IT-Sicherheit braucht Alternativen – Zeit zu agieren

Immer mehr Cyberangriffe: Mit Open Source gegen Hacker

Von Rico Barth, Geschäftsführer cape IT

In Deutschland wurde im Juli 2021 der erste Cyber-Katastrophenfall ausgelöst. Doch das ist nur der bisherige Höhepunkt einer langen Kette von Hackerangriffen. Die letzten Monate haben gezeigt, wie ernst die Situation geworden ist: In Deutschland und der ganzen Welt nehmen die Hackerangriffe zu. Mit immer neuen Methoden schaffen es die Cyberkriminellen an den herkömmlichen Sicherheitsmaßnahmen vorbeizukommen. Eine Abwehrmethode, die Experten vorschlagen, wird aber noch viel zu selten eingesetzt: Open Source

Cybercrime 2.0

Auf die traditionellen Methoden der Hacker sind viele Menschen heute sensibilisiert. Nicht auf seltsame Mails oder verdächtige Dateianhänge zu reagieren, ist in den Köpfen der meisten Leute angekommen. Deshalb haben sich die Cyber-Kriminellen neue Vorgehensweisen ausgedacht. Dazu gehören etwa sogenannte Distributed-Denial-of-Service-Angriffe (DDoS). Denial of Service bedeutet so viel wie etwas unzugänglich machen oder außer Betrieb setzen. Bei DDoS-Attacken wird ein Server gezielt mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr bewältigen kann und im schlimmsten Fall zusammenbricht.  Auf diese Art wurden schon bekannte Web-Server wie zum Beispiel Amazon, Yahoo oder auch eBay, mit bis zur vierfachen Menge des normalen Datenverkehrs massiv attackiert und außer Gefecht gesetzt.  So bekommen die Hacker Einblick in die Gegenmaßnahmen und können beim nächsten Mal gezielt zuschlagen. 2020 war bereits ein Rekordjahr mit tausenden solcher Attacken. Im ersten Halbjahr 2021 ist die Zahl um ein weiteres Drittel im Vergleich zum Vorjahr gewachsen.

Einigen Hackern geht es nur darum, den Betrieb eines Unternehmens mit solchen Angriffen zu stören. Doch viel häufiger haben sie es auf die wertvollen Daten abgesehen, um einen Erpressungsversuch zu starten. Sind diese erst einmal komplett oder teilweise verschlüsselt, müssen betroffene Unternehmen entweder auf die Forderungen eingehen oder z.B. mit Hilfe einer Sicherheitsfirma versuchen, wieder Zugriff auf ihre Daten zu bekommen.

Zugang bekommen die Cyberkriminellen heute über verschiedene Methoden. Dazu gehört etwa das Erstellen von HTTPS-Seiten. Diese Transportverschlüsselung sorgt eigentlich für eine sichere Übertragung, so dass die ahnungslosen Opfer unbekümmert ihre Daten eingeben. HTTPS (Hyper Text Transfer Protocol Secure) ist nämlich ein Protokoll, mit dem eigentlich eine gesicherte Verbindung zwischen Server und Client aufgebaut werden soll, die nicht von Unbefugten abgehört werden kann, sobald der User die URL mit Enter bestätigt.

Auch sogenannte Social-Engineering-Angriffe tauchen seit Corona verstärkt auf. Dabei machen sich die Täter Themen von großer gesellschaftlicher Relevanz zu Nutze und verschicken E-Mails, die angeblich über Corona-Maßnahmen informieren. Beim Social Engineering versucht der Hacker das Vertrauen des Opfers zu gewinnen und ihn so zum Beispiel zur Preisgabe von vertraulichen Informationen oder zur Freigabe von Kreditkartendaten und Passwörtern zu bewegen.

The new normal

Wir müssen uns leider daran gewöhnen, dass Hackerangriffe inzwischen zu unserem Alltag gehören. Lange Zeit haben es nur die brisantesten Fälle in die Medien geschafft, doch der Anstieg der Attacken hat dafür gesorgt, dass es schon fast zu einem Dauerthema wurde. Regelmäßig erfahren wir von lahmgelegten Systemen und Lösegeldforderungen. Ein unvollständiger Rückblick:

Im Herbst 2020 erwischte es das Universitätsklinikum Düsseldorf. Vermutlich unabsichtlich, denn laut Polizei hatten es die Täter eigentlich auf die Heinrich-Heine-Universität abgesehen. Trotzdem wurde später ein sogenannter Loader, welcher dazu dient ausführbare Programme in den Arbeitsspeicher zu laden und auszuführen, im System der Uniklinik gefunden. Mithilfe des Loaders wurde  die Schadsoftware, die in die Computersysteme eindringt und für Störungen sorgt, aufgespielt – in diesem Fall die Malware DoppelPaymer. Weil dieses Programm schon oft von russischen Hackern benutzt wurde, vermutet das nordrhein-westfälische Justizministerium eine Verbindung nach Russland.

Wie hart so ein Hackerangriff das tägliche Leben treffen kann, zeigen folgende Beispiele. Im Februar 2021 etwa wurde eine Trinkwasseranlage in Florida Opfer einer Cyberattacke. Nachdem die Täter Zugriff auf die Systeme der Anlage erlangt hatten, erhöhten sie den Anteil des Natriumhydroxids (NaOH) auf ein gefährliches Level. Mit diesem Mittel lassen sich Metalle aus dem Wasser entfernen und der Säuregehalt kontrollieren. In zu hohen Mengen ist NaOH jedoch gesundheitsschädlich. Mitarbeiter der Anlage konnten die Störung rechtzeitig erkennen und beheben.

Glück im Unglück hatte auch der EDAG-Konzern, der im Bereich Ingenieurdienstleistungen aktiv ist, als Hacker im März 2021 mitten in der Nacht in die Systeme eindrangen. Kollegen in den USA waren noch im Dienst und bemerkten den Zwischenfall. Trotzdem war das IT-Netzwerk beeinträchtigt und wurde für mehrere Tage heruntergefahren, um Kundendaten zu schützen.

JBS, der weltweit größte Fleischkonzern, hatte im Juni 2021 mit einer Cyberattacke zu kämpfen. Die Produktion in den USA und Kanada wurde beeinträchtigt, in Australien sogar komplett lahmgelegt. Auch hier vermuten die Ermittler eine Verbindung zu russischen Hackern. Die Verantwortlichen von JBS gaben den Lösegeldforderungen nach und überwiesen rund elf Millionen Dollar in Bitcoins, um wieder Zugriff auf ihre Systeme zu erhalten. Diese virtuelle Währung wird bei Hackern immer beliebter.

Auf Bitcoins hatte es auch die Hackergruppe REvil abgesehen, die im Juli 2021 auf das zur Verwaltung aller Computer ausgelegte Desktop-Management-Tool VSAder US-Firma Kaseya, einen Angriff startete. Tausende Unternehmen waren davon betroffen, nach Angaben von REvil mehr als eine Million Computer. Die schwedische Supermarkt-Kette Coop musste daraufhin vorübergehend fast alle Filialen schließen. Umgerechnet 70 Millionen Dollar verlangten die Hacker, doch Kaseya rettete sich durch das Einschalten einer Firma für Cybersicherheit.

Und dann gab es schließlich den ersten Cyber-Katastrophenfall in Deutschland. Die Verwaltung des Landkreises Anhalt-Bitterfeld hatte nach einer Attacke im Juli 2021 keinen Zugriff mehr auf ihre Rechner. Für die knapp 160.000 Einwohner bedeutete dies: Kein Elterngeld oder andere Sozialleistungen, keine Bearbeitung von Bauanträgen, keine Zulassungen von Autos und so weiter. Die Kommune rief den Katastrophenfall aus, um schnell andere Institutionen einbeziehen zu können und das Problem ohne langen Dienstweg zu lösen.

Zwischen KRITIS und Wahlkampf

Gefährlich wird es, wenn durch Cyberangriffe Menschenleben auf dem Spiel stehen. Vermutlich sind gerade deshalb in den vergangenen Jahren auch immer öfter Krankenhäuser ins Visier von Hackern geraten – zuletzt im Juli 2021 das Wolfenbütteler Krankenhaus. Kliniken sind für Hacker ein beliebtes Angriffsziel, weil ein Ausfall von IT oder vernetzter Medizintechnik lebensbedrohlich werden kann – und dies bei einem Teil der Kritischen Infrastruktur einfach nicht passieren darf. Solche Einrichtungen müssen unter allen Voraussetzungen funktionieren. Wie beim Beispiel der Uniklinik Düsseldorf, das eine lebensbedrohlich erkrankte Patientin abweisen musste, weil die Systeme nicht funktionierten. Die Frau musste in ein anderes Krankenhaus verlegt werden und die Behandlung konnte erst eine Stunde später beginnen. Zu spät. Die Patientin verstarb. Aber auch Patientendaten oder Patente gehören zur beliebten Beute der Hacker. In solchen Fällen sind die betroffenen Einrichtungen oft schneller geneigt, auf eventuelle Erpressungen einzugehen und für die Freigabe der Systeme zu zahlen.

Wie gut, wenn es – in Anführungszeichen – nur um Geld geht. Kleinere Firmen, deren Systeme betroffen sind, können vorübergehend auf altbewährte Mittel umstellen und etwa eine Inventur mit Stift und Papier erledigen. Auf Dauer ist das aber natürlich keine Lösung, und für Global Player ist es überhaupt keine Alternative. Vor allem der Finanzsektor steht oft vor großen Problemen, wenn es um Cybersecurity geht. Diese Unternehmen, die meist über ganze Kontinente vernetzt sind, setzen aber auch heute noch oft auf veraltete Software und es dauert lange, bis Sicherheitslücken geschlossen werden können.

In der Weltpolitik sind Hacker inzwischen auch angekommen. Das zeigte sich schon bei den letzten US-Wahlkämpfen, als die russische Hackergruppe Strontium E-Mails von Demokraten veröffentlichte. Auch bei deutschen Sicherheitsbehörden steigt die Nervosität wegen der anstehenden Bundestagswahl im September. Gestohlene Daten könnten zu gezielten Desinformationskampagnen führen und die Wahl so beeinflussen. „Hack & Leak“ nennen die Geheimdienste solche Aktionen. China, Russland und andere Staaten investieren viel, um Einfluss auf die politische Bühne zu gewinnen.

Kapitulation oder Planänderung?

Eines muss uns klar sein: Vor Cyberangriffen wird es nie eine absolute Sicherheit geben. Neue Schadprogramme und Abwehrmaßnahmen sorgen für ein ständiges „Katz und Maus-Spiel“ zwischen Tätern und Sicherheitsexperten. Antiviren-Programme und Firewalls sind Standard bei Behörden, Unternehmen oder privaten Computern. Doch IT-Profis empfehlen schon lange, verstärkt auf Open Source-Software zu setzen.

Was ist das überhaupt? Der Quellcode bzw. source code ist die Grundlage jeder Software – er beinhaltet die verschiedenen Befehle und Funktionen des Programms. In der digitalen Steinzeit war Code noch der geheime Schatz der verschiedenen Unternehmen und Entwickler. Vor allem durch Linux und das GNU-Projekt wird der Quellcode seit den 1980er Jahren aber vermehrt allen Nutzern frei zugänglich gemacht. Sie können ihn einsehen, nutzen und editieren.

Durch die Zusammenarbeit vieler Menschen und ganzer Communities können Schwachstellen schnell ausgemacht und behoben werden. Natürlich auch durch die Unterstützung großer Unternehmen, die hinter solchen Open Source-Softwares stehen. Im Gegensatz zu geschlossenen Systemen, liegt meist nicht viel Zeit zwischen Entdeckung und Korrektur. Das hätte vielleicht auch den Verantwortlichen der Uniklinik Düsseldorf geholfen. In einer Pressemitteilung schrieb das Krankenhaus: „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen.“

Mit dem entsprechenden technischen Wissen ist es jedem User möglich, den Quellcode zu verändern. Das klingt zunächst so, als wäre es auch ein perfektes Einfallstor für Hacker. Doch das Gegenteil ist der Fall: Durch die Augen vieler Entwickler und Softwarehersteller können Bedrohungen präventiv ausgeschlossen werden. Aufgrund der Möglichkeit zur Auditierung können unabhängige Sachverständige Einfallstore schnell erkennen und versiegeln. Dies ist im Zusammenspiel mit einer Managementsoftware besonders effektiv. Mögliche Störungen in der IT werden erfasst, nachverfolgt und dokumentiert. Deshalb setzen wir mit unserem Programm KIX schon von Beginn an auf Open Source.

Dass Open Source die Zukunft ist, bestätigt jetzt auch das europäische GAIA-X-Programm. Dieses Gemeinschaftsprojekt von Deutschland, Frankreich und weiteren Partnern aus Europa soll für eine leistungsstarke und sichere Dateninfrastruktur sorgen. Um in Wirtschafts- und Securityfragen zukunftssicher aufgestellt zu sein, empfehlen die beteiligten Vertreter den vermehrten Einsatz von einheitlichen Daten, Cloud-Technologien – und eben auch Open Source.

Die Möglichkeiten, Hackern das Leben schwer zu machen, sind also vorhanden. Wie bei den traditionellen Sicherheitsmaßnahmen braucht es aber mehr Aufklärungsarbeit, damit Open Source bei den Verantwortlichen ankommt. Die IT-Branche ist dafür bereit. Jetzt ist die Zeit zu agieren, statt zu reagieren.

Weitere Informationen:

Virtuelle Pressemappe: box.com/capeit

Webseite: kixdesk.com

Über cape IT:

Die cape IT GmbH ist Hersteller und Dienstleister für die eigene Open Source Service Software KIX, die vielseitigen Einsatz, vor allem im technischen Service & IT Service Management findet. Dabei liegt der Fokus auf der individuellen Unterstützung bei Analyse, Implementierung und Anpassung an kundenspezifische Anforderungen.

Das Unternehmen mit Sitz in Chemnitz wurde 2006 als Spin Off eines international tätigen IT-Systemhauses gegründet. cape IT beschäftigt aktuell über 45 erfahrene, ITIL-zertifizierte Mitarbeiter an 2 Standorten und engagiert sich in den Branchenverbänden der Open Source Business Alliance, BITKOM und itSMF.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*