Vor Jahren bestand das typische Hacking-Szenario darin, dass ein einsamer Angreifer und vielleicht ein paar Kumpels, die spät nachts an Mountain Dew arbeiteten, nach öffentlich zugänglichen IP-Adressen suchten. Wenn sie eine gefunden hatten, zählten sie die Werbedienste auf (Webserver, SQL-Server usw.), drangen über eine Vielzahl von Schwachstellen ein und erkundeten dann das kompromittierte Unternehmen nach Herzenslust. Oftmals hatten sie nur die Absicht zu erforschen. Wenn sie etwas Illegales taten, war es in der Regel ein spontanes Gelegenheitsverbrechen.
Meine Güte, wie sich die Zeiten geändert haben.
Wenn man ein typisches Hacking-Szenario beschreibt, muss man heutzutage lange vor dem Hack oder sogar dem Hacker mit der Organisation hinter dem Angriff beginnen. Heutzutage ist Hacken immer ein Verbrechen, komplett mit Angebotsmärkten für Malware, Verbrechersyndikaten, Botnets zum Mieten, staatlichen Akteuren und amoklaufender Cyber-Kriegsführung.
Hier sind die neun größten Bedrohungen, mit denen IT-Sicherheitsexperten heute konfrontiert sind.
- Bedrohung Nr. 1: Cyberkriminelle Syndikate
- Bedrohung Nr. 2: Kleinkriminelle – und die Geldkuriere und Geldwäscher, die sie unterstützen
- Bedrohung Nr. 3: Hacktivisten
- Bedrohung Nr. 4: Diebstahl geistigen Eigentums und Wirtschaftsspionage
- Bedrohung Nr. 5: Malware-Söldner
- Bedrohung Nr. 6: Botnets als Service
- Bedrohung Nr. 7: All-in-one-Malware
- Bedrohung Nr. 8: Das zunehmend kompromittierte Web
- Bedrohung Nr. 9: Cyber-Kriegsführung
- Verbrechen und keine Strafe
Bedrohung Nr. 1: Cyberkriminelle Syndikate
Obwohl es immer noch einzelne kriminelle Superhirne gibt, sind die meisten bösartigen Hackerangriffe heutzutage das Ergebnis organisierter Gruppen, von denen viele professionell sind. Traditionelle Gruppen des organisierten Verbrechens, die früher mit Drogen, Glücksspiel, Strafverfolgung und Erpressung zu tun hatten, haben ihren Hut in den Ring der Online-Geldbeschaffung geworfen, aber die Konkurrenz ist groß, angeführt nicht von Mafiosi, sondern von mehreren sehr großen Gruppen professioneller Krimineller, die sich speziell auf die Internetkriminalität spezialisiert haben.
Viele der erfolgreichsten organisierten Syndikate der Internetkriminalität sind Unternehmen, die große Partnerkonglomerate anführen, ähnlich wie die Hierarchien im legalen Vertriebswesen. In der Tat hat der Cyberkriminelle von heute wahrscheinlich mehr mit einem Avon- oder Mary Kay-Vertreter gemeinsam, als beide zugeben wollen.
Kleine Gruppen mit ein paar Mitgliedern hacken immer noch, aber IT-Sicherheitsprofis haben es immer häufiger mit großen Unternehmen zu tun, die sich auf unseriöses Verhalten spezialisiert haben. Denken Sie an Vollzeitmitarbeiter, Personalabteilungen, Projektmanagement-Teams und Teamleiter. Und das ist alles kriminell, keine auf den Bildschirm gedruckten lustigen Nachrichten oder andere jugendliche Streiche mehr. Die meisten von ihnen arbeiten offen, und einige – wie das Russian Business Network – haben sogar einen eigenen Wikipedia-Eintrag. Da wünscht man sich doch die alten Zeiten zurück, nicht wahr?
Spezialisierung und Arbeitsteilung sind das Herzstück dieser Organisationen. Ein einziges Superhirn oder ein innerer Kreis wird das Kollektiv leiten. Unteroffiziere und Unterabteilungen spezialisieren sich auf verschiedene Bereiche: eine Abteilung widmet sich der Entwicklung von Malware, eine andere dem Marketing, eine weitere dem Aufbau und der Pflege von Vertriebskanälen und wieder eine andere ist für die Erstellung von Botnetzen und deren Vermietung an andere Übeltäter zuständig (siehe unten).
Kein Wunder, dass gängige IT-Sicherheitspraktiken gegen die heutige Malware einfach nicht funktionieren, denn die Internetkriminalität hat sich zu einer mehrstufigen, dienstleistungsorientierten Industrie entwickelt, deren unverhohlenes Ziel es ist, Unternehmen und Menschen um ihr Geld und ihr geistiges Eigentum zu bringen.
Bedrohung Nr. 2: Kleinkriminelle – und die Geldkuriere und Geldwäscher, die sie unterstützen
Nicht alle cyberkriminellen Organisationen sind Syndikate oder Konzerne. Einige sind einfach unternehmerischer Natur, kleine Unternehmen, die nur eines wollen: Geld.
Diese böswilligen Kleinstunternehmen können Identitäten und Passwörter stehlen, oder sie können eine ruchlose Umleitung veranlassen, um sie zu bekommen. Am Ende wollen sie Geld. Sie veranlassen betrügerische Kreditkarten- oder Banktransaktionen und wandeln ihre unrechtmäßig erworbenen Gewinne mit Hilfe von Geldkurieren, elektronischer Bargeldverteilung, E-Banking oder einer anderen Art von Geldwäsche in die Landeswährung um.
Es ist nicht schwer, Geldwäscher zu finden. Es gibt Dutzende bis Hunderte von Unternehmen, die darum wetteifern, einen großen Anteil an der illegal beschafften Beute zu bekommen. Sie würden sich wundern, wie wettbewerbsorientiert und öffentlich all die anderen Leute sind, die darum betteln, mit Internetkriminellen Geschäfte zu machen. Sie werben für “keine Fragen”, “kugelsicheres” Hosting in Ländern, die weit entfernt sind von der Reichweite gesetzlicher Vorladungen, und sie bieten öffentliche Bulletin Boards, Software-Specials, 24/7-Telefonsupport, Angebotsforen, zufriedene Kundenreferenzen, Anti-Malware-Vermeidungsfähigkeiten und all den Service, der anderen hilft, bessere Online-Kriminelle zu sein. Eine ganze Reihe dieser Gruppen erwirtschaftet jedes Jahr zweistellige Millionenbeträge.
Viele dieser Gruppen und die dahinter stehenden Personen wurden in den letzten Jahren identifiziert (und verhaftet). Ihre Social-Media-Profile zeigen glückliche Menschen mit großen Häusern, teuren Autos und zufriedenen Familien, die im Ausland Urlaub machen.
Stellen Sie sich die Grillpartys in der Nachbarschaft vor, bei denen sie Nachbarn und Freunden erzählen, dass sie ein “Internet-Marketing-Unternehmen” betreiben – während sie sich mit Social Engineering den Weg zu Millionenbeträgen bahnen, zum Entsetzen von IT-Sicherheitsexperten, die so ziemlich alles getan haben, um die Benutzer vor sich selbst zu schützen.
Bedrohung Nr. 3: Hacktivisten
Während die Anpreisung von Exploits in den Anfangstagen nicht ungewöhnlich war, versuchen die heutigen Cyber-Kriminellen, unter dem Radar zu fliegen – mit Ausnahme der wachsenden Legionen von Hacktivisten.
IT-Sicherheitsexperten müssen sich mit einer zunehmenden Anzahl von losen Zusammenschlüssen von Einzelpersonen auseinandersetzen, die sich dem politischen Aktivismus verschrieben haben, wie die berüchtigte Gruppe Anonymous. Politisch motivierte Hacker gibt es, seit es das Hacken gibt. Die große Veränderung besteht darin, dass mehr davon in der Öffentlichkeit stattfindet und die Gesellschaft es als eine akzeptierte Form des politischen Aktivismus anerkennt.
Politische Hackergruppen kommunizieren oft, anonym oder nicht, in offenen Foren und geben ihre Ziele und Hacking-Tools im Voraus bekannt. Sie sammeln weitere Mitglieder, tragen ihre Beschwerden an die Medien heran, um öffentliche Unterstützung zu gewinnen, und zeigen sich erstaunt, wenn sie für ihre illegalen Taten verhaftet werden. Ihr Ziel ist es, das Opfer so weit wie möglich in Verlegenheit zu bringen und negative Aufmerksamkeit in den Medien zu erregen, sei es durch das Hacken von Kundendaten, durch DDoS-Angriffe (Distributed Denial of Service) oder einfach dadurch, dass sie dem Unternehmen des Opfers zusätzlichen Ärger bereiten.
Politischer Hacktivismus zielt meist darauf ab, dem Opfer finanziellen Schaden zuzufügen, um dessen Verhalten zu ändern. Einzelpersonen können in diesem Kampf zu Kollateralschäden werden, und unabhängig davon, ob man an die politische Sache des Hacktivisten glaubt, bleiben die Absicht und die Methodik kriminell.
Bedrohung Nr. 4: Diebstahl geistigen Eigentums und Wirtschaftsspionage
Die meisten IT-Sicherheitsexperten müssen sich mit der großen Gruppe böswilliger Hacker auseinandersetzen, die geistiges Eigentum von Unternehmen stehlen oder reine Wirtschaftsspionage betreiben. Ihre Methode besteht darin, in die IT-Anlagen eines Unternehmens einzudringen, alle Passwörter auszulesen und im Laufe der Zeit Gigabytes an vertraulichen Informationen zu stehlen: Patente, neue Produktideen, militärische Geheimnisse, Finanzinformationen, Geschäftspläne usw. Sie geben wertvolle Informationen an ihre Kunden weiter, um sich finanziell zu bereichern, und sie bleiben so lange wie möglich im Netzwerk des kompromittierten Unternehmens verborgen.
Um ihre Früchte zu ernten, belauschen sie wichtige E-Mails, plündern Datenbanken und erhalten Zugang zu so vielen Informationen, dass viele begonnen haben, ihre eigenen bösartigen Suchmaschinen und Abfragetools zu entwickeln, um das Futter von dem interessanteren geistigen Eigentum zu trennen.
Diese Art von Angreifern ist als fortgeschrittene anhaltende Bedrohung (APT) oder entschlossener menschlicher Gegner (DHA) bekannt. Es gibt nur wenige große Unternehmen, die nicht erfolgreich durch diese Kampagnen kompromittiert wurden.
Bedrohung Nr. 5: Malware-Söldner
Unabhängig von den Absichten oder der Gruppe, die hinter dem Cyberverbrechen steht, muss jemand die Malware herstellen. In der Vergangenheit hat ein einzelner Programmierer Malware für den eigenen Gebrauch oder vielleicht zum Verkauf hergestellt. Heute gibt es Teams und Unternehmen, die sich ausschließlich der Entwicklung von Malware widmen, um bestimmte Sicherheitsmaßnahmen zu umgehen, bestimmte Kunden anzugreifen und bestimmte Ziele zu erreichen. Sie werden auf dem offenen Markt in Bieterforen verkauft.
Oft ist die Malware mehrstufig und komponentenweise aufgebaut. Ein kleineres Stub-Programm wird mit der anfänglichen Ausnutzung des Computers des Opfers beauftragt, und sobald es sicher platziert ist, um sicherzustellen, dass es einen Neustart überlebt, kontaktiert es einen “Mutterschiff”-Webserver für weitere Anweisungen. Oft sendet das anfängliche Stub-Programm DNS-Anfragen aus, um nach dem Mutterschiff zu suchen, das oft selbst ein kompromittierter Computer ist, der vorübergehend als Mutterschiff fungiert. Diese DNS-Anfragen werden an DNS-Server gesendet, bei denen es sich genauso gut um unschuldig infizierte Opfercomputer handeln kann. Die DNS-Server wandern von Computer zu Computer, genau wie die Webserver des Mutterschiffs.
Sobald sie kontaktiert werden, leiten DNS- und Mutterschiff-Server den initiierenden Stub-Client oft an andere DNS- und Mutterschiff-Server weiter. Auf diese Weise wird der Stub-Client immer wieder (oft mehr als ein Dutzend Mal) zu neu befallenen Computern geleitet, bis das Stub-Programm schließlich seine endgültigen Anweisungen erhält und das permanente Schadprogramm installiert wird. Diese Vorgehensweise macht es IT-Sicherheitsexperten sehr schwer, sich gegen ihre Waren zu verteidigen.
Bedrohung Nr. 6: Botnets als Service
Botnets sind nicht mehr nur für ihre Erfinder. Die heutigen Besitzer haben das Malware-Programm, das den Bot erstellt, höchstwahrscheinlich gekauft und nutzen das Botnetz entweder selbst oder vermieten es stundenweise oder nach einem anderen Maßstab an andere.
Die Methodik ist bekannt. Jede Version des Malware-Programms versucht, bis zu Zehntausende von Computern auszunutzen, um ein einziges Botnet zu schaffen, das nach den Vorgaben des Schöpfers arbeitet. Jeder Bot im Botnetz stellt schließlich eine Verbindung zu seinen Command-and-Control-Servern (C&C) her, um seine neuesten Anweisungen zu erhalten. Zu diesen Anweisungen gehört häufig die Übermittlung eines Ransomware-Programms. Es wurden Botnets mit Hunderttausenden von infizierten Computern gefunden.
Da es so viele aktive Botnets gibt (mehrere zehn Millionen infizierte Computer pro Tag), ist das Mieten von Botnets ziemlich billig, was für IT-Sicherheitsexperten noch mehr Probleme bedeutet.
Malware-Bekämpfer versuchen oft, die C&C-Server auszuschalten oder zu übernehmen, damit sie die sich verbindenden Bots anweisen können, ihre Wirtscomputer zu desinfizieren und zu sterben.
Bedrohung Nr. 7: All-in-one-Malware
Hochentwickelte Malware-Programme bieten oft All-in-one-Funktionen. Sie infizieren nicht nur den Endbenutzer, sondern dringen auch in Websites ein und verändern sie, um weitere Opfer zu infizieren. Diese All-in-One-Malware-Programme werden oft mit Verwaltungskonsolen geliefert, so dass ihre Besitzer und Schöpfer den Überblick darüber behalten können, was das Botnetz tut, wen es infiziert und welche Programme am erfolgreichsten sind.
Die meisten bösartigen Programme sind trojanische Pferde. Computerviren und Würmer sind schon lange nicht mehr die beliebtesten Arten von Schadprogrammen. In den meisten Fällen wird der Endbenutzer dazu verleitet, einen Trojaner auszuführen, der als notwendiger Antivirenscan, Festplatten-Defragmentierungstool oder ein anderes scheinbar wichtiges oder harmloses Dienstprogramm angepriesen wird. Die normalen Abwehrmechanismen des Benutzers werden getäuscht, da es sich bei der Webseite, die die bösartige ausführbare Datei anbietet, meist um eine vertrauenswürdige Website handelt, die der Benutzer schon oft besucht hat. Die Bösewichte haben die Website einfach mit einer Reihe von Tricks kompromittiert und ein paar Zeilen JavaScript eingefügt, die den Browser des Benutzers auf das Trojanerprogramm umleiten.
Bedrohung Nr. 8: Das zunehmend kompromittierte Web
Im Grunde genommen ist eine Website einfach ein Computer, genau wie ein normaler Arbeitsplatz für den Endbenutzer. Webmaster wiederum sind Endbenutzer wie jeder andere auch. Es ist nicht überraschend, dass das legale Web mit bösartigen JavaScript-Umleitungslinks übersät ist.
Die Zunahme der Angriffe auf Webserver ist nicht ausschließlich darauf zurückzuführen, dass die Computer von Webmastern ausgenutzt werden. Häufiger finden Angreifer eine Schwachstelle in einer Website, die es ihnen ermöglicht, die Administrator-Authentifizierung zu umgehen und bösartige Skripte zu schreiben.
Zu den häufigsten Schwachstellen von Websites gehören schlechte Passwörter, Cross-Site-Scripting-Schwachstellen, SQL-Injection, anfällige Software und unsichere Berechtigungen. Die Top-10-Liste des Open Web Application Security Project ist die Autorität, wenn es darum geht, wie die meisten Webserver kompromittiert werden.
In vielen Fällen ist es nicht der Webserver oder seine Anwendungssoftware, sondern ein Link oder eine Werbung, die gehackt wird. Es kommt häufig vor, dass Werbebanner, die oft von allgemeinen Werbeagenturen platziert und rotiert werden, infiziert werden. Manchmal kaufen die Malware-Typen sogar Werbeplätze auf beliebten Webservern.
Da sich viele der Übeltäter als Geschäftsleute aus seriösen Unternehmen mit Firmensitz, Visitenkarten und Spesenkonten ausgeben, ist es nicht immer einfach, die seriösen Werbequellen von den Bösewichten zu unterscheiden, die oft mit der Werbung für ein seriöses Produkt beginnen, um dann, nachdem die Werbekampagne angelaufen ist, den Link in der Anzeige gegen ein unseriöses Produkt auszutauschen. Eine der interessanteren Angriffe bestand darin, dass Hacker ein Karikaturensyndikat kompromittierten, so dass jede Zeitung, die die betroffenen Karikaturen erneut veröffentlichte, Malware einschleuste. Man kann nicht einmal mehr einem Cartoon trauen.
Ein weiteres Problem bei gehackten Websites ist, dass die Computer, auf denen eine Website gehostet wird, oft mehrere Websites hosten, manchmal Hunderte oder Tausende. Eine gehackte Website kann schnell zu Tausenden weiteren führen.
Egal, wie die Website gehackt wurde, der unschuldige Benutzer, der diese bestimmte Website vielleicht jahrelang ohne Probleme besucht hat, wird eines Tages aufgefordert, ein unerwartetes Programm zu installieren. Er ist zwar überrascht, aber die Tatsache, dass die Aufforderung von einer Website kommt, die er kennt und der er vertraut, reicht aus, um ihn dazu zu bringen, das Programm auszuführen. Danach ist das Spiel vorbei. Der Computer (oder das Mobilgerät) des Endbenutzers ist ein weiteres Rädchen im großen Botnetz eines anderen.
Bedrohung Nr. 9: Cyber-Kriegsführung
Nationale Cyber-Kriegsführungsprogramme sind eine Klasse für sich und nichts, womit die meisten IT-Sicherheitsprofis in ihrer täglichen Routine zu tun haben. Bei diesen verdeckten Operationen werden komplexe, professionelle Cyber-Kriegsführungsprogramme entwickelt, die darauf abzielen, Gegner zu überwachen oder gegnerische Funktionen auszuschalten. Wie Stuxnet und Duqu zeigen, können die Folgen dieser Methoden jedoch nicht nur für die beabsichtigten Ziele Konsequenzen haben. Inzwischen gibt es sogar Nationalstaaten wie Nordkorea, die ein Fortune-500-Unternehmen ausschalten und ausnutzen, weil ihnen ein bestimmter Film nicht gefiel.
Verbrechen und keine Strafe
Einige Opfer erholen sich nie von der Ausnutzung. Ihre Kreditwürdigkeit ist durch eine betrügerische Transaktion eines Hackers für immer geschädigt, die Schadsoftware nutzt die Adressbuchliste des Opfers, um sich an Freunde und Familienmitglieder weiterzuleiten, die Opfer des Diebstahls von geistigem Eigentum geben Dutzende von Millionen Dollar für Reparaturen und Präventivmaßnahmen aus.
Das Schlimmste daran ist, dass fast keiner derjenigen, die die oben genannten bösartigen Angriffe durchführen, erfolgreich strafrechtlich verfolgt wird. Die Berufsverbrecher im Internet leben auf großem Fuß, weil das Internet keine gerichtsverwertbaren Beweise liefern kann. Selbst wenn dies möglich wäre, leben die Verdächtigen außerhalb der Gerichtsbarkeit des Opfers. Die meisten Hacker sind standardmäßig anonym, und Spuren werden in Millisekunden verwischt und vertuscht. Im Moment leben wir noch in den Tagen des “wilden, wilden Westens” im Internet. Mit zunehmender Reife werden die kriminellen Zufluchtsorte austrocknen. Bis dahin haben die IT-Sicherheitsexperten alle Hände voll zu tun.