Spätestens seit den Enthüllungen von Edward Snowden ist vielen bewusst, dass die USA wie andere Staaten auch aktiv Sicherheitslücken nutzen, um nachrichtendienstlichen Bedürfnissen nachzukommen. Doch schon lange vorher war bekannt, dass die gezielte Überwachung per richterlichen Beschluss möglich ist. Grundlage hierfür bietet in den USA ein Gesetz zur Kommunikationsunterstützung für Strafverfolgungsbehörden (CALEA), welches vor 30 Jahren geschaffen wurde. Dieses sieht vor, dass die Telekommunikationsunternehmen ein System zur Verfügung stellen, über welches der Staat gezielt die Kommunikation von Personen und Unternehmen mitschneiden kann. Genau hier kam es nun zu einem Vorfall. Während die Absicht, schwere Straftaten zu verhindern und aufzuklären, nachvollziehbar ist, gab es bei der Umsetzung immer wieder Kritik.
Wie Sicherheitsexpert:innen regelmässig warnen, ist eine Lücke für einen Einzelnen eine Lücke für alle. Beim neusten Fall berichtete zuerst das Wall Street Journal über einen Angriff auf eben dieses staatliche Überwachungssystem. Demnach hatte eine chinesische Hackergruppe mutmasslich über Monate hinweg potenziell Zugriff auf die Daten von unzähligen Amerikanerinnen und Amerikanern. Diese Enthüllung wirft ein Schlaglicht auf die Gefahren, die mit staatlich angeordneten Hintertüren in Kommunikationssystemen einhergehen.
Während die Abklärungen über den Umfang des Hacks in den USA noch laufen, sind staatlich angeordnete Hintertüren auch in der EU und der Schweiz regelmässig ein Thema. So zuletzt auch im Kontext der sogenannten «Chatkontrolle» der EU, welche mit dem Argument des Kinderschutzes eine Schwächung der Ende-zu-Ende-Verschlüsselung aller in der EU aktiven Kommunikation vorsah. Stand heute wurde das Projekt Chatkontrolle wieder auf Eis gelegt. Doch weiterhin bleibt das Spannungsfeld bestehen: Wird eine Verschlüsselung für einen Akteur umgangen, steht dieser Weg potenziell auch anderen Akteuren frei.
Cyberangriffe
Angriffe auf das Internet Archive
Das Internet Archive ist eine gemeinnützige digitale Bibliothek, welche Webseiten, Medien und andere Inhalte für die Öffentlichkeit archiviert. Die Organisation wurde nun gleich zweimal angegriffen: Währen die Onlinedienste von einem DDoS-Angriff temporär lahmgelegt wurden, hat ein anderer Hacker rund 31 Millionen Nutzerdaten, darunter E-Mail-Adressen und gehashte Passwörter, gestohlen. Unterdessen halten die angriffsbedingten Wartungsarbeiten an, wobei Teile der Plattform in einem limitierten «Read-only»-Modus wieder erreichbar sind, so inside-it.ch.
Vermehrte DDoS-Angriffe auf kritische Infrastruktur
Seit September 2024 beobachtet das Bundesamt für Cybersicherheit (BACS) einen Anstieg von DDoS-Angriffen auf kritische Infrastrukturen in der Schweiz, die überwiegend von einem DDoS-as-a-Service namens «Gorilla» ausgehen. Diese Angriffe beeinträchtigen die Verfügbarkeit von Diensten dabei nur vorübergehend, ohne die Sicherheit oder Vertraulichkeit der Daten zu gefährden. Das BACS arbeitet nun mit betroffenen Organisationen und internationalen Partnern zusammen, um die Bedrohung einzudämmen und die digitale Infrastruktur zu schützen. In ihrer technischen Analyse (PDF) teilen sie nun Details über die verwendete Malware hinter «Gorilla», deren Infrastruktur sowie umgesetzte Massnahmen.
Neue Angriffsmethode im digital-physischen Krieg im Nahen Osten
Mit der erneuten Eskalation im Nahen Osten vor rund einem Jahr mehrten sich auch die digitalen Angriffe auf zivile und militärische Ziele der Konfliktparteien. Neben regulären Hacks und DDoS-Angriffen kam es im September 2024 zu einem Novum: Tausende Pager und Walkie-Talkies, die von der libanesischen Hisbollah genutzt und zuvor von einem externen Akteur manipuliert wurden, explodierten gleichzeitig. Die Detonationen töteten mindestens 42 Menschen, darunter Zivilisten und Hisbollah-Mitglieder, und verletzten über 3’000 Personen in Libanon und Syrien. Während sich die genauen Hintergründe kaum überprüfen lassen, geht man von einem Supply-Chain-Angriff durch Israel aus. Dieser Angriff gilt insbesondere deshalb als besonders, da er in seiner Komplexität auffallend ist und gleichzeitig nebst den direkten Auswirkungen der Explosionen auch einen psychologischen Effekt auf die zivile Bevölkerung sowie Hisbollah-Mitglieder hat.
Der Kiosk-Modus als Hackingtool
Eine aktuelle Malware-Kampagne nutzt eine ungewöhnliche Methode, um die Google-Anmeldedaten von Nutzer:innen abzugreifen. Dabei wird der Browser in den Kioskmodus versetzt, sodass die Nutzer die Login-Seite von Google nicht schliessen können. Aus Frustration geben viele ihre Anmeldedaten ein, um den Computer «freizuschalten». Sobald die Anmeldedaten im Browser gespeichert sind, werden sie von der StealC-Malware aus dem Credential Store gestohlen und an die Angreifer gesendet, schreibt der Security-Experte Bruce Schneier.
Kreative Angriffe durch Nordkorea
Der Deutsche Verfassungsschutz warnt vor getarnten IT-Fachkräften aus Nordkorea. Diese würden ihre Arbeit auf bekannten Freelancing-Plattformen anbieten. Mittels fiktiver oder gestohlener Identitäten tarnen sie dabei ihre eigentliche Herkunft. Werden die Freelancer angestellt, würden diese in der Regel Informationen abgreifen sowie Schadsoftware in internen Firmennetzwerken platzieren. Entsprechend empfiehlt der Verfassungsschutz laut Medien unter anderem persönliche Bewerbungs- oder Videogespräche vor der Anstellung.
Die Gefahr endet dabei nicht auf der anderen Seite des Prozesses: Auch Bewerbende sind nicht sicher vor nordkoreanischen Angriffen. Wie Medien berichteten, existieren gefälschte Jobpostings mit dem Ziel, dass die Bewerbenden für angebliche «Coding Tests» Software herunterladen. Hinter dieser Software versteckt sich dann Schadcode, welcher das System infiziert und weiteren Missbrauch des Computersystems ermöglicht.
Linux Malware blieb lange Zeit unentdeckt
Die Malware «Perfectl» hat laut Aqua Security tausende Linux-Systeme infiziert und könnte Millionen weitere Systeme befallen. Nach Angaben der Sicherheitsforscher nutzt die Malware über 20’000 Schwachstellen und zeichnet sich durch ausgefeilte Tarnmechanismen aus, welche die Erkennung eines Befalls erschweren. Zu dem Schadensverhalten der Software gehört das Nachladen von weiterer Malware, Cryptomining und das Stehlen von Daten auf dem System.
Schlag gegen Lockbit-Hacker
Die internationale «Operation Cronos» gegen die Ransomware-Gruppe Lockbit konnte erneut Erfolge feiern: Vier Personen wurden verhaftet und diverse Infrastruktur beschlagnahmt. Der Hackergruppe werden mindestens 7'000 Angriffe mit einem Umsatz von bis zu einer Milliarde USD zugeschrieben.
Hintergrund
Gesichtserkennung in den USA
Wie die Zeitung The Washington Post berichtete, nutzen einige Polizeireviere in den USA Gesichtserkennung bei ihren Ermittlungen. Dabei werden die betroffenen Verdächtigen in vielen Fällen nicht über deren Einsatz informiert. Dies ist insofern problematisch, als dass die verwendete Technologie laut der Zeitung regelmässig zu fehlerhaften Ergebnissen führt und in der Vergangenheit bereits falsche Verhaftungen ausgelöst hat.
European Cyber Security Month (ESCM)
Im Oktober findet der European Cyber Security Month (ECSM) statt. In diesem Kontext bieten viele europäische Staaten Informations- und Weiterbildungsangebote für ihre Bürger:innen an, so auch die Schweiz. Die Angebote sind nach Zielgruppe sortiert und decken somit verschiedene Bedürfnisse und Level an Vorwissen ab. Eine Übersicht über alle Kampagnen finden sich auf der ECSM-Webseite.
Kundendatenleck bei Fortinet
Der IT-Security-Anbieter Fortinet hat einen Vorfall in eigener Sache gemeldet. Unbekannte Angreifer konnten auf persönliche Daten von Fortinet-Kunden zugreifen. Laut Fortinet betrifft der Angriff lediglich 0.3% ihrer Kunden. Der Hacker, welcher die Daten nun verkaufen möchte, verspricht rund 440 Gigabyte an Daten. Ob diese Daten vollständig und echt sind, ist bisher unklar, so Heise.
Telegram kooperiert vermehrt mit Behörden
Nach der temporären Festnahme des Telegram-Gründers Pawel Durow möchte die Plattform nun stärker mit Behörden zusammenarbeiten und leichter Nutzerdaten teilen. Dies spiegelt sich unter anderem in den aktualisierten Datenschutz- und Nutzungsbedingungen wider. Die Plattform wurde in den letzten Jahren insbesondere von Kriminellen sowie Verschwörungstheoretikern gerne genutzt, wodurch sie vermehrt in den Fokus von Behörden geriet. Welche Folgen diese Anpassungen auf lange Sicht mit sich bringen, kann zum aktuellen Zeitpunkt nur schwer abgeschätzt werden.
Ständerat nimmt Motion für Cybersicherheitsprüfungen an
Der Ständerat hat trotz Kritik eine Motion für «dringend notwendige» Cybersicherheitsprüfungen angenommen, um vernetzte Infrastrukturen, Geräte und Anwendungen auf Sicherheitslücken zu überprüfen. Der Bund soll hierfür gesetzliche Grundlagen und Mittel bereitstellen. Bundesrätin Viola Amherd betont jedoch, dass die Finanzierung der Prüfungen umstritten sei – der Bund wolle keine neuen Subventionen schaffen und erwartet, dass die Bedarfsträger die Kosten tragen. Der IT-Wirtschaftsverband Swico kritisierte die Motion als zu allgemein und lehnt eine staatliche Finanzierung ab. Nun wird der Nationalrat darüber entscheiden.
Cyber Resilience Act
Die EU will vernetzte Geräte sicherer machen und hat dafür den Cyber Resilience Act (CRA) beschlossen, der ab 2027 verbindliche Cybersicherheits-Anforderungen für smarte Geräte wie Babyphones oder Kaffeemaschinen vorschreibt. Diese müssen dann ein CE-Kennzeichen tragen, das für ihre Sicherheit gegen Cyberangriffe steht. Hersteller, Importeure und Händler sind verpflichtet, IT-Schwachstellen zu melden, regelmässig Sicherheitsupdates anzubieten und sicherzustellen, dass ihre Produkte den neuen Standards entsprechen.
Passwort-Rotationen gehören bald der Vergangenheit an
Das National Institute of Standards and Technology (NIST) in den USA hat einen neuen Entwurf für den Umgang mit Passwörtern veröffentlicht. Die vom NIST definierten Vorgaben werden erfahrungsgemäss von vielen Unternehmen und Behörden direkt übernommen. Bei den neusten Anpassungen wird nun unter anderem die Empfehlung aufgehoben, die regelmässige Änderung von Passwörtern durchzusetzen. Die häufig implementierte Regelung, alle 30-180 Tage ein neues Passwort zu setzen, führte laut Forscher:innen eher zu unsicheren Passwörtern und wirkte dadurch im Schnitt kontraproduktiv. Ebenso sollte die Vorgabe wegfallen, eine gewisse Anzahl an Sonderzeichen oder Zahlen zu verwenden. Über die weiteren Veränderungen und Hintergründe berichtete Ars Technica.
CrowdStrike: Die Folgen im Nachgang
Vor rund drei Monaten kam es weltweit zu signifikanten IT-Ausfällen. Grund hierfür war ein fehlerhaftes Update von CrowdStrike, welches rund 8.5 Mio Windowsgeräte lahmgelegt hat. Diverse Medien haben nun im Rückblick analysiert, welche Folgen die Ausfälle für einzelne Unternehmen und Branchen hatten. Vom lokalen Einzelunternehmen bis hin zu globalen Fluggesellschaften berichten viele Betroffene von finanziellen Einbussen. Einige Beispiele finden sich bei der BBC.
Zahlungsbereitschaft nach Cyberangriffen ist laut Umfrage überraschend hoch
Eine Umfrage des Unternehmens Cohesity hat Entscheidungsträger rund um die Welt zur Cyber-Resilienz befragt. Dabei kamen erstaunliche Zahlen heraus: Rund 83% der Unternehmen seien bereit, Lösegeldzahlungen nach einer Ransomware-Attacke zu zahlen. Viele von ihnen seien auch bereit, Summen in Millionenhöhe zu bezahlen, falls dies erforderlich werde. Die Zahlen überraschen insbesondere auch deswegen, da selbst mit einer Zahlung der Forderung die Daten nur selten vollständig wiederhergestellt werden können. Zudem sind Lösegeldzahlungen auch rechtlich in vielen Ländern ein heikles Unterfangen.
Schwachstellen
Adobe-Updates für diverse Produkte
Adobe liefert im Oktober diverse Sicherheitsupdates für seine Produkte. Dabei sind sowohl bei der Kreativsoftware (Produkte der Creative Cloud) wie auch der B2B-Version von Adobe Commerce Produkte betroffen. Die vollständige Übersicht liefert die Herstellerseite.
Sicherheitslücken bei Android sowie Qualcomm-Chips
Für Android-Nutzer gibt es gleich mehrere Schwachstellen-Meldungen. Für alle Nutzer hat Google im Oktober diverse Lücken mit «hohem» Risiko behoben. Hinzu kommt eine Zero-Day-Lücke bei mehreren Qualcomm-Prozessoren, welche von vielen Android-Smartphones verwendet werden. Letztere wird laut Medienberichten bereits aktiv angegriffen und wird unter der Nummer CVE-2024-43047 geführt.
Kritische Lücke bei Firefox und Thunderbird
Sowohl der Browser Firefox wie auch das Mailprogramm Thunderbird von Mozilla besitzen eine Sicherheitslücke, welche bereits aktiv angegriffen wurde (CVE-2024-9680). Updates stehen für beide Programme bereit.
Aktiv ausgenutzte Lücken bei Ivanti
Das Unternehmen Ivanti hat mehrere Softwarepakete aktualisiert und damit eine Reihe an Sicherheitslücken behoben. Da sowohl ältere wie auch aktuelle Lücken zurzeit aktiv ausgenutzt werden, wird vom Hersteller eine zeitnahe Aktualisierung empfohlen.
Update für SAP-Lücken
SAP liefert diesen Monat einige Nachbesserungen zu bestehenden Sicherheitslücken. Dazu gehört eine Lücke, welche SAP als «kritisch» einstuft sowie mehrere Lücken mit dem Rating «hoch» und «mittel».
Cisco DoS-Lücke
Mehrere Lücken im Cisco Netzwerkbetriebssystem IOS XE wurden im Oktober geschlossen. Die Schwachstellen erlauben es Angreifern, Cisco-Router per DoS-Angriff zuverlässig abstürzen zu lassen. Aktuelle Patches können beim Hersteller heruntergeladen werden.
Teamviewer Rechteausweitung
Die Fernwartungssoftware Teamviewer hat Patches für eine kritische Sicherheitslücke veröffentlicht. Ungepatchte Systeme auf Windows können angegriffen und dadurch Rechte erweitert werden. Teamviewer fasst die betroffenen Lücken auf ihrer Security-Seite zusammen.
HPE Aruba Schwachstelle
Wie HP Enterprise warnt, besitzt Aruba Access Points kritische Sicherheitslücken, welche das Ausführen von Schadcode ohne Authentifizierung ermöglichen. Patches sind für die Betroffenen Systeme (AO -8, AOS-10) bereits verfügbar. Der Hersteller empfiehlt eine sofortige Aktualisierung bei betroffenen Geräten.
Foxit PDF Viewer schliesst Lücken
Der Hersteller von Foxit PDF hat Ende September gleich mehrere Lücken in Foxit für Windows und macOS geschlossen. Durch diese können Angreifer potenziell Schadcode auf den Rechner laden und anschliessend ausführen. Die Software hat laut Herstellerangaben über 700 Millionen Nutzerinnen und Nutzer.
Über Martin Kupsky
Martin Kupsky ist freier Autor für das Abraxas Magazin und schreibt an der Schnittstelle zwischen Wirtschaft und Technik. Er besitzt einen Bachelor in Betriebswirtschaftslehre und studiert Business Innovation sowie digitale Kommunikation und Journalismus an der Universität St. Gallen.
