2016 war ein herausforderndes Jahr für Politik und Öffentlichkeit, aber auch für Einzelpersonen und Unternehmen. Es war ein Jahr, dass wieder einmal gezeigt hat, wie wichtig Internet Security ist. Die vergangenen zwölf Monate haben gezeigt, wie ausgeklügelt und zielstrebig Cyber-Kriminelle arbeiten. Wir haben an die 10 größten Sicherheitszwischenfälle im Internet aus dem Jahr 2016 zusammengetragen.
1. Dyn DDoS-Angriff
Im Oktober 2016 starteten Cyber-Kriminelle einen großen DDoS-Angriff und störten eine Vielzahl von Webseiten. Betroffen waren unter anderem Twitter, Netflix, PayPal, Pinterest und das PlayStation Network.
Der Angriffs-Traffic schwankte zwar, dennoch wurden Spitzwerte von bis zu 1 TB pro Sekunde erreicht..
Die Angreifer nutzten tausende kompromittierte Internet of Things Geräte für ein Botnet. Server vom DNS Hosting Provider Dyn wurden durch die Flut von Anfragen der ca. 20.000 Geräte lahmgelegt.
Natürlich hatte die Attacke nur einen vorübergehenden Effekt auf weltweit populäre Webseiten. Auch die Angriffsmethode (DDoS-Attacken gehören zum Standard-Repertoire eines Cyber-Kriminellen) ist es nicht, was diesen Angriff so bedeutend macht.
Erstaunlich war die Angriffsbandbreite, welche in Spitzenzeiten bis zu 1 TB pro Sekunde erreichte. Damit wurden die Traffic-Mengen des Angriffs auf die Webseite des Security-Journalisten Brian Krebs noch übertroffen (Dazu später mehr).
Gartner sagt voraus, dass es im Jahr 2020 rund 20,8 Milliarden vernetzte Geräte geben wird. Wir können also davon ausgehen, dass der Angriff auf Dyn erst der Anfang war.
2. Tesco-Bankkunden verlieren bares Geld
Etwa 40.000 Tesco-Bankkonten wurden Anfang November in einem Cyber-Angriff kompromittiert. Natürlich haben wir schon größere Sicherheitslücken gesehen, denken wir einmal an den Online-Händler Target.com im Jahr 2013.
Die Brisanz liegt in der Tatsache, dass tausende Tesco-Bankkunden bares Geld verloren. Das ist schon eine Ausnahme im Zeitalter der Internet Security.
Die Bank mit sieben Millionen Kunden berichtete, dass durchschnittlich ca. 730 Euro von etwa 9.000 Konten gestohlen werden konnte. Innerhalb von 24h sollten alle Betroffenen entschädigt werden.
Die genaue Herkunft des Angriffs ist nach wie vor unklar. Es gibt lediglich Vermutungen darüber, dass ein Drittanbieter kompromittiert werden konnte und andere Cyber-Kriminelle Schuld waren. Ein Kunde beobachtete, dass es vier Transaktionen aus Rio de Janeiro in Brasilien gab. Natürlich hatte dieser Angriff über die Erstattung der gestohlenen Beträge hinaus, Auswirkungen auf die Bank Tesco. Die britische Financial Conduct Authority (FCA) bereitet sich darauf vor, eine nicht unerhebliche Geldstrafe auszusprechen.
3. Automatisierte DDoS-Systeme in Finnland
Die Attacke auf Dyn weckte das Interesse der Medien. Auf einmal Stand die Sicherheit der Internet of Things Geräte im Vordergrund. Das war auch gut so. Doch bereits einen Monat früher gab es einen Sicherheitsvorfall, der weitaus größere Konsequenzen hatte.
Dieser frühere Angriff zielte auch auf IoT-Geräte ab. Böswillige Hacker demonstrierten in Finnland ihr Können und manipulierten die Klimaanlage in zwei Gebäuden der Stadt Lappeenranta.
Lokale Medien berichteten, dass die Cyber-Kriminellen nicht nur die Heizungen ausschalten, sondern auch andere Automatisierungssysteme kompromittieren konnten. Ähnlich wie bei der Dyn-Attacke wurden hier Geräte mit schädlichem Traffic geflutet, sodass diese abschalten und neustarten mussten. In dem Angriff in Finnland gelang es den Eindringlingen zusätzlich, den ferngesteuerten Admin-Zugriff auf die Automatisierungssysteme zu verweigern.
Tatsächlich mussten die Techniker physisch vor Ort erscheinen, um die betroffene Hardware vom Internet zu trennen und den schädlichen Traffic auszusperren. Das IT-Management Unternehmen Valtia beschuldigte das ansässige Unternehmen Fidelix für den Vorfall verantwortlich zu sein. Aus diesem Unternehmen stammt die kompromittierte Hardware.
4. US Department of Justice Mitarbeiter verloren wichtige Daten
Im Februar brachen Cyber-Kriminelle, die angeblich über die Beziehungen der USA mit Israel verärgert waren, in die Datenbank des US-Justizministeriums ein.
Der Angriff zeigte, wie große Regierungsbehörden unter denselben Problemen wie Unternehmen leiden können..
CNN berichtete, dass die Angreifer persönliche Daten von 10.000 Homeland Security Mitarbeitern an einem Tag veröffentlichten. Am nächsten Tag wurden dann Informationen über rund 20.000 Angestellte des FBIs publiziert. Die gestohlenen Daten beinhalteten Informationen über Namen, Titel, Telefonnummern und E-Mail-Adressen. Das US-Justizministerium versicherte, dass keine sensiblen Informationen wie die Sozialversicherungsnummer geleakt wurden.
Die Angriffsmethode bleibt bis heute ein Rätsel. Das bemerkenswerte an der ganzen Aktion ist, dass Cyber-Kriminelle nicht nur große Regierungsbehörden, sondern auch Unternehmen auf diese Weise kompromittieren können.
Laut einem Tweet der Cyber-Kriminellen – Nutzername: @DotGovs – dauerte es eine ganze Woche, bis das Justizministerium die Sicherheitslücke bemerkte.
5. AdultFriendFinder.com erneut angegriffen
Die nicht-jugendfreie Webseite AdultFriendFinder wurde nun schon mehrfach in aufeinanderfolgenden Jahren von Hackern angegriffen. Im November dieses Jahres waren weitaus mehr Leute davon betroffen, als jemals zuvor. Dieses Mal konnten ungefähr 412 Millionen Nutzerdaten gekapert werden. Später wurden diese zum Verkauf im Dark Web angeboten.
Die Daten aus dem Hack beinhalteten Informationen über E-Mail-Adressen, Passwörter, dem VIP Mitgliedsstatus, Browser-Informationen, die letzte eingeloggte IP-Adresse und eine Übersicht über gekaufte Leistungen. Über den Datenklau informierte LeakedSource.
Was können wir aus diesem Leak lernen? Solange Organisationen Sicherheitslücken als PR-Aktionen ansehen und ignorieren, solange sind private Daten im Web nicht sicher.
6. Kein Frieden für LinkedIn, Tumblr und Myspace
Im Juni 2016 streute jemand unter unbekannten Alias „Peace“ Millionen Nutzerdaten von LinkedIn, Tumblr und Myspace im Internet. Insgesamt wurden mehr als eine halbe Milliarde Passwörter veröffentlicht.
Tatsächlich gab es einen Dark Web Store, der viel vertrieb. Wire zufolge, verkaufte der Shop rund 167 Millionen User-Accounts von LinkedIn, 360 Millionen von MySpace, 68 von Tumblr, 100 Millionen vom russischen sozialen Netzwerk VK.com, und ungefähr 71 Millionen Twitter-Accounts. Am Ende waren 800 Millionen Accounts mit steigender Tendenz im Angebot.
Das Kapern der Daten mündete in der Übernahme der Accounts von Mark Zuckerberg, Katy Perry, Drake und Biz Stone, dem Twitter-Gründer.
Noch ist allerdings unklar, wie „Peace“ – wenn er die Hacks denn alleine vollführte – an so viele Accounts gelangen konnte. Es gibt Vermutungen darüber, dass die meisten Daten über die Passwortwiederherstellen-Funktion der einzelnen Betreiber gekapert wurden, als Nutzer im Jahr 2012 zur Passwort-Erneuerung aufgerufen wurden.
7. DDoS-Angriff auf die Webseite von Krebs
Sicherheitsjournalist und -forscher Brian Krebs ist ein angesehener Name in der Branche. Er hat schon viele Missetaten von Cyber-Kriminellen aufgedeckt, lange bevor Unternehmen selbst davon wussten.
Doch in diesem Jahr hat er sich wahrscheinlich mit den falschen Leuten angelegt. So kam es, dass seine Webseite im September einem massiven DDoS-Angriff ausgesetzt war. Bis dato hielt Krebs den Rekord für den meisten (bösartigen) Traffic einer Webseite mit einer Datenrate von 620 bis 655 GB pro Sekunde.
Das erstaunliche an dem Angriff war die Tatsache, dass ein mächtiges Botnet Krebs Webseite angegriffen haben muss. Bei vorangegangen DDoS-Attacken auf andere Webseiten wurden wesentliche kleinere aber verstärkte Botnets eingesetzt. Bei der Krebs-Attacke konnte die enorme Bandbreite auch ohne Verstärkung erreicht werden. Das spricht für ein mächtiges Botnet mit vielen kompromittierten Geräten.
Wie wir sehen, nehmen DDoS-Attacken zu. Wahrscheinlich werden wir in der Zukunft weitere Angriffe mit enormen Traffic-Raten erleben.
8. Yahoo Sicherheitslücke #1
Im September schrieb Yahoo Geschichte – leider keine gute. Es sollte die größte Sicherheitslücke im Zeitalter des Internets werden.
Das Unternehmen musste eingestehen, das ihm über 500 Millionen Nutzerdaten gestohlen wurden. Darunter befanden sich sensible Daten wie Namen, E-Mail-Adressen, Telefonnummern und verschlüsselte Passwörter. Offenbar waren staatlich unterstützte Hacker für diesen Leak verantwortlich.
Das war leider nicht der erste Ausrutscher in Sachen Internet Security für Yahoo. Schon in 2014 wurde Yahoo Opfer eines Cyber-Angriffs. In diesem Jahr soll Yahoo aber schon im August von dem Sicherheitsleck gewusst haben.
9. Yahoo Sicherheitslücke #2
Mitte Dezember folgte dann das zweite Eingeständnis des Internetriesen. Diesmal sollten über eine Milliarde User-Accounts betroffen sein. Als ob das nicht genug war, erklärte das Unternehmen außerdem, dass hierfür eine Sicherheitslücke verantwortlich war, die nicht mit der aus dem Jahr 2014 zusammenhing.
Der Yahoo CISO Bob Lord glaubt, dass der Leak bis ins Jahr 2013 zurückreiche. Cyber-Kriminelle ergaunerten damals Namen, E-Mail-Adressen, Telefonnummern und verschlüsselte Passwörter.
Mark James von ESET kommentierte den Sachverhalt damals so: „Was können wir User gegen so eine Sicherheitslücke unternehmen? Nichts! Es tut mir leid, aber so ist es. Dafür sind die Unternehmen verantwortlich. Wir User können nur den Schaden begrenzen.“
10. Philippinischen Wähler von Anonymous kompromittiert
Diese Meldung hat es zwar nicht auf die Titelseiten der westlichen Magazine geschafft, aber dieser Cyberangriff aus April war wohl mit der verheerendste im Jahr 2016.
Eine Sicherheitslücke in der Datenbank der Philippine Commission on Elections (COMELEC) resultierte in einen Verlust von persönlichen Informationen eines jeden Wählers des Landes. Wir sprechen hier von 55 Millionen Menschen. Offenbar wurde die COMELEC Opfer der Gruppe Anonymous laut Lulzsec Pilipinas.
Angeblich wollte Anonymous die COMELEC dazu bringen, Sicherheits-Features in den Stimmzählungsmaschinen für die Wahlen am 9. Mai zu aktivieren. Damit wollte die Gruppe indirekten Einfluss auf die Wahlergebnisse nehmen und zeigen, dass die Politik mehr von äußeren Kräften beeinflusst werden kann, als sie zugeben mag.
