„Die unterschätzte Gefahr aus dem Internet“ titelt die FAZ am 23. April. Der Hackerangriff auf den Aluminiumkonzern Norsk Hydro hat 35.000 Mitarbeiter in 40 Ländern berührt. Die Angreifer haben eine Ransomware namens „LockerGoga“ im System platziert. Den meisten Unternehmen ist klar, dass sie irgendwann getroffen werden, die Frage ist nur, wie lang und wie schwer. Viele Unternehmen unterschätzen die Arbeitsteilung in der Cybercrime-Szene, die auf eine große Servicequalität im Angriff ausgerichtet ist.
Eine „Amazonisierung“ von Dienstleistungen gibt es auch im Darknet, mit Gebrauchsanweisung, Pannenservice und Geld zurück-Garantie. Jedes Unternehmen muss IT-Sicherheitskompetenzen aufbauen oder zumindest einkaufen. Aber Mittelständler tun sich schwer damit, Personal an ihre Standorte in der Provinz zu bekommen. Vor allem Ransomware-Angriffe nehmen zu, weil sie so häufig erfolgreich sind. Und die Hacker geben sich mehr Mühe. Sie studierten ihre Opfer für eine lange Zeit. Im internationalen Vergleich haben deutsche Unternehmen wegen ihrer Sprache einen Vorteil: Wenige Angreifer können so gutes Deutsch, um überzeugende Emails mit angehängten Viren zu verschicken.
BSI registriert verstärkt Ransomwareangriffe auf Unternehmen
In einer Presseerklärung vom 24. April registriert das BSI verstärkt Netzwerkkompromittierungen bei Unternehmen, die mit der manuellen und gezielten Ausführung eines Verschlüsselungstrojaners (Ransomware) endeten. Die Angreifer verschafften sich mittels breit angelegter Spam-Kampagnen wie Emotet zunächst Zugang zu einzelnen Unternehmensnetzwerken und erforschten dann manuell Netzwerk und Systeme der Betroffenen. Dabei versuchten die Angreifer etwaige Backups zu manipulieren oder zu löschen und brachten dann selektiv bei vielversprechenden Zielen koordiniert Ransomware auf den Computersystemen aus. Dadurch kommt es teilweise zu erheblichen Störungen der Betriebsabläufe.
Durch dieses aufwändige Vorgehen könnten Angreifer deutlich höhere Lösegeldforderungen an die Unternehmen stellen, als es bei bisherigen ungezielten Ransomware-Kampagnen der Fall gewesen ist. Neben einzelnen Unternehmen sind zunehmend auch IT-Dienstleister betroffen, über deren Netzwerke sich die Angreifer dann Zugang zu deren Kunden verschafften. In den letzten Monaten hat das BSI großangelegte Malware-Kampagnen analysieren können, bei denen vor allem maliziöse Anhänge oder Links zu gefälschten Webseiten in massenhaft versendeten Spam-Mails als Einfallssektor dienten. Als Abwehrmaßnahmen benennt das BSI: 1. Schutz vor Primär-Infektionen; 2. Überprüfung von Verbindungen von Dienstleistern zu Kunden; 3. Schutz vor Ransomware; das BSI rät dringend davon ab, auf etwaige Forderungen der Täter einzugehen. Es sollte sichergestellt sein, dass regelmäßig geeignete Backups erstellt werden, die zur Wiederherstellung der Systeme verwendet werden können. Diese Backups sollten zusätzlich offline in einem getrennten Netzwerk oder Netzwerksegment gespeichert werden.
Betrügerische Online-Shops
Das Verfahren der Video-Identifikation ermöglicht die Eröffnung neuer Bankkonten „vom heimischen Sofa“ aus. Wie die FAZ am 18. April berichtet, sollen Kriminelle in mehreren hundert Fällen Konten bei der Bank N26 eröffnet haben, um offenbar Geld aus dem Geschäft mit betrügerischen Online-Shops zu waschen. Die Betrüger verwendeten teilweise professionell aussehende Internetseiten, die namhaften Unternehmen nachempfunden seien und täuschend echt aussehen könnten, zu Stellenanzeigen.
Bewerber auf ein solches Stellenangebot wurden häufig aufgefordert, an einem Online-Bewerbungsverfahren teilzunehmen. Im Online-Bewerbungsverfahren sollen sie dann viele persönliche Daten von sich preisgeben. Mit den Daten stellten die Betrüger im Hintergrund online bei einem Kreditinstitut einen Antrag auf Kontoeröffnung unter dem Namen des Bewerbers und gaben zur weiteren Abwicklung Kontaktdaten ein, auf die sie selbst Zugriff haben, beschreibt die Bafin die beliebten Betrugsfälle. Diese Konten verwendeten die Täter dann für kriminelle Zwecke.
Chemiekonzern Bayer Opfer eines Cyberangriffs
Der Chemiekonzern Bayer ist Opfer eines Cyberangriffs geworden, berichtet zeit.de am 5. April. Es hat bereits seit Anfang 2018 Anzeichen dafür gegeben, dass das Firmennetzwerk mit Schadsoftware der Winnti genannten Hackergruppe angegriffen wurde, hatte Bayer mitgeteilt. Experten vermuteten, dass Winnti im Auftrag des chinesischen Staates handele. Die Hackergruppe soll auch 2016 hinter einer Attacke auf thyssenkrupp gesteckt haben. Experten des Bayer-Abwehrzentrums hätten die betroffenen Systeme identifiziert und bereinigt. Nach Berichten von Fachjournalisten sind vor allem Systeme an der Schnittstelle vom Intranet zum Internet sowie Autorisierungssysteme infiziert gewesen. Es gibt jedoch keine Anzeichen dafür, dass Daten abgeflossen seien.
Hackerangriffe auf Kraftwerke befürchtet
Zeit.online warnt am 20. April vor schwerwiegenden Hackerangriffen auf Kraftwerke aufgrund eines Hackerangriffs in Saudi-Arabien. Eine Gruppe hat einen Computervirus in das System eines Kraftwerks eingeschleust und es damit zerstören können. Wäre der Virus nicht rechtzeitig gefunden und gestoppt worden, wäre es zu Explosionen und zur Freisetzung von giftigem Schwefelwasserstoffgas gekommen. Diese Cyberattacke ist schon im Dezember 2017 entdeckt worden. Offenbar hat die Hackergruppe, die hinter dem schon in Saudi-Arabien zum Einsatz gekommenen Hacking-Werkzeug Triton steht, erneut einen Angriff gestartet.
Nach Informationen des Sicherheitsunternehmens Dragos soll es sich um Ziele in den USA und westlichen Ländern handeln. Triton ist ein sehr spezialisierter Virus. Genau genommen greift er nur eine Maschine an: ein Steuerungsmodul des französischen Unternehmens Schneider Electric namens Triconex Safety Instrumented System. Das soll Notfälle in letzter Sekunde erkennen und das Kraftwerk abschalten können. Weltweit sind mehr als 13.000 solcher Geräte im Einsatz. Zu den Kunden gehörten auch viele deutsche Kraftwerke. In Saudi-Arabien hätten es die Hacker geschafft, dieses Steuerungsmodul aus der Ferne zu übernehmen. Schon seit 2014 hätten die Täter das Netzwerk der Anlage ausspioniert. Hackerangriffe sind zunächst durch eine Sicherheitslücke in einer schlecht programmierten Firewall in das Netzwerk eingedrungen und haben von dort einen Arbeitsplatz übernommen, der direkt mit den sicherheitsrelevanten Systemen der Anlage kommuniziert.