Es ist fast wie früher! Die Angestellten und freien Mitarbeiter des Kammergerichts in Berlin sind dieser Tage wieder auf Telefon, Fax, Papier und Briefmarken angewiesen um ihre Kommunikation zu gewährleisten. Die Frage nach dem Warum ist schnell beantwortet und heißt „Emotet“. Das ist eine sogenannte Schadsoftware, die sich in sämtliche E-Mails des Kammergerichts eingeschlichen hat. Es mag in diesem Zusammenhang kurios klingen, aber exakt vor diesem Trojaner hatte gerade erst das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausdrücklich gewarnt und deutsche Unternehmen auf eine mögliche Bedrohung durch „Emotet“ hingewiesen.

Zu den Hauptaufgaben von „Emotet“ gehört das Ausspionieren der von ihm infizierten E-Mails, um dann im Anschluss zusätzliche Schadsoftware nachzuladen. Dazu gehören unter anderem spezielle Banking-Trojaner, die nach einem Zugriff auf Kontodaten forschen und dann auf digitalem Weg versuchen, Geld an Cyber-Gangster zu transferieren. 

Andere Trojaner dienen dazu, die Geschädigten zu erpressen. Ransomware-Angriffe (ransom = Lösegeld) werden derartige Schadprogramm-Attacken genannt. Hierbei erhalten die Opfer manipulierte E-Mails, die sie dazu animieren sollen einen infizierten Anhang zu öffnen. Sofern sie dies tun lösen die Anwender eine umfassende bis komplette Verschlüsselung sämtlicher Daten aus, die sich in diesem Netzwerk oder auf dem Computer befinden. Eine Entschlüsselung ist zwar möglich, doch für das notwendige Passwort, das die Daten wieder freigibt, wird ein hohes Lösegeld gefordert. 

Aquarium Berlin gehackt

BerlinMittlerweile sind Meldungen über betroffene Firmen, Institutionen und Behörden beinahe schon an der Tagesordnung. Glaubt man den Experten, dann soll es inzwischen angeblich rund 10.000 sogenannte „Verschlüsselungs-Trojaner“ geben. Der Berüchtigtste unter ihnen ist sicherlich „WannaCry“. Schließlich legte er schon die Rechner der Deutschen Bahn lahm, sogar eine komplette Stadt. Davon betroffen war Baltimore im US-Staat Maryland. Und das ausgerechnet durch die – wenn auch indirekte - Mithilfe des US-Geheimdienstes NSA. Der NSA hatte einen Schwachpunkt bei Microsofts Windows-Betriebssystem ausgemacht und ihn für Spionagezwecke angewandt. „EternalBlue“ wurde dieses Cyber-Werkzeug des US-Geheimdienstes genannt. 2016 gelangte es dann in die Hände von skrupellosen Hackern, die zahlreiche Angriffe mit „WannaCry“ und „NotPetya“ starteten. Der Schutz vor gierigen Computerwürmern, die sich durch die digitalen Strukturen von Organisationen, Behörden und Firmen fressen, ist ausgesprochen kompliziert. Der namhafte US-amerikanische Sicherheitsforscher Bruce Schneier hat ein solches Prozedere anhand eines Beispiels benannt. Auf der Fach-Tagung „Cyber Security Nordic 2019", die unlängst in Helsinki stattfand, erklärte er: „Die eigentlich gut abgesicherte Finanzabteilung eines Casinos in Las Vegas wurde dadurch gehackt, weil sich im lokalen Netzwerk des Hauses auch ein Fisch-Aquarium mit einem Internet-Anschluss befunden hat."  Demnach hatte das Casino ein Programm installiert, über das der Wasserzustand und die Fische-Fütterung im Netz kontrolliert werden konnten. Auch wenn das Programm noch so gut gesichert schien, das schädliche System fraß sich durch sämtliche Abwehrmechanismen. 

Ob es in der Vergangenheit auch Hacker-Angriffe auf Online Casinos und Internet Sportwetten-Anbieter gab, ist aktuell nicht bekannt. Was uns allerdings bekannt ist, ist die Tatsache, dass seriöse Online Casinos über umfangreiche und moderne Datenschutzprogramme verfügen, die ständig aktualisiert werden, damit das Online Gaming auch in Zukunft sicher bleibt.

„Das Internet der Dinge“ im Fokus von Cyberkriminellen

Bruce Schneier und einige seiner Experten- Kollegen machten im Rahmen der finnischen Fach-Tagung eindringlich darauf aufmerksam, dass es den Cyber-Kriminellen und Hackern mit staatlicher Unterstützung in Zukunft nicht mehr genügen wird, nur „normale“ Computer auszuspionieren. “Autos, medizinische Geräte, Drohnen, Thermostate, Kraftwerke, alles was mit Smart Cities zu tun hat. Das sind alles Computer."  Schneider machte dabei allerdings auf einen entscheidenden Unterschied aufmerksam: „Wenn meine Tabellenkalkulation abstürzt, verliere ich vielleicht meine Daten. Aber wenn mein Herzfrequenz-Messgerät crasht oder die Bremsen meines autonom fahrenden Autos versagen, kann ich vielleicht dabei sterben." Rick Ferguson, Boss der Trend Micro-Sicherheitsforschung, warnte darüber hinaus vor den vielen Möglichkeiten einer omnipräsenten Vernetzung, die durch die neue Mobilfunk-Generation 5G auch technisch umzusetzen ist: „5G ist nicht unbedingt dazu da, Euren Netflix-Download schneller zu machen, sondern dient vor allem dazu, unzählige Verbindungen im "Internet der Dinge" herzustellen."

Qualitätssoftware zu teuer?

"Die meiste Software wurde schlecht geschrieben und ist nicht sicher, weil niemand für Qualitätssoftware bezahlen möchte", stellte Schneier fest und wies auf die vielen Schwachstellen bei vernetzten Geräten hin. „Es gibt nur wenige Ausnahmen wie das Space Shuttle vielleicht." Er forderte, dass permanent die „frisch“ entdeckten Sicherheitslücken wieder gestopft werden, auch wenn das in der Realität und selbst bei Smartphones nur sehr schlecht funktioniert. Im „Internet der Dinge“ gibt einfach zu viele Geräte, die niemals einen Patch bekommen werden.

Staatlich regulierte Rahmenbedingungen müssen her. Darüber sind sich die Tagungsteilnehmer einstimmig einig. Mikko Hyppönen, der Forschungs-Beauftragte von F-Secur, einem Sicherheitsunternehmen aus Helsinki, sagte: „Wir regulieren ja heute schon Feuerschutz und elektrische Sicherheit. Wenn ich mir heute eine Waschmaschine kaufe, kann ich ziemlich sicher sein, dass ich keinen elektrischen Schlag bekomme. Sie wird auch kein Feuer fangen. Aber sie wird Dein WLAN-Passwort im Handumdrehen verlieren."

Die „europäische Datenschutzgrundverordnung“ (DSGVO) könnte hierbei als Vorbild dienen. Außerhalb der EU hat sie sich schon seit einiger Zeit als mustergültiges Modell dür Datenschutzregulierungen etabliert. Es gibt zahlreiche Unternehmen, die es praktischer finden, sich an der DSGVO zu orientieren, anstatt unterschiedliche „Versionen ihrer Produkte und Dienstleistungen“ bereit zu stellen. Was die Inhalte betrifft, so könne man auch ein neues kalifornisches Gesetz zur Cybersicherheit ("Senate Bill No. 327") hinzuziehen. Ab dem kommenden Jahr ist es nämlich in dem US-Staat verboten, Geräte, die vernetzt sind, auszuliefern – insbesondere dann, wenn sie nur mit einem sogenannten vorbelegten, einfachen Passwort gesichert sind, wie „password“, „admin“ oder auch „12345678“.