Halbjahresbericht von Melani

Datendiebstahl wird zum Alltag

Uhr
von Coen Kaat

Immer wieder tauchen neue Datensätze mit gestohlenen oder verlorenen Kundendaten auf. Ein gefundenes Fressen für Cyberkriminelle, wie Melani in ihrem Halbjahresbericht feststellt. Die bevorstehende EU-DSGVO könnte Cyberkriminelle noch zusätzlich beflügeln.

(Source: youngID / iStock.com)
(Source: youngID / iStock.com)

Die Melde- und Analysestelle Informationssicherung (Melani) hat ihren 26. Halbjahresbericht veröffentlicht. Dieser befasst sich mit den wichtigsten Vorfällen im Bereich Cybersecurity der zweiten Jahreshälfte 2017, wie Melani mitteilt.

Den Schwerpunkt legt der Bericht auf das Thema Datenabflüsse. Melani fasst unter diesem Begriff Datendiebstähle aber auch Datenpannen zusammen, bei denen Informationen unabsichtlich publik gemacht werden.

Mittlerweile würden abgeflossene Datensätze mit personenbezogenen Informationen regelmässig auftauchen, schreibt Melani. Im vergangenen Oktober verschafften sich Unbekannte Zugriff auf über 800'000 Datensätze von Swisscom-Kunden. Digitec Galaxus wurde im September kompromittiert. Im Dezember informierte der Krankenversicherer Groupe Mutuel über einen Datenabfluss. Noch im gleichen Monat wurde Melani auf 70'000 Datensätze aufmerksam, welche dem Schweizer Webshop DVD-Shop.ch abhanden gekommen sind.

Gezielte Angriffe auf Einzelpersonen

Auch die Schweizer Niederlassung der international tätigen Inkassofirma EOS hatte ein Leck zu beklagen. Laut dem Halbjahresbericht flossen wohl rund 3 Gigabyte an Daten ab, die bis ins Jahr 2002 zurückreichen. Dabei handelt es sich um Namen, Adressen und die Höhe der geschuldeten Beträge, aber auch um komplette Krankenakten und Behandlungsdetails. Also Daten, die ein Inkassounternehmen bei der Ausübung seiner Aufgaben gar nicht benötigt.

Cyberkriminelle nutzen abgeflossene Daten etwa, um die betroffenen Firmen zu erpressen. Ausser dem Kostenaufwand schlägt in solchen Fällen auch ein Reputationsverlust zu Buche. Die Kriminellen könnten es aber auch auf die Kunden selbst abgesehen haben. Die Daten können etwa für gezielte Angriffe auf Einzelpersonen genutzt werden. So wurde im zweiten Halbjahr etwa Malware in E-Mails verbreitetet, in denen das Opfer mit korrektem Vor- und Nachnamen angesprochen wurde und in denen auch dessen Telefonnummer und Postadresse aufgeführt war.

EU-DSGVO könnte Erpresser beflügeln

Der Schaden durch die Veröffentlichung von Krankenakten wie etwa im Fall EOS ist potenziell deutlich grösser. Passwörter, Kreditkartendaten und ähnliches können relativ rasch geändert werden. Daten zur eigenen Gesundheit oder zu persönlichen Vorlieben lassen sich jedoch nicht zurücksetzen und können den Opfern auch Jahre später noch schaden.

Melani erwähnt in diesem Zusammenhang auch die bevorstehende Datenschutz-Grundverordnung der EU (EU-DSGVO). Diese sieht bei Datenschutzverletzungen Geldstrafen von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes der verantwortlichen Unternehmen vor.

Für Cyberkriminelle könnte dies ein gefundenes Fressen sein! Sollten Cyberkriminelle an persönliche Daten gelangen, müssten sie die Lösegeldforderung nur knapp tiefer als die potenziellen Geldbussen halten. Dies könnte das eine oder andere Unternehmen dazu bringen, die Lösegeldforderung als die billigere Option anzusehen.

Zehn Jahre alter Wurm im Umlauf

Melani zählte für den Bericht auch die Malware, die in der zweiten Hälfte des vergangenen Jahres in der Schweiz im Umlauf war. Der grösste Teil der Infektionen geht laut dem Bericht auf das Konto von Conficker – auch bekannt als Downadup.

Bemerkenswerterweise ist dieser Computerwurm bereits seit 10 Jahren im Umlauf. Er nutzt eine im Jahr 2008 entdeckte Schwachstelle in Windows-Betriebssystemen aus. Eine Schwachstelle, für die bereits ebenso lange ein Patch angeboten wird.

Ein weiteres altes Eisen ist der Banking-Trojaner Retefe. Eines der aggressivsten Schadprogramme in der Schweiz, wie Melani schreibt. Melani thematisierte die Malware bereits vor drei Jahren in einem Halbjahresbericht.

Retefe nutzt ausschliesslich Spam-Mails, um sich auszubreiten, wie Melani schreibt. In diesen Mails würden oft auch die Firmen-Logos bekannter Schweizer Unternehmen imitiert, um die Opfer zu täuschen. So warnte Swisscoms Security-Team etwa vor Retefe-Kampagnen, die angeblich von der Postfinance oder ZKB verschickt wurden.

Der Trojaner leitet den Browser der Opfer um, wenn sie bestimmte E-Banking-Portale nutzen. Anschliessend erhalten Sie die Aufforderung, eine App herunterzuladen – angeblich zur Erhöhung der Sicherheit. Tatsächlich handelt es sich dabei aber um Android-Malware, die sämtliche SMS von der Bank für die 2-Faktor-Authentifizierung an die Hacker weiterleitet.

Im vergangenen Halbjahr versuchten die Cyberkriminellen es aber auch auf die analoge Art. Sie wollten an die Aktivierungscodes gelangen, die Banken per Briefpost an ihre Kunden schicken. Um dies zu erreichen, forderten sie ihre Opfer per E-Mail auf, den erhaltenen Code einzuscannen und ihnen zu schicken.

Erpresser nutzen Angst vor DDoS als Waffe

Cyberkriminelle müssen aber nicht immer Schaden zufügen. Manchmal genügt auch die Angst vor Attacken, um ihre Opfer zu erpressen – technisches Know-how ist dafür nicht nötig. DDoS-Attacken sind eine beliebte Masche geworden, um schnell einen finanziellen Gewinn zu erzielen. Manche Cyberkriminelle verfügen jedoch gar nicht über die Mittel, solche Attacken zu lancieren.

Stattdessen suchen sie sich die Namen von anderen Cyberkriminellen heraus, die aktuell Panik verbreiten. Diese Namen nutzen sie anschliessend, wenn sie ihre Opfer erpressen und ihnen mit DDoS-Attacken drohen.

In der Schweiz gaben sich etwa einige als die Gruppe Fancy Bear aus. Dabei handelt es sich allerdings um eine berüchtigte Spionagegruppe, die auch als Sofacy bekannt ist. Wie Melani schreibt, steckt dahinter vermutlich ein staatlicher Akteur. Ein weiteres Beispiel ist XMR Squad, in deren Namen gemäss dem Sicherheitsanbieter Link-11 auch einige leere Drohungen ausgesprochen wurden.

Cyberkriminelle lassen Opfer nach Kryptowährungen schürfen

Melani blickt im Halbjahresbericht auch über die Landesgrenzen hinaus und widmet sich dem Hype um Kryptowährungen. Rund um den Jahreswechsel wurden etwa zunächst der Marktplatz Nicehash und anschliessend Coincheck gehackt. Insgesamt erbeuteten die Diebe Kryptowährungen im Wert von über einer halben Milliarde US-Dollar.

Ein weiterer Trend sind sogenannte Miner. Dabei handelt es sich um spezielle Skripts, die in Websites eingeschleust werden können – zum Teil ohne das Mitwissen der Betreiber. Solche Skripts sind etwa bereits bei Youtube und auf Smartphones aufgetaucht. Sie zapfen die Rechenleistung ihrer Opfer an und nutzen diese, um nach Kryptowährungen zu schürfen.

Dies mag zwar harmloser erscheinen als andere Methoden, wie Melani schreibt. Den potenziellen Schaden dürfe man dennoch nicht unterschätzen. Einerseits zahlt das Opfer die Stromkosten für die beanspruchte Rechenleistung. Andererseits könnten die Systeme der Opfer abstürzen, da die Rechenleistung nicht mehr für ihre eigentlichen Zwecke genutzt werden kann. Handelt es sich dabei um sensible Systeme, ist das umso beunruhigender.

Weitere Infos

Den vollständigen Bericht können Interessierte an dieser Stelle online finden. Darin finden sich mehr Details zu den beschriebenen Themen sowie auch mehr zu Ransomware, den Equifax-Hack, der Bad-Rabbit-Ransomware, der Sicherheitslücke in den Herzschrittmachern der Firma Abbott (rund 5000 Schweizer waren davon betroffen) oder den Schwachstellen Spectre und Meltdown.

Einen schnellen Überblick über die gängigsten Begriffe rund um IT-Security und Cybercrime ohne Anspruch auf Vollständigkeit bietet das kleine Security-ABC der Redaktion.

Webcode
DPF8_90212