Warum es so schwierig ist, sich vor
Hackerangriffen zu schützen
Die meisten Attacken zielen auf Menschen – und somit das schwächste
Glied in der Sicherheitskette
Die meisten Attacken zielen auf Ihre
Informationen
Es ist nicht möglich, sich mit
100-prozentiger Sicherheit vor einem Hackerangriff zu schützen.
An sich haben die Ransomware-Angriffe auf
Solar Winds, JBS und Colonial Pipelines mit der Spyware-Affäre rund um
Pegasus nicht viel gemeinsam. Schon alleine wegen der Vorgehensweisen
und Taktiken, aber auch wegen der verfolgten Ziele. Während in letzterem
Fall Politiker, Aktivisten und Journalisten durch autoritäre Staaten
abgehört wurden, handelt es sich bei ersterem um Erpressung von
Privatunternehmen durch ebenfalls private Gruppierungen. Die Akteure
handeln jedoch nicht unabhängig voneinander, stattdessen vermischt sich
der Schattenmarkt immer stärker mit staatlich gestützten Aktivitäten.
Und: Auch heute zielen die meisten Attacken auf den Menschen – und somit
das schwächste Glied – ab. Zumindest in dieser Hinsicht scheinen sich
die Fälle zu gleichen.
Doch was heißt das genau? Und warum ist es
quasi unmöglich, sich mit 100-prozentiger Sicherheit zu schützen? Dafür
muss man einen Schritt zurück machen und darauf eingehen, wie in beiden
Fällen vorgegangen wird.
Ransomware kommt dann zum Einsatz, wenn
möglichst große Geldsummen erbeutet werden sollen. Hingegen stecken
hinter Spyware meist staatliche Bemühungen – und wegen großer Budgets
auch entsprechend ausgeklügelte Vorgehensweisen und Taktiken: "Meistens
geht es dabei um Zero-Clicks, das heißt, es werden Sicherheitslücken
ausgenutzt, ohne dass das Angriffsziel es bemerkt. Dafür werden
üblicherweise Zero-Day-Lücken ausgebeutet", erklärt Oded Vanunu, Chief
of Product Vulnerability beim israelischen Cybersecurity-Unternehmen
Check Point im STANDARD-Gespräch. Im Falle der NSO-Affäre zeigt sich
jedoch, dass Staaten die Software-Lösungen nicht unbedingt selbst
entwickeln, sondern von Privatanbietern zukaufen. Hier habe sich ein
riesiger Markt entwickelt, so Vanunu.
Unbekannte Gefahr Zero-Days (die im Rahmen des Solar-Winds- und
Microsoft-Exchange-Hacks besondere Bekanntheit erlangten) sind
Sicherheitslücken, die selbst die Entwickler bisher nicht entdeckt haben
und die deshalb auch noch nicht geschlossen werden konnten. Firmen
handeln diese teils für Millionenbeträge. Als Beispiel für den oben
genannten Zero-Click nennt Vanunu hingegen einen Whatsapp-Anruf oder
eine iMessage-Nachricht, die für den Empfänger nicht sichtbar sind und
anfällige Protokolle der Applikationen für die Penetration des Systems
nutzen. Beide gehen miteinander Hand in Hand – und werden dies auch
weiterhin:
"Solange wir Menschen Code schreiben, wird es
Schwachstellen geben. Wir sind nicht perfekt", erklärt Ryan Gurney,
Chief Information Officer in Residence bei YL Ventures, dem STANDARD. So
viele Sicherheitstools es auch gebe, würden die meisten Attacken
weiterhin auf den Menschen abzielen. Auch im Bereich der Ransomware
seien laut den Experten falsche Systemkonfigurationen, sogenannte
One-Days (also bereits bekannte Schwachstellen, für die aber noch kein
Update bereitgestellt wurde), und vor allem Phishing das Hauptproblem.
Beim sogenannten Spearfishing werden zum Beispiel massenhaft E-Mails
versendet, in der Hoffnung, dass schlussendlich eine Person auf den
entsprechenden Link klickt und somit die Installation von Schadsoftware
initiiert.
Gemeinsamkeit in den Unterschieden Genau hier scheint sowohl das Problem als
auch der Zusammenhang zwischen Spy- und Ransomware zu liegen. Denn
IT-Systeme gänzlich fehlerfrei zu machen, und Zero- oder One-Days
auszumerzen, ist und bleibt ein Ding der Unmöglichkeit. Für private
Endnutzer bedeutet das: Die einzig aktive Schutzmöglichkeit liegt im
regelmäßigen Update genutzter Betriebssysteme, um stets auf dem neuesten
Stand bezüglich veröffentlichter Security-Fixes zu bleiben. Außerdem
sollte der Absender von Nachrichten und E-Mails genau überprüft werden,
bevor auf Links geklickt wird. Auch Antivirenprogramme können einem
nicht weiterhelfen, bedenkt man doch, dass im Falle von Zero-Days nicht
mal die Entwickler etwaige Lücken kennen und die Infiltration meist
hochkomplex ist.
Für einige Unternehmen dürfte der
Handlungsspielraum hingegen deutlich größer sein: "Es gibt sehr viele
Unternehmen, die Cybersicherheit nicht priorisieren", betont Vanunu.
Unter anderem würden kleine Firmen Geld für Dinge ausgeben, die viel
weniger Relevanz als der Schutz ihrer Daten hätten. "Wird man als
kleines Unternehmen angegriffen, kann es einen auslöschen. Die oberste
Priorität sollte der Chief Technical Officer (CTO) und die Abwehr von
Cyberangriffen sein", fährt er fort.
Dass gleichzeitig die Zahlen versuchter, aber
auch erfolgreicher Ransomwareangriffe steigen, hat den einfachen Grund,
dass sie immer lukrativer werden. Während vor einigen Jahren noch ein
paar Hundert bis Tausend Dollar Lösegeld verlangt wurden, sind es heute
oft mehrere Millionen. Mitverantwortlich dafür soll laut dem
israelischen Sicherheitsexperten auch der Aufstieg von Kryptowährungen
wie Bitcoin sein. Diese können schlechter zurückverfolgt werden.
Transaktionen sind anonymer und einfacher, zudem sind sie aufgrund der
Blockchain nicht rückgängig zu machen. Aufgrund des großen Potenzials
gibt es immer mehr Angreifer, die immer offensiver vorgehen.
Fortschritt und Wettrüsten Doch auch die Entwicklung auf der
Cybersecurity-Seite steht nicht still. Immer häufiger wird versucht,
möglichen Fehlerquellen mit zunehmender Automatisierung
entgegenzuwirken: "Eine der wichtigsten Sachen im Feld der
Cybersicherheit ist Geschwindigkeit. Deshalb versuchen wir mit
Automatisierung, Maschinenlernen und Algorithmen die Vorgänge zu
beschleunigen", sagt Gurney. Bis zu einem gewissen Maß handle es sich
dabei um eine Art Wettrüsten: "Und ich glaube nicht, dass wir derzeit
unbedingt gewinnen, wenn man sich die Nachrichten anschaut."