Zunächst hapert es einmal an den Grundlagen. Dazu kommt dann noch ein ungesunde Dosis Faulheit. Warnzeichen werden gekonnt und höchst zuverlässig ignoriert. Nachdem Sie endlich bemerkt haben, dass Sie gehackt wurden und dabei die Daten Ihrer Kunden gestohlen wurden, tun Sie dann was? Richtig: Sie schweigen. Eisern und solange es nur irgend geht. Und um dem Ganzen dann noch das Sahnehäubchen zu kredenzen, kümmern Sie sich einen feuchten Kehricht um die Aufklärung der Geschehnisse. Das könnte schließlich dabei helfen, so etwas in Zukunft zu vermeiden.
Foto: Arjuna Kodisinghe - shutterstock.com
Was Sie gerade gelesen haben, ist das Grundrezept für ein echtes, unheilbringendes IT-Sicherheitsdebakel. Dass es sich hierbei um einen echten Klassiker der Fail-Kultur handelt, zeigen die folgenden zwölf Beispiele.
Des Finanzdienstleisters Schludereien
Gäbe es ein Museum desaströser Daten-Dilemmata - Equifax hätte eine eigene Sonderausstellung verdient. Mindestens. Der Finanzdienstleister (in etwa vergleichbar mit der deutschen Schufa) ließ eine Schwachstelle in Apache Struts (bekannt geworden im März 2017) ungepatcht. Daraufhin konnten kriminelle Hacker im Rahmen mehrerer Angriffe die persönlichen Daten von circa 145 Millionen US-Bürgern abgreifen.
Ergänzend dazu bekleckerte sich Equifax mit ganz besonderem Ruhm in Sachen unsicheres Netzwerk-Design und ineffektive Detection-Methoden. Aber es ist noch nicht vorbei: am 29. Juli bemerkte das Unternehmen den Hack - die Öffentlichkeit wurde am 7. September informiert. Inzwischen legen Medienberichte nahe, dass man beim Finanzdienstleister bereits im Dezember 2016 vor Sicherheitslücken gewarnt worden war, deren Ausnutzung massive Folgen haben könnte. Vielleicht müsste man der "US-Schufa" gleich ein eigenes Museum der Security-Verderbnis widmen.
Public Cloud?
Wie sieht es mit Ihrem Vertrauen in die Sicherheits-Bemühungen Ihrer Geschäftspartner aus? Diese Frage stellt man sich zwangsläufig, wenn man den Hackerangriff auf Verizon aus dem Juli 2017 betrachtet. Die Daten von sechs Millionen Kunden wurden hierbei kompromittiert - schuld war ein ungeschützter AWS-Server.
Kontrolliert wurde der Server von einem Partnerunternehmen, das die bei der Service-Hotline eingehenden Anrufe der Verizon-Kunden händelte. Die Daten, die dort gespeichert wurden, enthielten unter anderem Namen, Mobilfunknummern, PIN-Codes sowie E-Mail- und Wohnadressen der Kunden. Jeder, der die Webadresse des Servers kannte, hätte sich an dieser Datenbank bedienen können. Glücklicherweise wurde der Fehler innerhalb von zehn Tagen bemerkt und behoben. Kundendaten sind dabei nicht gestohlen worden - sagt Verizon.
Easy zum Ziel mit Online-Dating?
Wer nach einem geheimen Treffen trachtet, für den wird es Sinn machen, entsprechende Schutzmaßnahmen zu ergreifen. Wer also online konspirative, zwischenmenschliche Treffen anzetteln will, sollte ebenso großen Wert auf Passwort-Sicherheit legen. So wie AdultFriendFinder. Nicht.
Die Online-"Dating"-Seite wurde im Oktober 2016 Ziel eines Hackerangriffs. Dabei wurden 99 Prozent aller Kundenpasswörter gecrackt. Möglich gemacht wurde das, indem die Verantwortlichen bei FriendFinder alle Passwörter lediglich als SHA-1-Hashwerte abspeicherten. Oder gleich in Klartext, wie eine Untersuchung von LeakedSource nahelegt.
Wie Equifax scheint man auch bei AdultFriendFinder eine Leidenschaft für ungewollte Zugaben zu haben: Um den Hackern ihr unheilvolles Handwerk noch ein wenig einfacher zu machen, wurden die Passwörter der Kunden vor der Umwandlung in Hash-Werte erst noch von Großbuchstaben befreit. Betroffen waren im Übrigen offenbar auch User, die ihr Profil bereits gelöscht hatten.
Versicherer schafft Verunsicherung
Sie möchten das Ihnen mal wieder so richtig schlecht wird? Wenn Sie vor 2014 bereits Kunde bei der US-Krankenversicherung Anthem waren, geht das von ganz alleine. Denn in diesem Fall müssen Sie wohl den Rest Ihres Lebens mit Betrugsversuchen rechnen. Das liegt daran, dass Hacker sich mit jeder Menge persönlicher Informationen der Versicherten eindecken konnten, zum Beispiel Namen, Geburtsdaten, medizinische Daten und Sozialversicherungsnummern. Gewiefte Identitätsdiebe könnten diese Daten nun erst einmal für einige Jahre "verwalten", bevor sie sie im Darknet verkaufen oder anderweitig nutzen.
Vom Hackerangriff auf Anthem waren circa 80 Millionen Kunden in den USA betroffen. Verantwortlich für das Desaster war offenbar ein Mitarbeiter eines Subunternehmens von Anthem, der auf einen Phishing-Link geklickt hatte. Nicht gerade förderlich war dabei, dass auch in diesem Fall die Daten unverschlüsselt vorgehalten wurden. Das könnte man durchaus als laxe Haltung gegenüber der IT-Sicherheit bezeichnen.
Das Behörden-ABC
Sie wollen wissen wie man sensible Daten von Menschen bestmöglich schützt? Kein Problem! Studieren Sie dazu einfach die Best Practices des United States Office of Personnel Management (OPM). Und dann tun sie das genaue Gegenteil. Kriminelle Hacker (die Medienberichten zufolge aus China stammen könnten) verschafften sich 2012 Zugang zu den Systemen des OPM. Und wurden zwei Jahre lang nicht bemerkt.
Erstaunlicherweise konnten Black-Hat-Hacker im März 2014 erneut in die Systeme des OPM eindringen. Auch diese Cyber-Unholde konnten ein Jahr lang unbemerkt ihr Unwesen treiben. Trotz der extrem sensiblen Natur der hier vorgehaltenen Daten ignorierte die US-Behörde sämtliche Warnungen bezüglich ihrer laxen IT-Sicherheit äußerst zuverlässig.
Nicht einmal an grundlegende Sicherungsmaßnahmen wie die Verschlüsselung von Daten, die Inventarisierung aller Sever und Datenbanken oder der Einsatz von Zwei-Faktor-Authentifizierung wurde bei der Regierungsinstitution gedacht. Von diesem Data Breach waren rund 22 Millionen aktive und ehemalige Regierungsangestellte betroffen. Darunter auch Ex-FBI-Direktor James Comey.
Hack frisst Bonus
Die Hackerangriffe auf Yahoo in den Jahren 2013 und 2014 waren zusammengenommen wohl die größte Security-Katastrophe aller Zeiten. Zumindest gemessen an den Zahlen: alle drei Milliarden Nutzer fielen dem Hack zum Opfer. Die Übernahme durch den Mobilfunk-Giganten Verizon geriet durch die Vorfälle beinahe ins Wanken. Niemand Geringerer als Star-Whistleblower Edward Snowden hatte Yahoo bereits im Jahr 2013 öffentlich als beliebtes Ziel bei staatlich beauftragten Hackern benannt.
Nichtsdestotrotz verpflichtete Yahoo erst ein Jahr später einen Chief Security Officer. Was offenbar ebenfalls für die Katz war, denn CEO Marissa Mayer vermied es Berichten zufolge, den Security-Manager mit dem nötigen Budget auszustatten, um die IT-Sicherheit auf ein vernünftiges Level zu bringen. Die User wurden über die Vorgänge für zwei bis drei Jahre überhaupt nicht informiert. Und damit nicht genug: CEO Mayer soll sich sogar dagegen verwehrt haben, den Nutzern eine Mitteilung mit der Aufforderung zum Ändern ihres Passworts zukommen zu lassen - aus Angst, das würde sie verschrecken. So wurde dann auch nichts aus ihrem Bonus. Für den Yahoo-Hack sollen russische Spione verantwortlich sein.
1, 2, 3, Gehackt!
Eine Phishing-E-Mail setzte auch diesen massiven Datendiebstahl in Gang: Bei einem Hackerangriff auf die Auktionsplattform eBay im Mai 2014 wurden die Account-Daten von circa 145 Millionen Usern kompromittiert. Die Angreifer hatten dabei für ganze 229 Tage vollen Zugriff auf das Unternehmensnetzwerk, bevor der Einbruch festgestellt wurde.
Natürlich kann eine solche Attacke jedes Unternehmen treffen - insbesondere wenn dabei eine gut gemachte Phishing-Mail zum Einsatz kommt. Aber die Reaktion des Unternehmens wurde von Experten als "peinlicher als die eigentliche Attacke" beschrieben. Begründung: eBay habe drei Monate gebraucht, um den Hackerangriff zu bemerken, nur um dann noch einmal zwei Wochen zu warten, bis die Öffentlichkeit informiert wurde.
So sicher wie das Pentagon - fast!
Auch beim US-Einzelhandelsunternehmen Target begann ein großangelegter Hackerangriff mit einer Phishing-Mail. So konnten Angreifer mit der Malware "Citadel" Login-Daten eines Partnerunternehmens abgreifen, die ihnen wiederum Zugang zum Netzwerk von Target verschafften.
So landeten am Ende die persönlichen Daten von circa 70 Millionen Target-Kunden sowie 40 Millionen Kreditkarten-Datensätze bei kriminellen Hackern. Wie Bloomberg im Nachgang berichtete, nutzte Target dasselbe Security-System wie das Pentagon - mit einem feinen Unterschied: Ein kritisches Feature war nicht aktiv, weil die Sicherheits-Spezialisten der Funktion nicht trauten.
Kochen ohne Salz
Bei einer Hackerattacke im Juni 2012 wurden beim Karriere-Netzwerk LinkedIn vermeintlich 6,5 Millionen User-Passwörter gestohlen. Experten ließen damals verlauten, LinkedIn habe die Passwörter seiner Nutzer unzureichend geschützt, da bei der Verschlüsselung keine "Salts" zum Einsatz gekommen waren, was die Dechiffrierung deutlich erleichtert habe.
Immerhin entschuldigte sich LinkedIn direkt nach Bekanntwerden des Hacks öffentlich bei seinen Usern und bat diese, ihre Passwörter zu ändern. Das FBI macht inzwischen den Russen Yevgeniy Nikulin für den Hackerangriff verantwortlich. Im Jahr 2016 musste LinkedIn eingestehen, dass von dem Breach 100 Millionen Nutzer mehr betroffen waren als zunächst angenommen.
Vertrau mir!
eHarmony bezeichnet sich als "#1 trusted dating site". Zur Untermauerung der Vertrauenswürdigkeit des Unternehmens sind die Vorfälle aus dem Jahr 2012 allerdings eher ungeeignet. Die Passwörter von 1,5 Millionen Nutzern fielen in die Hände von kriminellen Hackern und wurden kurze Zeit später in einem russischen Hacker-Forum veröffentlicht.
Zwar waren die Passwörter als Hash-Files gespeichert worden, aber - ähnlich wie im Fall von LinkedIn - wurde das "Salzen" vergessen. Dadurch waren die Passwörter für die Cyberunholde in Windeseile geknackt. Nach Meinung von Security-Experten hätten bereits einfache Web-Application-Scanning-Tools über die Schwachstellen bei eHarmony aufklären können.
Multiples Security-Versagen
Der Dropbox-Hack im Juli 2012 konnte nur passieren, weil Irgendjemand eine wirklich ungünstige Entscheidung im Sinne der IT-Sicherheit getroffen hat. Die Todsünde von der wir hier reden ist die Mehrfachnutzung ein- und desselben Passworts. Damals reagierte Dropbox mit einer Mitteilung an die Nutzer, dass ein kleiner Teil der Accounts betroffen ist.
Erst ungefähr vier Jahre später traten dann die vollen Ausmaße dieses Hackerangriffs zutage. Nämlich dann, als die E-Mail-Adressen und Passwörter von knapp 69 Millionen Dropbox-Nutzern im Darknet zum Verkauf angeboten werden. Daraufhin folgte eine massive Passwort-Reset-Initiative. Nach Einschätzung von IT-Sicherheitsexperten hat das Unternehmen dabei einen guten Job gemacht. Aber warten wir erst einmal die nächsten vier Jahre ab.
Mission Failed!
Im Frühjahr 2011 ereilte Sonys PlayStation Network (PSN) ein vorzeitiges "Game Over". Der japanische Elektronik-Riese musste das komplette Netzwerk für drei Wochen offline nehmen, um die Schäden zu beheben. Beim Angriff selbst wurden Login-Daten, Usernamen und persönliche Daten von ungefähr 77 Millionen Nutzern kompromittiert. Im Laufe der Untersuchung des Hacks wurden es dann noch einmal 25 Millionen Datensätze mehr.
Während es relativ schwer ist, ein System komplett gegen Zugriff von außen abzusichern, ist es relativ simpel, Nutzerdaten zu verschlüsseln. Zur Überraschung vieler Experten wurden die PSN-Passwörter aber völlig unverschlüsselt vorgehalten (auch wenn Sony behauptete, sie seien immerhin "gehasht" worden). Im Nachgang des bis dahin größten Hacks aller Zeiten bezifferte Sony den finanziellen Schaden auf 171 Millionen Dollar.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.