Das vergangene Jahr endete mit einer Warnung für unser vernetztes Leben: der schweren Sicherheitslücke im Log4j-Programmmodul der Software-Plattform Java. Sie erlaubt es Hackern, ohne großen Aufwand in den IT-Systemen hunderttausender Unternehmen weltweit sowie in cloudbasierten Anwendungen Hintertüren einzubauen und Schadprogramme zu installieren.
Und das neue Jahr beginnt mit einem noch bedrohlicheren Ausblick: IT-Fachleute rund um den Globus sind sich einig, dass die inzwischen als Log4Shell bezeichnete Java-Schwachstelle eine der schwerwiegendsten und anhaltendsten bleiben wird. Aber mit Sicherheit nicht die einzige.
IT-Verantwortliche und Verbraucher müssen sich diesem Schicksal aber nicht tatenlos fügen. Sie können sich durchaus vor Hackern schützen – wenn sie die folgenden Hinweise beachten.
Das lange Leiden mit Log4Shell
Glaubt man Experten, so waren die schwere Hafnium-Sicherheitslücke in Microsofts Exchange-Servern zu Beginn des vergangenen Jahres und die folgenden Angriffe mit Erpressungsprogrammen nur ein Vorgeschmack auf die Flut der Hackerangriffe, die im neuen Jahr als Folge der Log4j-Lücke drohen.
Weltweit, berichten Fachleute wie etwa der Sicherheitsdienstleister ESET, dass Hacker inzwischen hunderttausendfach IT-Systeme in aller Welt attackieren, um die mittlerweile Log4Shell genannte Java-Schwachstelle auszunutzen und unter anderen Hintertüren zu installieren oder gleich Schadprogramme dort zu deponieren. Deutschland liegt unter den Ländern mit den meisten Log4Shell-Attacken bereits heute auf Rang fünf.
Die Java-Komponente Log4j ist derart verbreitet in Anwendungen im Netz und in der IT von Unternehmen, dass es äußerst aufwändig ist, den fehlerhaften Programmcode zu finden und zu ersetzen. Während Systemadministratoren noch ihre Rechner und Anwendungen durchforsten, haben Cyberkriminelle längst millionenfach Schadcode in schlecht oder gar nicht geschützten Systemen eingeschleust. Die werden sie im Laufe des Jahres abarbeiten und Firmen genauso wie Institutionen, Behörden und Privatleute mit einer neuen Welle von Erpressungsangriffen attackieren.
Experten gegen deshalb davon aus, dass die Zahl und Schadenssumme der Erpressungen, die 2021 schon einen neuen Höchststand in Deutschland erreicht hatte, wegen Log4Shell nochmals unrühmliche Rekorde knackt. „Es drohen massive Angriffe durch Cyberkriminelle und dadurch enorme Schäden für die deutsche Wirtschaft“, fürchtet Arne Schönbohm, Chef des Bundesamtes für die Sicherheit in der Informationstechnik.
Mehr Ärger mit Hack-Robotern
Die Zeiten sind vorbei, in denen Hacking Handwerk war. Inzwischen hat sich die Schattenwirtschaft im Netz automatisiert. Und so, wie längst Chatroboter in Webshops mit Kunden kommunizieren und automatische Logistik-Software Bestellungen und Versand von Waren effizient managen, läuft das inzwischen auch bei Cyberattacken ab. Mit der Folge, dass die Zahl der Angriffe und die Menge der möglichen Opfer immer weiter steigt.
Heute treten Hack-Roboter immer häufiger an die Stelle menschlicher Angreifer, scannen Programme automatisch das Netz nach verletzbaren Systemen ab und greifen diese selbstständig an. Erst wenn diese Angriffe erfolgreich waren, übernehmen wieder menschliche Kriminelle und entscheiden über die weitere Strategie.
Die Folge: Auch kleinere, vermeintlich uninteressante Unternehmen sind heute mindestens so gefährdet wie große Konzerne. Gleiches gilt für Privatleute. Waren die bisher vor allem Angriffen mit Schadprogrammen in Spam-E-Mails oder Phishing-Versuchen ausgesetzt, so geraten nun auch Internet-Router oder schlecht geschützte vernetzte Heimelektronik in den Fokus automatisierter Angriffe durch Hack-Roboter.
Umso drängender wird nun auch für die private IT, was längst schon für Unternehmen gilt: Ob Router, vernetztes Türschloss oder smarte Steckdose – was immer daheim Zugang zum Internet besitzt, muss ständig mit Updates aktualisiert und am besten mit modernen Firewalls gegen Attacken geschützt sein.
Daneben aber droht auch Gefahr an ganz anderer, vermeintlich hackersicherer Stelle.
Der Feind spielt über Bande
Nach langer Zurückhaltung entdecken inzwischen auch immer mehr deutsche Unternehmen die Cloud als Speicher und virtuelles Rechenzentrum für ihre Datenbestände und Anwendungen. Ein wichtiger Treiber dahinter ist – ausgerechnet – die Exchange-Lücke von vergangenem Frühjahr. Denn von der Schwachstelle waren nur die bei Unternehmen selbst betriebenen Exchange-Systeme betroffen, die von Microsoft in der Cloud angebotene Office 365-Plattform war nicht betroffen.
Das Problem beim Umzug in die Cloud: Er schafft neue Angriffsrisiken, die viele Unternehmen noch nicht auf dem Schirm haben. Wer Programme als Cloud-Anwendungen nutzt oder sich immer stärker über Plattformen im Internet mit Kunden oder Lieferanten vernetzt, wird damit auch verletzbarer für Hackerattacken, die zunächst gar nicht direkt aufs Unternehmen zielen.
Stattdessen infiltrieren Cyberkriminelle im ersten Schritt die Cloudplattformen, oder sie attackieren Kunden oder Lieferanten und starten den Angriff aufs finale Ziel erst, wenn sie sich bei dessen Partnern bereits in den Systemen breitgemacht haben. Sie spielen sozusagen „über Bande“.
Weil diese Angriffe aus der Lieferkette – im Branchenjargon „Supply-Chain-Attacke“ genannt – von vermeintlich vertrauenswürdigen Quellen ausgehen, gelingt es den Angreifern vielfach leichter, in die IT ihrer Opfer einzudringen.
Bedrohung durch gefälschte Vorgesetzte
Als Handy-Apps sorgten sogenannte Deep-Fakes bisher zumeist nur für Schmunzeln: Wer will, tauscht in Kurzclips aus bekannten Filmen die Köpfe bekannter Schauspielerinnen und Schauspieler per KI-Software mit dem eigenen Gesicht aus. Das Programm passt dabei Mimik und Mundbewegungen automatisch an und plötzlich taucht das eigene Konterfei im Kostüm von Captain Jack Sparrow oder Lara Croft im Handybildschirm auf.
Was am Smartphone mitunter noch etwas gestanzt aussieht, beherrscht professionelle Software auf Großrechnern inzwischen aber längst so perfekt, dass es kaum noch auffällt. Mehr noch, die Programme sind auch in der Lage, Videoausschnitte ohne Austausch des Gesichts so zu modifizieren, dass die dargestellten Personen in der angepassten Aufnahme synchron ganz andere Dinge sagen als in der Originalaufnahme. Sprachsoftware, die Stimmen automatisch analysieren, in einzelne Laute zerlegen und neu zusammensetzen kann, liefert dann auch noch den passenden Ton dazu.
Für Cyberkriminelle sind das die perfekten Werkzeuge, um eine längst etablierte Angriffstechnik nochmals deutlich zu verbessern: Die sogenannte Fake-CEO-Attacke. In der Vergangenheit setzten die Betrüger darauf, Beschäftigte in Unternehmen vor allem mit gefälschten E-Mails vom vermeintlichen Chef beispielsweise zur Überweisung großer Geldbeträge zu bewegen.
Nun aber können sie dank immer besserer Deep-Fakes auch Text- oder Videobotschaften versenden, die sie etwa über gehackte Zugänge zu firmeninternen Kommunikationsplattformen oder Messengerdienste an arglose Beschäftigte schicken. Sicherheitsexperten rechnen für 2022 mit einer deutlichen Zunahme solcher Deep-Fake-Attacken.
Gefährliche QR-Codes
Spätestens seit sie auf jedem offiziellen Coronatest prangen, kennt sie jeder: QR-Codes, die sich per Handykamera scannen lassen und einen auf die passenden Webseiten im mobilen Browser lotsen. Das ist zwar äußerst praktisch, wird aber längst von Hackern auch als neues Angriffswerkzeug genutzt. Qshing – der Begriff verbindet QR-Code und Phishing – heißt der neue Angriffstrend, vor dessen Einsatz Sicherheitsspezialisten 2022 verstärkt warnen.
Denn wer einen QR-Code scannt, kann in der Regel nicht erkennen, welche Internetseite oder welcher Programmbefehl in dem Muster verborgen ist. Das nutzen die Angreifer aus - und lotsen Nutzer auf gefälschte Webseiten, um dort Nutzerdaten und Passworte zu stehlen.
Inzwischen enthalten zwar viele Schutzprogramme für Mobiltelefone Sicherheitsfilter, die vor dem Aufruf von Web-Angeboten automatisch prüfen, ob deren Adressen gefälscht oder als mindestens riskant bekannt sind. Doch nicht immer sind die Filter aktuell genug. Und – vor allem – noch immer nutzen viel zu viele Menschen ihre Smartphones ohne jeden Hackerschutz und jedes Sicherheitsprogramm.
Höchste Zeit also für einen guten Vorsatz fürs neue Jahr: sich endlich mal um mehr Sicherheit seiner wichtigsten digitalen Alltagsgerätes zu kümmern!
Mehr zum Thema: So viele Unternehmen wie nie zuvor wurden im vergangenen Jahr Opfer von Hackerangriffen mit Erpressungssoftware. Immerhin, mit den richtigen Verhandlungstricks können Profis Lösegelder nach Cyberattacken teils drastisch reduzieren.
