Security

Digitales Wettrüsten

Mikko Hypponen hat einige der größten Cyberattacken der Geschichte aufgeklärt oder abgewendet. Wenn einer die Bedrohungslage der IoT-Ära einschätzen kann, dann er. Bei den CeBIT Global Conferences zeigte der Chief Research Officer von F-Secure heute, wie leicht sich großer Schaden anrichten lässt. Und warum ihm die nächsten Jahre Sorge bereiten.

22.03.2017
Mikko Hypponen bei CGC
Mikko Hypponen bei den CeBIT Global Conferences

Immer wieder war in den letzten Monaten von erfolgreichen Cyberattacken auf Unternehmen zu lesen. Gespürt hat das der Normalbürger vor allem am fallenden Aktienkurs – und daran, dass nach einer solchen "Schmach" schnell mal die Topmanager gehen müssen.

Doch welcher finanzielle Schaden entsteht eigentlich, wenn Hacker Daten stehlen? Einen ersten Eindruck, so Hypponen, lieferte der Yahoo-Hack im vergangenen Jahr. In dessen Folge sank der Verkaufswert des Suchmaschinen-Anbieters um 350 Millionen US-Dollar.

Nutzeraccounts sind Millionen wert

Die Hacker selbst verkaufen in aller Regel die erbeuteten Accountdaten an den Meistbietenden, erklärt der Security-Experte. Die Frage ist, warum Dritte dafür gleich Millionen von Dollar zahlen. Hypponen nennt das Beispiel LinkedIn: "2012 haben Angreifer 130 Millionen Datensätze heruntergeladen, inklusive E-Mail-Adressen und Passwörtern." Ungefähr jeder zehnte sei einem Google-Konto zuzuordnen, also 13 Millionen. Noch einmal zehn Prozent davon verwenden das gleiche Passwort bei LinkedIn und Google. So haben Hacker auf einen Schlag Zugang zu 1,3 Millionen Google-Konten, die als Login-System für zahlreiche Webdienste bei Kriminellen besonders beliebt sind. Dann kann das Einkaufen bei Amazon und Co. unter fremden Namen auch schon losgehen.

Einfallstor Personalabteilung

Aber wie kann ein Angreifer überhaupt erfolgreich in ein Unternehmensnetz gelangen und Daten stehlen? "Ein typischer Angriffspunkt sind die Mitarbeiter der Personalabteilung", sagt Hypponen. Naturgemäß gehen hier ständig Bewerbungen per E-Mail ein, angehängt: der Lebenslauf. In den Word-Dateien versteckt sich aber nicht nur Text, sondern auch Schadcode. Per Klick auf "Enable Content" ist der nur allzu leicht aktiviert. "Man könnte auch gleich 'Infiziere mein System' auf den Button schreiben", so Hypponen. Einmal infiziert können die Angreifer dann relativ einfach auch auf andere Systeme des Unternehmens zugreifen und Daten herunterladen. Oder sie nutzen Ransomware: Die Daten werden verschlüsselt und gegen Lösegeld wieder freigegeben. Noch haben die Angreifer keinen Anhaltspunkt, welche Summen sie tatsächlich verlangen können. Doch das ändert sich nächstes Jahr: Dann nämlich tritt die Verordnung GDPR in Kraft, die EU-Unternehmen zu einer Strafzahlung von vier Prozent ihres weltweiten Umsatzes verpflichtet, wenn sie gehackt werden und sich davor nicht ausreichend geschützt hatten.

"Besonders raffiniert ist Ransomware, die netterweise anbietet, die Daten auch kostenlos zu entschlüsseln", meint Hyponnen. "Das Unternehmen muss dafür nur zwei weitere infizieren." Ein klassisches Schnellballsystem, das sich mehr als lohnt.

Verantwortung bei Nutzern und Herstellern gefragt

Im IoT-Zeitalter sieht Mikko Hypponen vor allem zwei Probleme auf uns zukommen. Nummer eins lässt sich überspitzt als Naivität bezeichnen. Meistens müssen Hacker gar nicht hacken, sondern können sich Administratorrechte zu beliebigen Systemen verschaffen, weil die noch mit dem ab Werk eingestellten Passwort versehen sind. "Die Leute beschäftigen sich einfach nicht mit Sicherheit. Wer will schon ein Handbuch durchblättern, um zu erfahren, wie er das WLAN-Passwort ändert?" Das Problem werde erheblich zunehmen, wenn künftig praktisch alles vernetzt ist – vom Thermostat bis hin zur Waschmaschine. "Am Ende reicht ein einziges angreifbares Gerät und der Zugang ist da. Vielleicht hackt jemand bald Ihr Smart Home, weil die vernetzte Kaffeemaschine nicht ausreichend geschützt ist." Die Gerätehersteller jedenfalls werden sich wohl kaum um mehr Sicherheit bemühen – schließlich kostet das vermeintlich mehr, als es einbringt.

Im Cyberraum gibt es keinen kalten Krieg

Problem zwei seien die Regierungen. "Was wir gerade erleben, ist tatsächlich das nächste Wettrüsten", so Hypponen. Der Unterschied: Während man im klassischen militärischen Sinne noch gut einschätzen konnte, wie mächtig ein Land ist, funktioniert das im Cyberwar nicht mehr. "Wer weiß schon, wie die das Cyberangriffspotenzial von Deutschland aussieht? Oder von Vietnam?" Es gibt damit auch keine abschreckende Wirkung mehr, die früher noch verhinderte, dass sich aus dem Kalten Krieg ein heißer entwickelte.

Für viele mag der Begriff Cyberkrieg ein zu martialischer sein – schließlich gehe es doch "nur" um Daten. Doch das ist ein Trugschluss: "Es werden heute schon Soldaten getötet, weil sie per Smartphone-Trojaner vom Feind geortet werden können und dieser seine Raketen zielgerichteter einsetzen kann." Es ist rein realer Krieg. Und wir sollten vorbereitet sein.

Cybersecurity ist das Topthema heute bei den CeBIT Global Conferences . Erfahren Sie mehr – in Halle 8.

Security CEBIT Global ConferencesInternet of Things RSS Feed abonnieren