Sicher & Anonym

MELANI veröffentlicht Halbjahresbericht 2018/I

Die Melde-und Analysestelle Informationssicherung MELANI hat am 8. November 2018 den ersten Halbjahresbericht 2018 veröffentlicht und geht dabei den aktuellen nationalen und internationalen Bedrohungen im IKT-Bereich auf den Grund. Dieser Bericht soll die wichtigsten identifizierten Herausforderungen herausbilden, wie die LawMedia Redaktion dazu ausführte.

Hardware-Lücken als Herausforderung für Hersteller

Nicht erst im Jahr 2018 stellen Hardware-Lücken eine besondere Herausforderung dar. Bereits im Jahr 1994 wurde eine Sicherheitslücke in der Hardware von Intel bekannt, der sogenanntePentium-FDIV-Bug, welcher auf einem Fehler im Design des Pentium Prozessors beruhte. Diese Lücke konnte durch Intel nur durch einen Rückruf der Geräte und Austausch der besagten Komponente behoben werden, ähnlich wie dies bei fehlerhaften Teilen in Automobilen bis heute Usus ist.

Ganz anders sieht die Sache bei den zu Beginn des Jahres 2018 publik gewordenen Hardware-Lücken „Spectre“ und „Meltdown“ aus, welche alle Prozessoren der Marke Intel betrafen. Somit waren nicht nur einige spezifische Produkte betroffen, sondern grundsätzlich alle Computing-Devices, welche mit den Prozessoren von Intel rechnen, ganz egal ob Mac, Windows Desktop, Server, Smartphone oder Tablet – all diese Geräte können mit Prozessoren von Intel bestückt sein und wären in diesem Fall von der Lücke betroffen. Dass ein Rückruf unter diesen Umständen wenig praktikabel ist, scheint einleuchtend. Aus diesem Grund entschied sich der Hersteller die Hardware-Lücke mit einem Software-Update zu schliessen.

Da die Hardware-Lücke über ein Design-Fehler in der „speculative execution“ und „ot of order execution“ funktionierte, welche die Reaktionsgeschwindigkeit der Prozessoren verbesserte, ging der Security Patch, welcher ebendiese schloss, auf Kosten der Leistung der verbauten Hardware.

User verwenden Passwörter mehrfach

Weiterhin ein Problem stellt die Mehrfachverwendung von Passwörtern dar – denn wird ein Passwort durch einen Datenabfluss eines Services publik, können Cyber-Kriminelle mit wenig Aufwand durch sogenanntes „Credential Stuffing“ (bei den verschiedensten Dienstanbietern systematisches Durchprobieren der Login-Daten) unbefugt in geschlossene Systeme eindringen.

Weiterhin verwenden viele Personen identische Passwörter für unterschiedliche Services wie Email, Banking, Online-Shops, etc. wodurch gerade die kritischen Systeme wie E-Banking besonders bedroht sind.

Geschickte Malware Distribution durch Cyber-Kriminelle

Auch der Einsatz von Malware hat im Jahr 2018 nicht abgenommen. Im Gegenteil: Es sind tendenziell mehr Angriffe verzeichnet worden und vor allem wird die Distribution der Schadsoftware immer geschickter. Nennenswert scheint hier ein Fall aus dem Sommer 2018 bei dem für die Planung eines Spionageangriffs gegen Dritte der Name des Labors Spiez missbraucht wurde. Dabei wurde ein im Internet verfügbares Originaldokument der Organisation so manipuliert, dass die Schadsoftware mit dem Dokument distribuiert und die Malware auf den Rechnern der Angriffsziele installiert werden konnte. Der Name des Labors Spiez wurde in dem Angriff also nur verwendet um einen Vertrauensvorsprung bei den Opfern zu generieren, sodass diese dachten, sie könnten das empfangene Dokument ohne Bedenken öffnen. Es sei hier angefügt, dass das Labor Spiez nie Ziel der Attacke gewesen und auch nicht von der Malware infiziert worden sei.

Datenabflüsse auch bei Schweizer Unternehmen

Im Jahr 2018 sind auch bei Schweizer Unternehmen teils beträchtliche Datenabflüsse an kriminelle registriert worden. So konnten Cyber-Kriminelle Kontaktdaten von 800’000 Swisscom-Kunden entwenden, wobei die Kontaktdaten nicht direkt bei der Swisscom abgeflossen sind, sondern bei einem Betriebspartner. Bei den Informationen handelt es sich um solche, die zur Identifikation von Kunden genutzt werden, wie Name, Wohnadresse, Telefonnummer, und Geburtsdatum. Sensiblere Daten seien laut Swisscom keine abgeflossen.

Ziel solcher Datendiebstähle ist meist die Erpressung der betroffenen Unternehmen. Ausserdem werden die Daten zum Teil verkauft und für „Credential Stuffing“ oder die Optimierung von Social-Engineering verwendet, denn durch die persönliche Ansprache lassen sich ahnungslose User leichter zu Handlungen verleiten, die ihnen selber schaden.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben