Angriffe auf allen Ebenen

Eine weitere Erpressungsvariante, ist die Drohung mit dem Verlust der IT. Bei diesem besonders unangenehmen Angriffsvektor wird Verschlüsselungssoftware verwendet, so genannte Krypto-Ransomware. Sie verwandelt alle Datensätze in sinnlose Bitfolgen. Meist sind alle verfügbaren Festplatten betroffen. Verwendet wird starke Verschlüsselungssoftware; den entsprechenden Schlüssel gibt es nur gegen Geld oder Bitcoins. Diese virtuelle Währung kann später von den Tätern in eine reale Währung umgetauscht werden. Inden USA wurden bislang 1.000 solcher Erpressungen beobachtet.

Der Rat des FBI ist wenig ermunternd: Joseph Bonavolonta, Ermittlungsleiter beim FBI, riet 2015 auf einer Konferenz in Boston, das Lösegeld einfach zu bezahlen. Dem FBI sei es nicht gelungen, die Verschlüsselung aufzubrechen. An die Hintermänner der Angriffe ist schwer heranzukommen, da sie oft in Ländern beheimatet sind, die Hacker gewähren lassen, so lange sie nicht die eigenen Staatsbürger angreifen. Zu diesen Ländern sollen auch Russland und China gehören. „Bullet Proof Hoster“ stellen die nötige IT zur Verfügung. Diese „schußsicherern Server“ sollen, so garantieren die Betreiber, vor dem Zugriff der Polizeibehörden geschützt sein.

Im Sommer 2015 gelang es US-Computerexperten, über das Internet einen Geländewagen quasi fernzusteuern. Sie verschafften sich Durchgriffsrechte bis auf den so genannten CAN-Bus des Fahrzeugs, der auch lebenswichtige Systeme wie etwa Gas- und Bremse steuert. Einfallstor war eine Schwachstelle im Infotainmentsystem eines Geländewagens, das mit einem Funkmodul des GSM-Standards verbunden war. Diese Funktechnik wird auch von Mobiltelefonen verwendet. Der Fahrer verlor während der Fahrt die Kontrolle über den Wagen und die vermeintlichen Angreifer manövrierten den Geländewagen in einen Graben.

Zum Zeitpunkt des Angriffes befanden sich die Angreifer mehrere Kilometer entfernt vom Fahrzeug. Als Folge der Versuche rief der italienisch-amerikanische Autobauer Fiat Chrysler Automobiles (FCA) in den USA 1,4 Millionen Autos zurück. Betroffen waren Modelle der Marken Dodge, Ram und Jeep; es musste ein Update installiert werden. Die massive Reaktion des Herstellers ist in diesem Zusammenhang erwähnenswert, denn bereits vor über zehn Jahren hatten deutsche Sicherheitsexperten Angriffe auf den CAN-Bus, der praktisch bei allen modernen Fahrzeugen vorhanden ist, exakt beschrieben. Im Gegensatz zu den Experimenten in den USA hatten sie aber kein Fahrzeug aktiv gesteuert und medienwirksam in den Graben gesteuert. Dies geschah in den USA, allerdings unter kontrollierten „sicheren“ Umständen, um das Leben der Forscher nicht zu gefährden.

Im Jahr 2015 verdichteten sich zudem die Hinweise, dass auch Flugzeuge von Hackern übernommen und so aktiv gefährdet werden können. Angriffspunkt soll der unter anderem ein „Uninterruptable Autopilot“ sein, der jedes zivile Flugzeug in eine vom Boden fernsteuerbare Drohne verwandeln könne. Beweise für die Existenz dieser Vorrichtung bleiben allerdings vage. Das FBI beschuldigte im Mai den Sicherheitsexperten Chris Roberts, ein Flugzeug auf andere Art gehackt zu haben. Er selber hat mehrfach darauf hingewiesen, dass die an Bord von Flugzeugen eingesetzte Unterhaltungssysteme von Panasonic und Thales unsicher sind. Über Ethernet-Anschlüsse unter den Passagiersitzen könne man sich mit Standardpasswörtern Zugriff auf das Netz verschaffen und bis zu kritischen Flugzeugsystemen durchdringen, um die Steuerung des Flugzeugs zu beeinflussen. Belastungsfähige Beweise von unabhängigen Forschern fehlen bislang. Das Thema verschwand zudem sehr schnell aus den Medien.

Von ganz besonderer Qualität ist der Angriff auf die Netzwerkgeräte der Firma Juniper. Diese werden auch von US-Behörden eingesetzt und besaßen zudem eine spezielle Hintertür, um das Spionieren zu erlauben. Diese stammt vermutlich von der NSA und bestand in einem manipulierten Zufallsgenerator – eine Methode, mit de die NSA Erfahrung hat. Juniper erkannte die Hintertür aber, und verschloss sie. Ein bislang unbekannter Angreifer erkannte seine Chance und aktivierte die nach wie vor vorhandene, wenngleich deaktivierte Schwachstelle wieder. Wir groß der Schaden für die US-Behörden ist, wurde nicht bekannt.

Möglich wurde der Angriff, weil die US-Standardisierungsorganisation National Institute for Standardization and Technology bei der Definition des Zufallsgenerators „Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG)“ den Wünschen der NSA nach einer nicht mehr ganz zufälligen Zufallszahlenerzeugung entgegengekommen war. Sicherheitsexperten hatten vor solchen Szenarien seit langem gewarnt: Wer Schwachstellen einbaut statt sie bestmöglich zu verhindern, schneidet sich über kurz oder lang ins eigene Fleisch. Als möglicher Kollateralschaden kommt auch die deutsche Industrie in Betracht, denn die beschriebenen Zufallsgeneratoren sind unverzichtbarer Bestandteil von Verschlüsselungsalgorithmen, und die sollen beim Projekt „Industrie 4.0“ die Kommunikation zwischen den einzelnen Komponenten vor Spionage und Verfälschungen schützen.

Gefahr erkannt heißt noch lange nicht, Gefahr gebannt. Wer im August von der Sicherheitslücke „Stagefright“ gehört hatte, und nach einer Lösung suchte, fand schnell im Internet ein Firmware-Update. Das schloss allerdings nicht die Sicherheitslücke, sondern war ein Trojaner, der einen weitreichenden Fernzugriff auf das Android-Gerät erlaubt. Online-Ganoven konnten so Kreditkarten oder Bankzugänge erbeuten.

Generell vergehen oft Monate, bis Hersteller von IT-Produkten Schwachstellen beheben. Google setzt den Software-Anbietern eine 90-Tage-Frist, danach werden die gefundenen Schwachstellen veröffentlicht. 2015 musste Microsoft erfahren, dass es sich dabei nicht nur um ein Lippenbekenntnis handelt: Drei Zeroday-Lücken in Windows machte Google öffentlich, noch bevor Microsoft sie schließen konnte – wohl wissend, dass damit jeder Angreifer eine Blaupause erhielt, sie in Schadcode umzuwandeln und auszunutzen. Google will damit auch den schwungvollen Handel mit den „Zerodays“ unterbinden, denn die werden zu fünf- und sechsstelligen Beträgen angeboten.

Als Käufer treten durchaus nicht nur Kriminelle auf, sondern auch Behörden. „Das dazu unsere Steuergelder verwendet werden, ist ein Skandal“, meint Trend Micro Chief Technology Officer Raimund Genes. Wie alle Antivirenhersteller wünscht er sich, sämtliche Lücken sofort zu schließen und den Herstellern von Schutzprogrammen zur Verfügung zu stellen. Auf der dunklen Seite des Internets haben sich mittlerweile feste Handelsplätze etabliert, ähnlich wie bei eBay und Co. handeln und bewerten sich hier die Marktteilnehmer und wickeln ihre Geschäfte bei gegenseitigem Misstrauen über Treuhänder ab. Als Handelsware dienen neben Angriffswerkzeugen wie Trojanern auch frische Sicherheitslücken, die kein Virenscanner erkennt, Kreditkartennummern, persönliche Daten von realen Menschen mit guter Reputation oder auch Waffen und Drogen.

Flash-Player, eine in fast allen Browsern integrierte Software zum Abspielen von Videos, musste während des ganzen Jahres fortwährend Sicherheitslücken schließen: im Sommer mehr als 30 in einem Monat, im Dezember 77. Die Situation wurde als so bedrohlich angesehen, dass offiziell geraten wurde, das Plug-in zu deaktivierten. Damit macht Flash dem notorisch unsicheren Java Konkurrenz, das permanent Sicherheitswarnungen erzeugt. Das ist schlecht, aber es geht noch schlechter.

Industriesteuerungen werden noch ungenügender als Büro-PCs geschützt. 18 Monate dauert es nach Beobachtung von Hackern, bis ein Patch ausgeliefert wird. Die Qualität dieser Flicken lässt zudem oft zu wünschen übrig. Forscher fanden ein ganzes Horrorkabinett aus einfach überschreibbare Firmware, hardgecodete Developer-Passwörter sowie Webserver, die für mehr als zehn Jahre alte Exploits anfällig waren.