Existiert die Internetseite Deiner Firma morgen noch?

Existiert die Internetseite Deiner Firma morgen noch?
Kommt drauf an, ob die Neunjährigen ihr Taschengeld aktuell lieber in ein Netflix-Abo oder in ein Botnetz stecken!

Von Joachim Jakobs

 

„Ein neuer Bericht von Aqua Security zeigt auf, wie einfach es für einen Amateur-Hacker ist, bösartige Dienste einzurichten, die wiederum von weitaus geschickteren Bedrohungsakteuren in Zukunft als Waffe eingesetzt werden könnten […] Der Bedrohungsakteur, den Aqua als „Script-Kiddie“ bezeichnet, verbrachte ein Jahr damit, ein Botnetz zu erstellen, indem er ein Mashup von Open-Source-Hacking-Tools verwendete und dabei alte Fehler und Standard-Anmeldedaten von Routern, DVRs und anderen mit dem Internet verbundenen Geräten ausnutzte.“ Es scheint im wahrsten Sinn des Wortes ein Kinderspiel zu sein: „So wurde auch playit.gg genutzt, ein Tool, mit dem sich Multiplayer-Spiele oder Webserver leicht hosten lassen, ohne dass komplexe Netzwerkeinstellungen vorgenommen werden müssen, als Teil seiner Command-and-Control-Server.“

Der begriff „Script Kiddie“ beschreibt Wikipedia zufolge „vornehmlich Computernutzer, die trotz mangelnder Grundlagenkenntnisse versuchen, in fremde Computersysteme einzudringen oder sonstigen Schaden anzurichten. Erfolgreiche Versuche sind dabei der Anwendung gebrauchsfertiger Lösungen geschuldet, also der Nutzung vorgefertigter Automatismen oder schriftlicher Anleitungen.“
Dabei kann’s manchen der lieben Kleinen garnicht schnell genug gehen — kaum sind sie aus den Windeln raus, schon werden sie kriminell: So soll es DNS-Anbieter geben, „die durch DDoS in den Ruin getrieben wurden, weil ein erbärmliches 9-jähriges Skript-Kiddie beschloss, die *Domäne* einer Website, die ihm nicht gefiel, zu überlasten.“

Nicht auszuschließen ist, dass auch in diesem Fall ein Botnetz zum Einsatz kam: „Hochentwickelte Botnet-DDoS-Tools und Botnet-Services sind auf dem Markt für nur 5 US-Dollar erhältlich. Es ist einfach und billig, DDoS-Angriffe für Vandalismus, Wettbewerbsvorteile, Erpressung oder andere bösartige Zwecke zu orchestrieren.“

Alternativ könnte das Neunjährige natürlich auch 4,99 Euro in ein „Standard-Abo mit Werbung“ von Netflix stecken — ob Deine Internetseite morgen noch im Netz ist, hängt also wesentlich davon ab, ob die Neunjährigen grad so Bock auf Werbung und monatlich wiederkehrende Kosten haben oder ob die Pubertät schon das Zerstörungs-Gen freigesetzt hat!

 

Bild:ChatGPT

Botnetze sind sowas wie das Schweizer Taschenmesser für Internetkriminelle — Wikipedia kennt weitere „Anwendungen“
„● Nachladen und Ausführen weiterer Programme beziehungsweise Aktualisierung des Bots
●    Angriffe zum Nachteil eines externen Opfersystems
[…]
● Versand von Spam-Mails, insbesondere Phishing-Mails […]
● Ausführen von DDoS-Attacken und DRDoS-Attacken […]
● Ausführen von Klickbetrug […]
● Botnetz-interne Angriffe
● Zugriff auf lokal gespeicherte Daten durch Einsatz von Sniffern und Password-Grabbern […]
● Einsatz als Ransomware […]
● Speichermedium für die Verbreitung illegaler Inhalte (z. B. Filesharing von
geschütztem Material)
● Nutzung der Rechenleistung (z. B. für Bitcoin-Mining)
[…]
Bot-Nets liefern eine hervorragende Infrastruktur für die herkömmliche Internetkriminalität. Dies begründet auch ihr rasantes Wachstum.“

Besonderes zukunftsträchtige Anwendungen von Botnetzen sind für mich die Überlastungsangriffe und Erpressungstrojaner. Wichtig ist, dass „Botnet-Entwickler ihren Code immer wieder ändern und neue Varianten erstellen„. So solls Bots geben, die den Menschen auf ihren Bildern virtuell Klamotten vom Leib reißen — damit ließen sich der Quelle zufolge „ungewollte Deepfake-Bilder erstellen“; gut möglich, dass demnächst derart Tiefe Fälschungen in Massen auftauchen.

Kein Wunder, dass Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik auf der „Jahrestagung Handelsblatt Cybersecurity 2024“ beklagt, die aktuelle Cybersicherheitslage in Deutschland sei „angespannt und geprägt von zunehmenden Bedrohungen durch Ransomware, DDoS-Attacken und eine wachsende Zahl von Sicherheitslücken“.

Die Vokabel deutet auf Fehler hin. Die Volksbanken Raiffeisenbanken können ein Lied davon singen, „welche Fehler Firmen häufig begehen“: „Unverschlüsselte E-Mails; Nachrichten mit sensiblen Kundendaten, die an den falschen Verteiler gesendet werden; keine ausreichende Anti-Virus-Software; einfache Authentifizierung und Fahrlässigkeit in Sachen Datenschutz: All das öffnet Cyberkriminellen aktuell Tür und Tor in den deutschen Mittelstand“

Mit Zahlen vom Bitkom beschreibt Plattner die Dynamik der Entwicklung: So seien Deutschen Unternehmen 2024 Schäden durch Cyberangriffe in Höhe 179 Milliarden Euro entstanden. „Dabei werden täglich etwa 309.000 Schadprogrammvarianten und 78 neue Schwachstellen identifiziert“. Zusätzlich zu den „alten“ Schädlingen und Lücken.

Bild: Freepik.com

Das ist wohl auch der Grund dafür, dass der eingangs erwähnte „Amateur-Hacker“ dem Bericht zufolge keine fortgeschrittenen Techniken benötigte, sondern „weit verbreitete Sicherheitslücken in einer Reihe von Geräten und Software“ ausnutzte, wie Assaf Morag, Aqua Natuilus’ Direktor für Bedrohungsintelligenz zitiert wird, „Die Kampagne zeigt, wie ein Mangel an grundlegenden Sicherheitskonfigurationen dazu führen kann, dass Geräte mit minimalen technischen Kenntnissen in großem Umfang ausgenutzt werden können.“

Hahnebüchen sind die Konsequenzen, die so ermöglicht werden — so schreibt netzpolitik.org von einem Überlastungsangriff auf die Deutsche Kreditbank (DKB): „Die Website der Bank ist zum Teil nicht erreichbar, damit auch das Online-Banking. Für die rund vier Millionen Kund:innen der Bank ist dies ein Ärgernis, für die DKB selbst eine Katastrophe.“ Damit soll der Täter „einen Millionenschaden verursacht haben. Insgesamt zwölf DDoS-Fälle in Deutschland bringt die Polizei mit ihm in Verbindung, sie ermittelt in fünf Bundesländern, auch das Bundeskriminalamt ist eingebunden.“

Für seine Taten soll er eine „multifunktionale Schadsoftware“ benutzt und dabei „mehrere Schulcomputer“ missbraucht haben. Der Verdächtige soll zum Zeitpunkt der Tat 16 Jahre alt gewesen sein. Warum macht ein Jugendlicher das? Dazu soll er sich laut netzpolitik.org so im Netz geäußert haben: „Falls jemand mit mir schreiben möchte: Ich bin einsam‘, steht in einem Tweet, den er ganz oben in seinem Account festgepinnt hat, dahinter ein tieftrauriges Emoticon und seine Kontaktdaten beim Messengerdienst Telegram.“ Was für eine Klatsche — nicht nur für die Eltern, sondern auch das Bildungswesen und die Gesellschaft insgesamt: Da werden den Halbstarken ohne jedes pädagogische Konzept Waffen in die Hand gegeben und dann sollen die sehen, wie sie damit klarkommen!?

Die Geschichte ist vier Jahre alt — und hätte eigentlich ein Weckruf für jede Institution sein müssen, sich vor Angriffen zu schützen. Eigentlich auch genug Zeit für die Bildungsplanerinnen, um Lehren daraus für die Curricula der (Hoch-)schulen zu ziehen, damit Halbstarke nicht mehr aus Einsamkeit Schäden in Millionenhöhe verursachen können, ohne sich wenigstens dessen bewusst zu sein!?

Noch scheint Luft nach oben zu sein: „Hacker“ sollen  Drittklässerinnen Pornos im Onlineunterricht zeigen und der TÜV-Verband beklagt, dass die Halbstarken „das Knacken von Online-Zugängen als Mutprobe ansehen“ würden. Zu allem Überfluss warnt Europol „vor Netzwerken der organisierten Kriminalität, die Minderjährige für Straftaten rekrutieren“

Statt für Sicherheit zu sorgen, wurde kürzlich in Berlin ein Schüler mit kriminellem Talent von der Schule geworfen  — wenige Monate vor dem Abitur. Jetzt werde er an „eine andere Schule desselben Bildungsgangs“ überwiesen.

Ob dabei berücksichtigt wurde, dass ein Schulwechsel „eine große Belastung“ ist oder dass das Verhängen von »Strafen« als „demotivierende Maßnahmen“ zu verstehen ist, ist nicht bekannt. Es könnte also sein, dass der Heranwachsende mit kriminellem Talent schlechte Laune hat, sich einsam fühlt und beim nächsten Angriff — auf das Berliner Bildungswesen und/oder die dortige Verwaltung?! — darauf achtet, dass er nicht erwischt wird!

Eine Absage an die Digitalisierung kann nicht die Lösung sein – Alfons Lösing, Chief Partner & Wholesale Officer, Mitglied des Vorstands, o2 Telefónica ist der Ansicht: „Eine umfassende Digitalisierung ist die Voraussetzung, um Deutschland und Europa im internationalen Wettbewerb auf Augenhöhe mit den USA oder China zu bringen.“ „Digitale Bildung ist für die Zukunft des Standorts Deutschland von entscheidender Bedeutung“, ergänzt André Berghegger, Hauptgeschäftsführer des Deutschen Städte- und Gemeindebundes.

Sollten diese Meinungen konsensfähig sein, müssen wir auf lückenlose Regelkonformität achten!
Dazu gehören regelkonforme Bildungsinstitutionen; in einem „LEITFADEN IT-COMPLIANCE IN SCHULEN“ stellt Markus Dinnes, Partner der FPS Rechtsanwaltsgesellschaft mbH & Co. KG  eine „KONKRETE VERANTWORTLICHKEIT DES SCHULLEITERS FÜR IT-COMPLIANCE“ fest:
„Verglichen mit den Leitungsstrukturen eines privatwirtschaftlichen Unternehmens kommt dem Schulleiter gleichsam die Stellung des Managers der Schule zu mit umfassenden Befugnissen und Pflichten hinsichtlich organisatorischer, administrativer und pädagogischer Angelegenheiten der Schule. Wie in einem Wirtschaftsunternehmen, in dem der Geschäftsleiter für die Einhaltung von IT-Compliance verantwortlich ist, trägt auch der Schulleiter die entsprechende Verantwortung für die an seiner Schule eingesetzte IT.“

In einer derart regelkonformen Institution können dann Digitalkompetenzen vermittelt werden — dazu fordert die gepedu GmbH („Gesellschaft für psychologische Eignungsdiagnostik und Unternehmensberatung“): „Digitale Kompetenz bedeutet Wissen: Wissen über die Funktionsweise von digitalen Services und Geräten sowie den ressourcenschonenden Umgang damit. Wissen über die aktuellen Gesetzgebungen zum Urheberrecht und Datenschutz. Wissen über die Gefahren, die durch die Vernetzung der digitalen Geräte entstehen können usw.“
Zu dem „und so weiter“ gehört auch der Hinweis von INTERPOL, dass Internetkriminalität „mit der gleichen Ernsthaftigkeit betrachtet werden sollte wie jede andere Art von Verbrechen“.

Bild: Freepik.com

Die Zukunft unseres Landes setzt also Digitalisierung, cyberresiliente Bildungsinstitutionen und umfassende Kompetenzen zu den Risiken und Rechtsfolgen der Digitalisierung voraus. Erst wenn das alles gegeben ist, halte ich es für angemessen, Schülerinnen von der Schule zu verweisen, die die Informationstechnik missbraucht haben.
Diese Woche wollen Bund und Länder den Entwurf eines „Eckpunktepapiers“ zum neuen „Digitalpakt 2.0“ vorstellen.

Ich bin gespannt, in wieweit der auf regelkonforme Bildungsinstitutionen und umfassende Digitalkompetenzen eingeht.

Compliance 4.0 berichtet einmal wöchentlich über Digitalisierung, ihre Risiken und Rechtsfolgen auf dem Weg in die regelkonforme Vollautomatisierung der Welt.