Cyber Security im Studenten-Wohnheim
Anfang März 2021 hat das BSI1 die Bedrohungslage Rot ausgerufen, wegen eines weltweiten Hackerangriffs auf Microsoft Exchange Server. Es handelt sich dabei um den bislang massivsten Angriff seit Erfindung des Internet. Betroffen von diesem Angriff sind mehrere zehntausend kleine und größere Firmen, Behörden, öffentliche Einrichtungen und andere, die den betroffenen Email-Server von Microsoft nutzen. Tatsächlich beobachten wir in den letzten Jahren einen exponentiellen Anstieg der Bedrohungsszenarien, die sich nicht nur gegen Firmen und öffentliche Einrichtungen wenden, sondern auch solchen, die Privatpersonen angreifen.
Angriffe auf Privatpersonen können jeden betreffen, sie erfolgen um sie z.B. zu erpressen oder (vielleicht die verbreitetste Variante), um deren Rechner, Smartphone oder sonstiges intelligentes Device zu kapern und in ein Botnetz zu integrieren. Mit dem Botnetz können ferngesteuert gezielte Massenangriffe auf Rechner und Netzwerke geführt werden oder andere Aktionen ausgeführt werden wie zum Beispiel der Millionenfache Versand von Spam-Mails. Die Beweggründe der Angreifer sind vielfältig, die genannten Szenarien sind nur Beispiele für häufig vorkommende „intrusions“. Auch ist nicht jeder Angriff gefährlich. Trotzdem kenne ich niemanden, der es gerne sieht, wenn Fremde sich auf seinem Rechner zu schaffen machen.
Wie man sich schützen kann
Der erste und wichtigste Schutz gegen ungebetene Gäste im Netz ist ein Programm, das von vielen bislang noch nicht als solches wahrgenommen wurde, wovon aber fast jeder schon einmal gehört hat: die Firewall. Auf aktuellen und korrekt konfigurierten Windows-Rechnern läuft ein solches Programm ständig im Hintergrund. Und auch zwischen unserem Netzwerk und dem Internet befindet sich eine weitere, ungleich wirkungsvollere Firewall. Die Funktion der Firewall ist vergleichbar mit einem Türsteher. Er entscheidet, wer rein darf und wer nicht. In der Regel darf nur der rein, der von einem eingeladen wurde, der schon drinnen ist. Detaillierter gehe ich in einem zweiten internen Artikel darauf ein.
Was eine Firewall oft nicht überprüft ist das „Gepäck“ der Gäste. Um es zu verdeutlichen: Ihr Rechner holt Emails von seinem Postfach bei GMX, Gmail, Hotmail, oder wo auch immer Sie einen solchen Dienst nutzen, ab. Diese Emails lässt die Firewall in der Regel ungeprüft durch, sie wurde ja von innen (von Ihrem Rechner) angefordert. Ob die einzelne Email von Ihnen erwartet wurde, oder „SPAM“ ist, kann die Firewall sehr oft nicht wissen. In dem Fall kommt der zweite und fast genau so wichtige Schutz ins Spiel: ein Virenscanner, der auf jedem Rechner installiert sein sollte. Auch dieser ist auf aktuellen und korrekt konfigurierten Windows-Rechnern installiert und immer aktiv.
Bedrohung durch Trojaner
Wogegen sowohl Firewall als auch Virenscanner oft machtlos sind, ist eine (zumeist unbeabsichtigte) Einladung ungebetener Gäste durch den Anwender eines Computers selbst oder eines sonstigen smarten Endgerätes. Am verbreitetsten und erfolgreichsten ist die Methode, in der dem Anwender eine Malware, so nennt man ein Programm, das Schaden anrichten kann, ohne dessen Wissen untergeschoben wird. Häufig sind es beliebte Sharewareprogramme, die man kostenlos über das Internet beziehen kann. Die Angreifer bieten oft viele dieser beliebten Programme auf Ihren Servern zum kostenlosen Download an. Dabei empfehlen Sie, ihr „super schnelles“ Downloadprogramm zu benutzen oder aber sie liefern das eigentlich unschädliche Programm mit einem modifizierten Installationsprogramm aus. Sobald Sie nun das angebotene Downloadprogramm auf Ihrem Rechner ausführen, oder das modifizierte Installationsprogramm, das unter Anderem natürlich die gewünschte Anwendung installiert (Sie sollen ja nichts merken), wird ohne Wissen des Anwenders im Hintergrund ein Schadprogramm installiert.
Die Tricks der Email-Fälscher
Fast jeder kennt die Plage der unerwünschten Email-Werbung (SPAM). Auch bösartige Angreifer machen sich diesen Verbreitungsweg zunutze. Seit Beginn der zwanziger Jahre jedoch zunehmend subtiler und intelligenter. Dabei scannen sie die regulären Emails Ihrer Ziele eine Zeit lang. Man muss wissen, dass Emails auch heute noch in den meisten Fällen unverschlüsselt über das Internet transportiert werden und von jedem abgegriffen und gelesen werden können. Finden die Angreifer bei den automatisierten Email-Scans interessante Begriffe (z.B. „Erbschaft“, es kann auch alles mögliche sonst sein), dann haben Sie ein neues Opfer gefunden. Niemand weiß, welche Begriffe die Angreifer interessant finden. In der Regel wird es ihnen darum gehen, Ihr Opfer zu erpressen oder Zugang zu einem lokalen Netzwerk zu erhalten. Wurden Sie als interessanten Ziel ausgemacht, dann kann es passieren, dass Sie eine Email erhalten, die perfekt in eine bestehende Kommunikation passt. Allerdings stammt Diese nicht von Ihrem tatsächlichen Kommunikationspartner. Bemerken können Sie das kaum, denn eine Absenderadresse zu fälschen ist kinderleicht und der Inhalt der Mail passt gut zu Ihrer aktuellen Unterhaltung. Nur der Anhang, der mit dieser Email eintrifft, der kann es im wahrsten Sinne des Wortes „in sich“ haben. Solch ein Anhang kommt oft als etwas vermeintlich Harmloses, z.B. als ein Word- oder Excel-Dokument. Wenn Sie es öffnen, meldet Word, dass im Dokument Makros enthalten sind, die Sie per Knopfdruck aktivieren können, um das Dokument komplett sehen zu können. Mit diesem Knopfdruck installieren Sie ohne es zu wissen das Schadprogramm auf Ihrem Rechner. Auf diese Weise wurde der Emotet-Trojaner, der in den letzten Monaten für viele Schlagzeilen gesorgt hat, sehr erfolgreich verbreitet.
Was dann passiert…
Das Schadprogramm macht in vielen Fällen erst einmal nichts, außer dass es sich immer, wenn der Rechner sich mit dem Internet verbindet (also eigentlich bei jedem Rechnerstart), kurz bei seinem Erschaffer zu melden. Es teilt sozusagen dem Angreifer kurz mit „hier bin ich und warte auf Deine Befehle“. Die Firewall lässt die Kommunikation durch, sie kommt ja von Ihrem Rechner und sollte daher vertrauenswürdig sein. Die Antwort des Angreifers wird auch durchgelassen, sie wurde ja angeblich von Ihnen angefordert. Solche Malware-Programme können oft Wochen- oder Monatelang unbemerkt auf Ihrem Rechner schlummern, bis der Angreifer sich entscheidet, sie zu nutzen. Eine solche „Nutzung“ kann eine Anweisung an das Programm sein, wie „lade diese oder jene zusätzliche Schadsoftware nach und starte sie“, wobei dann im Hintergrund Software geladen wird, die Ihren Rechner ausspioniert, eventuell nach wichtigen Dokumenten sucht und sie zum Angreifer herunterlädt. Oder die gefundenen Dokumente werden verschlüsselt, um den Anwender zu erpressen. Ein anderer Nutzungszweck könnte sein, den Rechner zum Teil eines Botnetzes zu machen, das massenweise SPAM-Emails versendet. Die Möglichkeiten sind nahezu unbegrenzt.
Die größte Gefahr…
Leider ist es den Angreifern oft nicht genug, ein einzelnes Opfer zu erpressen. Wurde ein Rechner einmal heimlich gekapert, kann er als „Spionagestation“ genutzt werden. Der Angreifer kann umfangreiche Software nachladen lassen, mithilfe derer er das vorhandene lokale Netzwerk auf Schwachstellen abklopfen und ausspionieren kann. Er kann weitere Rechner im lokalen Netzwerk infizieren und im schlimmsten Fall Kontrolle über das gesamte Netz erhalten. Die Skrupellosigkeit der Angreifer kennt keine Grenzen. In den vergangenen zwei Jahren wurden schon Behörden und Staatliche Einrichtungen, Elektrizitätswerke und sogar Krankenhäuser angegriffen und erfolgreich erpresst2.
…und was Sie tun können
Als Bewohner des Studentenwohnheims und User unseres Netzwerks können Sie zu Ihrer und unserer Sicherheit einiges tun: Achten Sie darauf, dass Ihre Endgeräte (Rechner, Laptop, Smartphone) nach Möglichkeit immer die aktuellsten Sicherheitsupdates haben. Sicherheitslücken werden immer wieder entdeckt und mithilfe von Updates geschlossen. Achten Sie zudem darauf, dass Ihr Rechner, wenn möglich, mit einer lokalen Firewall und mit einem Virenscanner ausgestattet ist. Und tragen Sie Sorge, dass diese Programme immer auf aktuellem Stand gehalten werden. Nutzen Sie Linux, MAC OS oder andere Betriebssysteme, dann prüfen Sie bitte, ob nicht ebenfalls Firewalls und Virenschutz für Ihr Endgerät verfügbar ist. Auch Linux-Geräte werden als Angriffsziele immer beliebter.
Wenn Sie Software aus dem Internet laden, lassen Sie stets besondere Vorsicht walten. Meiden Sie „Downloadbeschleuniger“ wie der Teufel das Weihwasser. Meiden Sie übrigens auch Programme aller Art, die behaupten, Ihren Rechner zu „optimieren“. Versuchen Sie Software wo immer es geht von der Originalseite des Herstellers zu laden und bleiben Sie auch dann vorsichtig. Es gibt genug Fakeseiten, die nur vorgeben, die Seite des Herstellers zu sein. Fallen Sie nicht auf Emails herein oder Internet-Seiten, die behaupten, Ihren Rechner gescannt zu haben und eine Virus gefunden zu haben. Und sein Sie bitte besonders vorsichtig mit Emails von Ihnen tatsächlich bekannten Absendern mit einem Dokument oder einer sonstigen Datei im Anhang. Greifen Sie lieber einmal mehr zum Telefon bzw. irgend einem anderen Kommunikationskanal, und fragen Sie nach, was es mit dem Anhang auf sich hat und ob dieser sicher ist.
Was von uns getan wird
Als Anbieter eines lokalen Netzwerks nehme ich Sicherheitsaspekte sehr ernst. Angriffsversuche auf unser Netz registrieren wir permanent und wir sind ständig aktiv bemüht, die Sicherheit des Netzwerks zu verbessern. Der kürzlich erfolgte Routertausch an allen drei Standorten diente hauptsächlich diesem Zweck. Eine zufriedenstellende Absicherung wird es jedoch angesichts der ständig steigenden Bedrohung nie geben können. Im nicht öffentlich zugänglichen Bereich wird in Kürze ein weiterer Artikel erscheinen, in dem detaillierter auf die internen Maßnahmen eingegangen wird, und was Sie im Einzelnen zusätzlich tun können.
1. Bundesamt für Sicherheit im Internet https://www.bsi.bund.de/
2. Quellen werden nachgeliefert