0day und Hacking - Warum Cyberkrieg immer mehr zunimmt

Besondere Aufmerksamkeit haben Cyberangriffe vor kurzem wieder im Ukraine-Konflikt gewonnen, bei denen vermutlich von Russland versucht wurde Energie- und Infrastruktur in der Ukraine lahmzulegen. Dabei umfasst Cyberkrieg grundsätzlich alles, was digital möglich ist, also Ransomware (Verschlüsselung von fremden Daten), Malware (Schadsoftware, die direkt Systeme deaktiviert), Spyware (ausspionieren von Aktivitäten), Phishing (das Opfer zur Eingabe seines Passworts bringen) und auch direkte Passwort Attacken (Brute Force und ähnliches). Jedes Mittel wird genutzt, um in fremde Systeme zu kommen und dort entweder direkt Schaden anzurichten oder Informationen abzuziehen. Das Bundeskriminalamt erfasste im Privaten Umfeld 2018 etwa 87.000 Fälle von Cyberverbrechen während es 2020 bereits ca. 108.000 gemeldete Fälle waren. Auch in der Wirtschaft sieht Bitkom in einer Umfrage eine Starke Zunahme von Cyberangriffen mit einer geschätzten Schadenssumme von 55 Mrd. Euro in 2017 und bereits 223 Mrd. Euro Schaden in 2021. Sowohl bei privaten Fällen als auch bei Unternehmen ist die Dunkelziffer laut Bitkom und BKA vermutlich wesentlich höher. Doch woher kommt dieser dramatische Anstieg an Cyberangriffen?

Während im Zeitalter vor dem Internet zur Spionage von Daten oft einfach Leitungen angezapft wurden, ist dies heutzutage durch End-to-End Verschlüsselung nicht mehr so einfach möglich. Man kann zwar Daten mitschneiden, allerdings macht es die Verschlüsselung so gut wie unmöglich diese zu entziffern und zu verwerten. Daher wurden andere Wege gesucht und gefunden, um trotzdem an Daten Dritter zu kommen. Die Lösung ist es Fehler in Software auszunutzen, die von Entwickler:innen beim Coden gemacht wurden, sogenannte Bugs. Allerdings lief die Entwicklung solche Fehler zu melden vor etwa 20 Jahren nicht wie man es sich wünschen würde. Anstatt froh zu sein über gemeldete Fehler haben große Firmen wie Intel, Adobe und co. gegen Personen geklagt, die lediglich Software Bugs melden wollten, um Sicherheitsprobleme zu vermeiden. Somit wurden diese Bugs lieber in Foren gepostet, anstatt an die betroffenen Firmen. Dies ist leider heutzutage immer noch der Fall, wie der Fall der CDU App aus dem Jahr 2021 gezeigt hat, bei der Daten von über 20.000 Personen, die in der Wahlkampfapp der CDU erfasst waren öffentlich zugänglich waren. Anstatt die Sicherheitslücke zu beheben hat die CDU beim Landeskriminalamt Strafanzeige gegen die Aktivistin, die den Fehler gemeldet hat, eingereicht.

Erst später kamen Bug Bounty Firmen auf, die als Zwischenhändler Sicherheitslücken gekauft haben, um diese an die Firmen weiterzuverkaufen. Als jedoch Geheimdienste und ähnliche Firmen darauf aufmerksam wurden haben diese weitaus höhere Summen gezahlt, um an ungemeldete Sicherheitslücken zu kommen. Somit lief das Win-Win Geschäftsmodell von z.B. iDefense aus dem Ruder und immer mehr Sicherheitslücken landeten bei Parteien, die damit Schaden anrichten wollten. Neue Broker Plattformen für Sicherheitslücken kamen auf den Markt, wie die Plattform zerodium, bei der Auszahlungen von bis zu 2.5 Millionen USD für Fehler in bekannter Software gezahlt werden. Auch Firmen können hier zusätzliche Cash Rewards einstellen, um die Suche nach Lücken in gewünschter Software im Markt zu erhöhen. Aktuell werden bis zu 300.000 USD für Sicherheitslücken in WordPress geboten. Auch große Tech Firmen wie Apple, Google und Co. haben inzwischen nachgezogen und selbst ein Bug Bounty Programm ins Leben gerufen. Dabei zahlt Apple zwischen $25.000 und $1.000.000 für direkt dorthin gemeldete Software Fehler und spenden die gleiche Summe nochmals an wohltätige Organisationen.

Allerdings ist nicht jede Sicherheitslücke gleich. Je nachdem was mit dem gefundenen Software Fehler alles gemacht werden kann sind die Preise für Bug Bounties extrem unterschiedlich. In Apple's Fall zum Beispiel ist Zugriff auf einen Teil eines iCloud Accounts mit $25.000 angegeben, während Zugriff auf den gesamten iCloud Account $100.000 Wert ist. Auch die Interaktion des Opfers spielt eine Rolle. Muss das Opfer nichts klicken und bekommt auch nichts vom Cyber-Angriff mit spricht man von einem "Zero Click" Angriff. Anders als bei einem "One Click" Angriff, bei dem der Nutzer zum Beispiel einen Link klicken muss oder eine Datei öffnen muss.

Was sind jetzt aber 0days - Zero days? Darunter versteht man Sicherheitslücken, die noch nirgendwo gemeldet sind und dem Softwarehersteller nicht bekannt sind. Sie heissen deswegen Zero Days - also Null Tage alt - da diese direkt nach Bekanntwerden behoben werden und man sie deswegen (fast) nur einmalig benutzen kann. Oft haben 0days auch eine hohe Zugriffsstufe und sind sehr kritisch. Man kann mit ihnen viel Schaden anrichten.

Der Anstieg an Cyberangriffen kommt aber nicht nur von mehr gefundenen bzw. gehandelten Zero Days oder schlechter geschriebenem Code, sondern auch von anderen Faktoren wie mehr Home Office, mehr Geräte im Netz und gleichzeitig auch weniger Sicherheitsbewusstsein. Vor allem Unternehmen sahen Cybersicherheit bisher nicht als Feld für Investitionen und hinken deswegen hinterher. Wenn Unternehmen in finanzielle Schwierigkeiten geraten, wird als erstes an IT Sicherheit gespart. Mitarbeiter:innen bekommen zu selten Schulungen und Infrastruktur bleibt oft veraltet und wird nicht geupdated, was die Langlebigkeit von Sicherheitslücken erhöht. Der Social Engineering Faktor nimmt laut dem BSI weiter zu, denn neben Verschlüsselung und Firewalls bleiben Menschen das schwächste Glied in der Kette und kann durch fehlendes IT Wissen leicht als Einstiegspunkt für Cyberverbrechen genutzt werden. Es lohnt sich also zunehmend in Mitarbeiter:innen zu investieren und mehr Schulungen bzw. Weiterbildungen im IT Bereich zu fördern und anzubieten.