560.000 Angriffe pro Tag: Wo Sicherheitsrisiken für Freiberufler lauern. Interview mit Symantec-Experte Candid Wuest
Geknackte Passwörter, gehackte E-Mail-Konten, gekaperte Netzwerke: In letzter Zeit häufen sich die Schlagzeilen über Datenspionage und gezielte Angriffe durch Cyber-Kriminelle. Vor allem da, wo sich viele Anwender tummeln, schlagen Hacker mit Vorliebe zu. Längst sind davon nicht mehr nur die großen Konzerne betroffen – auch Freiberufler und mittelständische Unternehmen sind beliebtes Angriffsziel. Unter Anderem, um an die Daten der Auftraggeber ranzukommen, weiß Candid Wuest. Der Senior Threat Researcher im Symantec Security Response Team beschäftigt sich jeden Tag mit der Sicherheitslage im Internet. Im exali.de-Interview gibt er einen Einblick – mit erschreckenden Zahlen.
Wo lauern denn die meisten Sicherheitsrisiken und -lücken, gerade auch für Freiberufler und mittelständische Betriebe?
„Schadsoftware einfangen“: Wie kann man sich das in der Praxis vorstellen?
Stichwort „Bring-your-own-Device“ (BYOD): Viele Freiberufler bringen zu ihren Auftraggebern eigene Geräte mit. Vor allem mobile Endgeräte werden gerne privat und beruflich genutzt…
Was passiert denn konkret, wenn sich Schadsoftware auf dem Mobiltelefon breit macht?
Haben Sie einen Sicherheitstipp für Freiberufler, die zum Auftraggeber ihre eigenen Geräte mitbringen und damit arbeiten?
Im ersten Teil liefert der Symantec-Sicherheitsexperte Antworten auf die Frage, wo die meisten Sicherheitsrisiken für selbständige Dienstleister lauern, warum BYOD (Bring your own device) Chance und Risiko zugleich ist – und gibt hilfreiche Tipps für mehr Sicherheit in der Berufspraxis.
Wo lauern denn die meisten Sicherheitsrisiken und -lücken, gerade auch für Freiberufler und mittelständische Betriebe?
Vor allem das Internet bietet eine Vielzahl möglicher Angriffsvektoren, die den persönlichen Rechner kompromittieren: Schadsoftware wie Trojaner oder ein Bot werden aufgespielt, im Hintergrund ausgeführt und können Daten auslesen.
Und zwar nicht zu knapp: Global gesehen sind mehr als 560.000 Webseiten-Benutzer pro Tag von solchen Angriffen betroffen, das zeigen zumindest allein die von Symantec geblockten Angriffe. Die tatsächliche Zahl ist noch um Einiges größer. Tendenz steigend. So haben die Webangriffe über infizierte Webseiten allein von 2012 bis 2013 um 23 Prozent zugenommen.
Sich Schadsoftware einzufangen geht also schneller, als so mancher denkt – und zwar nicht nur über den Besuch von „Schmuddelseiten“, wie früher oft gesagt wurde. Im Gegenteil: Bei 60 Prozent aller Seiten, die gekapert wurden, handelt es sich um legitime Webseiten. Ein von uns durchgeführter Scan der Webserver und Content Management Systeme der populärsten Seiten im Netz hat gezeigt, dass jede achte Seite eine kritische, nicht-gepachte Schwachstelle aufweist – über die sich Schadcode einschleusen lässt.
Gerne werden auch Seiten von KMU gekapert, die nicht gut abgesichert sind, um an die Daten der großen Auftraggeber ranzukommen, bei denen die Freiberufler tätig sind und sich mit ihren Rechnern dort in die Netzwerke einloggen – aber dazu später noch mehr.
„Schadsoftware einfangen“: Wie kann man sich das in der Praxis vorstellen?
Da ist einmal das klassische E-Mail-Attachement, das leider immer noch funktioniert. Hier gehen die Täter mittlerweile sehr zielgerichtet und perfide vor, indem sie Mails mit persönlichem Bezug verschicken. Der Freiberufler öffnet den Anhang – und die Schadsoftware installiert sich automatisch auf dem Rechner.
Neue Gefahren bergen auch die sozialen Netzwerke wie Facebook, LinkedIn, Twitter, wo man relativ schnell persönlich wird. Da erreicht den Freiberufler z.B. ein Anschreiben, das auf gemeinsame Kontakte verweist, auf Hobbies, oder ein vergangenes Meeting. Dann kommt eine Mail: „Wir haben uns auf der Social Media Conference letzte Woche kennengelernt. Hier noch der Artikel, den ich erwähnt hatte“. Der Freiberufler klickt auf den Link, der auf eine infizierte Webseite geht – und holt sich den Schadcode.
Häufig werden Schwachstellen im Browser ausgenutzt, um Schadcode zu übertragen und eine Seite zu infizieren. Schwachstellen, die jeder Browser hat, wie sich vergangenes Jahr gezeigt hat – von Safari, über Chrome, Firefox bis hin zum Internet Explorer. Java, Macromedia Flash, PDF Viewer sind hier Stichworte. Da reicht es, einfach nur die News zu lesen und unbemerkt wird im Hintergrund ein Trojaner auf dem Rechner installiert.
Stichwort „Bring-your-own-Device“ (BYOD): Viele Freiberufler bringen zu ihren Auftraggebern eigene Geräte mit. Vor allem mobile Endgeräte werden gerne privat und beruflich genutzt…
Mobile Geräte sind Chance und Risiko zugleich, wie das so oft im Internet der Fall ist. Das Problem: Die meisten Leute – vom Privatanwender bis hin zum Freiberufler – greifen von unterwegs gerne auf ihre Daten zu, schützen ihre mobilen Endgeräte aber nicht. Eine Umfrage von uns zeigt, dass 67 Prozent aller Nutzer nicht mal irgendeine Art von Security-Software installiert haben – also komplett schutzlos unterwegs sind.
Bei einem System wie Android und seinem sehr offenen Google Play Market kann das zum Problem werden: Hier kann es schnell passieren, dass man sich Apps mit Schadsoftware herunterlädt, die dann im Hintergrund ausgeführt werden. Im Gegensatz dazu ist der App-Store von Apple zwar etwas sicherer, weil jede App vor dem Verkauf rigoros getestet wird, aber auch hier ist man vor Schadcodes nicht gefeit. Bei mobilen Endgeräten bleibt es also ein stetiger Balanceakt zwischen Freiheit und Einschränkung.
Um auch im Zusammenhang mit mobilen Endgeräten einige Zahlen zu nennen: 3.000 bis 4.000 neue Varianten an Schadcodes und 57 neue Malware-Familien, also neue Stämme an Trojanern, werden im Mobile-Bereich pro Jahr identifiziert. Zum Vergleich: Im Internetbereich sind es 1,6 Millionen Schädlinge pro Tag.
Was passiert denn konkret, wenn sich Schadsoftware auf dem Mobiltelefon breit macht?
Hier kann man zwischen zwei Sektoren unterscheiden. Der eine ist, direkt Geld zu verdienen. Beispielweise, indem SMS verschickt werden, die kostenpflichtig sind. Bei groß angelegten Angriffen können die Täter so schnell 200.000 bis 300.000 Euro am Tag verdienen.
Ein anderes Thema ist das Stehlen der Passwörter, die häufig auf dem Telefon abgespeichert werden. Sie werden ausgelesen, ins Internet geschickt – und dadurch wird Einiges an Schaden generiert. Viele Nutzer verwenden immer das gleiche Passwort, nicht nur bei ihrem E-Mail-Account, sondern auch bei der Zahlung mit PayPal, beim Online-Banking, etc.
Haben Sie einen Sicherheitstipp für Freiberufler, die zum Auftraggeber ihre eigenen Geräte mitbringen und damit arbeiten?
Erster Tipp: Saubere, starke und unterschiedliche Passwörter nutzen. Dazu gehört übrigens auch der Pincode auf dem Smartphone. Wenn das Gerät im Taxi vergessen wurde oder auf dem Tisch liegen bleibt, hat so nicht gleich jeder Zugriff.
Zweiter Tipp: Sicherheitssoftware installieren. Um hier gleich mal mit zwei Mythen aufzuräumen: Die muss nicht teuer sein, es gibt auch sehr gute kostenlose Angebote. Und auch, dass Sicherheitssoftware eklatant auf den Akku geht, stimmt nicht.
Dritter Tipp: Wenn der Freiberufler den Laptop mit ins Unternehmen nimmt, empfiehlt sich eine Festplattenverschlüsselung, dass nicht auf sensible Kundendaten zugegriffen werden kann. Das gängige Passwort – zum Beispiel in Windows – kann in fünf Minuten umgangen werden, wenn man es darauf anlegt. Dafür muss man kein Hacker sein: Schritt-für-Schritt-Videos auf gängigen Portalen erklären, wie Systeme einfach geknackt werden können. Zum Beispiel, indem das Systeme per USB-Stick neu gestartet und dabei das Passwort ganz einfach überschrieben wird.
Vierter Tipp: Warnmeldungen sollten ernst genommen werden. Gerade, wer sein Gerät in öffentlichen Hotspots nutzt, schnell mal im Hotel-Netzwerk zum Arbeiten in die Cloud geht oder sich per UMTS einwählt. Wenn auf der Webseite die Meldung angezeigt wird, das SSL-Zertifikat sei nicht gültig und es wird einfach auf „Weiter“ geklickt, kann das fatal sein. Denn so wird Tür und Tor für einen sogenannten „Man-in-the-middle-Angriff“ geöffnet, bei dem sich Dritte mit in die Verbindung schalten. Der Angreifer hat dann volle Zugriffskontrolle, kann nicht nur mitlesen, sondern auch mitsteuern. Zum Beispiel auch beim Online-Banking. Und dann geht die Überweisung nicht an den Stromanbieter, den man bezahlen wollte, sondern an ein unbekanntes Konto in Rumänien.
Fünfter Tipp: Arbeiten Sie mit einem aktuellen Betriebssystem, mit aktueller Software. Das erscheint vielleicht lapidar – wird aber von Vielen nicht beachtet. Knapp 20 Prozent der Symantec AntiViren-Kunden verwenden beispielsweise noch Windows XP, für das es seit Anfang April keine Sicherheitsupdates mehr gibt…
Über Candid Wüest - Senior Threat Researcher Symantec
Candid Wüest ist seit 2003 für Symantec tätig. Als Threat Researcher im Symantec Security Response Team analysiert er die Sicherheitslage im Internet, erstellt Gefahrenberichte und arbeitet an Forschungsberichten über neu auftretende Sicherheitsrisiken, zum Beispiel Schadcodes für Mobiltelefone.
Von 2004 bis 2006 war er als Security Response Engineer im Symantec Virenforschungslabor in Dublin tätig. Als Sicherheits- und Virenexperte analysierte er dort bösartige Codes, erstellte Virendefinitionen und Entfernungstools beziehungsweise detaillierte Berichte und Analysen.
Vor seiner Tätigkeit bei Symantec arbeitete Candid Wüest für das IBM Research Lab in Rüschlikon, Schweiz, wo er für das Global Security Analysing Lab verschiedene Projekte durchführte.
Weiterführende Informationen
- „Cyber-Angriffe können Jeden treffen“: Interview mit Symantec-Sicherheitsexperte Candid Wüest (Teil 2)
- Heartbleed Sicherheitslücke: Datenmissbrauch ist teuer – so sichern sich Webshopbetreiber ab
- Nützliches Tool zur Risikoermittlung bei Hackerangriffen & Co.: Der Data Breach Calculator
- Datendiebstahl: Eigenschäden durch Hackerangriffe und Cyberkriminalität abdecken - Interview Ralph Günther von exali.de
- Hacker knacken WordPress CMS: Freiberufler wird für unrechtmäßig hochgeladene Bilder zur Kasse gebeten
© Flora Anna Grass – exali AG