Dietmar Schnabel ist Regional Director Central Europe beim IT-Sicherheitsunternehmen Check Point Software Technologies.
Check Point
Vor kurzem veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen neuen Lagebericht zur IT-Sicherheit in Deutschland und stellt einen Rückgang der aktiven Schadprogramme fest. Wurden 2016 noch jeden Tag etwa 350.000 Schadprogrammvarianten gesichtet, waren es im ersten Halbjahr 2017 im Schnitt "nur" noch 280.000. Es werden zudem weniger Spam-Mails verzeichnet.
Der Rückgang sollte aber nicht falsch verstanden werden und ist vor allem ein Anzeichen, dass Cyberkriminelle sich neue Angriffsmethoden ausdenken. Neue Technologie versprechen bessere Aussichten auf eine Infektion der Opfer, daher ist das Absinken der Menge an bekannten Schädlingen keine Überraschung. Eine Malware-Analyse stellte im Oktober 2017 die Gefahr durch sogenannten Kryptominer fest und nur einen Monat später befand sich mit Coin Hive direkt ein solcher Schädling unter den zehn größten Bedrohungen weltweit.
Digitale Währungen werden mit gestohlener Rechenleistung generiert
Kryptominer sind eine neue Art von Schadsoftware, welche die Rechenleistung von befallenen Endgeräten missbraucht, um digitale Währungen zu generieren. Coin Hive stellt dabei Einheiten der Monero-Onlinewährung für die Angreifer her und verlangsamt befallene Systeme und Netzwerke. Bis zu 65 Prozent der CPU-Ressourcen werden ohne das Einverständnis der Opfer für die Zwecke der Kriminellen benutzt.
Die Attacke startet, nachdem der Nutzer beispielsweise eine verseuchte Website besucht hat. Der Link zu diesen kann über Spam-E-Mails, Social Engineering oder Man-in-the-Middle-Attacken an die Opfer herangetragen werden. Durch Öffnen des scheinbar harmlosen Links wird dann ein verstecktes Java-Script aktiviert und die CPU-Leistung umgeleitet. Sie fällt in die Hände der Kriminellen. An sich ist dies noch nichts Neues, allerdings wurde die Leistung bisher für andere kriminelle Zwecke wie dem Botnet oder DDoS-Angriffen eingesetzt.
Mining ist sehr Rechenintensiv
Jetzt werden die Prozessleistungen für die Schaffung von digitalen Währungen eingesetzt. Im Kern der meisten Kryptowährungen wie Bitcoin, Ethereum oder eben Monero steht das "Schürfen", also das Erstellen neuer Einheiten durch die Lösung von mathematischen Aufgaben, auf Basis von Verschlüsselungsalgorithmen. Dieser Vorgang ist sehr rechenintensiv, da die Schürfer oder Miner im Wettstreit zueinander stehen. Eine neue Einheit kann nur einem Miner angerechnet werden, daher sind die verfügbaren Ressourcen entscheidend für den Erfolg. Aus diesem Grund ist der Diebstahl von CPU-Leistungen ein lukratives Geschäft für Cyberkriminelle. Kryptominer haben sich in kurzer Zeit zu einer großen Bedrohung für Unternehmen entwickelt.
In Folge eines Angriffs verlangsamen sich Systeme und Netzwerke deutlich. Zudem entsteht neben dem Schaden und eingeschränkter Betriebsfähigkeit auch direkte Kosten durch den erhöhten Stromverbrauch.
CPU-Leistung statt Werbung als neues Geschäftsmodell
Dabei muss das Kapern von Rechenleistung nicht zwingend vollkommen heimlich ablaufen. Einige Miner experimentieren mit einem neuen Geschäftsmodell und erläutern Webseiten-Besuchern, dass er anstatt angezeigten Werbeanzeigen einen Teil seiner Rechenleistung freigeben könne. Die Vorgehensweise ist dann ähnlich, nur dass laut den Anzeigen maximal 15 oder 20 Prozent der CPU-Kapazität abgezweigt werden.
Untersuchungen zeigen aber, dass diese Angaben nicht eingehalten werden. Trotz der Hinweise wurde wesentlich mehr Leistung umgeleitet. Selbst wenn eine genaue Einhaltung möglich wäre, ist ein solches Modell riskant, da man dem Betreiber der Homepage Zugang zu wichtigen Systemteilen gewährt.
Fazit: Kryptominer stehen erst am Anfang ihrer Karriere und Cyberkriminelle werden in Zukunft stärker auf deren Fähigkeiten zurückgreifen. Speziell organisierte Banden mit IT-Affinität können große Vorteile aus den neuen Schädlingen ziehen. Daher sollten sich IT-Verantwortliche mit der neuen Bedrohung vertraut machen.
Trotzdem ist die Gefahr beherrschbar und man sollte dem Ratschlag des BSI nach mehrschichtigen Sicherheitsmechanismen folgen. So heißt es wörtlich im Lagebericht: "Für den bestmöglichen Schutz der Netze und IT-Systeme hat das BSI ein mehrstufiges Sicherheitssystem etabliert. Es besteht neben kommerziellen Schutzprodukten auch aus individuell angepassten und entwickelten Maßnahmen. Sie werden kontinuierlich überprüft, weiterentwickelt und an die dynamische Bedrohungslage angepasst."
Organisationen sollten daher externe Sicherheitsexperten heranholen, um den individuellen Bedarf abzustimmen und die eigenen Assets gleich durch mehrere Schutzmechanismen abzusichern, dann sind sie auch gegen neue Bedrohungen wie Coin Hive gewappnet.