Zum Inhalt springen

Suchen...

Podcast Software Testing

Kriminelle finden jede Lücke

Von 73 geprüften Hochschulen mussten sie bei jeder fünften abbrechen, weil die Lücken zu zahlreich waren. Was das für Software-Sicherheit bedeutet.

8 Min. Lesezeit
Cover für Kriminelle finden jede Lücke

Cyberkriminalität ist ein professionell organisiertes Geschäftsmodell mit spezialisierten Abteilungen für jeden Angriffsschritt: Zugangsbeschaffung, Schadsoftware, gefälschte Websites. Ransomware-Gruppen verschlüsseln Systeme und verlangen Lösegeld. Wirkungsvoller Schutz erfordert die Angriffsperspektive aktiv einzunehmen, Systeme zu trennen, Updates sofort einzuspielen und Zwei-Faktor-Authentifizierung konsequent zu nutzen.

Das Wichtigste in Kürze

  • Ransomware-Gruppen arbeiten arbeitsteilig wie professionelle Start-ups: Spezialisten kaufen und verkaufen Systemzugänge, andere entwickeln Trojaner oder bauen täuschend echte Phishing-Websites.
  • Wer nach einem Ransomware-Angriff zahlt, wird häufig ein zweites Mal angegriffen, weil sich unter Kriminellen herumspricht, welche Opfer bereit sind zu bezahlen.
  • Backups schützen nur dann, wenn sie vom Hauptnetz getrennt sind: Bei Maersk waren alle Sicherheitskopien miteinander verbunden und wurden gemeinsam mit dem Gesamtsystem verschlüsselt.
  • Zwei-Faktor-Authentifizierung und konsequentes Einspielen von Software-Updates schließen bereits viele der häufigsten Angriffsvektoren, ohne großen technischen Aufwand zu erfordern.
  • Wer Software entwickelt oder betreibt, muss die Angreiferperspektive aktiv einnehmen, weil die eigene Verteidiger-Sichtweise systematisch die Lücken ausblendet, die Kriminelle gezielt suchen.
Listen on Apple Podcasts Listen on Spotify Listen on YouTube

Cyberkriminalität läuft wie ein erfolgreiches Start-up

Erfolgreiche Ransomware-Banden arbeiten arbeitsteilig und professionell. Geleakte interne Chats und Protokolle solcher Gruppen zeigen, dass sie für jeden Schritt im Angriff eigene Spezialisten haben.

Die Aufgaben sind sauber verteilt. Manche kaufen und verkaufen Zugänge zu fremden Systemen. Andere entwickeln Trojaner und Viren. Wieder andere bauen Fake-Websites, die so überzeugend aussehen wie die echten.

Eva Wolfangel hat solche gefälschten Banken-Websites gesehen, die optisch nicht von den Originalen zu unterscheiden waren. Erkennbar werden sie nur über die URL. Die meisten Menschen prüfen diese nicht und geben ihre Zugangsdaten ein.

Wer sich verteidigt, muss diese Professionalität ernst nehmen. Auf der anderen Seite sitzt kein Hobbyist, sondern jemand mit einem gut bezahlten Vollzeitjob. Security braucht denselben Aufwand wie der Angriff.

Warum Hacker jede Lücke finden

Hacker finden Lücken, weil ihr Mindset darauf ausgerichtet ist, ein System anders zu nutzen, als es gedacht war. Diese Perspektive entscheidet, nicht nur das technische Wissen.

Ein verurteilter Cyberkrimineller, der zehn Jahre im Gefängnis saß, beschrieb genau diese Denkweise: Wo sind Lücken, wo kann ich ein System so benutzen, dass ich Dinge tue, die eigentlich nicht vorgesehen sind. Das ist für ihn ein bürokratischer, gut bezahlter Job.

Das gleiche Mindset braucht der Sicherheitsverantwortliche auf der anderen Seite. Der Unterschied liegt nicht in der Methode, sondern in der Absicht.

Im Softwaretest zeigt sich dieselbe Lücke. Tester prüfen oft das, was in den Anforderungen steht: ob das System so funktioniert, wie es gedacht ist. Angreifer nehmen den gegenteiligen Standpunkt ein und prüfen alles, was nicht vorgesehen war.

Der “evil bit”: kriminelle Denkweise als Fähigkeit

In Sicherheitskreisen kursiert der Begriff “the evil bit”. Gemeint ist die Fähigkeit, sich in die Perspektive eines Kriminellen zu versetzen: das System nicht zu schützen, sondern es bewusst gegen sich selbst zu denken.

Ob jeder das lernen kann, ist umstritten. Eine Sicherheitsforscherin formulierte es so: Man hat den evil bit oder man hat ihn nicht. Manche eignen sich die Denkweise an, manche sagen, sie können das einfach nicht.

Für die Praxis bedeutet das eine klare Konsequenz. Entweder du entwickelst diese Perspektive selbst, oder du holst dir jemanden, der sie hat. Sich darauf zu verlassen, dass die eigene Software nur so genutzt wird, wie sie gedacht ist, reicht nicht. Andere finden die Lücke und nutzen sie anders.

Das ist das Einzige, was fehlt: nicht zu sagen, so ist meine Software gedacht und so nicht, sondern sich darauf einzustellen, dass andere die Lücke finden und sie nutzen, wie sie nicht gedacht ist.

Eva Wolfangel

Jede fünfte Hochschule hatte offene Lücken

Eine Stichprobe an deutschen Hochschulen zeigte, wie viele Lücken offen im Netz liegen. Geplant war, etwa 400 Hochschulen und Unis grob von außen zu prüfen. Nach 73 musste die Untersuchung abgebrochen werden, weil bereits so viele Lücken gefunden wurden.

Das entspricht jeder fünften der größten Hochschulen. Gerade große Unis haben tendenziell mehr Mittel für Sicherheit. Bei kleineren Einrichtungen wäre die Quote vermutlich schlechter ausgefallen.

Gefunden wurden keine exotischen Schwachstellen, sondern hochsensible Daten, teils offen im Internet:

  • Atteste, darunter ein psychiatrisches Attest zur Verschiebung einer Prüfung
  • Anzeigen bei der Polizei
  • Unzählige Noten mit Name, Matrikelnummer und oft Adresse

Bei einigen großen Unis ließ sich über Sicherheitslücken bis ins Innere der Systeme vordringen. Eine Ransomware-Bande hätte an dieser Stelle verschlüsseln können.

Lücken melden ist schwieriger als es sein müsste

Das größte praktische Hindernis war nicht das Finden der Lücken, sondern das Melden. Wer eine Schwachstelle entdeckt, scheitert oft daran, den richtigen Ansprechpartner zu erreichen.

Auf vielen Webseiten war kaum herauszufinden, welche Adresse für IT-Sicherheitsvorfälle zuständig ist. Manche Hochschulen meldeten sich lange nicht zurück. In einem Fall war die zuständige E-Mail-Adresse unbesetzt, weil der Datenschutzbeauftragte im Urlaub war und niemand das Postfach im Auge behielt.

Das ist relevant, weil ethische Hacker solche Meldungen ehrenamtlich machen. Wenn du es ihnen erleichterst, eine Lücke zu melden, erhöhst du die Chance, dass sie überhaupt gemeldet wird. Eine klare, sichtbare und besetzte Kontaktstelle für Sicherheitsvorfälle ist das Erste, was eine Organisation richtig machen kann.

Wie ein einziger Angriff Maersk lahmlegte

Der Angriff NotPetya zeigt, wie schnell ein Unternehmen vollständig ausfallen kann. Der russische Geheimdienst wollte die Ukraine treffen und verteilte die Schadsoftware über das Update einer Steuersoftware, die für Geschäfte in der Ukraine genutzt wird.

Die Folgen reichten weit über das Ziel hinaus. Auch Maersk, einer der größten Logistikdienstleister der Welt, war innerhalb von Minuten weltweit verschlüsselt. Ausgenutzt wurde unter anderem eine Windows-Sicherheitslücke, für die längst ein Patch existierte. Nicht alle hatten ihn installiert.

Die Aufräumarbeiten machten ein zweites Problem sichtbar. Mitarbeiter wurden nach Hause geschickt, ließen sich tagelang nicht erreichen und wurden teils nur über private WhatsApp-Kontakte zusammengerufen. Jeder bekam einen neuen Laptop, die alten wurden weggeworfen.

Backups gab es zunächst keine brauchbaren mehr. Alle Systeme waren verbunden, also waren auch die Backups mitverschlüsselt. Vom zentralen Domain Controller existierten hunderte Kopien, die sich gegenseitig aktualisiert hatten und damit ebenfalls alle verschlüsselt waren.

Dass Maersk heute noch existiert, hängt an einem Zufall. Ein Standort in Ghana hatte am Tag des Angriffs einen Internetausfall und besaß deshalb eine unverschlüsselte Kopie. Ohne diesen Ausfall wäre das Milliardenunternehmen womöglich weg gewesen.

Architektur entscheidet, ob ein Angriff alles mitreißt

Die Lehre aus NotPetya ist eine Frage der Systemarchitektur. Wenn alles miteinander verbunden ist, kann ein Angriff innerhalb von Minuten alles verschlüsseln, inklusive der Backups.

Maersk hat daraus gelernt. Der heutige Chief Information Security Officer berichtet, dass er seitdem kein Problem mehr hat, Budget für mehr Sicherheit zu bekommen. Im Unternehmen weiß man jetzt, wie schief es gehen kann.

Für dich heißt das: Systeme trennen, sodass ein Angriff sich nicht ungebremst ausbreitet. Dieses Wissen ist verfügbar. Umgesetzt wird es längst nicht überall.

Warum nicht bezahlt werden sollte

Die Empfehlung von Behörden ist eindeutig: Lösegeld nicht zahlen. Wer zahlt, finanziert das Geschäftsmodell und damit den nächsten Angriff auf das nächste Unternehmen.

Technisch funktioniert die Erpressung, weil die Daten nach Zahlung in der Regel tatsächlich entschlüsselt werden. Würde sich herumsprechen, dass man trotz Zahlung nichts zurückbekommt, würde niemand mehr zahlen.

Bezahlen löst das Problem trotzdem nicht. Behörden berichten, dass zahlende Unternehmen oft erneut angegriffen werden, weil sich herumspricht, dass sie zahlungsbereit und schnell zu überzeugen sind. Außerdem wird unterschätzt, wie viel Arbeit, Energie und Zeit es kostet, ein System nach der Entschlüsselung wieder aufzubauen.

Security ist ein Kostenfaktor, der ohne Schaden teurer wird

In der Softwareentwicklung bleibt Security oft außen vor. Irgendwann wird ein Pen-Test beauftragt, das Protokoll liefert ein Ergebnis, der Punkt gilt als erledigt. Das Thema in der Tiefe zu beleuchten, passiert selten.

Der Grund ist meist die Wahrnehmung als Kostenfaktor. Security ist teuer, das stimmt. Wer rechnet, was passiert, wenn man sie weglässt, kommt zu einem klaren Ergebnis: Der Schaden ist auf jeden Fall teurer.

Die Schwierigkeit liegt darin, dieses Denken an die Stellen zu bringen, die über das Geld entscheiden. Naheliegend ist die Rechnung, aber sie kommt selten dort an, wo Budgets verteilt werden.

Physical Pen Testing: durch die Vordertür ins Gebäude

Sicherheit endet nicht beim System. Beim Physical Pen Testing versuchen Menschen, in Gebäude einzudringen, in die sie nicht hineindürfen. Meistens gelingt es.

Die Methoden sind banal und wirksam. Pförtner freundlich grüßen und vorbeigehen. Sich eine Rolle ausdenken, sich verkleiden, einen Hintereingang nehmen, am Rauchereingang stehen. Es gibt viele Wege in ein Unternehmen.

Daraus folgt eine Konsequenz für die Organisation. Pförtner dürfen mit der Aufgabe nicht allein gelassen werden, freundliche und nette Menschen aufzuhalten. Das will niemand tun, und genau das nutzen Angreifer aus. Es braucht physische Systeme, die diese Last nicht auf einzelne Personen legen.

Was du als Anwender konkret tun kannst

Wenige konsequent umgesetzte Maßnahmen schließen einen Großteil der möglichen Einfallstore. Sie sind nicht aufwendig, sondern eine Frage der Disziplin.

  • Zwei-Faktor-Authentifizierung überall aktivieren, wo es geht. Der zusätzliche Klick nervt, verhindert aber sehr viele Angriffe.
  • Updates schnell installieren. Angreifer verfolgen genau, wo neue Lücken auftauchen, und basteln daran, sie auszunutzen.
  • Nur genutzte Apps behalten und die Herkunft jeder App prüfen.
  • Keine echten Daten angeben, wo es nicht nötig ist. Warum braucht ein Online-Shop dein Geburtsdatum? Im Zweifel einen anderen Namen oder ein anderes Datum nutzen.

Vollständigen Schutz gibt es nicht. Früher oder später werden Daten aus einem schlecht gesicherten System gezogen, und Verwaltungen werden regelmäßig gehackt. Ein vernünftiger Mittelweg senkt das Risiko trotzdem deutlich.

Für Teams, die Software bauen, gilt dieselbe Logik in größerem Maßstab. Mach es ordentlich. Hol dir die Angreiferperspektive an Bord, statt nur aus der Verteidigersicht zu prüfen. Entweder eignest du sie dir selbst an, oder du findest jemanden mit dem evil bit, der dir dabei hilft.

Diese Seite teilen

LinkedIn X E-Mail
Zurück zu allen Beiträgen

Ähnliche Beiträge