Deutsch | English

Cyber Sicherheit National: Das IT-Sicherheitsjahr 2015 aus Österreichischer Sicht

Angriffe und Bedrohungen aus dem Netz sind auch in Österreich ein akutes Thema. Der Cyber Raum wurde 2015 auch hierzulande zum Schauplatz zahlreicher Diebstähle, Missbräuche und Angriffe. Der CERT-Jahresbericht 2015 legt den Fokus auf ausgewählte Sicherheitsvorfälle, die speziell für Österreich relevant waren. Dies soll neben der Information auch die Aktualität der täglichen Gefahren im "www" unterstreichen. Die Bandbreite ist dabei enorm, denn von einfachen "just-for-fun"-Hackern, über Wirtschaftsspionage bis hin zu staatlicher Überwachung, sind die Akteure und ihre Ziele mittlerweile nur noch schwer überschaubar.

Die Internet-Sicherheitslage Österreichs 2015

CERT.at und GovCERT Austria führen umfangreiche Statistiken, mit denen sich ein Bild über die aktuelle Internet-Sicherheitslage Österreichs machen lässt. Ein Blickwinkel auf diese Lage ist die Zahl der vom CERT behandelten Vorfälle. Wichtige Kennzahlen dafür sind Reports, Incidents und Investigations.

"Reports" bezeichnen eingehende Meldungen an CERT.at. Nicht alle davon beschreiben einen Sachverhalt, der von CERT.at als relevanter Vorfall (Incident) eingestuft wird und eine aktive Behandlung erfordert. Typische Gründe für eine Beurteilung als irrelevanter Vorfall sind etwa:

  • Meldungen zu Problemen, die bereits bereinigt wurden
  • Falschmeldungen von einfachen Suchalgorithmen
  • mangelnde Zuständigkeit von CERT.at
  • generische Anfragen
  • andere E-Mail-Irrläufer/Spam

Als "Incidents" werden jene Fälle eingestuft, die tatsächlich ein Sicherheitsrisiko darstellen. Bei diesen schreitet CERT.at ein und informiert beispielsweise betroffene Unternehmen, Organisationen oder PrivatanwenderInnen über IT-Sicherheitsbedrohungen und unterstützt bei Bedarf bei der Problemlösung. Diese Kontaktaufnahme wird im CERT.at Ticketsystem als "Investigation" bezeichnet.

Wichtig: Bei der Interpretation der Grafiken und Statistiken ist zu beachten:

  1. Eine Verbesserung in der Sensorik besitzt oft viel mehr Einfluss auf die Kurve, als eine Veränderung der dahinterliegenden Vorfälle. Wenn etwa durch eine Polizeiaktion in den USA plötzlich Daten zu einem Botnetz verfügbar werden, dann bedeutet dies einen plötzlichen und großen Sprung in den CERT.at Statistiken. In Wirklichkeit wurde das Botnetz aber über einen längeren Zeitraum hinweg aufgebaut.
  2. Nicht alle Vorfälle sind gleichwertig relevant. So kann ein Incident sowohl ein fehlkonfigurierter Surf-PC in einer Jugendherberge sein, als auch ein Einbruch in einen Webshop mit dem Verlust tausender KundInnendaten.
  3. Viele der Incidents behandeln bereits aggregierte Informationen. So etwa generiert die Sensorik zu falsch konfigurierten Nameservern einen Report pro Tag, unabhängig wie viele einzelne IP-Adressen enthalten sind. Die ausgehenden Mails an die Netzbetreiber können ebenfalls von einem einzelnen Vorfall bis hin zu einer langen Liste an betroffenen KundInnen reichen.

Abbildung 3 gibt einen Überblick über CERT.at Jahresstatistiken seit 2008. Sie beinhaltet die Zahl der Falschmeldungen, relevanten Reports, Incidents und Investigations. Die Grafik zeigt damit die steigende Bedeutung von Cyber Sicherheit und den notwendigen Maßnahmen auf. Seit dem Jahr 2008 nahm die Zahl der relevanten Reports, Incidents und Investigations kontinuierlich zu, wobei die Incidents und Reports 2015 im Vergleich zu 2014 leicht zurückgingen. Hervorstechend ist vor allem die Zunahme der Investigations seit 2012.

Abbildung 3: CERT.at Jahresstatistik mit Übersicht über Reports, Incidents und Investigations im Zeitverlauf, Quelle: CERT.at

In Abbildung 4 werden die relevanten Reports an CERT.at im Zeitverlauf des letzten Jahres dargestellt. Dabei wird die Anzahl der relevanten Meldungen pro Monat in den Top 15 Kategorien wiedergegeben. Mit 1.205 relevanten Meldungen gingen im April 2015 die meisten Reports ein, gefolgt von den Monaten Dezember (1.074 Meldungen) und Mai (1.066 Meldungen).

Abbildung 4: Klassifizierung der relevanten Reports nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Die Zahl der Fälle, die tatsächlich ein Sicherheitsrisiko darstellten, werden in Abbildung 5 abgebildet. Die meisten Incidents gab es im April 2015 mit 1.143. Viele Incidents gab es darüber hinaus in den Monaten Dezember (994), Mai (954) sowie März (908). Die geringste Zahl an Incidents wurden zu Beginn des Jahres in den Monaten Januar und Februar registriert.

Abbildung 5: Klassifizierung von Incidents nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Die Zahl der Investigations, also die Kontaktaufnahmen mit betroffenen Unternehmen, Organisationen oder PrivatanwenderInnen, war wie in den vorherigen zwei Grafiken im April 2015 (1.143) am höchsten. Darauf folgten die Monate Dezember und Mai mit 994 bzw. 954 Investigations, wie Abbildung 6 zeigt.

Abbildung 6: Klassifizierung der von CERT.at durchgeführten Investigations nach Bedrohungsformen im Zeitverlauf, Quelle: CERT.at

Sicherheitsprobleme im österreichischen Internet

Ein anderer Blickwinkel auf die IT Sicherheitslage in Österreich ist die Telemetrie, auf der ein Großteil der von CERT.at behandelten Fälle basiert. Diese Daten stammen aus diversen Quellen, etwa:

  • Aktionen von Strafverfolgungsbehörden: Domains oder Server von Botnetzen werden beschlagnahmt. Dann werden die Steuerserver der Botnetze ("Command and Control Server") durch Sensoren ersetzt, die mitprotokollieren, von wo aus infizierte PCs neue Befehle abholen wollen.
  • Analyse der Malware und Registrierung der verwendeten Domains: In vielen Fällen wird für die Kommunikation zwischen infiziertem PC und dem Command and Control Server keine feste Domain benutzt, sondern diese wird aus dem aktuellen Datum abgeleitet. Analysiert man den verwendeten Algorithmus, so kann man diese Domains im Voraus – so diese noch verfügbar sind – registrieren und auch dort einen Sensor betreiben.
  • Verwendet die Malware einen Peer-to-Peer Mechanismus für die Kommunikation, so lassen sich die Mitglieder des P2P-Netzes enumerieren.
  • In manchen Fällen gelingt es der Polizei, Sicherheitsforschern oder CERTs Zugang zu Servern der Kriminellen zu erlangen. Die dort gefundenen Daten können sehr aufschlussreich sein.
  • Aktive Suche nach Sicherheitsproblemen: Manche Themen kann man leicht von außen testen. So etwa ob ein Webserver noch für den Heartbleed-Bug anfällig ist, oder ob eine IP-Adresse auf Protokoll-Anfragen antwortet, die im offenen Internet nicht vorkommen sollten.
  • Suche mittels Suchmaschinen: Will man Probleme von Webseiten suchen, so kann man Google, Bing & Co benutzen.
  • Blacklisten: Es werden von mehreren Betreibern "schwarze Listen" von IP-Adressen, Domains und URLs geführt, die als bösartig oder gefährlich eingestuft werden. Der/Die einfache Internet-NutzerIn sieht den Effekt dieser Blacklists vor allem dann, wenn ihn/sie der Browser vor einer Phishingseite warnt.
  • Die Täter selber: So melden etwa einige der Einbrecher in Webseiten ihre "Defacements" bei zone-h.org, die gestohlenen Daten aus Datenbankeinbrüchen landen oft auch auf pastebin.

Grob gesprochen fallen Meldungen zu IP-Adressen in drei Kategorien: Hinter einer solchen IP-Adresse steht ein infizierter Computer (Mitglied eines Botnetzes), ein Server der sich für Denial-of-Service Angriffe missbrauchen lässt, oder aber ein Server der Probleme (Bugs oder Fehlkonfiguration) mit verschlüsselter Kommunikation aufweist.

Abbildung 7: Klassifizierung der Meldungen zu IP-Adressen nach den Kategorien TLS, DDoS und Malware im Zeitverlauf, Quelle: CERT.at

Infizierte PCs

Die Datenbasis bezüglich der in Österreich verbreiteten Botnetze hängt sehr stark davon ab, zu welchen aktuell eine gute Telemetrie existiert. Die folgende Grafik zeigt, wie sehr die Zahl der gemeldeten IP-Adressen (pro Tag) für jede der Datenquellen im Jahr 2015 variiert:

Abbildung 8: Anzahl der gemeldeten IP-Adressen (pro Tag, pro Datenquelle) in Österreich im Zeitverlauf, Quelle: CERT.at

Gute Daten existieren primär für die älteren Botnetze: Diese sind bereits gut analysiert und entsprechende Sensoren ("Sinkholes") werden betrieben. Im Falle von Conficker ist beispielsweise die Malware seit Jahren konstant, was diese Messungen weiter vereinfacht. Da verschiedene Quellen auch verschiedene Namen für die gleiche Malware verwenden (so etwa wird Conficker manchmal mit Version (A, B oder C) geschrieben oder "downadup" genannt), ist die Aggregation aller Quellen in ein konsistentes Bild nicht möglich. In der folgenden Grafik sind daher Infektionen, die von mehreren Quellen gemeldet wurden, mehrfach gezählt.

Abbildung 9: Klassifizierung der Meldungen nach Botnetzen im Zeitverlauf, Quelle: CERT.at

Mitwirkung bei Denial of Service

Denial of Service Angriffe verwendeten auch 2015 oft den Trick, Pakete von schlecht konfigurierten Servern reflektieren und verstärken zu lassen.

Dabei schickt der Angreifer eine – an sich legitime – Anfrage an ein UDP (User Datagram Protocol)-basiertes Service (etwa DNS: Domain Name Service, NTP: Network Time Protocol, SNMP: Simple Network Management Protocol, SSDP: Simple Service Discovery Protocol, …), setzt dabei aber die Absender-IP-Adresse im Datenpaket auf die des Opfers. In Folge schickt der angesprochene Server die Antwort an das Opfer, in der Annahme, dass von dort die Anfrage ausging. Die Anfragen werden so gewählt, dass sie möglichst große Antworten (hinsichtlich der übermittelten Datenmenge) zur Folge haben. Mit diesem Trick kann aus einem Strom von einem Gigabit/s an "spoofed" Paketen ein Paketsturm von dutzenden Gigabit/s beim Ziel des Angriffs werden.

CERT.at hat daher 2015 die Netzbetreiber in Österreich informiert, welche IP-Adressen in den jeweiligen Netzen für so eine Angriffsverstärkung verwendet werden können. Die Entwicklung sieht wie folgt aus:

Abbildung 10: Zahl der IP-Adressen als potentielle Angriffsverstärker nach den jeweiligen Netzen im Zeitverlauf: Quelle: CERT.at

Bemerkenswert ist hier, dass die Zahl der per SSDP (Simple Service Discovery Protocol) ausnutzbaren IP Adressen bis Mitte Dezember noch angestiegen ist. Schuld daran ist ein Bug in der Firmware eines Modems, das ein einzelner ISP (Internet Service Provider) an seine Kunden liefert. CERT.at hat das Gespräch mit diesem Provider gesucht und so konnte erreicht werden, dass dieser ISP SSDP-Reflection in seinem Netz unterbunden hat.

Transport Layer Security (TLS)

Der bei weitem größte Anteil der TLS-Probleme ist die Verwendung des obsoleten Standards SSLv3: Dieses Protokoll hat ein inhärentes Problem, das sich mit der "POODLE" Attacke ausnutzen lässt. Da manch alte Webbrowser den modernen Verschlüsselungsstandard TLS1.2 noch nicht beherrschen, kann man das zögerliche Deaktivieren von SSLv3 teilweise nachvollziehen. Daher hat CERT.at 2015 die Betreiber von solchen Webservern noch nicht informiert. Wir hoffen aber doch, dass 2016 die Rücksichtnahme auf den Internet Explorer unter Windows XP – beides wird von Microsoft schon länger nicht mehr gewartet – dem Ende zugeht. CERT.at wird damit beginnen, künftig Warnmails bezüglich SSLv3 zu versenden.

Neben "POODLE" wurde auch unter dem Namen "FREAK" ein Angriff gegen manche TLS Server bekannt. Den Zahlen nach, die CERT.at vorliegen, läuft noch auf rund 600 IP-Adressen ein Webserver, der für diesen Angriff verwundbar ist.

Der Heartbleed-Bug in der openssl Library, die in vielen Mail- und Webservern benutzt wird, sorgte im April 2014 für viel Aufsehen und für Überstunden bei den Systembetreuern, die ihre Server auf eine bereinigte openssl-Version aktualisierten. CERT.at misst seit Mai 2015, wie sehr auf Web- und Mailservern, die für .at-Domains zuständig sind, der Heartbleed-Bug noch präsent ist.

Abbildung 11: Zahl der von Heartbleed befallenen IP-Adressen nach Servern im Zeitverlauf: Quelle: CERT.at

Die Spitzen nach oben ergeben sich aus den unregelmäßig vorgenommenen Aktualisierungen der Domainliste bzw. der Zuordnung zu IP-Adressen. Stichproben bei den noch verbleibenden, verwundbaren Servern ergaben, dass dort keine relevanten oder sensitiven Services mehr betrieben werden.

Immer mehr Unternehmen auch in Österreich von Angriffen betroffen

Wie es um die IT-Sicherheit in österreichischen Unternehmen bestellt ist, hat SORA im Auftrag von A1 unter die Lupe genommen. Ein Drittel der befragten Unternehmen musste bereits auf Schadensfälle reagieren. Sogar 80% hatten mit Beeinträchtigungen ihrer Systeme zu kämpfen. Den häufigsten Bedrohungen – Schadsoftware aus dem Internet, technische Probleme wie Netzwerkausfälle und Angriffe von Hackern – wird mit laufender Wartung, Updates und Schulungen entgegen getreten. 95% der Unternehmen setzen demzufolge zwar auf Anti-Virus und Anti-Malware Software, jedoch verwenden nur 86% eine Firewall. Mobile Endgeräte werden nur von 38% der Befragten geschützt. Es bleibt eine wichtige Erkenntnis zurück: IT-Sicherheit ist ein ganzheitlicher Prozess, der sich nicht nur auf Anti-Virus Software beschränkt, sondern viele weitere Bereiche wie u.a. die Gebäude-Infrastruktur oder die MitarbeiterInnenschulung umfassen sollte.

Gefahr durch Ransomware

Auch Ransomware hielt österreichische InternetnutzerInnen 2015 in Atem. Diese Malware befällt den Rechner und verschlüsselt Dateien, sowohl auf der lokalen Festplatte als auch auf Netzwerklaufwerken. Bezahlt man das Lösegeld (= Ransom), so versprechen die Täter ein Werkzeug zur Wiederherstellung der Dateien. Der tatsächliche Schaden durch diese Programme kann nur geschätzt werden, da viele der Betroffenen den Fall nicht zur Anzeige bringen. Ransomware gehört mittlerweile auch in Österreich zu den gefährlichsten Angriffsformen. Der Ransomware-Trojaner "CryptoLocker" war im Frühjahr 2015 sehr präsent. Über E-Mail-Anhänge, gefälschte Paketdienst-Links und Webseiten verbreitet, befiel CryptoLocker zahlreiche Rechner, hauptsächlich von kleinen und mittelgroßen Unternehmen (KMU). Im Durchschnitt wurden 500 Euro – meist in Bitcoins (eine Art Internetwährung) – für den Entschlüsselungscode gefordert.

Auch Kaspersky warnt verstärkt vor Ransomware und sieht künftig vor allem Smartphones, Gamer und Cloud Speicher im Visier. Alleine die Schadsoftware "Teslacrypt 2.0" greift gezielt mehr als 185 Dateiformate an. Eine Backup-Strategie für als wertvoll eingestufte Daten ist daher unerlässlich. Gerade für KMU können solche Angriffe existenzbedrohend sein. Schließlich geht es oft um KundInnendaten, was auch eine zivilrechtliche Komponente nach sich ziehen kann. Ransomware Attacken stiegen laut Kaspersky 2014 weltweit um mehr als das doppelte an – in der gleichen Zeit vermehrte sich sogar die Zahl der "CryptoLocker"-Opfer um das 45-fache.

Erpressungen mittels DDoS Angriffen

Bei Ransomware droht ein Angreifer/Erpresser mit dem Verlust der eigenen Daten, bei DDoS (Distributed Denial of Service) richten sich Angriffe auf die Verfügbarkeit der Netzwerkanbindung seiner Opfer. Wenn so eine Attacke die Netzwerkanbindung oder die Server des Opfers überlasten, dann können legitime Kunden des Opfers dessen Online-Dienstleitungen nicht mehr nutzen. Im Bereich von Wettanbietern und im Rotlicht-Milieu wurden diese Methoden schon länger zur Verdrängung des Wettbewerbs benutzt, auch im Bereich des Hacktivismus wurden in der Vergangenheit gerne DDoS-Angriffe benutzt.

In den letzten zwei Jahren hat sich der Kreis der DDoS-Opfer stark erweitert, vor allem durch das Aufkommen von Erpressungen. Im Juli 2014 tauchte die Gruppe DD4BC (DDoS for Bitcoins) zum ersten Mal auf. Initial richteten DD4BC ihre Attacken auf Bitcoin-Webseiten, dann auf Finanzdienstleister, E-Commerce Webseiten und ISPs. 2015 gerieten auch österreichische Firmen ins Blickfeld von DD4BC. Ohne Schutz sind Unternehmen anfällig für diese Art von Attacken. Auch in Österreich wurden so Systeme überlastet und in der Folge Erpressungs-E-Mails versendet. Die Erpressungssummen bewegten sich oft im fünfstelligen Bereich und wurden in Form von Bitcoins verlangt. Bei ausbleibender Zahlung wurden weitere DDoS Angriffe angedroht. Neben Österreich und Deutschland war die Gruppe vor allem in Skandinavien, Australien und den Vereinigten Staaten aktiv.

Im Fall von DD4BC sieht ein typischer Erpressungsversuch wie folgt aus: Zunächst erfolgt eine Überlastung des Systems eines Unternehmens. Danach versendet DD4BC eine Erpressungs-E-Mail. Bei Nichtzahlung werden weitere Angriffe in höherem Datenausmaß angedroht. Neben immer höher werdenden Geldforderungen kann sich die Dauer der Angriffe von ein paar Stunden bis zu ein paar Tagen hinziehen. In manchen vereitelten Fällen kam es auch vor, dass DD4BC den Angriff zu einem späteren Zeitpunkt wiederholte.

Im Dezember 2015 konnten im Zuge einer Aktion von Europol – unter Federführung des österreichischen Cybercrime-Competence-Centers (C4) im Bundeskriminalamt – die Täter gefasst werden.

Nachahmungstäter

Neben DD4BC hat seit Oktober 2015 auch eine zweite Gruppe, nämlich "Armada Collective" DDoS Attacken gestartet. Die Vorgehensweise ist fast ident zu jener von DD4BC. "Armada Collective" versendet unzählige Anfragen mit dem Ziel der Überlastung eines Systems und gibt dem Opfer nach der Erpressungsnachricht vier Tage Zeit bis zur Zahlung von Lösegeld.

Die Opfer waren auch hier bunt gemischt: Zuerst nur E-Mail-Dienstleister, dann aber auch Internet Service Provider, Banken und E-Commerce Seiten. Auch österreichische Firmen waren betroffen. In diesen Fällen konnte sich CERT.at einbringen: So wurde erreicht, dass alle Betroffenen untereinander ihre Erfahrungen und Reaktionen teilten, und man sich auf eine gemeinsame Vorgehensweise gegen die Erpressung geeinigt hat. Aus dem internationalen Kontaktnetz von CERT.at wurden weitere Erfahrungsberichte eingeholt und an die Erpressungsopfer weitergegeben. Auch die Zusammenarbeit mit der Polizei und dem Cyber Security Center im BVT wurde koordiniert.

Nach der Festnahme der DD4BC-Tätergruppe wurde es auch um Armada Collective ruhig.

Internet Service Provider sind mehr denn je gefordert

Technisch gesehen beruht der Großteil der Angriffe von DD4BC und Armada Collective auf Reflected DDoS: Dazu braucht es für den Täter a) die Möglichkeit, IP-Pakete mit gefälschten Absenderadressen zu versenden, und b) Services, die sich vom Täter als Verstärker missbrauchen lassen. Um ersteres zu unterbinden sollten ISPs die Datenpakete in ihren Netzen nach Best Current Practice (BCP) 38 filtern. Bezüglich der möglichen Reflektoren/Verstärker in deren Netz ist CERT.at in laufendem Kontakt mit den ISPs. Dieser Bereinigungsprozess schreitet zwar nur langsam voran, aber der Trend – siehe Abbildung 10 – geht hier in die richtige Richtung.

Sind diese beiden Punkte behandelt, so kann der ISP nicht mehr einen Reflected DDoS verursachen. Dass er selber – oder einer seiner Kunden – ein Opfer eines solchen wird, wird dadurch aber nicht verhindert.

Was aus den Angriffen mitzunehmen ist bzw. die Empfehlungen von CERT.at sind im Falle einer DDoS Attacke wie folgt:

  • Das verlangte Lösegeld auf keinen Fall bezahlen. Es ist durch eine Zahlung nicht garantiert, dass keine weiteren Angriffe folgen werden. Außerdem steigt auch die Wahrscheinlichkeit für Nachahmungs- und Wiederholungstäter.
  • In jedem Fall sollte Kontakt mit CERT.at aufgenommen werden.
  • Eine DDoS Attacke ist eine Straftat im Cyber Space. Sie sollte daher zur Anzeige gebracht werden, damit an der Ausforschung der Täter gearbeitet werden kann. Je mehr Opfer sich melden, desto mehr Ressourcen kann die Exekutive bereitstellen.
  • Kontakt sollte daher auch mit dem Cyber Crime Competence Center (C4), der nationalen Koordinierungs- und Meldestelle zur Bekämpfung der Cyber Kriminalität des BM.I, aufgenommen werden.
  • Kontakt zum Upstream-ISP aufnehmen. Viele der Angriffe können vom Opfer alleine nicht mehr abgewehrt werden, daher benötigt es die Mithilfe beim Upstream.
  • Zu empfehlen ist auch die Kontaktaufnahme mit dem Cyber Security Center (CSC) im BVT.
  • Recherchieren: Inzwischen gibt es einiges an Ressourcen im Netz bzgl. DDoS Mitigation inkl. Handlungsempfehlungen. Siehe etwa www.melani.admin.ch

Verschlüsselung bleibt weiter ein Thema

Die durch Edward Snowden ans Licht gekommenen Enthüllungen haben dem Thema Verschlüsselung einen neuen Stellenwert gegeben. Immer mehr Mailserver verwenden daher auch Transportverschlüsselung. Von weltweit 33% im Jahr 2013 auf 61% im Jahr 2015 ist die Entwicklung durchaus positiv zu sehen. Die TLS-Verschlüsselung (Transport Layer Security) ermöglicht über das SSL/TLS Zertifikat (Secure Sockets Layer/Transport Layer Security) einen verschlüsselten Kommunikationsweg zu einem Server und bildet eine effektive Verschlüsselungsmethode. Leider werden jedoch weite Teile im Web noch immer im Klartext übertragen.

Gegen Ende 2014 zeichneten sich jedoch Probleme bei Verschlüsselungen ab - Stichwort POODLE (Padding Oracle On Downgraded Legacy Encryption). Vor allem die SSL-Protokoll Version 3 (SSLv3) war betroffen. Durch eine darin vorhandene Schwachstelle können Angreifer die Daten zwischen dem Browser des Users und einer SSL-gesicherten Website abfangen und entschlüsseln. Zwar läuft mit 0,3% nur noch ein Bruchteil der verschlüsselten Kommunikation im Web über SSLv3, jedoch können neuere Verschlüsselungen (TLS 1.0 oder 1.1) insofern blockiert werden, so dass die Verbindung automatisch auf SSL 3.0 zurückfällt.

Die Internet Engineering Task Force (IETF) beschloss als eine Folge daraus das Ende von SSLv3. In der Erklärung gaben auch Google und Mozilla an, das fast 20 Jahre alte Protokoll nicht mehr zu unterstützen. Empfohlen wird, nunmehr ausschließlich TLS Protokolle zu verwenden, bestenfalls in der aktuellsten Version 1.2. SSL sollte auf allen Servern und Clients deaktiviert werden.

Logjam-Attacke hielt Server auch in Österreich in Schach

Mitte des Jahres kam auch die Verwundbarkeit des Diffie-Hellmann-Schlüsselaustauschs ans Licht, welcher beim Aufbau einer sicheren Verbindung zur Anwendung kommt. Sehr viele Server (Web-, Mail-, SSH- und VPN-Server) waren durch die sogenannte Logjam-Attacke betroffen und deren verschlüsselte Verbindung somit geschwächt. Angreifern gelang es so, bei verschlüsselten Verbindungen an den Schlüssel zu kommen. Davon sind etwa vermeintlich sicher geglaubte Verbindungen, wie beispielsweise Passworteingaben oder die Verwendung von Online Banking, betroffen. Von der ersten Million der größten Websites waren zwischenzeitlich 8,4% betroffen. Die Sicherheitslücke im Protokoll ermöglichte es, die Kommunikation in Echtzeit abzufangen und damit Daten zu stehlen. NutzerInnen haben darauf zu achten, stets die aktuellste Version und alle Updates des jeweiligen Browsers installiert zu haben. Umfangreichere Sicherheitsmaßnahmen bestehen in diesem Zusammenhang für Systemadministratoren.

Vergleichbar mit Logjam war auch die Sicherheitslücke FREAK, die eine Entschlüsselung von gesichertem Datenverkehr ermöglichte. Dabei wurde bestimmten Browsern durch eine Sicherheitslücke die Nutzung einer veralteten und daher unsicheren Verschlüsselungsform aufgezwungen. Betroffen waren davon unter anderem der Standard-Android Browser, Safari, Chrome (nur die Versionen für Android und OS X), Opera und Opera Mini, Internet Explorer und der Blackberry Browser.

Ablöse vom SHA 1 Signier-Standard

SHA 1 (Secure Hash Algorithm) wurde lange Zeit als Signier-Standard für SSL/TLS Zertifikate verwendet. Solche Zertifikate werden beispielsweise eingesetzt, wenn Daten von Webseiten verschlüsselt zum Browser übertragen werden sollen. Da dieser Standard mittlerweile als nicht mehr sicher gilt, gaben bereits Ende 2014 die Browserhersteller ihre Pläne zur schrittweisen Ablehnung von SHA-1-Zertifikaten bekannt ("gradually sunsetting SHA-1").

Seit dem Bekanntwerden dieser Pläne werden neue SSL/TLS Zertifikate vermehrt mit dem Nachfolge-Standard SHA 2 ausgestellt und eingesetzt.

Für NutzerInnen älterer Smartphones oder Rechner entsteht hier das Problem, dass ihre Browser die SHA 2 Methode nicht unterstützen. CloudFlare rechnet damit, dass mehr als 37 Millionen Menschen weltweit betroffen sind und bietet wie auch Facebook seinen Nutzern eine Art automatischen SHA-1 Fallback-Mechanismus an.

Lücke im TLS-Protokoll

Das österreichische Technologieunternehmen Rise hat im Herbst 2015 eine Lücke im TLS-Protokoll entdeckt. Den betroffenen Unternehmen, dazu gehörten u.a. Apple und Facebook, blieben dadurch viele "Man-in-the-Middle Attacken" durch die Schließung der Lücke erspart. Bei dieser Form von Angriffen schleusen sich Hacker in den Kommunikationsweg zwischen Opfer und Zielserver ein, geben sich als Zielserver aus und können so die übermittelten Daten mitlesen. Es ist sehr erfreulich, dass gerade ein österreichisches Unternehmen dazu beitragen konnte, diese gefährliche Sicherheitslücke zu schließen.

Vorsicht vor gefälschten Rechnungen

Eine weitere Entwicklung, die auch zahlreiche ÖsterreicherInnen konfrontiert, ist die Verlagerung von Betrugsmaschen in das Internet. Das reicht von Vorschussbetrug, über den Neffentrick bis hin zum Versuch, mit gefälschten Rechnungen an Geld zu gelangen. Selbst mit gefälschten Rechnungen für Partezettel gehen Online Angreifer mittlerweile vor. Regelmäßig sind große Online Unternehmen wie Amazon & Co. von in Umlauf gebrachten gefälschten Rechnungen betroffen. Hierbei ergeht eine E-Mail von einem angeblichen Anwalt an die KundInnen. Die Anwalt-Variante ist zwar neu, die Ziele bleiben jedoch die alten. Nämlich das Erspähen von Kontodaten oder das Drängen zur Überweisung. Diese Variante ist jedoch nur eine von vielen gegenwärtig im Umlauf befindenden Online-Betrugsmaschen.

Außerdem sind u.a. auch E-Mails von Paketdienstleistern, Mobilfunkanbietern oder Banken im Umlauf. Über die E-Mails wird versucht, die User auf Websiten zu locken, die diverse Schadsoftware ("Geodo", "Dridex", "Dyre", …) verbreiten. Nach Klick auf den Link im E-Mail wird man auf eine kompromittierte Webseite weitergeleitet, die eine .zip oder .exe Datei zum Download bereitstellt. Nach deren Ausführung wird der Schadcode installiert. Es ist für den Laien oft schwierig, diese gefälschten Mails von Originalmails zu unterscheiden.

Seitensprung mit Folgen: Datendiebstahl und vieles mehr

Zahlreiche ÖsterreicherInnen waren auch betroffen, als im August 2015 das Seitensprung-Portal ashleymadison.com durch die Hackergruppe "Impact Team" angegriffen wurde. Die gestohlenen Daten von 32 Millionen Usern weltweit beinhalteten unter anderem Namen, Adressen und Telefonnummern. Neben US-Regierungs- und Militäradressen wurden auch rund 80.000 Datensätze aus Österreich publik. Mittlerweile ist bei Ashley Madison eine Vielzahl an Schadenersatzklagen anhängig. Die Höhe der bevorstehenden Zahlungen ist kaum abzusehen, wobei alleine in Kanada über 400 Millionen Euro eingeklagt werden.

Österreichische Unternehmen sind Angreifern oft ausgeliefert

Bei unzureichenden Sicherheitsvorkehrungen sind österreichische Firmen anfällig für Datendiebstähle. In den beiden folgenden Gastbeiträgen wird anhand von Beispielen die aktuelle Bedrohungslage beschrieben.





<< Vorige Nächste >>
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Neue Variante von Ransomware/Wurm "Petya"
28. Juni 2017 | Seit ...
Ransomware/Wurm WannaCry
14. Mai 2017 | Seit ...
mehr ...
In eigener Sache: CERT.at sucht Verstärkung
18. Juli 2017 | Für unser ...
Petya Updates #3 - Die Hoffnung auf einen Kill-Switch
27. Juni 2017 | Petya ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2016/2/12 - 09:54:05
Haftungsausschluss