Bedrohung / Hackerangriffe 2014

Hackerangriffe 2014:

Neue Kleider oder alte Fetzen?

Schenkt man den ganzen Berichten über Cyberangriffe im letzten Jahr Glauben, könnte man meinen, die Unternehmen haben den Kampf gegen die Kriminellen längst verloren. Denn die Angriffe sind so perfide und mit so umfangreichen Ressourcen durchgeführt, da kommt im Prinzip keiner gegen an. Sieht man sich die Attacken aber genauer an, dann bleibt nur festzustellen: Es liegt auch an den Unternehmen selbst.

Von Sebastian Broecker, Frankfurt/Main

„Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann“. Dieses Zitat stammt von Wau Holland, einem der Gründungsmitglieder des Chaos Computer Clubs. Betrachtet man die zahlreichen Pressemeldungen des Jahres 2014, so war dies das Jahr der Toast zubereitenden Kaffeemaschinen. Selten wurde so viel über erfolgreiche Hackerangriffe auf große Firmen veröffentlicht wie im vergangenen Jahr.

Es sieht beinahe so aus, als hätten die Security-Experten der Unternehmen fast keine Chance mehr. Denn zahlreiche Attacken wurden zum Beispiel mit den eher großzügig bemessenen Ressourcen von Geheimdiensten durchgeführt. Doch wenn man sich näher mit den verschiedenen Angriffen auseinandersetzt, zeigt sich, dass es oft gar nicht an der Komplexität oder der Geschicklichkeit der Hacker lag. Die Ursache für eine erfolgreiche Attacke war eher simpel: Viele Unternehmen haben die Grundlagen der IT-Sicherheit missachtet und sich in falscher Sicherheit gewiegt.

Und die Liste der im vergangenen Jahr gehackten großen Firmen und Produkte ist lang. Dazu gehören die Europäische Zentralbank, Java.com, das Wall Street Journal, Autos der Marke Tesla, spanische Stromzählgeräte in Haushalten, die US-Post, JP Morgan, zahlreiche Prominente, das deutsche Zentrum für Luft- und Raumfahrt, Smart-TVs, fernsteuerbare Heizkörperthermostate und sogar eine türkische Erdöl-Pipeline. Die folgenden drei Fälle sind dabei besonders interessant:

  • Ebay, Mai 2014: Wie die Medien berichteten, gelang es unbekannten Angreifern, im Frühling 2015 wohl über gekaperte Mitarbeiterkonten Zugriff auf eine sehr große Zahl von Kundenkonten zu erhalten – man spricht von bis zu 146 Millionen Konten. Dabei erbeuteten die Datendiebe Kundeninformationen wie Name, E-Mail-Adresse, Postadresse, Telefonnummer, Geburtsdatum und das verschlüsselte Passwort.

  • Sony Pictures, November 2014: Dieser spektakuläre Angriff wurde in der Presse sehr intensiv besprochen, da er aufgrund der angeblichen Verwicklung Nordkoreas für sehr viele Schlagzeilen sorgte. Der Angriff bestand aus mehreren Teilen: dem Diebstahl verschiedener unveröffentlichter Kinofilme, der Drohung von Maßnahmen, falls ein Satirefilm über ein Attentat auf den nordkoreanischen Führer in die Kinos käme sowie der Totalübernahme aller Firmenrechner, sodass die Mitarbeiter über Tage, wenn nicht sogar über Wochen, nicht arbeiten konnten.

  • Deutsches Stahlwerk, Dezember 2014 (oder früher): Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Dezember 2014 meldete, gab es in diesem Jahr (ohne dass genauere Details genannt wurden) einen Angriff auf den Hochofen eines deutschen Stahlwerkes. Dessen IT-Infrastruktur wurde so manipuliert, dass ein geregeltes Herunterfahren des Hochofens nicht möglich war und er damit schwer beschädigt wurde. Die Angreifer arbeiteten sich dabei über die Internetverbindung von Bürorechnern zu den Steuerungsanlagen des Hochofens vor.

Immer sind es „Superhacks“

Bemerkenswert an den vielen Berichten über diese „Superhacks“ ist, dass oft ausländische Geheimdienste beziehungsweise andere Länder als Verursacher „identifiziert“ wurden. So waren es angeblich russische Hacker, die im letzten Jahr das NATO-Netzwerk angriffen [1], nordkoreanische Angreifer, die Sony Pictures so hart getroffen haben [2] und chinesische Hacker, die europäische Solarfirmen attackierten [3]. Nicht zu vergessen die brasilianischen Hacker [4], die aus Rumänien [5] und die aus Afrika.

Gerade bei Angriffen, die man nach Nordkorea, Russland und China zurückführt, wird oft von staatlich beauftragten „Superhackern“ gesprochen, die auf Ressourcen zurückgreifen, die weit über die Möglichkeiten von „normalen“ Hackern hinausgehen. Natürlich gibt es Angriffe, wie die Malware Stuxnet oder Regin, hinter denen staatlich beauftragte Hackerabteilungen stehen. In diesen beiden Fällen wurde die Schadsoftware sogar westlichen Geheimdiensten zugeordnet und nicht den oft von amerikanischen Quellen genannten Hackergruppen aus Asien. Allerdings muss man manche Dinge kritisch hinterfragen, zum Beispiel beim Fall Sony: Warum sollte im Rahmen eines Hacks durch den nordkoreanischen Geheimdienst das neue James-Bond-Script geklaut und veröffentlicht werden? Und könnten die Netze in Nordkorea wirklich mit dem Download von elf Terabyte Daten fertig werden? Ist es da nicht wahrscheinlicher, dass Sony generell Probleme mit der IT-Sicherheit hat? Man erinnere sich zum Beispiel an den groß angelegten Diebstahl von Musikdaten vor drei Jahren bei Sony oder den PlayStation-Network-Hack 2011, bei dem über 70 Millionen Kundendaten geklaut wurden. Auch hackte Anonymous im Jahr 2012 das Unternehmen gleich mehrere Male und 2011 veröffentlichten Cyberkriminelle den streng geheimen Playstation-3-Kryptokey bei Twitter. Zudem sei an den verbotenen Einsatz eines Rootkits in den von Sony produzierten Audio-CDs erinnert. Sieht man sich diese Liste sachlich an, liegt die Schlussfolgerung nahe, dass wohl keine „Superhacker“ nötig sind, um in die IT-Systeme des Konzerns einzudringen. Die Ursache scheint eher ein Fehler des Unternehmens bei der Umsetzung der IT-Sicherheitsrichtlinien zu sein.

Auch eine Analyse der öffentlichen Informationen zum oben genannten Angriff auf den Hochofen zeigt, dass hier eher ein Standardweg verwendet wurde. So benutzten die Cyberkriminellen wohl klassische Phishing-E-Mails, die sie an die Stahlwerk-Mitarbeiter mit Bürocomputern schickten. Sobald sie die Kontrolle über diese Rechner übernommen hatten, konnten die Angreifer eine zweite Schwäche ausnutzen: die Verbindung des Büronetzes zum industriellen Netz der Hochofensteuerung. Dieser Angriff, der zu einem hohen Schaden führte (ein ruinierter Hochofen!), nutzte also klassische menschliche Schwächen aus (Phishing-E-Mails), um dann Netzwerkdesignschwächen für den weiteren Angriff zu verwenden. Die Attacke auf Ebay lief möglicherweise ebenfalls über Phishing-Angriffe auf die Mitarbeiter, da immerhin bekannt ist, dass Mitarbeiterzugänge für den Datendiebstahl ausgenutzt wurden.

Ein anderes Beispiel ist die Attacke auf Java.com. Hier wurde jedoch nicht die fehlende Sensibilisierung der Mitarbeiter als Schwachstelle ausgenutzt, sondern vor allem die Technikimplementierung. Die schwächste Stelle war der Zulieferer für die Werbeanzeigen. Diesen hackte man, um in die Anzeigen dann Malware einzubauen. Ebenfalls über einen „Zulieferer“ wurde der Angriff gegen die US-Handelskette Target eingeleitet. Hier nutzten die Kriminellen den Fernzugriff eines Kühlsystemherstellers aus. So konnten sie bis Anfang 2014 circa 40 Millionen Kreditkartendaten stehlen.

Die technische Implementierung war auch bei den gehackten Stromzählern der Angriffspunkt. Hier wurden zum Beispiel in allen Stromzählern die gleichen(!) Kryptoschlüssel verwendet und die Identifizierungsnummer der Geräte war, wie das Newsportal Golem berichtete, technisch nicht gegen Manipulation geschützt. Das sind grundlegende Designfehler, die eigentlich nicht vorkommen sollten. Ein weiteres schönes Beispiel für eine mangelhafte technische Implementierung sind die in Österreich verwendeten „Begehkarten“, die Postboten, Bauarbeitern und der Feuerwehr als eine Art digitaler Schlüssel gewisse Zugänge zu Grundstücken ermöglichen sollen. Dieses System, das eigentlich fälschungssicher sein sollte, konnte 2014 mithilfe eines programmierbaren Skipasses kopiert werden [6].

Es bleibt also festzuhalten: Superhacker, unendliche Geheimdienstressourcen und ausländische Feindbildersind gar nicht nötig, um einen Angriff erfolgreich durchführen zu können.

Was lernen wir draus?

Untersucht man die Informationen über die verschiedenen „Superhacks“ des vergangenen Jahres, so stellt man fest, dass mehrere Kategorien von IT-Security-Fehlern existieren. Diese sind: Schwächen in der Awareness der Mitarbeiter (Phishing-E-Mails), technische Designschwächen (Verbinden des Büronetzwerkes mit dem industriellen Segment), Angriffe auf Drittanbieter (Fernwartung) und ein falsches Einschätzen der Gefahr beziehungsweise eine gewisse Management-Ignoranz gegen IT-Security-Belange. Somit scheint das „Hackerjahr 2014“ hauptsächlich nicht auf neue, völlig überraschende Zero-Day-Exploits zurückzuführen zu sein, sondern vor allem auf eine Nachlässigkeit der betroffenen Firmen bezüglich der IT-Sicherheit. Daher wird im Folgenden auf die verschiedenen bisher genannten Nachlässigkeitskategorien eingegangen.

Awareness

Als dieses Millennium noch recht neu war, war das Thema Awareness ein absolutes Hype-Thema. Firmen beschäftigten sich nun – manchmal erstmals – mit der Sensibilisierung von Mitarbeitern bezüglich der IT-Sicherheit. Jeder IT-Sicherheitsbeauftragte hielt hausinterne Vorträge zur IT-Security in der eigenen Firma, man entwarf Computer-Based-Trainings und versuchte ständig neue, noch kreativere Methoden zu finden, Mitarbeiter für das Thema zu faszinieren. So erinnert sich der Autor dieses Artikels sogar an eine Werbeveranstaltung, bei der ein 3D-Shooter artiges „Security CBT“ vorgestellt wurde, das besonderes Interesse wecken sollte! Und nun, ein Jahrzehnt später, ist Security-Awareness eher ein normales Prozessthema, wie die Schulungen zur Arbeitssicherheit oder Geldwäsche. Sicherlich kriegen nur wenige Security-Beauftragte zusätzliche Ressourcen – Geld, Zeit, Mitarbeiter – um „neue Kampagnen“ zu starten.

Eigentlich sollten die Standardthemen der Awareness in weiten Kreisen bekannt sein. So ist der erste dokumentierte Phishing-Fall etwa 20 Jahre her. Dennoch zeigen die obigen Beispiele und auch zahlreiche weitere Fälle von Hackerangriffen, dass diese Angriffsart auch heute noch erfolgreich durchgeführt wird. Eines der schwächsten Glieder in der Sicherheitskette ist immer noch der Mensch. Daher sollten wir IT-Sicherheitsexperten unsere Kampagnen überdenken und vielleicht wieder anfangen, sie interessanter zu gestalten – vielleicht mit solchen Fallbeispielen, die das Bewusstsein und das Interesse an IT-Sicherheit wecken.

Kurz: Wir brauchen einen neuen Awareness-Hype.

Designfehler

Wer sich für IT-Sicherheit interessiert, findet regelmäßig auf Sicherheitskongressen Beispiele für schwerwiegende Designfehler. Sei es bei der ungeschützten Kopplung von Netzen unterschiedlichen Schutzbedarfes, beim Implementieren von Kryptofunktionen oder beim Weglassen grundlegender Sicherheitsfunktionen. Vor einigen Jahren gab es ein schönes Beispiel in der Presse, nämlich Herzschrittmacher mit WLAN-Schnittstelle – damit der Herzschrittmacher ohne OP nachjustiert werden kann. Hier hatten die Ingenieure die Grundlagen der IT-Sicherheit, wie Authentifizierung, einfach mal weggelassen, sodass es theoretisch möglich wurde, mittels eines normalen WLAN-tauglichen Laptops hier hackend in den Herzschrittmacher einzugreifen. Dies mag zum einen daran liegen, dass Ingenieure von Herzschrittmachern keine IT-Experten sind und vermutlich im Studium nie das Wort „Authentifizierung“ in Zusammenhang mit WLANSchnittstellen gehört haben, aber auch der Kosten- und Zeitdruck beim Einführen neuer Produkte ist eine Ursache. Hinzu kommt, dass viele Hersteller von computernahen Geräten, dazu gehören Autos, Zutrittskarten, Herzschrittmacher und Medizintechnik, IT-Sicherheit nicht im Fokus haben. Diesen Herstellern scheint die Idee, dass jemand zum Beispiel einen Herzschrittmacher oder einen Automotor hacken könnte, als unrealistisch.

Das muss sich ändern und wir müssen endlich verstehen: Egal, was wir ans Netz hängen, andere wollen es.

Die Realität zeigt, dass alles, was gehackt werden kann, auch gehackt wird. Dazu gehören Herzschrittmacher, Spielzeugpuppen (Furby), Ampelanlagen, Mietfahrräder, das Weichenstellnetzwerk der Straßenbahn einer polnischen Stadt und, wie oben beschrieben, der Hochofen eines Stahlwerkes. Daher muss die IT-Sicherheit bei allen Prozessen, bei denen IT genutzt wird, stärker beachtet werden. Firmen, die computernahe Produkte herstellen, müssen, wenn sie langfristig überleben wollen, Experten hinzuziehen beziehungsweise einstellen, die sich um den Schutz der Anlagen, der Technik und der Netze kümmern. Hier brauchen wir eine Bewusstseinsänderung - und zwar dringend.

Schwäche von Dritten

Eigentlich sollten Dritte, wie Zulieferer, Fernwartungsbetreiber oder Werbebannerzulieferer, automatisch in Sicherheitsanalysen einbezogen werden. Denn eine Kette ist nur so stark wie ihr schwächstes Glied. Dies sollte eigentlich jedem Security-Experten klar sein. Dennoch titelte das Newsportal heise.de im Februar 2014 zum Hack der US-Handelskette Target: „Kassen der US-Handelskette Target über Hausmeisterzugang gehackt“. Diese Schlagzeile spricht für sich! Immerhin handelte es sich dabei um den Diebstahl von 40 Millionen Kreditkartendaten.

Daher sollten Security-Experten endlich sowohl Zulieferer allgemein, aber auch Fernwartungszugänge für die Zulieferer speziell, stärker in die Sicherheitsbetrachtungen einbeziehen – auch wenn es mehr Arbeit macht.

Ignoranz

In einem Zitat, das Konfuzius zugeordnet wird, heißt es: „Wirkliches Wissen ist, das Ausmaß der eigenen Unwissenheit zu erkennen“. Dieses Zitat beschreibt sehr gut das Hauptproblem der IT-Sicherheit, die Ignoranz der Beteiligten gegenüber möglichen Angriffen. Das geht von Projektleitern über das Management bis hin zu den Ingenieuren und manchmal auch zu den CISOs. Tagtäglich berichtet die Presse, von der normalen Printzeitung bis zum Magazin für Manager, über verheerende Hackerangriffe. Doch die meisten Beteiligten scheinen gerne eine Art geistiges „Warpschutzschild“ um sich zu tragen.

Erst vor wenigen Monaten sagte der CISO einer Firma, die nicht IT-lastige Dinge herstellt und einen Umsatz von fast zwei Milliarden Euro hat, zum Autor dieses Artikels, dass er nicht glaube, dass jemand die Firma angreifen würde, weil die Produkte, die sie herstellen, keinen Grund geben, diese Firma anzugreifen. Das war allerdings vor dem Hackangriff auf das deutsche Stahlwerk. Warum sollte jemand einen Hochofen beschädigen wollen, würde ich ihn heute fragen.

Auch diese Ignoranz muss aufhören: Wir müssen uns alle als potenzielle Ziele betrachten.

Dr. Sebastian Broecker ist CISO bei der Deutschen Flugsicherung und nebenberuflich als freier Autor/Journalist tätig.

Literatur

[1] Russen dringen über Windows ins Nato-Netz ein, Die Zeit, 14. Oktober 2014, www.zeit.de/digital/2014-10/russland-nato-hacker-microsoft-windows

[2] FBI sieht Beweise für Nordkoreas Schuld, tagesschau.de, 19. Dezember 2014, www.tagesschau.de/ausland/sony-the-interview-109.html

[3] Chinesische Hacker spähen deutsche Solarfirmen aus, top agrar online, 21. Mai 2015, www.topagrar.com/news/Energie-Energienews-Chinesische-Hacker-spaehendeutsche-Solarfirmen-aus-1451091.html

[4] Brasilien: Polizei sprengt internationalen Hacker-Ring, Deutsche Wirtschafts Nachrichten, 4. Juli 2014, http://deutsche-wirtschafts-nachrichten.de/2014/07/04/brasilien-polizei-spengt-internationalen-hacker-ring/

[5] Hacker-Hochburg in Rumänien, Deutsche Welle, 21. Januar 2013, www.dw.de/hacker-hochburg-inrum%C3%A4nien/av-16536597

[6] RFID-Begehcard: Mit dem Skipass in Wiens Wohnhäuser, golem.de, 2. Januar 2014, www.golem.de/news/rfidbegehcard-ohne-sicherheit-mit-dem-skipass-in-wienswohnhaeuser-1312-103616.html