Hacker vs. IT-Sicherheit

12 haarsträubende Security-Desaster

17.11.2017
Von  und


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
James A. Martin ist Autor des Blogs "Living the Tech Life" unserer US-Schwesterpublikation CIO.com.
Diese Beispiele zeigen, dass Arroganz und Selbstüberschätzung die vielleicht tödlichsten Security-Sünden darstellen.

Zunächst hapert es einmal an den Grundlagen. Dazu kommt dann noch ein ungesunde Dosis Faulheit. Warnzeichen werden gekonnt und höchst zuverlässig ignoriert. Nachdem Sie endlich bemerkt haben, dass Sie gehackt wurden und dabei die Daten Ihrer Kunden gestohlen wurden, tun Sie dann was? Richtig: Sie schweigen. Eisern und solange es nur irgend geht. Und um dem Ganzen dann noch das Sahnehäubchen zu kredenzen, kümmern Sie sich einen feuchten Kehricht um die Aufklärung der Geschehnisse. Das könnte schließlich dabei helfen, so etwas in Zukunft zu vermeiden.

Diese 12 Security-Desaster lassen Sie die Hände über dem Kopf zusammenschlagen.
Diese 12 Security-Desaster lassen Sie die Hände über dem Kopf zusammenschlagen.
Foto: Arjuna Kodisinghe - shutterstock.com

Was Sie gerade gelesen haben, ist das Grundrezept für ein echtes, unheilbringendes IT-Sicherheitsdebakel. Dass es sich hierbei um einen echten Klassiker der Fail-Kultur handelt, zeigen die folgenden zwölf Beispiele.

Des Finanzdienstleisters Schludereien

Gäbe es ein Museum desaströser Daten-Dilemmata - Equifax hätte eine eigene Sonderausstellung verdient. Mindestens. Der Finanzdienstleister (in etwa vergleichbar mit der deutschen Schufa) ließ eine Schwachstelle in Apache Struts (bekannt geworden im März 2017) ungepatcht. Daraufhin konnten kriminelle Hacker im Rahmen mehrerer Angriffe die persönlichen Daten von circa 145 Millionen US-Bürgern abgreifen.

Ergänzend dazu bekleckerte sich Equifax mit ganz besonderem Ruhm in Sachen unsicheres Netzwerk-Design und ineffektive Detection-Methoden. Aber es ist noch nicht vorbei: am 29. Juli bemerkte das Unternehmen den Hack - die Öffentlichkeit wurde am 7. September informiert. Inzwischen legen Medienberichte nahe, dass man beim Finanzdienstleister bereits im Dezember 2016 vor Sicherheitslücken gewarnt worden war, deren Ausnutzung massive Folgen haben könnte. Vielleicht müsste man der "US-Schufa" gleich ein eigenes Museum der Security-Verderbnis widmen.

Public Cloud?

Wie sieht es mit Ihrem Vertrauen in die Sicherheits-Bemühungen Ihrer Geschäftspartner aus? Diese Frage stellt man sich zwangsläufig, wenn man den Hackerangriff auf Verizon aus dem Juli 2017 betrachtet. Die Daten von sechs Millionen Kunden wurden hierbei kompromittiert - schuld war ein ungeschützter AWS-Server.

Kontrolliert wurde der Server von einem Partnerunternehmen, das die bei der Service-Hotline eingehenden Anrufe der Verizon-Kunden händelte. Die Daten, die dort gespeichert wurden, enthielten unter anderem Namen, Mobilfunknummern, PIN-Codes sowie E-Mail- und Wohnadressen der Kunden. Jeder, der die Webadresse des Servers kannte, hätte sich an dieser Datenbank bedienen können. Glücklicherweise wurde der Fehler innerhalb von zehn Tagen bemerkt und behoben. Kundendaten sind dabei nicht gestohlen worden - sagt Verizon.

Easy zum Ziel mit Online-Dating?

Wer nach einem geheimen Treffen trachtet, für den wird es Sinn machen, entsprechende Schutzmaßnahmen zu ergreifen. Wer also online konspirative, zwischenmenschliche Treffen anzetteln will, sollte ebenso großen Wert auf Passwort-Sicherheit legen. So wie AdultFriendFinder. Nicht.

Die Online-"Dating"-Seite wurde im Oktober 2016 Ziel eines Hackerangriffs. Dabei wurden 99 Prozent aller Kundenpasswörter gecrackt. Möglich gemacht wurde das, indem die Verantwortlichen bei FriendFinder alle Passwörter lediglich als SHA-1-Hashwerte abspeicherten. Oder gleich in Klartext, wie eine Untersuchung von LeakedSource nahelegt.

Wie Equifax scheint man auch bei AdultFriendFinder eine Leidenschaft für ungewollte Zugaben zu haben: Um den Hackern ihr unheilvolles Handwerk noch ein wenig einfacher zu machen, wurden die Passwörter der Kunden vor der Umwandlung in Hash-Werte erst noch von Großbuchstaben befreit. Betroffen waren im Übrigen offenbar auch User, die ihr Profil bereits gelöscht hatten.

Versicherer schafft Verunsicherung

Sie möchten das Ihnen mal wieder so richtig schlecht wird? Wenn Sie vor 2014 bereits Kunde bei der US-Krankenversicherung Anthem waren, geht das von ganz alleine. Denn in diesem Fall müssen Sie wohl den Rest Ihres Lebens mit Betrugsversuchen rechnen. Das liegt daran, dass Hacker sich mit jeder Menge persönlicher Informationen der Versicherten eindecken konnten, zum Beispiel Namen, Geburtsdaten, medizinische Daten und Sozialversicherungsnummern. Gewiefte Identitätsdiebe könnten diese Daten nun erst einmal für einige Jahre "verwalten", bevor sie sie im Darknet verkaufen oder anderweitig nutzen.

Vom Hackerangriff auf Anthem waren circa 80 Millionen Kunden in den USA betroffen. Verantwortlich für das Desaster war offenbar ein Mitarbeiter eines Subunternehmens von Anthem, der auf einen Phishing-Link geklickt hatte. Nicht gerade förderlich war dabei, dass auch in diesem Fall die Daten unverschlüsselt vorgehalten wurden. Das könnte man durchaus als laxe Haltung gegenüber der IT-Sicherheit bezeichnen.

Das Behörden-ABC

Sie wollen wissen wie man sensible Daten von Menschen bestmöglich schützt? Kein Problem! Studieren Sie dazu einfach die Best Practices des United States Office of Personnel Management (OPM). Und dann tun sie das genaue Gegenteil. Kriminelle Hacker (die Medienberichten zufolge aus China stammen könnten) verschafften sich 2012 Zugang zu den Systemen des OPM. Und wurden zwei Jahre lang nicht bemerkt.

Erstaunlicherweise konnten Black-Hat-Hacker im März 2014 erneut in die Systeme des OPM eindringen. Auch diese Cyber-Unholde konnten ein Jahr lang unbemerkt ihr Unwesen treiben. Trotz der extrem sensiblen Natur der hier vorgehaltenen Daten ignorierte die US-Behörde sämtliche Warnungen bezüglich ihrer laxen IT-Sicherheit äußerst zuverlässig.

Nicht einmal an grundlegende Sicherungsmaßnahmen wie die Verschlüsselung von Daten, die Inventarisierung aller Sever und Datenbanken oder der Einsatz von Zwei-Faktor-Authentifizierung wurde bei der Regierungsinstitution gedacht. Von diesem Data Breach waren rund 22 Millionen aktive und ehemalige Regierungsangestellte betroffen. Darunter auch Ex-FBI-Direktor James Comey.

Hack frisst Bonus

Die Hackerangriffe auf Yahoo in den Jahren 2013 und 2014 waren zusammengenommen wohl die größte Security-Katastrophe aller Zeiten. Zumindest gemessen an den Zahlen: alle drei Milliarden Nutzer fielen dem Hack zum Opfer. Die Übernahme durch den Mobilfunk-Giganten Verizon geriet durch die Vorfälle beinahe ins Wanken. Niemand Geringerer als Star-Whistleblower Edward Snowden hatte Yahoo bereits im Jahr 2013 öffentlich als beliebtes Ziel bei staatlich beauftragten Hackern benannt.

Nichtsdestotrotz verpflichtete Yahoo erst ein Jahr später einen Chief Security Officer. Was offenbar ebenfalls für die Katz war, denn CEO Marissa Mayer vermied es Berichten zufolge, den Security-Manager mit dem nötigen Budget auszustatten, um die IT-Sicherheit auf ein vernünftiges Level zu bringen. Die User wurden über die Vorgänge für zwei bis drei Jahre überhaupt nicht informiert. Und damit nicht genug: CEO Mayer soll sich sogar dagegen verwehrt haben, den Nutzern eine Mitteilung mit der Aufforderung zum Ändern ihres Passworts zukommen zu lassen - aus Angst, das würde sie verschrecken. So wurde dann auch nichts aus ihrem Bonus. Für den Yahoo-Hack sollen russische Spione verantwortlich sein.