Computersicherheit

Hacker greifen das Homeoffice an

Hacker greifen das Homeoffice an

Hacker greifen das Homeoffice an

Walter Turnowsky ist unser Korrespondent in Kopenhagen
Walter Turnowsky Korrespondent in Kopenhagen
Kopenhagen
Zuletzt aktualisiert um:
Das Homeoffice ist zum beliebten Ziel von Cyberkriminellen geworden (Modellfoto). Foto: Christian Lindgren/Ritzau Scanpix

Diesen Artikel vorlesen lassen.

In steigendem Maße verschaffen Kriminelle sich über Fernzugriffe Zugang zu Datensystemen von Firmen, um diese dann zu erpressen. Die verantwortliche Behörde schätzt dieses Risiko als sehr hoch ein.

Vier Methoden der Hacker

Die Kriminellen benutzen vier verschiedene Methoden, um sich über Fernzugriffe Zugang zu Datensystemen zu verschaffen.

  1. Sie entlocken über Phishing Nutzerinnen oder Nutzern ein Passwort.
  2. Sie nutzen eine bekannte Schwäche im System zum Fernzugriff, um an die Log-in-Informationen zu gelangen.
  3. Sie dringen ähnlich wie Einbrecher es mit einem Brecheisen tun mit Macht in das Fernzugriff-System ein. Sie nutzen dabei die Tatsache, dass einige Verbindungen nicht hinter einem sogenannten Gateway versteckt werden, oder man ohne VPN-Verbindung Zugriff hat. In den Fällen trennt sie häufig nur ein simples Passwort vom System.
  4. Sie benutzen eine Malware, die Log-in-Informationen stehlen kann.

Quelle: Center for Cybersikkerhed

Plötzlich ist es passiert: Ein Betrieb hat keinen Zugriff auf die eigenen Daten. Kriminelle haben sich Zugang zum internen IT-System verschafft und alles verschlüsselt. Sie haben sozusagen das System gekapert. Den Schlüssel rücken sie nur heraus, wenn der Betrieb ein Lösegeld zahlt.

Diese Form der Cyberkriminalität kommt bereits seit geraumer Zeit unangenehm häufig vor. Doch nun nutzen die Hacker verstärkt ein neues Schlupfloch, um in die Datensysteme einzudringen: das Homeoffice, oder genauer gesagt, den Fernzugriff (RDP), der das Arbeiten im Homeoffice überhaupt erst ermöglicht.

„Das Homeoffice bietet den Hackern neue Angriffsflächen, und dadurch sind die Datensysteme von Betrieben und Behörden verwundbarer geworden. Die Organisationen waren gezwungen, sich sehr schnell umzustellen und viele Fernzugänge einzurichten. Das konnte die Sicherheit beeinträchtigen, wenn nicht mehr getan wurde, um sie zu verbessern“, sagt Mark Fiedel, designierter Chef des Zentrums für Cybersicherheit (CFCS), das dem militärischen Nachrichtendienst FE angegliedert ist.

Angriff nur eine Frage der Zeit

Die Shutdowns während der Corona-Krise und Arbeit im Homeoffice haben die Kriminellen noch weiter beflügelt. Das CFCS beschreibt, dass eine Hackergruppe ihre schädliche Software (Malware) mit einem Modul versehen hat, das gezielt nach Fernzugriffen mit Schwachstellen sucht. Zu einem späteren Zeitpunkt wird dann ein Angriff auf interessante Ziele gestartet.

„Das Niveau des Risikos von Cyberkriminalität ist auf der höchsten Stufe. Das bedeutet, dass die Hackergruppen sowohl das Wissen als auch den Willen haben, anzugreifen. Hat man einen verwundbaren Fernzugang, ist es nur eine Frage der Zeit, bevor er gefunden wird, und Hacker versuchen, ihn ausnutzen“, so Fiedel.

Systematische Suche nach Schwachstellen

Gruppen von Hackern suchen gezielt nach Löchern bei der Sicherheit der Fernzugriffe. Sie versuchen, sich über bekannte Schwachstellen der Systeme, Malware oder unsichere Passwörter Zugang zu den Datensystemen zu verschaffen. Eine andere bekannte Methode ist, dass sie über sogenannte Phishingmails Mitarbeiterinnen oder Mitarbeitern Passwörter entlocken.

Ratschläge für sicheren Fernzugriff

  • Die Organisation (Betrieb oder Verwaltung) soll sicherstellen, dass die IT-Infrastruktur so aufgeteilt wird, dass ein Fernzugriff nur zu den Teilen der Infrastruktur möglich ist, bei der eine Risikoeinschätzung dies als sicher beurteilt.
  • Der Fernzugriff zu den internen Systemen der Organisation soll ausschließlich über eine verschlüsselte Verbindung mit einer Mehrfaktor-Authentifizierung möglich sein.
  • Der Server für den Fernzugriff (RDP-Server) soll nicht direkt über das Internet erreichbar sein. Der Zugriff auf den Server soll ausschließlich über eine Mehrfaktor-VPN-Lösung oder eine entsprechende Lösung möglich sein.
  • Es soll immer Software in der neuesten Version verwendet werden. Dies gilt insbesondere für die VPN-Software und Software zum Fernzugriff.
  • Der Fernzugriff soll ausschließlich über starke Passwörter geschehen. Häufig verwendete Passwörter oder Passwörter, die in einem Datenleck aufgetreten sind, sollen nicht zulässig sein.
  • Konten sollten bei wiederholt falschem Passwort gesperrt werden.
  • Die Organisation soll den Verkehr im internen Datennetz loggen und diese Logs laufend überwachen.
  • Konten von Mitarbeitern, deren Anstellung endet, sollen umgehend geschlossen werden. Externe Partner sollen ausschließlich persönlich und nur so lange wie notwendig einen Fernzugang erhalten.
  • Ausschließlich Nutzer, die einen Fernzugang für ihre Arbeit benötigen, sollen diesen auch erhalten.

Quelle: Center for Cybersikkerhed

„Die Kriminellen scannen kontinuierlich das Netz nach neuen Zielen und registrieren, wie Einheiten im Internet aussehen, und welche Schwachstellen sie haben. Wenn es ihnen glückt, Nutzer oder Netzwerke zu kompromitieren, verkaufen sie die Login-Informationen an andere Hackergruppen. Diese können dann den gekauften Zugriff nutzen, um zum Beispiel einen Ransomware-Angriff durchzuführen“, erläutert der CFCS-Chef.

Arbeitsteilung unter Kriminellen

Die Passwörter müssen nicht unbedingt Zugriff auf zentrale Teile des Systems ermöglichen, aber die Hacker können über diese weitergelangen. Sie nisten sich dann im Datensystem ein, bis sie so weit sind, dass sie die Daten verschlüsseln und somit das System kapern können.

„Die Arbeitsteilung bedeutet auch eine stärkere Professionalisierung. Die Situation ändert sich laufend; wenn eine Hackergruppe eine neue und effektive Methode findet, ahmen andere diese sofort nach“, weiß der CFCS-Chef.

Ein Beispiel sei das Fänomen, dass doppelte Erpressung gennant wird, bei der die Kriminellen nicht nur die Daten verschlüsseln, sondern auch damit drohen, sensible Daten zu veröffentlichen, sollte man die Zahlung eines Lösegeldes verweigern.

„Eine Gruppe fing damit an, und blitzschnell wurde es zum Standard bei Ransomware-Angriffen“.

Mehr zum Thema: Die digitalen Erpresser

Mehr zum Thema: Als der Krieg digital wurde

Klare Richtlinien notwendig

Laut Einschätzung der Behörde gab es im zweiten Quartal von 2021 noch 4.000 verwundbare Fernzugriffe, die zum Internet hin offen standen.

Solche Löcher sollten schleunigst gestopft werden. Das CFCS empfiehlt, dass der Zugang zu internen Datensystemen ausschließlich über gesicherte Verbindungen (Gateways) und ausgestattet mit der neuesten Softwareversion möglich sein soll.

„Mindestens genauso wichtig ist es, klare Richtlinien dafür zu erarbeiten, wie und wann Fernzugriffe genutzt werden. Zum Beispiel sollte man festlegen, welche Zugriffsrechte die einzelnen Mitarbeiterinnen und Mitarbeiter haben sollen. Geklärt werden muss, ob es absolut notwendig ist, ‚zentralen Administratorschlüssel‘ über Fernzugriff zu bedienen, oder ob das ausschließlich bei Präsenz möglich sein soll“, betont Mark Fiedel.

Mehr lesen