Cyber Crime: Das waren die größten Hackerangriffe 2018
Cyber Crime ist auf dem Vormarsch! Das Bundesamt für Informationssicherheit (BSI) warnt derzeit vor über 800 Millionen Schadprogrammen. Diese waren für teils spektakuläre Hackerangriffe im Jahr 2018 verantwortlich. Weder Großkonzerne noch Regierungsbehörden waren sicher. Zwar sind Angriffe mit Erpressersoftware in diesem Jahr zurückgegangen. Andere Angriffsmethoden haben aber deutlich zugenommen. Zusammen mit Ihnen blicken wir heute zurück: Auf die größten Hackerangriffe des Jahres 2018.
Hackerangriffe auf das Regierungsnetz
Das Regierungsnetz sollte eigentlich besonders sicher sein. Nichtsdestotrotz ist es Hackern gelungen, diese Schutzmauern zu überwinden. Ende Februar 2018 sind ausländische Hacker ins Datennetzwerk von Bund und Sicherheitsbehörden eingedrungen. Sowohl das deutsche Außen- als auch das Verteidigungsministerium sind mutmaßlich von der russischen Gruppierung „APT28“ angegriffen worden – die Beweislage ist jedoch schwierig. Erst später wurde bekannt, dass wohl die „Snake“-Gruppe alias „Turla“ (in anderen Ländern auch als „Uboruros“ bekannt) für den Angriff verantwortlich war. Dabei handelt es sich um eine Gruppe, die dem russischen Geheimdienst zugeordnet wird. Die Angreifer haben eine Schadsoftware eingeschleust und Daten erbeutet.
Schon im Dezember 2017 sollen deutsche Sicherheitsbehörden die Attacke erkannt haben. Schon da sei der Angriff eine Zeitlang gelaufen – vielleicht sogar das ganze Jahr über. Man habe das Datennetz der Bundesverwaltung (Informationsverbund Berlin-Bonn, IVBB) infiltriert.
Neben dem BSI hat auch das für Spionageabwehr zuständige Bundesamt für Verfassungsschutz (BfV) ermittelt. Als Auslandsgeheimdienst ist auch der Bundesnachrichtendienst eingebunden gewesen. Nutzer des IVBB sind der Bundesrechnungshof, das Bundeskanzleramt, die Bundesministerien, Sicherheitsbehörden, Bundestag sowie Bundesrat. Das IVBB ist von öffentlichen Netzen getrennt und soll so eigentlich ein sehr hohes Maß an Sicherheit gewährleisten.
Im Bundesministerium teilte man mit, man habe den Hackerangriff „isoliert und unter Kontrolle gebracht“. Ein Ministeriumssprecher erklärte: „An dem Vorfall wird mit hoher Priorität und erheblichen Ressourcen gearbeitet“. Offenbar suchten die Hacker nach gezielten Informationen, insbesondere im Auswärtigen Amt (AA). Im Verteidigungsministerium hat es offenbar keinen Datenabfluss aus den eigenen Netzen gegeben. Verschiedene Parlamentarier gaben an, dass das Veröffentlichen des Cyberangriffs die Täter gestoppt hätte. Genau rekonstruieren ließ sich jedoch nicht, was die Hacker genau erbeutet haben.
Nachdem sich die Lage beruhigt hatte, gab es Ende November neue Hackerangriffe auf Bundeswehr, Politiker und Botschaften. Erneut führte die Spur nach Russland. Offenbar wurden die E-Mail-Postfächer verschiedener Bundestagsabgeordneter angegriffen. Auf Anfrage teilte das Bundesamt für Verfassungsschutz (BfV) mit: „Das BfV hat im Rahmen der Bearbeitung der Cyberangriffskampagne ‚Snake‘ aktuell erneut Angriffe detektieren können. Die Opfer sind schwerpunktmäßig den Bereichen Staat und Politik zuzuordnen.“
Es ging den Hackern wohl weniger um die E-Mail-Konten des Bundestagsnetzes als um die der Parteien. Am 14. November wurde der letzte Angriff bemerkt. Es werde noch geprüft, ob Daten abgeflossen sind.
Sicherheitslücke bei Marriott
Ebenfalls Ende November 2018 meldete die Hotelkette Marriott ein massives Datenleck. Offenbar bestand dieses Leck bereits seit 2014. Dritte hätten auf Informationen über Gäste zugreifen können – auch auf Zahlungsdaten. Die Datenbank umfasst Daten von rund einer halben Milliarde Kunden. Arne Sorenson, Geschäftsführer von Marriott, erklärte: „Wir bedauern diesen Vorfall zutiefst“. Man habe die zuständigen Behörden eingeschaltet.
Die Hacker hatten es offenbar auf die Reservierungsdatenbank der Marriott-Tochter Starwood abgesehen. Gespeichert werden hier Informationen über Gäste; auch jene, die zu Tochtermarken (Sheraton Hotels & Resorts, Le Méridien sowie Westin Hotels & Resorts) gehören. Marriott selbst setzt auf ein separates Reservierungssystem, welches sich in einem anderen Netzwerk befinde, erklärte die Hotelkette.
Schon seit 2014 bemerkte man „unbefugten Zugang“ zum Starwood-Netzwerk. Eine Untersuchung zeigte, dass Unbekannte Informationen aus dem System kopiert und verschlüsselt haben. Betroffen sind bis zu 500 Millionen Gäste. In 327 Millionen Fällen waren die gespeicherten Informationen sehr umfangreich: Namen, Anschriften, Telefonnummern und E-Mail-Adressen, aber auch Passnummern, Geschlechter, Geburtsdaten, Ankunfts- sowie Abreisedaten und Kommunikationspräferenzen. Auch Zahlungskartennummern sowie Karten-Ablaufdaten hätten zu den kopierten Informationen gezählt.
Zwar seien die Zahlungskartennummern verschlüsselt hinterlegt gewesen, Marriott gab jedoch zu bedenken: „Für die Entschlüsselung der Zahlungskartennummern sind zwei Komponenten erforderlich, und Marriott konnte an dieser Stelle nicht ausschließen, dass beides entnommen wurde.“
Social-Media-Plattformen im Visier: Facebook gehackt
Ende September 2018 wurde bekannt, dass das weltgrößte Social Network Facebook einmal mehr mit einer Sicherheitslücke zu kämpfen hat. Millionen Nutzer waren betroffen: Die Accounts von fast 50 Millionen Facebook-Usern sind gehackt worden. User weltweit waren betroffen.
Facebook erklärte: „Wir haben umgehend Maßnahmen ergriffen, um die betroffenen Konten zu schützen und die Nutzer über die Ereignisse zu informieren.“ Nutzer sollten über ihren News Feed darüber informiert werden, dass womöglich Profilinformationen abgegriffen wurden. Facebook betonte seinerzeit, dass „keine Notwendigkeit“ bestünde, das aktuelle Passwort zu ändern.
Die Angreifer hätten keine privaten Nachrichten abgerufen. Auch wurde kein Fall bekannt, bei dem etwas im Namen des Users auf Facebook gepostet wurde. Nutzen User ihren Facebook-Login auch auf anderen Plattformen, so sind auch diese Accounts von der Attacke betroffen – beispielsweise Tinder, Instagram oder Airbnb.
Profil-Informationen wie Namen, Geschlecht oder Wohnort seien abgegriffen worden, wodurch die Attacke erst aufgefallen wäre. Ob die Hacker die Profil-Daten missbräuchlich verwendet haben, war unklar. Facebook-Gründer Mark Zuckerberg erklärte: „Wir wissen nicht, wer hinter dieser Attacke steckt“. Die Angreifer sind den Passwortschutz offenbar umgangen. Sie hatten die digitalen Schlüssel zu den User-Accounts gestohlen und kamen somit in die Profile, ohne ein Passwort verwenden zu müssen.
Datendiebstahl bei Fitness-App
Ende März 2018 wurde ein ebenfalls größerer Fall bekannt: Hacker erbeuteten Daten von 150 Millionen Accounts der Abnehm-App „MyFitnessPal“. Verantwortlich für die App ist der US-Sportartikelhersteller Under Armour. Das Unternehmen vermutete, dass die Hacker neben Nutzernamen und E-Mail-Adressen auch Passwörter erbeutet haben. Sensiblere Informationen wie Zahlungsdaten seien wohl nicht dabei gewesen.
Zusammen mit Datensicherheitsfirmen und Aufsichtsbehörden habe man den Fall aufgearbeitet. Die App soll beim Erreichen von Diät- und Trainingszielen unterstützen. Nutzer wurden angehalten, ihr Passwort sofort zu ändern. Schon im Februar fand der Angriff statt, bemerkt wurde der Vorfall jedoch erst Ende März.
Noch Fragen? Hacker auf Quora
Anfang Dezember 2018 kam eine weitere Meldung zu einem Hackerangriff: Das Frage-und-Antwort-Portal Quora.com wurde gehackt. Betroffen waren 100 Millionen Nutzer. Das bedeutet: Jeder zweite Quora-User wurde zum Opfer des Hacks. Die Hacker verschafften sich Zugriff auf die Namen, E-Mail-Adressen und Passwörter der User – Letztere waren immerhin kryptografisch gesichert.
Unternehmens-Mitgründer und -Chef Adam D’Angelo schrieb im Quora-Blog: „Wir haben sicherzustellen, dass so etwas nicht passiert, und wir haben dabei versagt.“ Um den Vorfall zu untersuchen, seien die Polizei sowie eine IT-Sicherheitsfirma involviert.
Passwörter werden auf Quora mittels Salt und Hash-Funktion kryptografisch gesichert. Salt funktioniert, kurz erklärt, so, dass jedes Passwort mit Zufallsdaten angereichert wird. Anschließend wird der Wert in eine schwerlich rückwärts zu rechnenden Operation in eine zufällig anmutende Folge von Zeichen umgewandelt.
Nichtsdestotrotz hat Quora die betroffenen User per E-Mail kontaktiert, sie ausgeloggt und gebeten, neue Passwörter zu vergeben. Mit speziellen Cracking-Programmen könnte es nämlich möglich sein, selbst gehashte Passwörter zu knacken.
Die größte DDoS-Attacke aller Zeiten
GitHub ist ein Online-Dienst für Software-Entwicklungsprojekte. Ende Februar 2018 sah sich der Dienst mit einer DDoS-Attacke konfrontiert – und zwar mit der bislang heftigsten dokumentierten mit sagenhaften 1,35 Terabit pro Sekunde. Die Website war für mehrere Minuten nicht mehr erreichbar. In einem Statement versicherten die Verantwortlichen, dass Nutzerdaten zu keinem Zeitpunkt gefährdet gewesen seien.
Die GitHub-Server wurden während des Angriffs mit Datenraten von bis zu 1,35 Terabit pro Sekunde überfordert – ein absoluter Rekordwert! GitHub schaltete seinen hauseigenen DDoS-Schutzdienstleister Akamai ein, um den Angriff in den Griff zu bekommen. Schon nach wenigen Minuten war die Situation wieder unter Kontrolle.
Die soweit unbekannten Angreifer setzten auf eine neue DDoS-Angriffstechnik. Dabei werden Memcached-Server missbraucht, um die Ziel-Website mit Traffic regelrecht zu bombardieren. Memchached-Server sind oft öffentlich erreichbar. Angreifer können die Antworten der Server als DDoS-Traffic missbrauchen und leiten ihn dann zur Ziel-Website um. GitHub hat in der Folge des Angriffs angekündigt, die hauseigene DDoS-Abwehr zu optimieren. Man wolle erreichen, dass notwendige Schutzmechanismen automatisiert anspringen.
Fazit zu den Hackerangriffe 2018 und die Bedrohungen
Sie sehen: Ein Hackerangriff richtet nicht nur viel Schaden an, sondern es ist oftmals auch schwer bis unmöglich, die Verantwortlichen zur Rechenschaft zu ziehen. Es gibt jedoch auch Positiv-Beispiele, in denen es gelungen ist, dem Hacker das Handwerk zu legen. Im März 2018 gelang es beispielsweise, den Kopf der Carbanak-Cyber-Gruppe festzunehmen. Über mehrere Jahre erbeutete die Gruppe mit Phishing-Mails mehr als eine Milliarde Euro von mehr als 100 Banken in etwa 40 Ländern.
Und was erwartet uns im kommenden Jahr? Security-Experten sehen unter anderem folgende Bedrohungen:
- Crypto-Mining: Ein krimineller Trend, der bereits 2018 begonnen hat. Es ist davon auszugehen, dass diese Bedrohung in 2019 weiter steigen wird.
- Skimming: Bei dieser Masche werden Daten mittels Man-in-the-middle-Angriff ausgelesen.
- Botnet: Ein Botnet ist nicht neu – bekanntester Vertreter ist das Mirai Botnetz. Angreifer schließen unabhängige Computer zu einem System zusammen – ohne Zustimmung des Computer-Inhabers. So entstehen große Netzwerke, die hohen Schaden anrichten können.
- DDoS-Attacken: Schon seit Jahren sind DDoS-Attacken eine große Bedrohung. Jedoch existieren Schutz- und Abwehrmechanismen.
- Ransomware: 2017 war das Jahr der Erpressungstrojaner. Zwar ging die Anzahl dieser Trojaner in 2018 zurück, allerdings ist die Gefahr längst nicht vorbei. Auch in 2019 dürfte es Angriffswellen mit Erpressungstrojanern geben – das Geschäft ist zu lohnend für Cyberkriminelle.
- Cloud-Angriffe: Die Digitalisierung schreitet voran, es gibt kaum ein Unternehmen, das nicht auf die Cloud setzt. Umso größer wird auch das Risiko für Cloud-Angriffe.
- E-Mail-Attacken: Auch Phishing ist keine neue Masche. Allerdings werden die Methoden immer perfider, wie wir jüngst in unserem Beitrag „Spear Phishing mit Emotet“ darstellen konnten.
- Malware: Für private Nutzer, aber auch für Unternehmen aller Größenordnungen ist Malware ein Problem. Besonders betroffen sind Unternehmen mit Schatten-IT.
Die größten Risiken ergeben sich jedoch immer aus Sicherheitslücken, wie unsere Zusammenfassung der größten Hackerangriffe 2018 zeigt. Gäbe es keine Sicherheitslecks im Regierungsnetz oder bei Facebook, wären die Daten sicherlich nicht oder aber mit deutlich höherem Aufwand erbeutet worden.
Das ist der Grund, weshalb Investitionen in die IT-Sicherheit in 2019 wichtiger denn je werden. In einer Zeit des Überangebots ist es wichtig, das Kundenvertrauen nicht zu verspielen. Wichtige Maßnahmen zum Schutz vor Hacking sind beispielsweise Code-Signing-Zertifikate. Dabei handelt es sich um eine digitale Signatur, durch die die Identität von Software-Entwicklern sowie die Integrität von Programmcodes bestätigt werden kann. Um den ungewollten Datenabfluss zu verhindern und die elektronische Korrespondenz zu schützen, sind E-Mail-Zertifikate das Mittel der Wahl. Neben solch technischen Schutzmaßnahmen dürfen Unternehmen eines nicht vergessen: Wenn die Mitarbeiter nicht in IT-Sicherheit geschult sind, werden sie selbst zum Risiko. Deshalb sind Awareness-Maßnahmen unabdingbar.
Schreibe einen Kommentar