Erfolge der IT-Sicherheit

IT-Sicherheit gehört zu den wohl dynamischsten Feldern – und nicht nur Hacker und Angreifende entwickeln sich weiter. Dementsprechend warnt die mediale Berichterstattung vorrangig vor Bedrohungen und Gefahren – ein sinnvolles Unterfangen, denn so werden Nutzende aufgeklärt und sensibilisiert. Doch immer wieder schleichen sich auch Erfolgsmeldungen darunter: Sicherheitsexpert:innen schließen Verbrecher-Marktplätze, Forschende finden Lösungen für Sicherheitsbedrohungen oder Software-Unternehmen zerstören Botnetze. Bei diesen Erfolgen der IT-Sicherheit setzt auch unser heutiger Beitrag an: Wir berichten über aktuelle Fortschritte und Positiv-Schlagzeilen aus dem dynamischen Bereich der IT-Sicherheit.

IT-Sicherheit: Erfolgsmeldungen

Die mediale Welt ist voll von schockierenden Meldungen: Warnungen vor Cyberkrieg, wieder eine kommunale Verwaltung oder ein Unternehmen, welche:s durch Ransomware erpresst wird, oder ein digitaler Amoklauf, bei dem verärgerte Mitarbeitende im Rachefieber Daten von Arbeitgebenden löschen. Meldungen dieser Art sind sinnvoll, keine Frage: Sie klären auf und sensibilisieren, sodass sich Nutzende der Gefahren bewusstwerden.

Doch wir möchten den Fokus auch auf die Erfolge richten, die die IT-Welt in den vergangenen Wochen und Monaten bewegt haben: Wie schon in unseren Beiträgen „BSI: Hilfestellungen und Anforderungen in puncto IT-Sicherheit“ oder „Ransomware Entschlüsselung: Entschlüsselungstools bei Verschlüsselungstrojanern“ deutlich wurde, ist nämlich auch die Seite der Sicherheitsexpert:innen in Bewegung. Lehnen Sie sich also entspannt zurück und genießen Sie im Folgenden die jüngsten Erfolge der IT-Sicherheit.

Geschäftsmail-Betrug: FBI verhaftet 65 Verdächtige

Drei Monate dauerte die Operation „Eagle Sweep“, bei der weltweit Strafverfolgende unter Führung des FBI 65 Verdächtige verhaften konnte. Dem FBI zufolge versuchten die Verdächtigen, Mitarbeitende von Unternehmen durch betrügerische E-Mails zum Überweisen von Geld zu bewegen. Teilweise waren die Verdächtigen entsprechend in Geldwäsche verstrickt. Genannt wird die von den Kriminellen genutzte Masche „Business E-Mail Compromise“ (BEC) oder „CEO Fraud“; wir berichteten darüber bereits in unserem Beitrag „Identitätsdiebstahl im Internet: Was ist Social Engineering?“.

Die Strafermittelnden beobachteten die Betrügenden seit September 2021. Offenbar waren mehr als 500 US-Bürger:innen durch die Betrügenden betroffen, die mehr als 51 Millionen US-Dollar Verlust zu verantworten haben. Zwei verdächtige Personen wurden in Nigeria und in den USA verhaftet. Diese sollen einen puerto-ricanischen Anbieter für erneuerbare Energien betrogen haben. Den FBI-Untersuchungen zufolge waren die Verhafteten in einen internationalen Geldwäsche-Ring involviert: mindestens 4,5 Millionen US-Dollar an Beute aus den E-Mail-Betrug-Raubzügen wurden von Kurieren aus den USA nach Nigeria verschoben.

Acht weitere Verhaftete sollen knapp 900.000 US-Dollar aus BEC gewaschen haben. Zwei aus Toronto stammende Kanadier werden mit Scheck- sowie BEC-Betrug in Verbindung gebracht. Sie sollen hunderte kanadische und US-amerikanische Opfer um mehr als 16 Millionen US-Dollar betrogen haben.

Finanzspritze soll Sicherheit der JavaScript Runtime Node.js optimieren

Die Open Source Security Foundation (OpenSSF) – gegründet durch die Linux-Foundation – verfolgt das Ziel, die Sicherheit von Open Source-Software zu optimieren. Dafür wurde das Alpha-Omega-Projekt ins Leben gerufen: Man möchte die Sicherheit der Software Supply Chain verbessern. Das Alpha-Team unterstützt Betreibende von Open Source-Projekten beim Auffinden und Schließen von Schwachstellen, während Omega die langfristige Sicherheit von Projekten sicherstellen möchte und auf Automatisierung setzt, um kritische Sicherheitslücken aufzuspüren.

Mit einer Förderung von 300.000 US-Dollar durch die OpenSSF wird nun die JavaScript-Laufzeitumgebung Node.js zum ersten Nutznießer der Stiftungsinitiative. Die finanziellen Mittel sollen dem Security-Team von Node.js zugutekommen und bei der Schwachstellenbehebung helfen. Node.js wurde gerade in der Version 18 veröffentlicht und ausgewählt, weil das serverseitige JavaScript in zahlreichen Projekten zum Einsatz kommt und seine Bedeutung deshalb hoch ist. Mit dem Fördergeld sollen sich die Projektbetreibenden von Node.js entlastet fühlen, sodass der Fokus auf neue Funktionen gelenkt werden kann, während sich andere um die Sicherheit kümmern.

Microsoft zerschlägt Botnet ZLoader

Wie Microsoft Mitte April 2022 erklärte, ist dem Software-Riesen ein Schlag gegen das Botnet ZLoader gelungen: In Zusammenarbeit mit Sicherheitsfirmen konnte Microsoft 65 der Botnet-steuernden Domains unter seine Kontrolle bringen. ZLoader begann einst damit, Online-Banking-Nutzernamen und –Passwörter zu stehlen. Später bot man „Malware-as-a-Service“ an – erfolgreich, denn ZLoader konnte gängige Antiviren- und Sicherheitssoftware deaktivieren.

Durch einen Gerichtsbeschluss des United States District Courts for the Northern District of Georgia wurden Microsoft die 65 Domains zugesprochen, sodass die Adressen vom Botnetz nicht mehr nutzbar sind. Starke Verbreitung findet die ZLoader-Malware über per E-Mail versandte infizierte Office-Dateien.

Europol beschlagnahmt gefälschtes Spielzeug

Strafverfolgende aus 21 Ländern haben in der von Europol koordinierten Aktion „Ludus II“ über 5 Millionen Spielzeuge beschlagnahmt. Es handelte sich um gefälschte Markenartikel im Wert von 18 Millionen Euro; darunter beispielsweise Puppen, Brett- oder Videospiele sowie Accessoires oder Kleidung.

Wie die europäische Polizeibehörde mitteilte, wurden 72 Online-Marktplätze kontrolliert, nach Razzien 99 Personen angezeigt und 1.500 weitere Personen an Aufsichts- sowie Gesundheitsbehörden gemeldet. Nach Europol-Angaben wurden 32 Websites geschlossen. Problematisch waren nicht nur die Fälschungen an sich, sondern auch die Tatsache, dass die gefälschten Artikel giftige Chemikalien erhielten oder mit Risiken behaftet waren. So hätten sich Kinder strangulieren, einen Stromschlag oder Hörschaden erleiden können.

Europol sorgt für KI in der Polizeiarbeit

Wie wir in unserem Beitrag „Künstliche Intelligenz & Cybersecurity: Fluch und Segen zugleich“ dargelegt haben, kann die IT-Sicherheit sehr vom Einsatz Künstlicher Intelligenz (KI) profitieren. Das trifft jedoch auch auf weitere Bereiche zu – etwa auf die Arbeit der Polizei. In einer Mitteilung erklärt die europäische Polizeibehörde Europol, dass sich der EU-Rat von ihr wünsche, KI fürs Analysieren sowie für die „operative Unterstützung“ zu entwickeln. Europol möchte nun eruieren, wie KI in verantwortlicher Weise die Polizeiarbeit unterstützen kann.

Der Mitteilung von Europol ist zu entnehmen, dass die europäische Bevölkerung Bedenken beim KI-Einsatz bei der Polizei hegt. So erwarten 90 Prozent von 5.500 in 30 Ländern befragten Bürger:innen, dass die Polizei über den KI-Einsatz sowie etwaigen Folgen Rechenschaft ablegen soll. Zusammen mit weiteren Spezialist:innen arbeitet Europol nun an einem AI Accountability Framework, also an einem Toolkit, das bei der Praxis helfen soll, sowie an einem sozialverträglichen Rahmenwerk zum KI-Einsatz. Geplant ist, dass das frei verfügbare Toolkit dazu beiträgt, KI auf rechenschaftspflichtige sowie transparente Weise und im Einklang mit den EU-Werten sowie –Grundrechten einzusetzen.

Europol schließt RaidForums

RaidForums, eines der größten Online-Foren für Kriminelle, gibt es nicht mehr – dafür haben Polizeikräfte aus verschiedenen Ländern unter Führung von Europols Joint Cybercrime Action Taskforce (J-CAT) des European Cybercrime Centre (EC3) gesorgt. Wie Europol berichtet, gelang es den Ermittelnden, Internetdomains und Server gemeinsam zu beschlagnahmen. Die länderübergreifenden Vorbereitungen für die „Tourniquet“ getaufte Operation dauerten ein ganzes Jahr.

In dieser Zeit tauschten Ermittelnde Informationen darüber aus, welche Täter welche Rollen bekleideten: Datendiebe, Datenhehler, Geldwäscher, zahlende Malware-as-a-Service-Kunden oder Administratoren konnten dabei ermittelt werden. Der 21-jährige Portugiese Diogo S. C. konnte laut US-Justizministerium schon Ende Januar dingfest gemacht werden; die Anklage (PDF) wurde bereits beschlossen. Offenbar administrierte der Mann das Forum und verdiente sich darüber hinaus ein paar Extra-Taler als Mittelsmann für Kryptowährungen oder Daten.

Berlin kündigt Cyberattacken den Kampf an

Wie viele Unternehmen, Kommunen oder andere Organisationen ist auch die Berliner Verwaltung Cyberbedrohungen ausgesetzt. Um im Kampf gegen Cyberattacken gerüstet zu sein, wurde das „Security Operations Center“ (SOC) genannte Sicherheitszentrum in Berlin eröffnet. Ziel ist es, Angriffe auf das Landesnetz effektiver erkennen und abwehren zu können, um sensible Daten von Bürger:innen zu schützen. Wie einer Pressemeldung zu entnehmen ist, verarbeitet das Berliner IT-Dienstleistungszentrum (ITDZ) „innerhalb seiner Netze und Rechenzentren die Daten von 3,7 Millionen Berlinerinnen und Berlinern“. Diese sollen sicher sein – und das wird die Aufgabe des SOC.

Die Regierende Bürgermeisterin Franziska Giffey betonte anlässlich der Eröffnung: „Die Berlinerinnen und Berliner müssen darauf vertrauen können, dass ihre persönlichen Daten, die sie mit öffentlichen Einrichtungen teilen, sicher sind. […] Mit dem Security Operations Center gehen wir einen weiteren Schritt zum Schutz der IT-Infrastruktur des Landes und für die Berlinerinnen und Berliner.“ Rund um die Uhr werden im SOC Cyberangriffe aufs Berliner Landesnetz und auf die Landesrechenzentren erkannt und abgewehrt; täglich werden rund ein Terabyte Daten erfasst und nach Kritikalität bewertet. So entsteht – neben mehr IT-Sicherheit – auch ein Echtzeit-Lagebild für sämtliche Berliner Behörden.

Lockbit Ransomware: Sophos deckt auf

Findet hier eine effektive Arbeitsteilung statt oder züchten sich Profis Cybercrime-Novizen? Vor dieser Frage standen Sophos-Forschende, als ihnen ein wirklich interessanter Fall ins Netz ging: Wie den Forschenden auffiel, brachen Cyberkriminelle in einen regionalen US-Regierungsserver ein. Dort verblieben sie fünf Monate, in denen sie über den Server online nach Hacker- und IT-Administrationstools suchten, die ihnen bei der Attacke behilflich sein könnten. Außerdem installierten die Kriminellen einen Cryptominer, exfiltrierten dann Daten und setzten schließlich die Ransomware Lockbit ein.

Laut Andrew Brandt, Principal Security Researcher im Hause Sophos, konnte sich das Forensik-Team in Zusammenarbeit mit dem Opfer ein Bild der Lage machen. Schienen zunächst unerfahrene Kriminelle am Werk zu sein, änderte sich etwa vier Monate nach anfänglichem Herumstöbern die Art der Angriffsaktivität: „Ab diesem Zeitpunkt konnte man von Cybergangstern mit ganz anderen Fähigkeiten ausgehen, die sich in den Kampf eingeschaltet hatten und die Sicherheitssoftware deinstallierten. Sie entwendeten möglicherweise Daten und verschlüsselten Dateien auf verschiedenen Geräten mithilfe der Ransomware Lockbit“, erklärt Brandt. Für die Forschenden ergibt sich dadurch ein Bild: Zuerst waren Neulinge am Werk, später echte Profis. Der große Erfolg blieb jedoch auch für diese aus, denn an einigen Geräten scheiterte die Datenverschlüsselung durch die Ransomware.

Sicherheitskultur verbesserte sich weltweit

Die Studie „Security Culture Report“ untersucht Trends in der Sicherheitskultur. Für den aktuellen Report 2022 wurden von KnowBe4 über 257.000 Mitarbeitende aus mehr als 1.450 Unternehmen weltweit zur Sicherheitskultur befragt. Unter „Sicherheitskultur“ verstehen die Studienautor:innen alle Gewohnheiten, Ideen sowie soziale Verhaltensweisen von Organisationen, die Einfluss auf die Sicherheit haben. Im Security Culture Report 2022 wurden sieben Sicherheitskultur-Dimensionen untersucht: Einstellungen, Kognition, Verhaltensweisen, Kommunikation, Normen, Compliance sowie Verantwortlichkeiten.

Der Report fördert einige interessante Punkte zutage: Europaweit werden Schweden und Irland als technologisch fortschrittlich angesehen; Italien sowie Bulgarien wiesen ebenfalls höhere Werte für die Sicherheitskultur auf. In den USA war auffällig, dass sich die Sicherheitskultur je nach Größe der Organisation ändert. Jedoch schnitten kleine Organisationen besser ab als große. Die Studienautor:innen kommen zu dem Schluss, dass sich die Sicherheitskultur in sämtlichen Regionen und Branchen insgesamt verbessert hat.

Erfolge der IT-Sicherheit: Gute Nachrichten motivieren

Es gibt viele Erfolge der IT-Sicherheit – und das motiviert bestenfalls: Dazu, die eigene Sicherheitskultur zu hinterfragen, sich Erfolge bewusst zu machen und etwaige Defizite anzugehen. Möchten Sie sich für diesen objektiven Blick auf die Sicherheit Ihrer Organisation Unterstützung ins Haus holen, nehmen Sie einfach Kontakt zu uns auf – unsere zertifizierten Expert:innen beraten Sie bedarfsgerecht und auf Augenhöhe!