Ein Team von Computersicherheits-Hackern auf der DEF CON 17.
Foto: © Von Nate Grigg - Flickr, CC BY 2.0,
Wieso auch Ihr Unternehmen betroffen sein kann, wenn www.meingartenshop.de gehackt wurde
Von Jan Wolter, complexium
Die allermeisten Unternehmen haben verstanden, dass sie ihre Mitarbeiter nicht nur auf dem eigenen Werksgelände schützen müssen, sondern auch „im Feld“, also bei Dienstreisen insbesondere in Krisenregionen. Auch haben die allermeisten Unternehmen verstanden, dass sie ihre Daten schützen müssen – auf ihren Computern und Servern.
Wie gut sie dies dann letztendlich tun, soll hier nicht bewertet werden. Dass die Datenhoheit aber auch außerhalb der eigenen IT-Infrastruktur geschützt werden muss, scheinen bislang nur die Wenigsten begriffen zu haben. Denn so, wie die Mitarbeiter sich nicht nur auf dem Werksgelände aufhalten, befinden sich auch firmenrelevante Daten und Accounts auf anderen Servern.
Das zeigt auch der jüngste „Doxing-Skandal“, von dem zahlreiche Prominente und Politiker betroffen sind. Viele verstehen nicht, dass gar nicht ihr Account gehackt wurde, sondern der Server des Dienstes, bei dem sie sich angemeldet hatten. So hilft das stärkste Passwort nichts, wenn die Seite/Datenbank des Buchungsportals gehackt wurde, bei der man seinen Urlaub gebucht hat. Die Hacker erbeuten zu jeder E-Mail-Adresse, mit der sich Nutzer angemeldet haben, das Passwort für diesen Account auf der Seite. Die Informationen werden in einer Liste zusammengetragen. Wer in den Besitz dieser Liste kommt, kann sich also einfach einloggen – er benötigt keinerlei Hacking-Fähigkeiten.
Man spricht in diesem Zusammenhang auch von crime as a service. Jemand programmiert Schadsoftware und verkauft sie. Ein anderer kauft diese auf, um damit Datenbanken zu hacken. Ein Dritter kauft die von gehackten Datenbanken erbeuteten Informationen auf und fügt sie zusammen. Ein Vierter erstellt daraus womöglich spezielle Listen zusammen – beispielsweise gehackte Shoppingportale.
Was bedeutet dies? Ohne Hacking-Fähigkeiten kommt man an Anmeldeinformationen (Anmeldename/E-Mail und Passwort) heran. Loggt man sich in den fremden Account ein, finden sich womöglich Name, Adresse und Geburtsdatum, was für eine Identitätsübernahme – beispielsweise zum Bestellen von Waren auf fremde Rechnung – ausreicht. Finden sich darüber hinaus noch Kreditkarteninformationen, kann der Schaden entsprechend höher ausfallen. Es reicht aber auch bereits die Information, dass die Person bei dieser Seite ein Benutzerkonto hat.
Nehmen wir die fiktive Person Markus Müller. Er hat sich auf der fiktiven Seite www.ferienhaus-in-brandenburg.de für die Zeit vom 15. – 19. März 2019 ein Ferienhaus gebucht und dazu ein Benutzerkonto angelegt. Dies tat er mit seiner dienstlichen E-Mail-Adresse
Nun möchte jemand der „Firma-Hastenichgesehen“ schaden – womöglich ein Krimineller, ein verärgerter Ex-Mitarbeiter oder ein Konkurrent. Er scannt die Data-Breach-Datenbanken nach @Firma-hastenichgesehen.de und findet dort (unter anderem) Markus Müller. Mit dem dort aufgeführten Passwort loggt er sich ein und sieht die Buchung. Er sendet Markus Müller eine E-Mail im Stil des „Ferienhaus-in-Brandenburg“, in der er darum bittet, seine Buchung für den 15. – 19. März nochmals zu bestätigen. Dafür genüge ein Klick auf einen Link. Daten, Anschrift, alles in der E-Mail ist korrekt – Markus Müller klickt, ohne weiter nachzudenken. Der Link öffnet eine Seite, auf der man sich für die Bestätigung bedankt – und Schadsoftware auf den Rechner lädt. Einfach, schnell und gezielt kann das Unternehmen nun angegriffen werden.
Andere Mitarbeiter der „Firma-Hastenichgesehen“ haben offene Accounts bei Karriereportalen, über welche Informationen abgefischt werden können, wiederum andere bei Seitensprungportalen, woraus sich gute Möglichkeiten zur Erpressung ergeben. Auch ein Account bei meingartenshop.de hilft dem Angreifer – selbst dann, wenn hier keine weiteren Informationen hinterlegt sind. Eine freundliche E-Mail, doch mal wieder auf der Seite vorbeizuschauen, man habe gerade tolle Angebote, enthält einen vielversprechenden Link: Der führt auf eine Seite, die allem Anschein nach gerade überarbeitet wird bzw. nicht erreichbar ist – und eine Schadsoftware ausführt. Um einen möglichen Verdacht zu zerstreuen, folgt kurze Zeit später eine neue E-Mail, in der man sich für den falschen Link entschuldigt und dann korrekt auf www.meingartenshop.de verlinkt.
Die Angriffsmöglichkeiten, die sich aus Data-Breaches ergeben, sind nahezu unerschöpflich. Unsere Recherchen zeigen zudem, dass nahezu jede Unternehmensdomain in diesen Data-Breaches auftaucht. Bei größeren Unternehmen sprechen wir von mehreren Tausend offenen Accounts!
Aus unterschiedlichsten Gründen melden sich Mitarbeiter mit ihren Firmen-E-Mail-Adressen bei verschiedensten Portalen an. In einigen Fällen mag dies durchaus legitim sein. Somit entsteht eine enorme Angriffsfläche, die sich zunächst einmal nicht kontrollieren oder unmittelbar absichern lässt. Früherkennung ist daher umso wichtiger. Unternehmen müssen wissen, wenn Firmen-E-Mail-Adressen in Data-Breaches auftauchen. Mitarbeiter müssen dann entsprechend zielgerichtet geschult und sensibilisiert werden.
Wichtig ist hierbei, sensibel vorzugehen. Compliance und Datenschutz sind von elementarer Bedeutung! Die Information, dass ein Mitarbeiter bei www.meingartenshop.de einen Account hat, mag unkritisch erscheinen. Dennoch ist dies eine persönliche Information, die der Vorgesetzte nicht unbedingt haben muss. Besonders kritisch wird es, wenn Seitensprungportale auftauchen.
Und auf einen weiteren Aspekt sei hier hingewiesen: Der Angreifer benötigt keinerlei Hacking-Fähigkeiten. Datenbanken mit offenen Accounts kann er im Netz schlicht erwerben, Schadsoftware ebenso. Die heutige kriminelle Welt ist geprägt von Globalisierung, Spezialisierung und Arbeitsteilung. Ein klein wenig Phantasie, etwas Arbeit und schon begrenzte Kenntnisse reichen daher völlig aus, um einen erfolgreichen Angriff zu starten.
Es ist also auch hier wieder ein ungleicher Kampf, der gefochten wird: Die Angreifer scheinen mehr Möglichkeiten und weniger Beschränkungen zu haben – und es reicht ihnen ein Treffer. Weglaufen oder Wegschauen ist gleichwohl keine Option. Im Gegenteil! Unternehmen müssen die Bedrohung ernst nehmen und angehen. Dabei können auch sie auf Werkzeuge und Dienstleistungen zurückgreifen, die es ihnen einfacher machen. Schließlich können wir wenigstens eines von den Angreifern lernen: arbeitsteilig vorgehen. Sie müssen also nicht schutzlos sein!
