IT-Sicherheit

Ob Airbus oder Außenministerium – Wichtige Einrichtungen im Fadenkreuz der Hacker

Im Jahr 2019 seien sieben Millionen versuchte Angriffe auf das Berliner Landesnetz registriert worden, sagte der Berliner Innensenator Andreas Geisel (SPD) Anfang Februar in einem Interview mit dem RBB-Inforadio. Angesichts des „erheblichen Drucks“ plädierte Geisel für bessere technische Vorkehrungen und mehr Sensibilisierung von Beschäftigten. Vor dem in Berlin stattfindenden Europäischen Polizeikongress hat der Senator zu mehr Anstrengungen im Kampf gegen Cyberkriminalität aufgefordert. Wenige Tage zuvor war in der Presse noch gemeldet worden, dass der IT-Angriff auf das Berliner Kammergericht in seinem ganzen Ausmaß noch nicht erfasst worden ist.

Am 25. September vergangenen Jahres hatten Frühwarnsysteme des landeseigenen IT-Dienstleistungszentrum Berlin (ITDZ) auf den Rechnern des höchsten Berliner Gerichts verdächtige Datenströme bemerkt, die aus der Justizbehörde in das Berliner Landesnetz flossen. Rund eine Woche später ziehen Techniker die Notbremse. Das komplette IT-System des Gerichts wird vom Netz getrennt. Die Mitarbeiter des Kammergerichts können damit nicht mehr auf ihre E-Mails und andere gespeicherten Daten zugreifen. Internet und Intranet können nicht mehr benutzt werden. Am 8. Oktober heißt es dann, der Trojaner „Emotet“ habe die Gerichtscomputer infiziert, es sei jedoch ein Übergreifen auf andere Systeme der Berliner Verwaltung verhindert worden.

500 Computer müssen ausgetauscht werden

Nach vorübergehenden Beschwichtigungen der Behörde, teilte Ende Oktober 2019 Gerichtspräsident Bernd Bickel mit, dass mehr als 500 Computer ausgetauscht werden müssen. Ende Januar dieses Jahrs dann die Gewissheit, dass bei der Attacke entgegen früherer Beteuerungen doch Daten gestohlen worden seien. „Es ist insoweit davon auszugehen, dass durch die Schadsoftware Passwörter, wie beispielsweise Browserpasswörter, abgeflossen sind“, heißt es vonseiten der Justizverwaltung. Ein Pressefazit vom 31. Januar: „Noch immer arbeitet das Kammergericht aber mit nur 60 PCs. ‚Das höchste ordentliche Gericht in Berlin ist bis heute in seiner Arbeit eingeschränkt‘, sagt der rechtspolitische Sprecher der CDU-Fraktion, Sven Rissmann. Aktuell würden dort schlecht fotokopierte Vordrucke per Hand ausgefüllt. ‚Wir arbeiten auf dem Stand der 1980er Jahre.“

Am 4. Januar 2020 wurde ein schwerwiegender Angriff auf die IT-Systeme des österreichischen Außenministeriums offiziell bestätigt. Medienberichten zufolge dauerte der Angriff zumindest bis zum 17. Januar, vermutlich sogar darüber hinaus. Technische Details werden aus taktischen Gründen nicht mitgeteilt, heißt es. “Aufgrund der Schwere und der Art des Angriffs” vermutet das Ministerium einen “staatlichen Akteur” dahinter.

Trojaner Sodinokibi hat Dateien verschlüsselt

Ist es bei Angriffen auf Behörden meist das Ziel, sensible Daten zu erbeuten, werden Unternehmen vorrangig mit der Absicht attackiert, kriminellen Gewinn – zum Beispiel Lösegeldforderungen – zu erzielen. Dabei können natürlich auch erbeutete Daten über die Kunden eines Unternehmens ein Druckmittel darstellen.

Einen schweren Hacker-Angriff meldete Ende Januar der Automobilzulieferer Gedia mit Hauptsitz in Attendorn (NRW). Die Unternehmensleitung habe sich daraufhin für eine „sofortige, komplette Systemabschaltung“ entschieden. Aufgrund der Vernetzung sind auch die anderen Firmenstandorte in Polen, Ungarn, Spanien, China, Indien, USA und Mexiko davon betroffen. „Aus heutiger Sicht wird es Wochen und Monate dauern, bis alle Funktionsabläufe wieder vollständig hergestellt sind“, so das Unternehmen laut lokaler Presse. Offenbar hat ein Erpressungstrojaner viele Daten verschlüsselt, was dazu führte, dass viele Systeme derzeit nicht einsatzfähig sind. Deshalb wurden 350 Mitarbeiter in den Zwangsurlaub geschickt. Weltweit arbeiten rund 4300 Angestellte für das Unternehmen. Gedia geht davon aus, dass es noch Monate dauern wird, bis alles wieder planmäßig funktioniert. Laut „heise online“ gibt es Hinweise darauf, dass der Erpressungstrojaner Sodinokibi zugeschlagen und Dateien verschlüsselt hat. Die Erpresser drohen damit, wenn Gedia innerhalb von sieben Tagen nicht zahlt, die Daten zu veröffentlichen. Das Veröffentlichen von internen Daten ist schon seit Ende 2019 ein neues Druckmittel, damit Opfer Lösegeld zahlen.

Erpresser verlangen zehn Millionen Dollar

Ein Tochterunternehmen des französischen Bauriesen Bouygues Construction gab am 4. Februar dieses Jahres bekannt, dass es das Ziel eines erpresserischen Angriffs ist, der die Abschaltung ihres gesamten Computersystems verursachte. Die kanadische Cybersicherheitsfirma 8brains, hatte berichtet, wie aus französischen Medien hervorgeht, dass sie die Hacker kontaktiert und erfahren habe, dass diese „zehn Millionen Dollar“ verlangen, um die gestohlenen Dokumente nicht zu verbreiten.

„Cyberkriminelle perfektionieren ihre Methoden bei der Entwicklung, Erstellung und Durchführung von getarnten Angriffen mit zunehmender Präzision. Gleichzeitig sind sie immer häufiger in der Lage, die Sandbox-Technologie zu umgehen.“, so Bill Conner, Präsident und CEO des IT-Infrastruktur-Unternehmens SonicWall, das seinen Sitz in San José (Kalifornien) hat. „Heute ist es notwendiger denn je, dass Unternehmen Bedrohungen schnell erkennen und entsprechend reagieren können. Sonst laufen sie Gefahr, mit Kriminellen über das Lösegeld und die Bedingungen verhandeln zu müssen.“

Pro Tag bis zu 46 Millionen Angriffe

Würden Staaten wie China versuchen, in das Netzwerk von Airbus einzudringen, um Dokumente im Zusammenhang mit der Zertifizierung von Flugzeugen zu erhalten? Dies ist die Frage, die sich aus einer Untersuchung ergibt, die AFP am 26. September vergangenen Jahres veröffentlicht hat. Dies meldete das Fachportal l’Usinenouvelle.com. Der versicherte kaufmännische Leiter von Airbus, Christian Scherer, anlässlich der Auslieferung des A350 an Air France, dass die Gruppe „alle erforderlichen Maßnahmen“ ergreife. Die chinesischen Behörden haben die Anschuldigungen zurückgewiesen.

Der Cyber Threat Report 2020 der IT-Spezialisten umfasst Informationen und Analysen der gegenwärtigen Cyber-Bedrohungslandschaft. Zum Beispiel kommt man zu der Erkenntnis, dass Lösegeld-Angriffe gezielter erfolgen. Während das Gesamtvolumen an Ransomware (187,9 Millionen) 2019 um neun Prozent zurückgegangen sei, hätten gezielte Angriffe viele Staats- und Kommunalverwaltungen lahmgelegt und die E-Mail-Kommunikation, Webseiten, Telefonleitungen und sogar Postdienste blockiert.

Die Zahlen sind nur bedingt sensationell. Schon im Frühsommer vergangenen Jahres meldete die Telekom eine dramatische Zunahme von Cyber-Attacken, dass sie pro Tag bis zu 46 Millionen Angriffe auf ihre Infrastruktur registriert hatte. Dies sei ein rasanter Anstieg im Vergleich zum Vorjahr gewesen. 2018 habe die Spitze der Attacken bei höchstens 14 Millionen gelegen.

Auch das Internet der Dinge (IoT) sei eine Fundgrube für Cyberkriminelle. Sie setzten weiterhin bei ihren Lösegeld-Attacken auf gewöhnliche Geräte wie Smart-Fernseher, Elektroroller und intelligente Lautsprecher, auf alltägliche Dinge wie Zahnbürsten, Kühlschränke und Türklingeln. Forscher von SonicWall Capture Labs hätten einen leichten Anstieg der IoT-Malware um fünf Prozent, mit einem Gesamtvolumen von 34,3 Millionen Angriffen im Jahr 2019 festgestellt, heißt es in einer Presseveröffentlichung des Unternehmens.

BSI verweist auf norwegisches Beispiel

Ende Januar meldete die „Saarbrücker Zeitung“, dass auch der Kölner Chemiekonzern Lanxess Opfer eines Ackerlandes geworden ist. Die Schadsoftware sei „in der zweiten Hälfte des vergangenen Jahres“ in Teilen des IT-Netzwerks entdeckt worden, wie ein Unternehmenssprecher sagte. Der Konzern zeigte sich zurückhaltend, wollte sich zu den möglichen Tätern nicht äußern und betonte, es gebe keine Erkenntnisse, dass sensible, geschäftsrelevante Daten abgeflossen seien.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verweist in ihrem Bericht „Die Lage der IT-Sicherheit in Deutschland 2019“ auf die Gefährdungslage und kommt zur Schlussfolgerung: „Der Schwerpunkt der Cyber-Angriffe liegt aktuell im Bereich Cyber-Kriminalität“, um dann fortzufahren: „Ein typisches Beispiel dafür ist eine erneute intensive Ransomware-Kampagne Ende des Jahres 2018 und Anfang 2019. Als besonders schwerwiegender Cyber-Angriff ist der Vorfall bei einem norwegischen Aluminiumlieferanten zu verzeichnen. Am 19. März 2019 wurde der Konzern Opfer einer massiven Attacke mit der Ransomware LockerGoga. Betroffen waren die meisten Geschäftsfelder; die Produktion musste weitgehend auf manuellen Betrieb umgestellt werden. Allein dieses Beispiel zeigt: Ransomware stellt nach wie vor eine starke Gefährdung dar und verursacht große Schäden.“

Zudem muss das BSI einräumen, dass die Schadenerfassung oft sehr unpräzise ist. Das BSI erfahre, so heißt es in dem Lagebericht, von Datenabflüssen im Rahmen der Lagebeobachtung oder durch direkte Meldungen, beispielsweise durch Strafverfolgungsbehörden. Muss dann jedoch einschränken: „Allein auf Basis der Meldungen ist nicht unmittelbar erkennbar, ob es sich bei den Daten um qualitativ hochwertige Daten (Gültigkeit, Aktualität etc.) handelt. Oftmals kann die Qualität der in Umlauf gebrachten oder zum Verkauf angebotenen Datensätze auch bei längerer Analyse nicht zweifelsfrei geprüft werden. Wenn ein betroffener Dienstleister den Datenabfluss nicht bestätigt, ist zudem fraglich, ob die Daten tatsächlich aus dem vermeintlichen Abfluss stammen.“

Der globale Schaden durch Cyberkriminalität beläuft sich nach Angaben des Center for Strategic and International Studies vom Februar 2018 auf jährlich 600 Milliarden US-Dollar.

Bildnachweis: pixabay – Gerd Altmann

Avatar

Redaktion Prosecurity

Die ProSecurity Publishing GmbH & Co. KG ist einer der führenden deutschen Sicherheitsfachverlage. Wir punkten mit fachlicher Kompetenz, redaktioneller Qualität und einem weit gespannten Netzwerk von Experten und Branchenkennern

Kommentar hinzufügen

Kommentar schreiben