionen
Millionen
2013
2012
2014
Quelle: Symantec I CCI
Durchschnittlich gestohlene Identitäten je Vorfall
1 116 767
2 181 891
604 826
2014
2013
2012
–49 %
+261 %
Quelle: Symantec I CCI
Medianwert gestohlener Identitäten je Vorfall
7000
+3 %
6777
2014
2013
–19 %
8350
2012
Quelle: Symantec I CCI
Aber heißt das, dass vertrauliche Daten nun besser ge­
schützt sind? Erstens spielt die kleinere Anzahl der Super­
lecks wohl eine große Rolle. Zweitens ist nicht auszuschlie­
ßen, dass die schlagzeilenträchtigen Datendiebstähle des
letzten Quartals 2013 in zahlreichen Großunternehmen
den Ausschlag für die Implementierung von DLP (Data Loss
Prevention) und anderen Sicherheits­maß­nahmen gaben,
mit denen das Ausschleusen gestoh­lener Daten selbst nach
einem erfolgreichen Angriff verhindert werden kann.
Außerdem deuten unsere Zahlen auf einen dritten Grund
hin: Ein steigender Anteil der betroffenen Unternehmen
geben die Anzahl der betroffenen Identitäten nicht bekannt.
Im Jahr 2013 wurde die Anzahl der gestohlenen Identitäten
bei 34 von 253 Datenlecks (13 Prozent) nicht bekanntgegeben. Ein Jahr später stieg dieser Anteil auf 61 von 312 Vorfällen (20 Prozent). Warum weigert sich jedes fünfte betroffene Unternehmen, diese Information herauszugeben?
Die Frage lässt sich nicht für alle Unternehmen definitiv
beantworten. Einige Unternehmen haben möglicherweise
Schwierigkeiten bei der Ermittlung der genauen Anzahl ge­
stohlener Identitäten. In anderen sind die Verantwortlichen
vielleicht der Meinung, dass die Reputation des Unterneh­
mens zusätzlichen Schaden nehmen würde, wenn das ganze
Ausmaß des Identitätsdiebstahls be­kannt würde.
Das legt die beunruhigende Vermutung nahe, dass eine
steigende Anzahl betroffener Unternehmen Datenlecks
überhaupt nicht melden. Im Gesundheitswesen, im öffentlichen Dienst und in zahlreichen anderen Branchen ist die
Bekanntgabe derartiger Vorfälle gesetzlich vorge­schrieben,
in vielen anderen Wirtschaftszweigen hingegen nicht. In
vielen Unternehmen werden Angriffe vielleicht geheim gehalten, um die Reputation des Unternehmens zu schützen
und Schadensersatzansprüchen zu entgehen. Das wird sich
in den kommenden Jahren möglicherweise ändern, da eine
Ausweitung der Meldepflicht für Angriffe, bei denen personenbezogene Daten gestohlen wurden, in vielen Ländern
bereits erwogen wird.
Symantec Website Security Solutions I 57
Top-10 der betroffenen Branchen, nach Anzahl der Angriffe
Quelle: Symantec I CCI
Platz
Branche
1
Gesundheitswesen
116
37,2 %
2
Einzelhandel
34
10,9 %
3
Bildungswesen
31
9,9 %
4
staatl. Einrichtungen
und öffentl. Dienst
26
8,3 %
5
Finanzwesen
19
6,1 %
6
Softwarehersteller
13
4,2 %
7
Hotel- und Gastgewerbe
12
3,8 %
8
Versicherungswesen
11
3,5 %
9
Transportwesen
9
2,9 %
10
Kunst und Medien
6
1,9 %
Anzahl der Vorfälle
Anteil der Vorfälle
Top-10 der gestohlenen Daten
Quelle: Symantec I CCI
Platz
Datenart 2014
1
echte Namen
68,9 %
echte Namen
71,5 %
2
von Behörden vergebene Kennnummern (z. B. Ausweisnr.)
44,9 %
Geburtsdaten
43,1 %
3
Privatadressen
42,9 %
von Behörden vergebene Kennnummern (z. B. Ausweisnr.)
39,5 %
4
finanzielle Daten
35,5 %
Privatadressen
37,5 %
5
Geburtsdaten
34,9 %
Patientenakten
33,6 %
6
Patientenakten
33,7 %
Telefonnummern
19,0 %
7
Telefonnummern
21,2 %
finanzielle Daten
17,8 %
8
E-Mail-Adressen
19,6 %
E-Mail-Adressen
15,4 %
9
Benutzernamen und
Kennwörter
12,8 %
Benutzernamen und
Kennwörter
11,9 %
10
Versicherungsdaten
11,2 %
Versicherungsdaten
5,9 %
Anteil 2014
Datenart 2013
Anteil 2013
Echte Namen, von Behörden vergebene Kennnummern und Privatadressen waren 2014 die am häufigsten gestohlenen Datenarten.
Der Anteil finanzieller Daten am gestohlenen Datenvolumen insgesamt stieg von 17,8 auf 35,5 Prozent, das ist der größte Anstieg in
den Top-10.
58 I Symantec Website Security Solutions
Einzelhändler unter Attacke
Der deutliche Anstieg bei gestohlenen finanziellen Daten deutet darauf hin, dass
Internetkriminelle den Einzelhandel weiterhin im Visier haben. Wie schon 2013 hat
der Einzelhandel auch 2014 die fragwürdige Ehre, den ersten Platz in der Liste der
Branchen zu belegen, in denen die meisten Identitäten gestohlen wurden. Und nicht
nur das: Sein „Beitrag“ zu dieser traurigen Statistik stieg von 30 auf knapp 60 Pro­
zent an. Finanzielle Daten liegen nun auf Platz vier der Top-10 der am häufigsten
gestohlenen Datenarten. Im Jahr 2013 wurden bei 17,8 Prozent aller Datendiebstähle u. a. finanzielle Daten gestohlen; 2014 waren es 35,5 Prozent.
Top-10 der betroffenen Branchen, nach Anzahl gestohlener Identitäten
Platz
Branche
Anzahl gestohlener
Identitäten
1
Einzelhandel
205 446 276
59,0 %
2
Finanzwesen
79 465 597
22,8 %
3
Softwarehersteller
35 068 405
10,1 %
4
Gesundheitswesen
7 230 517
2,1 %
5
staatl. Einrichtungen und öffentl. Dienst
7 127 263
2,0 %
6
soziale Netzwerke
4 600 000
1,3 %
7
Telekommunikation
2 124 021
0,6 %
8
Hotel- und Gastgewerbe
1 818 600
0,5 %
9
Bildungswesen
1 359 190
0,4 %
10
Kunst und Medien
1 082 690
0,3 %
Die Kategorie „finanzielle Daten“ umfasst ein breites Spekt­
rum, das von Bankkontendaten bis hin zu Steuerunterlagen
reicht. In den meisten Fällen handelt es sich jedoch um
Kreditkartendaten. Obwohl Angreifer auch bei Online-Shops
kräftig zugriffen, erfolgte der Löwenanteil der bekannt
gewordenen Datendiebstähle im Einzelhandel über Kassensysteme, die zur Authentifizierung den Magnetstreifen, und
nicht (wie in Europa seit Langem üblich) den in der Karte
integrierten Chip nutzen.
Die ersten Angriffe dieser Art fanden schon 2005 statt,
doch 2014 beobachtete Symantec einen explosions­artigen
Anstieg. Angriffe auf Kassensysteme gehören inzwischen zu
den ergiebigsten Quellen gestohlener Kreditkartendaten75
und waren für mehrere Superlecks der Jahre 2013 und
2014 verantwortlich.
Viele Kassensysteme sind nicht ausreichend gesichert und
daher besonders anfällig für Angriffe. Sie nutzen beispielsweise schwache Verschlüsselungsalgorithmen oder übertragen Daten völlig unverschlüsselt, enthalten ungepatchte
Schwachstellen oder nutzen veraltete Software wie das
75
76
Quelle: Symantec I CCI
Anteil an der Gesamtheit
gestohlener Identitäten
seit Mitte 2014 nicht mehr unterstützte Betriebssystem
Windows XP. Auch die schleppende Umstellung auf Chipund-PIN-Karten außerhalb Europas leistet Internetkriminellen Vorschub. Da neue Zahlungsarten wie Apple Pay und
Chip-und-PIN-Karten nun endlich auch in den USA Einzug
halten, sollten Kassensysteme dort in den nächsten Jahren
sicherer werden.
Kurzfristig gesehen werden sie jedoch höchstwahrscheinlich
eines der bevorzugten Angriffsziele vieler Internetkriminel­
ler bleiben. Kreditkartengesellschaften haben sich inzwi­
schen darauf eingestellt und hinterfragen Ausgaben, die
nicht zum allgemeinen Kaufverhalten des Karteninhabers
passen. Viele Kreditkartenbesitzer überprüfen die letzten
Transaktionen ebenfalls regelmäßig. Die meisten betroffe­
nen Kreditkarten werden deshalb schon nach kurzer Zeit
gesperrt. Internetkriminelle passen sich ihrerseits an und
bemühen sich um ständigen „Nachschub“ gestohlener
Kreditkartennummern. Auf dem Schwarzmarkt bleiben
Angebot und Nachfrage daher ausgeglichen.76
Symantec Website Security Solutions I 59
http://securityresponse.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/attacks_on_point_of_sale_systems.pdf
http://www.symantec.com/connect/blogs/demystifying-point-sale-malware-and-attacks
Die Rolle der Online-Sicherheit
beim Schutz der Privatsphäre
Die zahlreichen schlagzeilenträchtigen Angriffe der letzten Jahre, bei denen vertrauliche personenbezogene Daten gestohlen wurden, haben die Meinung vieler
Ver­braucher hinsichtlich dem Schutz ihrer eigenen Daten beeinflusst. Symantec
führte in sieben Ländern der Europäischen Union eine Umfrage zu diesem Thema
durch und veröffentlichte die interessantesten Ergebnisse im „State of Privacy
Report 2015“.77
So gaben 59 Prozent der Befragten an, dass sie schon
min­destens einmal ein Datenschutzproblem hatten. Als
Beispiele nannten sie, dass ein Unternehmen, bei dem sie
Kunde waren, sie über ein Datenleck informierte, dass ihr
E-Mail-Konto oder ein Konto bei einem sozialen Netzwerk
gehackt bzw. ihre Bankdaten oder eine Online-Identität ge­
stohlen wurden, ihr Computer von einem Virus befallen war
oder dass sie auf einen internetbasierten Betrugsversuch
oder eine gefälschte E-Mail hereingefallen waren.
Insgesamt machten 57 Prozent der Befragten sich Sorgen
über die Sicherheit ihrer Daten. Unternehmen sollten diese
Sorge ernst nehmen, denn 88 Prozent der Verbraucher
nennen den Datenschutz als einen der wichtigsten Faktoren
bei der Auswahl eines Anbieters, noch vor der Qualität des
Produkts (86 Prozent) und des Kundenservice (82 Prozent).
Nur 14 Prozent der Befragten haben keine Bedenken,
wenn ein Unternehmen ihre Daten an Dritte weitergeben
will, 47 Prozent sind strikt dagegen und 35 Prozent wollen
genauer wissen, welche Daten das Unternehmen weiterzugeben plant.
Viele der Befragten deuteten auch an, dass sie inzwischen
vorsichtiger mit ihren persönlichen Daten umgehen, um
selbst mehr zum Schutz ihrer Privatsphäre beizutragen. In
der Symantec-Umfrage gaben 57 Prozent der Befragten an,
dass sie keine persönlichen Daten mehr im Internet veröf­
fentlichen. Für Unternehmen besonders besorgniserregend:
Ein Drittel der Befragten gab zu, dass sie im Internet falsche
Angaben machen, um keine persönlichen Daten preisgeben
zu müssen.
77
Viele Angreifer haben sich möglicherweise bereits auf diese
neue Vorsicht eingestellt. Sie sind deutlich geduldiger geworden und verbringen nach dem Eindringen in das Intranet
eines Unternehmens viel Zeit damit, die Verhaltensmuster
verschiedener Mitarbeiter kennenzulernen und herauszufinden, wer wie welche Aufgaben erledigt. Mit den so gewonnenen Einblicken können sie einzelne Mitarbeiter nicht nur
gezielter angreifen, sondern sie sogar imitieren. Wenn der
Angreifer dann noch die entsprechenden Anmeldedaten
stiehlt, kann er die Verhaltensmuster des Bestohlenen
nachahmen und sehr lange unentdeckt bleiben.
Zudem ist die Netzwerkgrenze eines Unternehmens heute
nicht mehr so klar definierbar wie früher und die zuneh­
mende Nutzung mobiler Geräte verwischt die Grenze zwi­
schen „unternehmensintern“ und „extern“ zusätzlich. Außerdem werden Daten nicht nur auf Mobilgeräten, son­dern immer öfter auch in der Cloud gespeichert. Zum Zu­griff auf in
der Cloud gespeicherte Daten werden oft Mobilgeräte verwendet, weil sich die dazu erforderlichen Kennwörter dort
bequem speichern lassen. Auf Mobilgeräten gespeicherte
oder zwischen­gelagerte Daten werden allerdings noch
seltener ver­schlüsselt als Daten auf Laptops. Deshalb ist
der Verlust oder Diebstahl eines solchen Geräts ein Sicherheitsrisiko, das nicht außer Acht gelassen werden sollte.
http://www.symantec.com/content/en/us/about/presskits/b-state-of-privacy-report-2015.pdf
60 I Symantec Website Security Solutions
Datendiebstahl im Gesundheitswesen
Axel Wirth
Marktzwänge und das Bestreben, bessere Leistungen anzubieten und gleichzeitig
Kosten einzusparen und gesetzliche Auflagen zu erfüllen, haben den Umstieg auf
elektronische Patientenakten und digitale Informationssysteme in einer Rekordzahl
von Einrichtungen des Gesundheitswesens beschleunigt. Gleichzeitig tragen eine
Reihe von Faktoren dazu bei, dass das Datenvolumen in dieser Branche unaufhaltsam wächst: eine alternde Bevölkerung und die Zunahme chronisch Kranker, aber
auch neue Diagnosetechniken, die qualitativ höherwertige Ergebnisse liefern und
dafür mehr Ressourcen benötigen.
All das führt dazu, dass IT-Infrastrukturen immer komplexer
werden, mehr Daten miteinander in Bezug gesetzt und
übertragen werden müssen, neue Modelle für die Bereitstellung und Rückvergütung medizinischer Leistungen benötigt
werden. Und natürlich steigt das Datenvolumen auch hierdurch weiter an. Das Zusammenspiel dieser Trends weckte
das Interesse von Internetkriminellen, sodass das Risiko
eines fahrlässig oder absichtlich verursachten Datenlecks
für Einrichtungen im Gesundheitswesen nun deutlich
größer ist als noch vor wenigen Jahren.
Die Anzahl der Datenlecks im Gesundheitswesen stieg 2014
um 23 Prozent gegenüber dem Vorjahr. Im Gegensatz zu
vielen anderen Branchen sind die meisten dieser Vorfälle
auf menschliches Versagen oder den Diebstahl von Geräten
zurückzuführen. Laut dem Norton Crime Index liegen
verlorene oder gestohlene Geräte mit 45 Prozent auf Platz
eins der Liste der wichtigsten Ursachen von Datenlecks im
Gesundheitswesen 2014. Das entspricht einem Anstieg von
10 Prozent gegenüber dem Vorjahr. Im gleichen Zeitraum
nahm die versehentliche Preisgabe vertraulicher Daten
durch menschliches Versagen um etwa 11 Prozent zu.
Der gezielte Diebstahl von Patientendaten ist ebenfalls ein
wachsendes Problem. Zu den Motiven gehören Identitätsdiebstahl, finanzieller und Versicherungsbetrug. Die Diebe
haben es besonders auf personenbezogene Daten und
persönliche medizinische Daten abgesehen und hacken
zunehmend Einrichtungen des Gesundheitswesens oder
bestechen deren Mitarbeiter, um sich Zugang zu elektroni­
schen Patientenakten bzw. Kopien oder Ausdrucken solcher
Akten zu verschaffen. Die Anzahl der durch Insider-Diebstahl verursachten Datenlecks im Gesundheitswesen stieg
im Verlauf des Jahres 2014 auf mehr als das Doppelte.
Gleichzeitig stieg die Anzahl der durch Hacker verursachten
„Illinois hospital reports data blackmail“; PC World; Dec. 15, 2014;
http://www.pcworld.com/article/2859952/illinois-hospital-reports-datablackmail.html
Datenlecks um 82 Prozent. Mitunter gehören weitere kriminelle Aktivitäten wie Erpressung und das Ausspionieren von
Prominenten zu den Motiven für den Datendiebstahl.
Ähnlich wie im Einzelhandel haben technisch versierte
Hacker es in der Regel auf große Datenmengen abgesehen.
Weltweit wurde jedoch eine bislang unerreichte Anzahl
von Angriffen mit Datendiebstahl gemeldet. Unter den
Opfern befinden sich Einrichtungen jeder Größenordnung,
von großen Universitätskrankenhäusern bis hin zu kleinen
Kommunalkrankenhäusern. Auch eine abgeschiedene Lage
bietet keinen Schutz, wie der Fall eines ländlichen Kommu­
nalkrankenhauses im US-Bundesstaat Illinois zeigt. Das
Krankenhaus erhielt eine erpresserische E-Mail mit gestoh­
lenen Patientendaten und der Drohung, die Daten zu ver­
öffentlichen falls das geforderte Lösegeld ausbliebe.78
Eine Reihe von Krankenhäusern haben bereits ausgereifte
Programme für die Online-Sicherheit. Andere haben immer
noch Probleme mit der konsequenten Durchsetzung grund­
legender Maßnahmen wie der Verschlüsselung vertraulicher
Daten auf Mobilgeräten, Laptops und Speichermedien zur
Schadensbegrenzung beim Verlust oder Diebstahl dieser
Geräte. In vielen Einrichtungen wird schlicht nicht genug
in die Online-Sicherheit investiert, sodass sie eine leichte
Beute für die ausgefeilten und gezielten Angriffe moderner
Internetkrimineller sind.
Allgemein gilt, dass die meisten Einrichtungen des Gesundheitswesens, von Krankenhäusern über Pharma- und
Biotechnologieunternehmen und Herstellern medizinischer
Geräte bis hin zu Versicherungsunternehmen und Gesund­
heitsbehörden, nicht ausreichend vor den aktuellen Bedrohungen geschützt sind.
78
Symantec Website Security Solutions I 61
Viele Organisationen haben Einrichtungen des Gesundheitswesens eindringlich vor den drohenden Gefahren gewarnt,
darunter das SANS Institute, das US-amerika­nische Ministe­
rium für Innere Sicherheit, das FBI und die Food and Drug
Administration (FDA), die US-ameri­kanische Zulassungsbehörde für Arzneimittel. Das Problem beschränkt sich keinesfalls auf die USA, auch in zahlreichen anderen Ländern
wurden ähnliche Angriffe gemeldet. Patientendaten sind
auf dem Schwarzmarkt sehr begehrt und werden von den
verschiedensten Kriminellen für unterschiedliche Zwecke
missbraucht.
Das liegt vor allem daran, dass die personenbezogenen
Da­ten in Patientenakten meist vollständiger sind als in
anderen für Internetkriminelle zugänglichen Quellen. Sie
können demografische Daten, von Behörden vergebene
Kennnummern, Kreditkarten- und Versicherungsdaten, An­
gaben zum Gesundheitszustand und körperliche Merkmale
enthalten. Diese Angaben können für Identi­tätsdiebstahl,
finanziellen und Rezeptbetrug sowie die unberechtigte
Inanspruchnahme medizinischer Leistungen missbraucht
oder auf dem Schwarzmarkt weiterverkauft werden. Die
körperlichen Merkmale eines Patienten können missbraucht
werden, um in seinem Namen einen Pass, ein Visum oder
andere Ausweispapiere zu beantragen.79 Kurz gesagt: Die
Vielfalt der Daten in Patientenakten steigert ihre Attraktivi­
tät für Kriminelle.
Während Kreditkartendaten auf dem US-Schwarzmarkt
für 0,50 bis 1,00 Dollar gehandelt werden, sind Patienten­
akten kriminellen Käufern je nach Vollständigkeit zwischen
10 und 50 Dollar81,82 wert. Der Grund: Neben grundlegenden
Angaben zur Person und Versicherungs­daten enthalten USamerikanische Patientenakten manch­mal auch Fotokopien
der Versicherungskarte, des Führerscheins und sogar
einer Kreditkarte des Pa­tienten. Die Anzahl der Angriffe
im Gesundheitswesen ist hoch und die Tendenz steigend.
Bislang sind menschliches Versagen und der Verlust oder
Diebstahl von Geräten die Hauptursache von Datenlecks in
dieser Branche, doch gezielte Angriffe auf Einrichtungen
des Gesundheitswesens nehmen stärker zu, sodass Hacker
vermutlich schon bald die größte Gefahr sein werden, wie
in anderen Branchen auch. Die Sicherheitsbeautragten in
Einrichtungen des Gesundheitswesens müssen daher dringend dafür sorgen, dass es Prozeduren für den Umgang mit
Datenlecks und Richtlinien zur Abwehr von Angriffen gibt
und dass diese befolgt werden.
Für die betroffenen Patienten kann diese Form des Identitätsdiebstahls schwerwiegende Folgen haben, die weit
über einen finanziellen Verlust hinausgehen. Gefälschte
Daten in der Patientenakte können zu einer falschen oder
verspäteten Diagnose führen. Sie lassen sich meist auch nur
schwer wieder korrigieren, wodurch der Behandlungs­erfolg
und möglicherweise die berufliche Zukunft des Betroffenen
beeinträchtigt werden. Im Gegensatz zum finanziellen Betrug, für den Verbraucher in der Regel nur bedingt haftbar
sind, gibt es kaum einen Schutz vor den Langzeitfolgen
eines medizinischen Identitätsdiebstahls.80
„Medical identity theft proves lucrative in myriad ways“; Fierce Health IT; 21. Oktober 2014; http://www.fiercehealthit.com/story/medical-identifytheft-proves-lucrative-myriad-ways/2014-10-21?utm_medium=nl&utm_source=internal
„The Growing Threat of Medical Identity Fraud: A Call to Action“; Medical Identity Fraud Alliance (MIFA); Juli 2013; http://medidfraud.org/wp-content/
uploads/2013/07/MIFA-Growing-Threat-07232013.pdf
81
„Your medical record is worth more to hackers than your credit card“; Reuters; 24. September 2014; http://www.reuters.com/article/2014/09/24/uscybersecurity-hospitals-idUSKCN0HJ21I20140924
82
„Stolen EHR Charts Sell for $50 Each on Black Market“; MedScape; 18. April 2014; http://www.medscape.com/viewarticle/824192
79
80
62 I Symantec Website Security Solutions
Soziale Medien
und Online-Betrug
Symantec Website Security Solutions I 63
Auf einen Blick
1
Es gibt inzwischen regelrechte „Partnerprogramme“, bei denen
Betrüger Geld damit verdienen, dass sie Internetnutzer auf betrüge­
rische Websites locken und dazu bringen, dort vertrauliche Daten
einzugeben.
2
Viele Menschen nutzen für verschiedene Anwendungen dieselben
Anmeldedaten. Kriminelle nutzen das aus.
3
Betrüger nutzen die vorgeblich persönliche Weiterleitung zur
Verbreitung ihrer Inhalte, um ihnen Glaubwürdigkeit zu verleihen.
4
Beim Phishing wird die Angst vor Hackerangriffen und Krankheit oft
gezielt ausgenutzt. Mitunter dienen auch Skandale, in die Prominente
angeblich oder tatsächlich verwickelt sind, als Aufhänger.
64 I Symantec Website Security Solutions
Einführung
Im Jahr 2014 nutzten Internetkriminelle das Marketingkonzept des „Social Proof“
gezielt aus, also den Effekt, dass ein Angebot interessanter und wertvoller erscheint,
wenn es anderen gefällt. Das klassische Beispiel sind zwei Gaststätten: Vor einer
steht eine lange Schlange, die andere ist leer. Die meisten Menschen würden sich
anstellen, weil sie annehmen, dass die beliebtere Gaststätte besser ist.
Kriminelle nutzen dieses Phänomen aus, indem sie
echte Konten in Netzwerken wie Snapchat hacken und
missbrauchen, um ihre gefälschten Angebote an die
Kontakte der Opfer zu schicken. Dieser Aufwand lohnt
sich, weil die meisten Menschen einem „Sonderangebot“
oder einem unbekannten Link eher trauen, wenn sie von
einem Bekannten darauf hingewiesen werden.
Selbstverständlich entwickeln Betrüger ihre Maschen
weiter und dehnen ihre Aktivitäten auf neue Plattformen
aus, doch ein Großteil ihres Erfolgs im Jahr 2014 war
schlicht darauf zurückzuführen, dass immer noch zu
viele Menschen auf Betrugsversuche hereinfallen, die
sich eigentlich recht leicht durchschauen und vermeiden
lassen.
Zudem unterschätzen viele Menschen nach wie vor
den Wert ihrer personenbezogenen Daten und sind zu
schnell bereit, E-Mail-Adressen und Anmeldedaten anzugeben, ohne zu prüfen, ob sie sich auf einer seriösen
Website befinden.
Symantec Website Security Solutions I 65
Betrugsversuche in sozialen Medien
Kriminelle treiben immer dort ihr Unwesen, wo Menschen sind, die sie bestehlen
oder betrügen können. Da die etablierten sozialen Netzwerke von vielen Menschen
genutzt werden, ziehen sie auch Internetkriminelle an. Die steigende Beliebtheit
von Apps zum Versenden von Textnachrichten und für das Online-Dating ist
Betrügern ebenfalls nicht entgangen. Auch auf diesen Plattformen ist inzwischen
Vorsicht geboten.
Betrüger nutzten zum Beispiel den Tod von Robin
Williams als Aufhänger, um ihre Opfer zum Weiterleiten
eines angeblichen Abschiedsvideos zu bewegen. Den
Opfern wurde mitgeteilt, dass sie das Video an ihre
Freunde weiterleiten müssten, um es ansehen zu können. Dann wurden sie zur Teilnahme an Umfragen bzw.
zum Herunterladen von Software aufgefordert oder auf
eine gefälschte Nachrichten-Website umgeleitet. Das
versprochene Abschiedsvideo gab es nicht.83
Facebook, Twitter und Pinterest
Unter den Betrugsversuchen in sozialen Medien ver­
zeichnete die persönliche Weiterleitung 2014 das größte
Wachstum. Bei dieser Masche werden Videos, Nachrich­
ten, Bilder oder Sonderangebote als Köder benutzt, um
die Empfänger dazu zu verleiten, einen Post an ihre
Freunde und Bekannten weiterzuleiten, der einen Link
zu einer gehackten oder dem Betrüger gehörenden
Website enthält.
Betrugsversuch auf Facebook mit gefälschter Anzahl von
Kommentaren und Weiterleitungen
Betrügerische Webseite, die Besucher zum Installieren
eines gefälschten Facebook-Plugins auffordert
Soziale Medien 2012–2014
80
81
70
2013
60
2014
50
Prozent
2012
70
56
40
Die persönliche Weiter­
leitung wurde 2014 zur
Verbreitung von 70 Prozent
aller Betrugsversuche in
sozialen Medien genutzt,
2013 war das nur bei
2 Prozent der Fall.
30
20
23
10
0
Quelle: Symantec | Safe Web
18
10
betrügerische
Angebote
7
5
Lifejacking
66 I Symantec Website Security Solutions
0
0
1
CommentJacking
3
2
1
gefälschte Apps
2
persönliche
Weiterleitung
http://www.symantec.com/connect/blogs/robin-williams-goodbye-videoused-lure-social-media-scams
83
Bei der persönlichen Weiterleitung muss der Kriminelle
nichts hacken oder knacken. Er wälzt die gesamte „Arbeit“
auf seine Opfer und deren Bekanntenkreis ab. Andere
Maschen fordern dem Kriminellen etwas mehr Aufwand
ab. Beim „Likejacking“ und „Comment-Jacking“ wird das
Opfer beispielsweise mit interessant wirkenden Inhalten
dazu bewogen, auf eine Schaltfläche mit einer Beschriftung wie „Weiter“ oder „Bestätigen“ zu klicken. Dahinter
verbergen sich jedoch die Funktionen der Schaltfläche
„Gefällt mir“ bzw. „Kommentar“. Mit den ergaunerten
Klicks will der Betrüger das Interesse an seinem Post
steigern.
Instagram
Instagram hat inzwischen mehr aktive Nutzer je Monat
als Twitter. Die Plattform zum Foto- und Video-Sharing
wird u. a. von seriösen Marken als Marketing-Kanal
genutzt.84,85 Das machen sich Betrüger zunutze, indem
sie die Sonder­angebote seriöser Firmen als Aufhänger
heranziehen.
Bei einer Masche gaben sich Betrüger als Lottogewinner
aus und versprachen, ihren Gewinn mit neuen InstagramFollowern zu teilen. Bei einer anderen behaupteten sie, im
Namen einer bekannten Marke Gutscheine zu vergeben.
In beiden Fällen wurden die Opfer aufgefordert, dem ge­
fälschten Profil zu folgen und persönliche Daten wie ihre
E-Mail-Adresse in das Kommentarfeld einzutragen, um
die versprochene Belohnung zu erhalten.
Viele Menschen geben persönliche Daten preis, ohne
darüber nachzudenken. Laut der von Symantec durchgeführten Umfrage „Norton Mobile Apps“ sind 68 Prozent
der Befragten für eine kostenlose App bereit, verschiedene
vertrauliche Daten anzugeben.86 Einige Opfer überwiesen
sogar 0,99 US-Dollar an die Betrüger, um die Versand­
kosten für den in der oben beschriebenen Masche angebotenen Gutschein abzudecken. (Der Gutschein kam
natürlich trotzdem nie an.) Die verlangte Geldsumme ist
so gering, dass die Opfer sich kaum Gedanken darüber
machen. Durch die Überweisung gelangen die Betrüger
jedoch in den Besitz wertvoller Daten und das Geld selbst
ist ein zusätzlicher Bonus.87
Betrugsversuche dieser Art sind auf Instagram besonders
verbreitet. Das mag teilweise daran liegen, dass die Iden­
tität der Kontoinhaber dort nicht geprüft wird. Buchstäb­
lich jeder kann im Namen einer beliebigen echten oder
erfundenen Person ein Konto für betrügerische Zwecke
anlegen. Sobald ein anderer Instagram-Nutzer darauf
hereingefallen ist, werden dessen Follower darauf auf­
merk­sam und möglicherweise ebenfalls zu Opfern.
Sobald ein gefälschtes Konto genug Follower hat, ändern
die Betrüger den Namen, das Foto und die Biografie, so­
dass die Opfer das Konto nicht wiederfinden und als Spam
melden können, wenn sie die versprochene Belohnung
nicht erhalten. Die Betrüger können das unkenntlich ge­
machte Konto mitsamt den Followern nun meistbietend
verkaufen.
Meist erscheint schon wenig später ein neues Konto mit
demselben gefälschten Benutzerprofil. Dort wird dann
behauptet, dass das alte Konto gehackt wurde, und der
ganze Prozess beginnt von Neuem.
Gefälschte Instagram-Konten,
die tatsächliche Lottogewinner
imitieren88
http://blog.instagram.com/post/104847837897/141210-300million
https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170
http://www.slideshare.net/symantec/norton-mobile-apps-survey-report
87
http://www.symantec.com/connect/blogs/instagram-scam-lottery-winnersimpersonated-offer-money-followers
88
Bildquelle: http://www.symantec.com/connect/blogs/instagram-scam-lotterywinners-impersonated-offer-money-followers
84
85
86
Symantec Website Security Solutions I 67
Instant-Messaging-Plattformen
Hackeropfer des Jahres 2014 unter den neuen, coolen Apps
für soziale Netzwerke war Snapchat, eine App zum Versenden von Fotos und Videos, die die Sendungen 10 Sekunden
nach dem Öffnen automatisch löscht.
Im September 2014 wurden mehrere Snapchat-Konten
gehackt und Freunde der Opfer erhielten Diätpillenwer­bung
mit einem verdächtigen Link. Snapchat zufolge hatten die
Inhaber der gehackten Konten auf mehreren Plattformen
dasselbe Kennwort verwendet und die Betrüger nutzten
die bei einem Angriff auf eine andere Plattform erbeuteten
Anmeldedaten zum Hacken der Snapchat-Konten.89
Die Sicherheits- und Datenschutzrichtlinien neuer sozialer
Netzwerke sind oft nicht so streng, wie sie sein könnten oder
sollten. Benutzer, die für mehrere Anwendungen dieselben
Anmeldedaten verwenden und ungeprüfte Apps von Dritt­
anbietern nutzen, leisten Internetkriminellen ebenfalls
Vor­schub.
Solange Benutzer die Risiken, denen sie sich damit aussetzen, nicht ernst genug nehmen, müssen wir damit rechnen,
2015 ähnliche Nachrichten über das nächste neue, coole
soziale Netzwerk zu lesen.
Kurz-URL-Dienste sind bei Spam-Autoren und anderen
Nutzern sozialer Netzwerke gleichermaßen beliebt. Für
Betrüger haben Kurz-URLs neben der geringeren Zeichenzahl
noch einen weiteren wichtigen Vorteil: Aus einem bit.ly-Link
lässt sich der Domänenname ihrer Spam-Websit­e nicht
ablesen. Wenn Betrüger ein „+“ an einen bit.ly-Link anhängen, können sie und ihre Komplizen sogar die Klickraten und
andere statistische Werte über die „Besucher“ ihrer Website
erfragen.
Kurz-URLs werden nicht nur in Spam-E-Mails, sondern auch
in Spam-SMS und Spam in sozialen Netzwerken verwendet.
Im Oktober 2014 nahmen Hacker Snapchat erneut ins Visier.
Riesige Mengen angeblich gelöschter Bilder tauch­ten nicht
nur wieder auf, sondern waren nun auch öffentlich zugäng­
lich. Der Vorfall wurde im Internet „the Snappening“ getauft.
Später stellte sich heraus, dass nicht Snapchat selbst, sondern eine Drittanbieter-App gehackt worden war, mit der
manche Snapchat-Nutzer empfangene Bilder archivierten.
Ein gehacktes Snapshot-Konto wird missbraucht, um Spam an
alle Kontakte des Kontoinhabers zu schicken (rechts). Der Kontoinhaber wird von Snapshot benachrichtigt (links).
3
2
1
19. Jan. 2015
24. Jan. 2015
Beispiel: Klickraten der URL, die in der oben beschriebenen Snapchat-Betrugsmasche verwendet wurde
89
http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam
68 I Symantec Website Security Solutions
29. Jan. 2015
Dating-Angebote als Köder
Pornografische und andere nicht jugendfreie Inhalte und
Internetkriminalität gehen seit jeher Hand in Hand. Das war
auch 2014 nicht anders.
Betrugsversuche mit sexuell aufreizenden Inhalten wurden
u. a. auf beliebten Dating-Apps wie Tinder und MessagingServices wie Snapchat und Kik Messenger beobachtet. Ziel
der Betrüger war es, so viele Personen wie möglich dazu zu
bewegen, eine externe Website zu besuchen und sich dort
anzumelden. Im Rahmen eines Partnerprogramms erhielten
die Betrüger dort eine Kommission.90
Dennoch finden sich immer wieder Personen, die auf Versprechen dieser Art hereinfallen. Bei einer Kampagne gelang
es Internetkriminellen beispielsweise, in weniger als vier
Monaten über eine halbe Million Klicks für sieben URLs zu
generieren, die mit einer Website names Blamcams in Verbin­
dung standen.92 Die Masche ist und bleibt also lukrativ.
Manche Partnerprogramme zahlen bereits, wenn ein Opfer
ihre Website aufruft, andere nur dann, wenn es sich auch
anmeldet und seine Kreditkartendaten angibt. Bei den Web­
sites handelt es sich in der Regel um gefälschte Websites,
auf denen mit Phishing-Methoden Kreditkarten­daten
abge­schöpft werden. Manche Website-Betreiber zahlen 6 USDollar Kommission für jedes angeworbene „Mitglied“ und bis
zu 60 US-Dollar für Leads, die Premium-Mitglieder werden.91
Das „Geschäft“ kann sich für die Spammer also durchaus
lohnen (mehr dazu im Beitrag „Partnerprogramme machen
Spam in sozialen Medien profitabel“ von Satnam Narang
weiter unten).
Bei den meisten Betrugsversuchen dieser Art erscheint
zunächst das Profil einer attraktiven jungen Frau, die sexuell
explizite Konversationen, Fotos, Webcam- oder interaktive
Sitzungen verspricht. In Tinder enthielten die Profilbilder in
einigen Fällen Werbetexte für Prostitution. Durch das Einbetten des Texts in ein Bild sollte der Spamfilter umgangen
werden.
Der Empfänger wird dann aufgefordert, einem Link zu folgen
oder eine Website manuell aufzurufen, um die „junge Frau“
näher kennenzulernen. Mit dem attraktiven Profilbild hat er
„sie“ allerdings bereits von ihrer besten Seite gesehen, denn
„sie“ ist ein Skript, hinter dem keine echte Person steht.
Beispiel einer Chat-Meldung des Spammers „Cam Girl“ bei Kik
Messenger93
Ältere gefälschte
Profile von
Prostituierten auf
Tinder
http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
93
Taken from: http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
90
91
92
Symantec Website Security Solutions I 69
Malware in sozialen Medien
„Unsoziales“ Networking auf dem Vormarsch
Obwohl es bei Betrugsversuchen, die die persönliche Weiterleitung zur Verbreitung nutzen, in der Regel darum geht, die
Klickrate oder Mitgliedszahl einer bestimmten Website zu erhöhen, soll ein gefährlicher Ausnahmefall im Jahr 2014 nicht
unerwähnt bleiben. Bei diesem Betrugsversuch in Facebook
wurden die Opfer zum Angriffs-Toolkit Nuclear umgeleitet.
Wenn der Angriff gelang, konnten die Angreifer die Kontrolle
über den Computer des Opfers übernehmen, weitere Malware herunterladen und Spam-E-Mails versenden.94
Sorgen und Probleme rund um das Thema Datenschutz, von
der Überwachung durch Nachrichtendienste bis hin zur unkritischen Weitergabe personenbezogener Daten durch Serviceanbieter, haben die Entstehung neuer sozialer Netzwerke
wie Secret, Cloaq, Whisper, ind.ie und Post Secret gefördert,
die Datenschutz, den Schutz der Privatsphäre oder Anonymi­
tät als Alleinstellungsmerkma­le nutzen. Plattformen dieser
Art sind Oasen für Gerüchte, Geständnisse und mitunter
auch die dunklere Seite der menschlichen Psyche. Befürwor­
tern zufolge wird die Geheimhaltung das Erfolgsrezept der
sozialen Netzwerke der nächsten Generation sein.95,96 Kritiker
geben zu bedenken, dass anonyme Plattformen wie 4chan
das perfekte Forum für Trolle, Mobber und Kriminelle sind.97
Die Betreiber etablierter sozialer Netzwerke wie Twitter und
Facebook versuchen, die Erwartungen ihrer Nutzer in puncto
Datenschutz mit sogenannten Transparenzberichten und
überarbeiteten Datenschutzricht­linien zu erfüllen. Facebook
gibt inzwischen beispielsweise bekannt, wie viele Informationsanforderungen es von Regierungsbehörden bekommt98,
bei Twitter ist ein „Flüster-Modus“ im Gespräch99 und Google
hat die Verschlüsselung der mit seinem E-Mail-Service Gmail
versandten Nachrichten ver­bessert100.
Bei Nachrichten, die ungewöhnlich sensationell klingen, ist
daher generell Vorsicht geboten, auch wenn sie an­geblich
von einem Freund stammen. Wenn Sie an der Geschichte
interessiert sind, sollten Sie eine vertrauens­würdige Informationsquelle aufrufen und dort nach dieser Meldung suchen.
Für manche Menschen ist die Option, in einem sozialen
Netzwerk anonym zu bleiben, sicher aus völlig legitimen
Gründen attraktiv. Auch sie sollten jedoch bedenken, dass
diese Freiheit auf sehr unangenehme Art ausgenutzt wer­den
kann. In einigen Unternehmen und Organisationen gibt es
bereits Verhaltensrichtlinien für soziale Medien, die für alle
Mitarbeiter bindend sind. Die meisten Arbeitgeber müssen
sich jedoch noch damit auseinandersetzen, dass in diesen
neuen Umgebungen potenziell jeder unge­straft sagen und
schreiben kann, was er will. Jedes Unternehmen sollte eine
Richtlinie für elektronische Kommunikation und die techni­
schen Mög­lichkeiten zum Aufdecken von Verstößen gegen
diese Richtlinie haben. Es geht vermutlich zu weit, Mitarbeitern die Nutzung sozialer Netz­wer­ke zu verbieten. Die
Fähigkeit, ihre Aktivitäten in diesen Medien zu verfolgen,
kann jedoch sehr nützlich sein.
http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit
http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/
96
http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/
97
Viele der damit verbundenen Probleme werden im englischen Wikipedia-Artikel über 4chan angesprochen, siehe http://en.wikipedia.org/wiki/4chan
98
https://www.facebook.com/about/government_requests
99
http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/
100
http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/
94
95
70 I Symantec Website Security Solutions
Phishing
Anteil der Phishing-E-Mails (ohne Spear-Phishing) am E-Mail-Aufkommen insgesamt
1 von
1000
965
750
500
250
414
392
2012
2013
2014
Quelle: Symantec I .cloud
Nach einem Rückgang zwischen Juni und September stieg
die Anzahl der Phishing-E-Mails im letzten Quartal 2014
wieder an. Im Jahresdurchschnitt lag der Anteil der PhishingE-Mails am gesamten E-Mail-Aufkommen mit 1 von 965 dennoch deutlich unter dem Vorjahreswert von 1 von 392. Gegen
Jahresende gab der schlagzeilen­trächtige Diebstahl von
Fotos aus den Apple-Konten mehrerer Prominenter PhishingAngriffen erneut Auftrieb. Apple-Konten waren schon immer
ein beliebtes Ziel für Phishing und Zweifel über die Sicherheit
dieser Konten wurden sofort ausgenutzt.
Phishing-Aufkommen 2012–2014
200
400
600
800
1 von
1000
1200
1400
1600
1800
2000
2200
J
M
M
J
2012
S
N
J
M
M
J
2013
S
N
J
M
M
J
S
N
2014
Quelle: Symantec I .cloud
Symantec Website Security Solutions I 71
Angreifer nutzten das Botnetz Kelihos zum Versenden einer
regelrechten Welle von Nachrichten, mit denen vor­geblich
Einkäufe überprüft wurden, die vom iCloud-Konto des Opfers, aber von einem Gerät und einer IP-Adresse aus getätigt
worden seien, die das Opfer bislang nicht verwendet habe.
Die Opfer wurden aufgefordert, ihr Apple-Konto so schnell
wie möglich über einen in der Nachricht enthaltenen Link zu
prüfen. Der Link führte zu einer Nach­ahmung der Apple-Website, auf der die Anmeldedaten des Apple-Kontos des Opfers
abgefragt wurden.
Betrüger nutzen verschiedene Methoden, um zu verhin­dern,
dass Browser beim Öffnen einer Phishing-Website eine Warnmeldung anzeigen. Ein aktuelles Beispiel ist die Verschlüsselung mit AES (Advanced Encryption Standard), die 2014
sprunghaft anstieg.
Verschlüsselte Inhalte werden bei einer oberflächlichen
Analyse übergangen und daher nicht als Phishing-Versu­che
erkannt. Deshalb zeigt der Browser keine Warnmeldung an
und die anvisierten Opfer fallen mit größerer Wahrscheinlichkeit auf den Phishing-Versuch herein.102
Kriminelle nutzten dieselbe Masche in verschiedenen Varianten immer wieder, um Anmeldedaten für Konten in sozialen Medien, Online-Banking und E-Mail-Konten zu erbeuten.
Die meisten Phishing-Versuche werden per E-Mail oder in
sozialen Medien verbreitet. In sozialen Medien wird oft eine
Nachrichtenmeldung als Aufhänger benutzt, 2014 beispielsweise die Ebola-Epidemie und verschiedene Skandale um
Prominente. Die Opfer werden dann aufge­fordert, auf einen
Link zu klicken und sich anzumelden, um angeblich einen
Artikel lesen oder ein Video ansehen zu können.
In Phishing-E-Mails werden manchmal ebenfalls Nachrichten­
meldungen als Aufhänger verwendet, aber die Betrüger haben
es in der Regel auf Anmeldedaten für beruflich genutzte
Konten für Online-Banking, in der Cloud gespei­cherte Daten,
LinkedIn- oder E-Mail-Konten abgesehen.101 Mitunter werden
Phishing-E-Mails auch als aktuelle Mel­dungen zur OnlineSicherheit oder Benachrichtigungen über verdächtige Aktivi­
täten getarnt. Der Empfänger wird dann aufgefordert, seine
Daten für eine angebliche Prüfung auf der Phishing-Website
einzugeben, von wo sie natürlich direkt an die Betrüger
weitergeleitet werden.
Beispiel einer Phishing-E-Mail103
Anzahl von Phishing-URL in Sozialen Medien 2009–2014
Quelle: Symantec I .cloud
60
Tausend
50
40
30
20
10
0
2010
2011
2012
2013
2014
LinkedIn: http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials
Google Docs: http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam
Dropbox: http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox
102
http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes
103
Bildquelle: http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign
101
72 I Symantec Website Security Solutions
E-Mail-basierte Betrugsversuche und Spam
Der Rückgang E-Mail-basierter Angriffe ist nicht nur bei Phishing-Versuchen zu
beobachten. Der Anteil von Spam am E-Mail-Volumen insgesamt geht ebenfalls
zurück.
In den letzten drei Jahren fiel der Anteil von Spam am
globalen E-Mail-Aufkommen von 69 Prozent im Jahr 2012
auf 66 Prozent im Jahr 2013 und 60 Prozent 2014. Der
Trend ist natürlich erfreulich, sollte aber nicht darüber hin­
wegtäuschen, dass E-Mail-basierte Betrugsversuche noch
immer sehr weit verbreitet und für Kriminelle sehr einträglich
sind.
Im Oktober machte Symantec auf eine regelrechte Welle
eines bestimmten E-Mail-Betrugs aufmerksam. Die E-Mails
wurden vorrangig an Mitarbeiter der Finanzabteilung von
Unternehmen geschickt und enthielten die Anweisung zu
einer Zahlung per Kreditkarte oder telegra­fischer Geldüberweisung. In manchen Fällen wurden die Absenderdaten
gefälscht, um den Eindruck zu erwecken, dass der CEO oder
ein anderer führender Mitarbeiter des Unternehmens der
Absender wäre. Die für die Überwei­sung erforderlichen Daten
befanden sich entweder in einem Anhang an die E-Mail oder
sollten vom Opfer per E-Mail erfragt werden.104
Der Anstieg bei Betrugsversuchen dieser Art ist vermutlich
darauf zurückzuführen, dass die in Unternehmen verwendeten E-Mail-Anwendungen inzwischen in der Lage sind,
Malware-Anhänge zu erkennen. Allerdings wird diese Funktionalität noch längst nicht in allen Unterneh­men genutzt,
obwohl auch E-Mails mit Malware-Anhang noch immer weit
verbreitet sind.
Der starke Anstieg schädlicher Links anstelle von MalwareAnhängen in Betrugs-E-Mails gegen Ende des Jahres 2014
ist hingegen auf einen Wandel in der Taktik der Betrüger und
die steigende Nutzung von Social Engineering in Betrugsversuchen dieser Art zurückzuführen.
Anteil von Spam am E-Mail-Volumen insgesamt
60 %
2014
66 %
−6 %
2013
69 %
−3 %
2012
Quelle: Symantec I Brightmail
Geschätztes Spam-Volumen pro Tag weltweit
2014
2013
2012
28 Milliarden
29 Milliarden
30 Milliarden
–1 %
–1 %
Quelle: Symantec I Brightmail
104
http://www.symantec.com/connect/blogs/scammers-pose-companyexecs-wire-transfer-spam-campaign
Symantec Website Security Solutions I 73
Partnerprogramme machen Spam in
sozialen Medien profitabel
Satnam Narang
Wenn Sie in den letzten zehn Jahren auch nur gelegentlich ein soziales Netzwerk
besucht haben, sind Sie vermutlich auf mindestens einen der folgenden Aufhänger
gestoßen:
• Angebote von kostenlosen Smartphones, Flugtickets oder
Gutscheinen,
• sensationelle Nachrichten über Prominente (Sexvide­os,
Tod),
• unglaubliche internationale Nachrichten (insbesonde­re
über Naturkatastrophen),
• diverse Angebote von angeblichen Prostituierten.
Sobald ein soziales Netzwerk einen gewissen Beliebtheitsgrad erreicht, wird dies von Betrügern ausgenutzt. Trotz der
unterschiedlichen sozialen Netzwerke und verwendeten
Maschen haben alle diese Betrugsversuche eins gemeinsam:
Betrügerische Partnerprogramme machen sie lohnenswert.
Partnerprogramme sind eine beliebte Methode zur Umsatz­
steigerung im Online-Handel. Unternehmen nutzen Vertriebs­
partner, um ihre Produkte zu bewerben und zu verkaufen.
Ein Partner präsentiert beispielsweise ein Buch auf seiner
Website und zeigt einen Link zu einem Händler an, der dieses
Buch verkauft. Im Gegenzug erhält der Partner für jedes
verkaufte Exemplar des Buches eine kleine Kommission.
Partnerprogramme werden gleichermaßen von seriösen Un­
ter­nehmen und Kriminellen genutzt. Und in manchen Fällen
ist auch der eine oder andere Partner eines seriö­sen Händlers
bereit, seine Einnahmen aus dem Partnerprogramm mit
skrupellosen Methoden zu steigern.
Mitglieder eines Partnerprogramms hängen ihre MitgliederID an den Link zum Angebot des Händlers an, den sie auf
ihrer Website anzeigen. So kann der Händler erkennen,
welcher Partner einen Kunden angeworben und die entsprechende Kommission verdient hat.
74 I Symantec Website Security Solutions
Betrüger nutzen Partnerprogramme aus, um in sozialen
Netzwerken Geld zu erschwindeln. Sie bringen Nutzer dazu,
ein Formular auszufüllen oder sich für ein Premium­angebot
oder einen Service anzumelden und leiten die ergaunerten
Daten an das Partnerprogramm weiter. Die im Rahmen des
Partnerprogramms gezahlte Kommission ist ihr Gewinn.
Seriöse Händler und einige Partnerprogramme haben ver­
sucht, Betrugsversuche in ihrem Namen zu unterbinden.
Doch wie überall gilt auch hier, dass Betrüger immer wieder
dort anzutreffen sind, wo es Geld zu ergaunern gibt. Händler
sollten ihre Partner daher so gut wie mög­lich kennen und auf
transparenten Geschäftsmethoden bestehen.
Angaben über diese halblegalen Partnerprogramme und
die Kommissionen, die sie zahlen, sind ungewiss. Da die
Betreiber der Programme sich meist weigern, Daten heraus­
zugeben, ist schwer einzuschätzen, wie lukrativ das Geschäft
für die Betrüger ist. Die Teilnahmebedingungen der meisten
Partnerprogramme sind jedoch öffentlich zu­gänglich und
enthalten klare Angaben darüber, für welche Aktivitäten eine
Kommission gezahlt wird. Im Beispiel oben sollen Partner
beispielsweise eine Werbung für eine Visa-Geschenkkarte
im Wert von 1500 US-Dollar anzeigen. Sie erhalten eine
Kommission von 1,40 US-Dollar für jede Person, die auf die
Werbung klickt und ihre E-Mail-Adresse angibt.
Die Benutzer aller sozialen Netzwerke sollten extrem vorsich­
tig sein, wenn ihnen kostenlose Gadgets, Geschenk­karten
oder Flugtickets angeboten werden oder wenn attraktive
Frauen sie auffordern, ein Konto bei einer nicht jugendfreien
Online-Dating- oder Webcam-Website einzurichten. Wenn
sie als Nächstes aufgefordert werden, an einer Umfrage teil­
zunehmen oder sich für einen Service anzumelden und ihre
Kreditkartendaten anzugeben, handelt es sich höchstwahr­
scheinlich um einen Betrugsversuch. Wie die alte Volksweis­
heit sagt, wenn es zu gut scheint, um wahr zu sein, ist es das
wahrscheinlich auch.
Auf der beliebten Online-Dating-Plattform Tinder fanden wir
Links zu nicht jugendfreien Dating-Services und WebcamWebsites, die ein Partnerprogramm betreiben. Diese Websites enthalten Informationen über die gezahlte Kommission.
Eine von uns untersuchte Website zahlt bis zu 6 US-Dollar
für jeden Nutzer, der ein Konto einrichtet, und bis zu 60 USDollar, wenn ein Nutzer Premiumservices abonniert. Die
Abonnementgebühren werden in der Regel per Kreditkarte
bezahlt.
Angesichts dieser Preisstruktur scheint es besonders lukrativ,
Abonnenten für Premiumservices zu gewinnen. Die meisten
Betrüger, die an diesem Programm teilnahmen, konnten
allerdings deutlich mehr Opfer überzeugen, Konten einzurichten, als Premiumservices zu abonnieren. Der Großteil
ihres Gewinns kam daher aus der bescheideneren Kommission von 6 US-Dollar. Die gelegentlichen 60 US-Dollar waren
für sie ein nettes Extra.
Symantec Website Security Solutions I 75
Phishing an neuen Ufern
Nicholas Johnston
Symantec scannt einen erheblichen Teil des weltweiten E-Mail-Aufkommens. Vor
Kurzem wurden so Phishing-Angriffe auf Institutionen in Ländern aufgedeckt, die
wir bislang nicht für gefährdet gehalten hatten.
Bei Phishing-Angriffen geht es Betrügern darum, vertrauliche Daten zu stehlen, die sie zu Geld machen kön­nen.
Den meisten Menschen fallen vermutlich nicht zuerst
Angola und Mosambik ein, wenn sie an mögliche Angriffs­
ziele denken. Mosambik, an der Ostküste Süd­afrikas, ist
ein Schwellenland, das trotz seiner großen natürlichen
Reichtümer auf Entwicklungshilfe angewie­sen ist. Das Bruttoinlandsprodukt beträgt etwa 600 US-Dollar pro Person.
Angola, an der Westküste des Konti­nents, hat ein deutlich
höheres BIP von knapp 6000 US-Dollar pro Person. Statis­
tisch gesehen sind beide Länder jedoch arm. (Zum Vergleich: Das durchschnittliche Bruttoinlandsprodukt weltweit
liegt bei 10 400 US-Dollar pro Person, Deutschland hat ein
BIP von knapp 45 000 US-Dollar pro Person.)
Dennoch wurde eines der führenden afrikanischen Finanz­
institute vor Kurzem mit einer Phishing-Kampagne ange­
griffen. Die E-Mails kamen scheinbar von einer Bank in
Mosambik. Die Betreffzeile lautete „Mensagens & alertas:
1 nova mensagem!“ (Nachrichten & Warnungen: 1 neue
Nachricht!) Ein im Text der E-Mail enthalte­ner Link führte
zu einer gefälschten Version der Website der Bank, wo der
Empfänger aufgefordert wurde, eine Reihe von Daten zu seinem Bankkonto anzugeben. Mit diesen Daten konnten die
Angreifer das Konto überneh­men.
Warum werden Finanzinstitute in diesen Ländern ange­
griffen? Wir können diese Frage nicht mit Bestimmtheit
beantworten, aber einer der Hauptrisikofaktoren für
Phishing-Angriffe ist, wie schwer das Erstellen einer
Phishing-Website ist. Im Verlauf des Jahres 2014 fanden
wir eine ganze Reihe sogenannter „Phish Kits“, d. h. mit ZIP
komprimierte Phishing-Websites, die auf einem neu gehackten Webserver nur extrahiert werden müssen. Aus Sicht des
Angreifers ist Phishing eine einfache und wenig aufwendige
76 I Symantec Website Security Solutions
Angriffsform. Sie können Konkurren­ten aus dem Weg
gehen, indem sie sich auf kleine oder hoch spezialisierte
Finanzinstitute konzentrieren. Zudem sind Internetnutzer in
Schwellenländern weniger für Phishing sensibilisiert als in
Europa oder den USA.
Die für die Phishing-Angriffe in Angola und Mosambik
verantwortlichen Internetkriminellen sind vermutlich dort
oder in einem der Nachbarländer ansässig. Auf Phishing in
Industrieländern spezialisierte Betrüger sind wahrscheinlich
nicht an den relativ kleinen Summen interessiert, die sie
in Angola oder Mosambik erbeuten könnten. Für einen
Internetkriminellen in Angola, Mo­sam­bik oder einem ande­
ren Land der Region können dieselben, nach west­lichen
Standards kleinen Beträge jedoch durchaus attraktiv sein.
Für einen Betrüger in Angola oder Mosambik ist es mögli­
cherweise auch ein­facher, gestohlene Daten vor Ort zu
nutzen, als sie zu verkaufen.
Wir gehen davon aus, dass Phishing-Angriffe in Zukunft
weiter zunehmen werden, denn je mehr Menschen das
Internet nutzen, um mit Unternehmen zu interagieren
und Dienstleistungen in Anspruch zu nehmen, desto mehr
potenzielle Ziele stehen den Angreifern zur Auswahl. Gleich­
zeitig wird es für Anfänger immer einfacher, in diesem
„Markt“ Fuß zu fassen. Sogar Institutionen in Bhutan,
einem kleinen und relativ isolierten Königreich im Osten des
Himalaya, wurden bereits zum Ziel von Phishing-Angriffen.
Das ist der vielleicht beste Beweis dafür, dass nichts und
niemand vor Phishing-Angriffen sicher ist.
Ausblick
Rückblick + Einblick = Weitblick
77 I Symantec Website Security Solutions
Ausblick
Sicherheitsschulung als Computerspiel
Der vielleicht bekannteste Sicherheitsberater des 15. Jahr­
hunderts, Niccolo Machiavelli, sagte einmal: „Menschen
sind so töricht und so darauf erpicht, sich ihre flüchtigen
Wünsche zu erfüllen, dass Betrüger immer wieder jemanden
finden, der sich betrügen lässt.“
weiß-Bewertungen, die eine Infrastruktur als „sicher“ oder
„unsicher“ einstufen, sind überholt. Stattdessen sollten Sie
einen nuancierten Ansatz nutzen, indem Sie Trends und
Symptome ähnlich wie in der medizinischen Diagnostik analy­
sieren und eine „Therapie“ empfehlen, die bei der Situation
angepassten Verhaltensmustern ansetzt.
Der menschliche Faktor spielt in der Online-Sicherheit eine
ebenso große Rolle wie die Technik. Je mehr ein Benutzer
weiß, desto besser kann er mit Bedrohungen umgehen.
Das trifft auf informierte Verbraucher, die Betrugsversuche
durchschauen, ebenso zu wie auf gut geschulte Beamte, die
nicht auf gezielte Social-Engineering-Maschen hereinfallen.
In technischer Hinsicht bedeutet dies, dass auf jedem
End­punkt, Gateway und E-Mail-Server Software installiert
werden sollte, die das Ausschleusen gestohlener Daten ver­
hindert. Außerdem muss der Datensicherung und -wiederherstellung größere Bedeutung beigemessen werden, als dies
heutzutage meist der Fall ist. Dasselbe trifft auf die Planung
für das Aufdecken und Abwehren von Angriffen zu. Die
Autoren möchten damit keinesfalls zur Verzweiflung raten.
Natürlich wäre es falsch, die Verteidigung aufzugeben und
Kriminellen damit Tür und Tor zu öffnen. Es ist jedoch besser,
auf das Schlimmste vorbereitet als hinterher klüger zu sein.107
In diesem Zusammenhang ist die sogenannte Gamification105,
also die Anwendung spieltypischer Elemente und Methoden,
bei der Vermittlung von Kenntnissen und Fähigkeiten rund
um die Online-Sicherheit interessant. Einfache Computerspiele erfüllen den menschlichen Wunsch nach sofortiger
Belohnung. Sicherheitsexperten sollten dasselbe Prinzip
nutzen, um das Benutzerverhalten nachhaltig zu beeinflussen. Mithilfe von Computerspielen könnten Benutzer zum
Beispiel üben, Phishing-E-Mails zu erkennen oder sich starke
Kennwörter auszudenken und zu merken.
Die Autoren sehen nicht nur einen großen Bedarf, sondern
auch eine erhebliche Geschäftschance in diesem Bereich in
den nächsten Jahren.
Simulation im Dienst der Sicherheit
Mithilfe von Simulationen oder „Manövern“ können die Ver­
antwortlichen in Unternehmen sich auf Sicherheitsverletzun­
gen vorbereiten und die Fähigkeiten und Grenzen ihrer eige­
nen Abwehrmaßnahmen besser kennenlernen. Dazu können
beispielsweise herkömmliche Penetrationstest erweitert
werden, sodass nicht nur Schwachstellen gefunden, sondern
auch die Reaktion auf einen entsprechenden Angriff und die
Beseitigung der entstandenen Schäden simuliert werden. So
können die Sicherheitsbeauftragten in Unternehmen besser
geschult und auf den Ernstfall vorbereitet werden. Regierungen haben dies bereits erkannt: Im Januar 2015 vereinbarten
der britische Premierminister David Cameron und US-Präsident Barack Obama „Manöver“, bei denen die beiden Länder
Internetangriffe aufeinander simulieren.106 Unternehmen
sollten diesem Beispiel so bald wie möglich folgen.
Hartnäckige Angreifer lassen sich kaum abwehren
Im ständigen Kampf zwischen Angreifern und den Sicher­
heitsverantwortlichen eines Unternehmens sind die Kriminellen im Vorteil, denn Erfolg bedeutet für sie, ein beliebiges von
unendlich vielen „Gefechten“ zu gewinnen. Die IT-Abteilung
kann sich dagegen nur als erfolgreich betrachten, wenn sie
alle „Gefechte“ gewinnt. IT-Manager (und die Kunden des Un­
ternehmens) müssen daher auf das Schlimmste vorbereitet
sein. Leider gibt es keine Technik, mit der sich ein Unterneh­
men quasi in einen „Schutzpanzer“ einigeln kann, um gegen
alle Formen der Internetkriminalität einschließlich der hart­
näckigsten gezielten Angriffe gefeit zu sein. Sie sollten also
davon ausgehen, dass Ihr Unternehmen in Kürze gehackt
werden wird oder dass dies bereits geschehen ist. Schwarz„Gamification“ aus einem Interview mit Efrain Ortiz
http://www.bbc.co.uk/news/uk-politics-30842669
„Gehen Sie davon aus, dass Sie gehackt wurden“ aus einem Interview
mit Efrain Ortiz
108
Efrain Ortiz
109
http://www.informationweek.com/software/operating-systems/
windows-xp-stayin-alive/d/d-id/1279065
110
Interview mit Candid Wüest
111
Interview mit Vaughn Eisler
105
106
107
Informationsaustausch zwischen Unternehmen
Informationsaustausch zwischen Unternehmen ist für die
Sicherheit unverzichtbar.108 In der Vergangenheit galt in
vielen Unternehmen die Devise, dass nach Möglichkeit keine
Unternehmensinterna nach „außen“ dringen durften, damit
„die Konkurrenz“ nicht davon erfuhr. Das führte dazu, dass
jedes Unternehmen seinen eigenen Kampf gegen die Internetkriminalität führte und dabei ganz auf sich allein gestellt
war. Die Autoren sind jedoch der Meinung, dass Unterneh­
men ihre Informationen und Erfahrungen untereinander
austauschen sollten, um Internetkriminellen gemeinsam die
Stirn zu bieten. Lösungen, die dies ermöglichen, ohne dabei
vertrauliche Unternehmensdaten offenzulegen, werden in
Zukunft an Bedeutung gewinnen. Bei einem elektronischen
Datenaustausch könnten beispielsweise Hashwerte, Binär­
attribute, Sympome usw. übermittelt werden, ohne geistiges
Eigentum oder Daten preiszugeben, die für einen Angriff
missbraucht werden könnten.
Unsichere Betriebssysteme
Im Juli 2014 wurden auf einem Viertel aller PCs noch immer
Windows XP und Office 2003 genutzt,109 obwohl diese von
Micro­soft nicht mehr unterstützt und aktualisiert werden.
Viele Benutzer wollen den daraus entstehenden Handlungsbedarf einfach nicht wahrhaben und sind neuen Bedrohungen nun schutzlos ausgesetzt.110 Das stellt ein erhebliches
Sicherheits­risiko für das kommende Jahr dar. Unternehmen
müssen alternative Methoden zum Schutz eingebetteter
Systeme mit veralteten Betriebssystemen finden, um den
Zeitraum bis zur Aktualisierung oder Ersetzung dieser Syste­
me zu überbrücken.
Internet der Dinge
Immer mehr Verbraucher kaufen Smartwatches, FitnessTracker, holografische Brillen und anscheinend jedes noch
so verrückte tragbare Gerät, das in Silicon Valley oder
Shenzhen entwickelt wird. Bei der Sicherheit dieser Geräte
besteht jedoch oft dringender Verbesserungsbedarf, denn
auf diesem schnelllebigen Markt hat die Innovation bislang
einen höheren Stellenwert als der Schutz der Privatsphäre.
Solange Regierungen keine diesbezüglichen Gesetze erlassen, kein Angriff auf diese Geräte Schlagzeilen macht und
die Verbraucher nicht von sich aus besser gesicherte Geräte
verlangen, ist es jedoch unwahrscheinlich, dass Hersteller
unaufgefordert mehr in den Schutz der Privatsphäre ihrer
Kunden investieren.111
Symantec Website Security Solutions I 78
Empfehlungen
und Best Practices
79 I Symantec Website Security Solutions
Trotz der 2014 bekannt gewordenen Schwachstellen sind SSL und TLS nach wie vor der
Goldstandard für den Schutz der Besucher Ihrer Website und der Daten, die diese Besu­
cher an Ihr Unternehmen schicken. Der Medienrummel um Heartbleed hat sogar dazu
geführt, dass viele Unternehmen zusätzliche SSL-Entwickler einstellten. Diese korrigieren
nun alten und erstellen neuen Code. Vielleicht noch wichtiger ist jedoch, dass die SSLBibliotheken und die bei ihrer Implementierung benutzten Prozesse nun von mehr Exper­
ten begutachtet werden als zuvor.
Stärkere
SSLVerschlüs­
selung
Die mit SSL-Zertifikaten genutzten Algorithmen wurden 2014 stärker. Symantec und mehrere andere
Zertifizierungsstellen nutzen nun standardmäßig SHA-2 und stellen die Unterstützung für Root-Zertifikate
mit 1024-Bit-Schlüsseln nach und nach ein. Microsoft und Google gaben Pläne zur Ablehnung von SHA-1Zertifikaten bekannt, von denen Websites mit solchen Zertifikaten schon ab 1. Januar 2016 betroffen sein
könnten. Anders ausgedrückt: Wenn Sie noch nicht auf SHA-2-Zertifikate umgestellt haben, sehen Benutzer
des Webbrowsers Chrome wahrscheinlich schon jetzt Warnmeldungen, wenn sie Ihre Website aufrufen.
Ab 1. Januar 2017 wird es nicht mehr möglich sein, Websites mit SHA-1-Zertifikaten im Internet Explorer
anzuzeigen.
Symantec treibt auch die Nutzung des Verschlüsselungsalgorithmus ECC voran, der deutlich schwieriger zu
knacken ist als RSA. Zertifikate, die ECC zur Verschlüsselung nutzen, werden inzwischen von allen gängigen
Browsern auf allen modernen Plattformen unterstützt, auch auf Mobilgeräten. Der Algorithmus hat drei
wichtige Vorteile:
1. Stärkere Sicherheit: Verglichen mit dem heutigen Branchenstandard, einem RSA-Schlüssel mit
2048 Bit, ist ein ECC-Schlüssel mit 256 Bit 64 000-mal schwerer zu knacken. Das Knacken einer mit ECC
verschlüsselten Nachricht mit Brute-Force-Methoden würde also deutlich mehr Zeit und Rechenleistung
erfordern als das Knacken einer mit RSA verschlüsselten Nachricht.
2. Bessere Leistung: Früher waren Website-Betreiber besorgt, dass die Leistung ihrer Websites durch das
Installieren von SSL zu sehr beeinträchtigt würde. Auf manchen Websites wurden deshalb nur einzelne
Seiten mit SSL geschützt, wodurch Sicherheitslücken entstanden. ECC-Verschlüsselung erfordert weniger
Rechenleistung als RSA-Verschlüsselung, sodass ein Webserver mehr Verbindungen und mehr WebsiteBesucher gleichzeitig bedienen kann. Dadurch wird der angeratene Umstieg auf Always-On SSL technisch
machbar.
3. Folgenlosigkeit: Die Folgenlosigkeit (Perfect Forward Secrecy, PFS) ist zwar sowohl mit RSA- als auch
mit ECC-Zertifikaten möglich, doch mit ECC-Zertifikaten ist die Leistung deutlich besser. Warum ist das so
wichtig? Wenn ein Hacker in den Besitz Ihrer privaten Schlüssel gelangt und Sie die Folgenlosigkeit nicht
nutzen, kann er bei früheren Lauschangriffen abgefangene Daten mit diesem Schlüssel entschlüsseln.
Heartbleed hat gezeigt, wie ernst dieses Problem genommen werden sollte. Wenn Sie Folgenlosigkeit nutzen,
können Hacker, die Ihre privaten Schlüssel gestohlen haben, damit nur Daten entschlüsseln, die von diesem
Zeitpunkt an mit diesem Schlüssel verschlüsselt werden. Das können Sie natürlich durch das Ersetzen der
Schlüssel vermeiden und ältere Daten können nicht mehr entschlüsselt werden.
Eine der Lehren des Jahres 2014 ist, dass SSL nur so sicher ist wie die Implementierung und Pflege des
jeweiligen Zertifikats. Deshalb sind die folgenden Best Practices wichtig:
• I mplementieren Sie Always-On SSL: Schützen Sie alle Seiten Ihrer Website mit SSL, damit alle
Transaktionen zwischen einem Besucher und Ihrer Website authentifiziert und verschlüsselt werden.
Richtige
Nutzung
von SSL
•Halten Sie Ihre Server auf dem neuesten Stand: Das trifft nicht nur auf SSL-Bibliotheken zu. Alle Patches
und Updates sollten so rasch wie möglich eingespielt werden. Denken Sie daran, dass Softwareanbieter
nur dann Patches oder Updates herausgeben, wenn sie eine Schwachstelle gefunden und behoben haben.
• Z
eigen Sie bekannte Vertrauensmarken an: Binden Sie das Norton Secured-Siegel oder eine andere
bekannte Vertrauensmarke gut sichtbar in Ihre Website ein, um Ihren Besuchern zu signalisieren, dass Sie
auf Sicherheit Wert legen.
• S
cannen Sie Ihre Website: Durchsuchen Sie Ihre Webserver und Website regelmäßig nach Schwachstellen und Malware.
• H
alten Sie Ihre Serverkonfiguration auf dem neuesten Stand: Deaktivieren Sie die Unterstützung für
veraltete, unsichere Versionen des SSL-Protokolls wie SSL2 und SSL3. Implementieren Sie neue Versionen
des TLS-Protokolls wie TLS1.1 und TLS1.2 und sorgen Sie dafür, dass diese vorrangig benutzt werden.
Nutzen Sie Tools wie die SSL Toolbox von Symantec, um die Konfiguration Ihrer Server zu überprüfen.iv
http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/en/uk/page.jsp?id=sha2-transition
iii
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i
ii
Symantec Website Security Solutions I 80
Gesunder Menschenverstand und einige einfache, konsequent angewandte Regeln können
viel dazu beitragen, dass die Server und die Website Ihres Unternehmens sicher bleiben.
Sorgen Sie dafür, dass alle Ihre Mitarbeiter die folgenden Regeln kennen und befolgen:
•Öffnen Sie keinen E-Mail-Anhang, wenn Sie den Absender der E-Mail nicht kennen.
Sensibili­
sierung der
Mitarbeiter
•Denken Sie besonders in sozialen Medien daran, dass topaktuelle Themen oft als
Aufhänger für Betrugsversuche dienen, dass nicht alle Links zu echten Anmeldeseiten
führen und dass Angebote, die zu gut klingen, um wahr zu sein, dies meistens auch sind.
•Wenn eine Website oder App Zwei-Faktor-Authentifizierung anbietet, sollten Sie diese
nutzen.
•Nutzen Sie nie für zwei Online-Konten oder Anwendungen dasselbe Kennwort. Das ist
insbesondere bei Websites und Services wichtig, die Sie beruflich nutzen.
•Nutzen Sie Ihren gesunden Menschenverstand. Auch wenn Sie Antivirensoftware
installiert haben, sollten Sie keine Websites aufrufen, die als schädlich bekannt oder
verdächtig sind.
Kriminelle gehen bei der Ausbeutung des Internets heute aggressiver, raffinierter
und rücksichtsloser vor denn je. Dennoch sind Verbraucher und Unternehmen ihnen
keineswegs schutzlos ausgeliefert.
Schwache
Sicherheit
kann
peinlich
werden
v
Die Öffentlichkeit interessiert sich nun für SSL und die Website-Sicherheit und wenn Sie
den Schutz der Besucher Ihrer Website vernachlässigen, finden Sie sich möglicherweise auf
„HTTP Shaming“ wieder, einer von Softwareingenieur Tony Webster betriebenen Website,
auf der Anwendungen und Services mit schwachen Sicherheitsvorkehrungen angeprangert
werden.
Für Unternehmen und deren Websites sind gute Sicherheitsmaßnahmen und -prozesse ein
unverzichtbarer Schutz vor Reputationsverlust und finanziellem Ruin. Deshalb sollten Sie
Ihr Unternehmen 2015 mit Symantec schützen.
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
81 I Symantec Website Security Solutions
Über Symantec
Symantec Corporation (NASDAQ: SYMC) ist ein Anbieter von Informations­
sicherheitslösungen, die es Verbrauchern, Unternehmen und Behörden
ermöglichen, die Vorteile der modernen Technik überall und jederzeit
sicher zu nutzen. Das im April 1982 gegründete Fortune-500-Unternehmen
betreibt eines der weltweit größten Netzwerke für die Erfassung sicherheits­
relevanter Informationen und stellt hervorragende Sicherheits-, Backupund Verfügbarkeitslösungen für Umgebungen her, in denen wichtige Daten
gespeichert, genutzt und weitergegeben werden können. Symantec hat
über 20 000 Mitarbeiter in mehr als 50 Ländern. 99 Prozent aller Fortune500-Unternehmen sind Kunden von Symantec. Im Steuerjahr 2013 erwirt­
schaftete das Unternehmen einen Umsatz von 6,9 Milliarden US-Dollar.
Weitere Informationen finden Sie unter www.symantec.de.
Sie können auch unter www.symantec.com/de/de/social direkt Kontakt mit
uns aufnehmen.
Zusätzliche Informationen
• Symantec weltweit: http://www.symantec.de/
•
Internet Security Threat Report (ISTR) und andere Symantec-Ressourcen zur Online-Sicherheit:
http://www.symantec.com/de/de/threatreport/
• Symantec Security Response: http://www.symantec.com/de/de/security_response/
• Norton Threat Explorer: http://de.norton.com/security_response/threatexplorer/
• Norton Cybercrime Index: http://de.norton.com/cybercrimeindex/
82 I Symantec Website Security Solutions
Die Bürozeiten und Durchwahlen einzelner Länder finden Sie auf unserer Website.
Produktinformationen für Deutschland, Österreich und die Schweiz erhalten Sie unter
0800 128 1000 (kostenlos aus DE),
0800 208899 (kostenlos aus AT) oder +41 26 429 7726.
Symantec Deutschland
Symantec Deutschland GmbH
Wappenhalle
Konrad-Zuse-Platz 2–5
81829 München
www.symantec.de/ssl
© 2015 Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo, das Häkchen im Kreis und das Norton
Secured-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer Partnerunternehmen in den USA
und anderen Ländern. Andere Namen sind möglicherweise Marken ihrer jeweiligen Inhaber.

Documentos relacionados