Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Unsichere Zeiten
Geschrieben: 14.03.2023
Letzte Überarbeitung: 17.05.2024
Stichwörter: Angriffe
GoDaddy®1, ein großer Registrar und Webhoster2 wurde über mehrere Jahre hinweg gehackt.3 SSL-Zertifikate sind kompromittiert. Malware wurde installiert. 20 Millionen Kund*innen sind betroffen.
Nicht der einzige Tiefschlag
Im letzten Jahr wurde der Online-Passwortmanager LastPass1 gehackt.4. Im Jahr zuvor schrieb ich über die Spionagesoftware "Pegasus", die ohne Zutun der Benutzer*innen per SMS auf Smartphones von oppositionellen Politiker*innen und Journalist*innen installiert wurde.5 tagesschau.de berichtete Februar/März 2023 über die rasant wachsende Internetkriminalität, die inzwischen in Deutschland einen wirtschaftlichen Schaden von 220 Mrd. Euro pro Jahr bewirke und stark den Mittelstand betreffe.6 Rund 30 Prozent der mittelständischen Unternehmen seien innerhalb von drei Jahren angegriffen worden, insbesondere die, die in die Digitalisierung investiert hatten.
Warum sind die Angriffe gegen GoDaddy so bedeutsam?
GoDaddy ist nicht nur ein großer Domainregistrar und Webhoster, sondern auch eine Zerfizierungsstelle und als solche der viertgrößte Anbieter von SSL-Zertifikaten. Derartige Zertifikate sind der Angelpunkt für die sichere End-zu-End-Verschlüsselung im Internet. Deren Kompromittierung trifft ins Mark der Internetsicherheit.
Auch die Microsoft®1-Cloud ...
... wurde schwer gehackt: Im Juli 2023 konnten sich Hacker*innen mindestens den Zugang von Outlook®1-Konten von 25 Organisationen (darunter auch Regierungsbehörden) verschaffen. Im September gab Microsoft zu, dass die Kriminellen bereits seit zwei Jahren im Besitz eines wichtigen Schlüssels waren, um auf die öffentliche Microsoft-Cloud zuzugreifen.7
Die Hacker*innen konnten offenbar im April 2021 den Absturz eines Verbrauchersignatursystems erreichen und dabei einen Generalschlüssel erbeuten, der ihnen die Zugriffserlaubnis auf die meisten Cloudanwendungen von Microsoft verschaffen konnte, wie OneDrive, Outlook, Teams.
Wer außer den 25 Organisationen noch alles gehackt wurde, ist also gar nicht abzusehen. (Außer, dass die matiq UG wohl kaum betroffen sein konnte.8)
Das ist leider nicht alles
Ein interner Bericht der UNO beschreibt, dass Nordkorea sein Atomprogramm durch organisierte Cyberkriminalität finanziert. 1,2 Mrd. Dollar hätten staatliche Hacker*innen dafür durch Ransomware-Angriffe innerhalb von sechs Jahren erbeutet. D. h. neben der direkten Bedrohung kommt dazu auch die indirekte Bedrohung durch atomare Waffen in den Händen eines nicht kontrollierbaren Diktators.9
Was ist die Konsequenz?
Aufgeben10 ist jedenfalls keine Option: Ohne die Digitalisierung lässt sich wohl kaum die Klimakatastrophe in Grenzen halten. Wenn Meetings und Konferenzen auch in Zukunft hauptsächlich mit körperlicher anstatt virtueller Anwesenheit abgehalten werden, wenn Homeoffices nicht möglich sind, wenn Bürokratie resourcenfressend bleibt, dann lassen sich die nötigen CO2-Einsparziele nicht erreichen.
Daher können wir auf die Digitalisierung nicht verzichten, müssen aber unsere Systeme und unser Verhalten so sicher wie möglich gestalten.
Wir sollten dabei allerdings alle11 damit rechnen, uns auch blutige Nasen zu holen. Für die Hacker*innen dürfte es aber auch nicht leicht werden. Wer in fremde Computer eindringt, hinterlässt Spuren und kann dann auch selbst aufgespürt werden, wie das Hackernetzwerk "Hive" erleben musste.12
Was kann man denn als Einzelne*r tun?
Wir sind keineswegs völlig wehrlos:
- Gegen Ransomware-Angriffe helfen regelmäßige Backups. (Lösegeld zu zahlen würde dagegen die Angreifer*innen stärken und wären daher völlig kontraproduktiv.)
- Gegen Phishing-Angriffe helfen Schulungen bei Unternehmen und Umsicht und Vorsicht bei Privatleuten: E-Mails sollte man grundsätzlich als unsicher betrachten, Links darin im Zweifel lieber nicht klicken, Panikmeldungen mit Gelassenheit begegnen. (Lieber erst einmal im Internet recherchieren, ob es sich nicht um eine neue Betrugsmasche handelt.)
- Angriffsflächen minimieren: Nicht jede App auf dem Smartphone installieren, nur die allernötigsten. Web-Apps gegenüber auf dem Smartphone installierten Apps bevorzugen, wenn immer es geht.13. Beim Shopping, wo es geht, als Gast bestellen, ohne dauerhaftes Kundenkonto.
- Sich informieren.14
- key.matiq-Nutzer*innen können ihre Box-Daten von Zeit zu Zeit im KeePass-Format exportieren, um bei einer Notfallabschaltung von key.matiq ihre Daten weiterhin (lokal) zur Verfügung zu haben.
Das ist aber nicht alles. Wer sich ein wenig mit der Materie der Risikominimierung beschäftigt, kann viel erreichen:
Risikominimierung
Die Theorie ist: Wenn statt einer Sicherheitsmaßnahme zwei kombiniert werden, multiplizieren sich die Risikoverringerungsfaktoren beider Maßnahmen. Wenn z. B. die erste Maßnahme das Risko um den Faktor 1/100 verringert (also auf ein Prozent reduziert), und die zweite ebenfalls, dann verringert die kombinierte Anwendung das Risiko um den Faktor 1/10.000 (d. h auf 0,01 Prozent). Voraussetzung ist aber:
- Beide Sicherheitsmaßnahmen sind voneinander unabhängig.
Dieses Prinzip kann man z. B. bei der Passwortsicherheit durch Verwendung eines Komplements15 anwenden. Wenn Sie das Komplement händisch eingeben, ist dieses gänzlich von key.matiq unabhängig.
Auch die Zwei-Faktor-Authentisierung16 ist eine Anwendung dieses Prinzips.
Eine andere Art der Risikominierung ist die Schadensbegrenzung im Eintrittsfall: Wenn Sie den Eintrittsfall rasch erkennen, lässt sich in der Regel der Schaden noch gut begrenzen. Mittel dafür sind bei key.matiq:
Resümee
Bleiben Sie also trotz aller Besorgnis erregenden Meldungung mutig im digitalen Bereich! Lassen Sie dabei aber die gebotene Vorsicht walten!
1) Hinweise zu Marken Dritter:
"GoDaddy" ist eine eingetragene Marke der GoDaddy Operating Company, LLC. Inc.
"Microsoft", "OneDrive", "Outlook" und "Teams" sind eingetragene Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
3) Siehe "Godaddy seit Jahren von den gleichen Angreifern gehackt", golem.de, 20.02.2023
4) Siehe den Blog-Artikel "Sicherheitsbresche bei LastPass".}
5) Siehe Blog-Artikel "Pegasus – Staatstrojaner gegen Oppositionelle".}
6) Siehe "Die Bedrohung ist digital", tagesschau.de, 03.03.2023, von Philipp Wundersee, WDR, siehe auch "Mittelstand häufig Ziel von Hackern", tagesschau.de, 23.02.2023, siehe auch Bitkom (2023) "Organisierte Kriminalität greift verstärkt deutsche Wirtschaft an". Bitkom berichtet über eine Gesamtschadenshöhe von 206 Mrd. Euro im Jahr 2023, nachdem 2022 der Schaden 203 Mrd. und 2021 er 2023 Mrd. Euro betrug. Dieser Schaden umfasst analogen und digitalen Diebstahl, Industriespionage und Sabotage. Der Schaden durch rein digitale Cyberattacken betrug in 2023 148 Mrd. Euro, siehe Bitkom-Studie "Wirtschaftsschutz 2023" und Bitkom-PDF "Wirtschaftsschutz 2023".
7) Siehe "Hacker-Angriff auf Microsoft war gravierend", tagesschau.de, 08.09.2023
8) Wir verwenden die Microsoft Cloud nicht, bzw. nur in wenigen Ausnahmefällen (z. B. Gespräche über Teams oder Skype, wenn unsere Gesprächspartner*innen das wünschen) und dann mit der gebotenen Vorsicht (d. h. Geheimnisse werden über diese Kanäle von uns nicht preisgegeben). Denn wir misstrauen den Sicherheitsvorkehrungen der Microsoft Cloud schon seit deren Bestehen. Offenbar zu Recht. Auch E-Mails betrachten wir seit jeher nicht als sicheres Kommunikationsmedium.
9) Dass das damit verbundene Kriegsrisiko nicht nur theoretisch besteht und sich auch nicht immer durch Zugeständnisse und Friedensdiplomatie bändigen lässt, hat die Welt ja leider immer wieder erleben müssen.
10) Viele technische Entwicklungen brachten in der Vergangenheit auch Gefahren mit sich, so dass sich die Frage stellte, ob es nicht besser sei, diese ganz abzubrechen. (Bei der Atomkraft wurde das in Österreich und Deutschland so entschieden.) Die Antwort hängt immer davon ab, ob sich die Gefahren in den Griff bekommen lassen, ob die Kosten dafür und die Restrisiken größer als der Gewinn sind und ob sich nicht bessere Alternativen finden lassen. Während bei der Atomkraft die Risiken immens sind (man sieht gerade auch am Beispiel des Werks Saporischja, was dann im Krieg passiert) und sich lange belächelte Alternativen (Solar- und Windkraftwerke) als sehr leistungsfähig erwiesen haben, kann ich bei einer Bevölkerung von acht Mrd. Menschen keine humane Alternative zur Steigerung der Effizienz durch Digitalisierung erkennen.
11) Wir von der matiq UG sind uns durchaus bewusst, dass auch unsere Sicherheitsmaßnahmen durchbrochen werden könnten. Wir arbeiten kontinuierlich daran, aber ein Risiko wird immer bleiben. Deshalb ist es ja auch wichtig, dass die key.matiq-Nutzer*innen eigene zusätzliche Maßnahmen wie Komplemente ergreifen.
12) Siehe "Hackernetzwerk 'Hive' zerschlagen", tagesschau.de, 26.01.2023 (ursprünglicher Link offline, nun gelinkt zu einem Archiv). In diesem Fall gab es zwar noch keine Verhaftungen, allerdings liefert eine Internetsuche mit den Stichworten "hacker verhaftet" durchaus Ergebnisse. Hacking ist also keineswegs risikofrei.
13) Den Browser haben Sie ohnehin installiert, Sie vermeiden damit das unnötige Sicherheitsrisiko einer zusätzlichen App. Web-Apps können in aller Regel nicht so leicht unberechtigt in ihrem Smartphone vordringen, wie dies Apps möglich ist.
14) Siehe auch unser "Ratgeber" im key.matiq-Handbuch.
15) Siehe Komplemente. Siehe Blog-Artikel "Pegasus – Staatstrojaner gegen Oppositionelle".}
16) Die Zwei-Faktor-Authentisierung können Sie bei key.matiq (innerhalb einer angemeldeten Sitzung) einstellen über: Einstellungen > Anmeldung > Verfahren
17) Die Möglichkeit von wechselnden Sitzungsnamen eröffnen Sie sich bei key.matiq (innerhalb einer Sitzung) über: Einstellungen > Features. Dort finden Sie unter "Verschiedene Sicherheitsmaßnahmen die Option "Wechselnder Sitzungsname"
18) Siehe https://haveibeenpwned.com. Innerhalb von key.matiq können Sie ebenfalls die HIBP-Datenbank nutzen. Dazu muss das entsprechende Feature (innerhalb einer Sitzung) angeschaltet werden: Einstellungen > Features. Dort finden Sie unter "Verschiedene Sicherheitsmaßnahmen die Option "Kennwort via HIBP überprüfen" Kennwörter lassen sich dann innerhalb einer key.matiq-Sitzung über Extras > HIBP überprüfen und auch beim Editieren von Geheimnissen (unter "[mehr]" beim Kennwort-Baustein).