IT-Security-Spezialisten haben eine neue Sicherheitslücke entdeckt, durch deren Beseitigung mehrere tausend Websites lahm gelegt werden könnten.
Nach Heartbleed und Freak bedroht nun ein neuer SSL-Bug die IT-Sicherheit. Die auf den Namen LogJam getaufte Sicherheitslücke besteht laut dem Wall Street Journal innerhalb der SSL/TLS-Verschlüsselungs-Methode. Damit wären sämtliche populären Web-Browser und damit auch die Nutzer von Internet Explorer, Chrome, Firefox und Safari gleichermaßen betroffen. Auch einige Mail-Server die von der TLS-Verschlüsselung Gebrauch machen, sollen betroffen sein.
Die neu entdeckte Sicherheitslücke LogJam lauert in sämtlichen populären Web-Browsern. Ihre Beseitigung könnte rund 20.000 Websites lahm legen. Foto: Pavel Ignatov_shutterstock.com
Mehrere tausend Websites bald offline?
Cyberkriminelle oder andere Angreifer, die das Security-Leck ausnutzen, könnten durch LogJam Zugriff auf verschlüsselte Verbindungen und deren Inhalte erlangen. Besondere Brisanz erlangt der LogJam-Security-Bug dadurch, dass seine Beseitigung offenbar zur Folge haben könnte, dass rund 20.000 Websites nicht mehr erreichbar sind.
Richard Barnes, mit der Beseitigung von LogJam beauftragter Security-Experte bei Firefox-Anbieter Mozilla äußerte sich gegenüber dem Wall Street Journal zur Komplexität dieser Aufgabe: "Die Frage ist: Wie bekommen wir eine Lösung hin, die so viel Sicherheit wie möglich bringt, ohne viel Störung im Netz zu bewirken?"
Security Trends 2015
1. Exploit-Bekämpfung reduziert die Einfallstore für Kriminelle. Cyberkriminelle hatten in den vergangenen Jahren mehr oder weniger leichtes Spiel mit Microsoft Windows. Glücklicherweise hat der Konzern Exploits in letzter Zeit gezielt bekämpft, so dass Attacken immer schwieriger werden. Allerdings gibt es eine Kehrseite der Medaille, da viele Malwareentwickler sich nun wieder den Social-Engineering-Techniken zuwenden oder auf Nicht-Microsoft-Plattformen abzielen.
2. Internet-of-Things-Attacken haben sich von Machbarkeitsstudien zu Mainstream-Risiken entwickelt. 2014 mussten wir immer häufiger feststellen, dass Hersteller von Internet-of-Things-Geräten es oftmals verschlafen haben, grundlegende Sicherheitsstandards zu implementieren. Entsprechend sind Attacken auf diese Geräte absehbar und werden zudem umfassende Folgen haben. Die IT-Sicherheitsindustrie muss sich weiterentwickeln, um für dieses neue Thema Antworten zu finden.
3. Verschlüsselung ist mittlerweile Standard, aber darüber sind nicht alle glücklich. Dank häufig auftauchender Schlagzeilen in Sachen Spionagesoftware und Datenbankeinbrüchen hat sich die Verschlüsselung aller Daten schon fast zum Standard entwickelt. Das geht allerdings gerade großen Organisationen wie Strafverfolgungsbehörden oder Geheimdiensten gegen den Strich, da sie befürchten, dass diese „Heimlichtuerei“ die allgemeine Sicherheit gefährdet.
4. Sicherheitsrelevante Programmierfehler in weit verbreiteter Software blieben jahrelang unter dem Radar. „Heartbleed“ und „Shellshock” machen deutlich, dass weit mehr unsichere Code-Zeilen im Umlauf sind, als gedacht und sie werden seit vielen Jahren unbemerkt von einer großen Anzahl Computersystemen genutzt,. Entsprechend hat sich auch das Augenmerk der Hacker auf diese eher unauffälligen Programme gerichtet und 2015 sind vermehrt Attacken in diesem Bereich zu erwarten.
5. Gesetzliche Neuregelungen bringen mehr Verantwortung bei der Offenlegung von Daten und Haftung mit sich – vor allem in Europa. Die Mühlen der Gesetze mahlen im Vergleich zur Technologieentwicklung sehr langsam, aber dennoch treten 2015 einige gesetzliche Neuerungen in Kraft, die lange auf sich warten ließen. Es ist wahrscheinlich, dass diese Änderungen auch in anderen Bereichen mit einer progressiveren Datenschutzregulierung einhergehen.
6. Kriminelle schießen sich auf mobile Zahlungssysteme ein, halten aber gleichzeitig noch eine Weile an traditionellen Finanzbetrügereien fest. Nach der Ankündigung von Apple Pay waren mobile Zahlungssysteme eines der Topthemen der vergangenen Monate. Wie immer, wenn neue Systeme an den Start gehen, werden die Cyberkriminellen nach Lücken Ausschau halten. Da das aber aufgrund einiger sehr positiver Absicherungen nicht ganz einfach sein wird, dürfen wir davon ausgehen, dass die klassischen Onlinegaunereien mit Kreditkarten noch eine Weile weitergehen. Sie sind das bei weitem einfacherer für Betrug zu nutzen.
7. Die Lücke zwischen Sicherheitsaufgaben und geschultem Personal klafft immer weiter auseinander. Im gleichen Rahmen, wie Technologie immer mehr in unser tägliches Leben Einzug hält und einer der Stützpfeiler für die globale Wirtschaft wird, kommt das fehlende Know-how in Sachen Cybersicherheit zum Vorschein. Diese bedenkliche Entwicklung wird sowohl von Regierungen, als auch der Industrie konstatiert. Das Besetzen der nötigen Stellen kann Jahre dauern und ist somit ein echter Sicherheitsfaktor.
8. Breite “Serviceoffensive” für Attacken und Exploit-Kits, um mobile Plattformen anzugreifen. In den letzten Jahren hat sich ein neuer Trend bei den Cyberkriminellen durchgesetzt: das zur Verfügung stellen von Malwarepaketen, die keinerlei technisches Wissen voraussetzen und per Klick aktiviert werden können. Der rasante Anstieg bei mobilen Plattformen und der damit verbundene Austausch sensitiver Daten werden dazu führen, dass wir 2015 viele dieser Kits für Smartphone-Angriffe sehen werden. Gleiches gilt für Plattformen, die sich mit dem Internet of Things beschäftigen.
9. Die Lücke zwischen ICS/SCADA und Sicherheit in der realen Welt wächst weiter. Systeme wie Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) hinken in Sachen Sicherheit üblicherweise zehn oder mehr Jahre hinter dem Mainstream her. Wir gehen davon aus, dass innerhalb der nächsten Jahre einige besorgniserregende Lücken aufgedeckt werden, die von Hackern auf breiter Front ausgenutzt werden.
10. Flexiblere Rootkit- und Bot-Fähigkeiten eröffnen neue Angriffsvektoren. Die Technologiesparte befindet sich zurzeit in einem grundlegenden Veränderungsprozess, in dessen Rahmen nun Plattformen und Protokolle abgeändert werden, die jahrelang als Standard dienten. Allein die Menge solcher Veränderungen der althergebrachten Technologiestandards wird viele alte Wunden aufreißen und neue Sicherheitslücken schaffen.
NSA könnte VPN-Verbindungen ausspioniert haben
Der LogJam-Bug ist offenbar ein Abkömmling der Freak-Sicherheitslücke. Ob das Security-Leck bereits von Cyberkriminellen ausgenutzt wurde, ist laut dem Wall Street Journal nicht bekannt. Die Sicherheits-Experten die LogJam entdeckt haben, gehen allerdings offenbar davon aus, dass die Lücke von Geheimdiensten zu Überwachungszwecken ausgenutzt worden sein könnte. Ganz konkret äußerten die Experten den Verdacht, die National Security Agency (NSA) könnte LogJam benutzt haben, um VPN-Verbindungen auszuspionieren. Kommentiert wurde dieser Verdacht seitens der NSA nicht.
Browser-Anbieter vs. LogJam-Bug
Unterdessen haben die Browser-Anbieter trotz der Risiken für zahlreiche Websites damit begonnen, die Sicherheitslücke zu stopfen. Microsoft hat seinen Internet Explorer bereits in der vergangenen Woche "fit" gemacht - Mozilla will in den nächsten Tagen einen LogJam-Fix ausrollen. Google hat ebenfalls bereits einen Fix in Arbeit. Dieser soll Chrome-Usern binnen der nächsten Wochen zur Verfügung stehen.
Welche Unternehmen halfen dem Geheimdienst?
Neue Enthüllungen Amerikanische und britische Geheimdienste haben weitläufigen Zugriff auf die Daten von Internetnutzern, das legen die Enthüllungen des Informanten Edward Snowden nahe. Die Firmen bestreiten, den Behörden "direkten Zugang" zu ihren Servern zu gewähren - man rücke nur Daten heraus, wenn dies gesetzlich vorgeschrieben sei.
Neue Enthüllungen Allerdings dürfte auch dafür einiges Entgegenkommen notwendig sein: So half der Windows-Riese Microsoft angeblich dem Abhördienst NSA, die Verschlüsselung von Nutzerdaten zu umgehen.
Wie half Microsoft? Einem Bericht des "Guardian" zufolge arbeitete Microsoft eng mit dem US-Geheimdienst NSA und der US-Bundespolizei FBI zusammen. So soll das Unternehmen geholfen haben, die Verschlüsselung im Microsoft-Chat zu umgehen. Der US-Geheimdienst habe die Möglichkeit zum Zugriff auf eigentlich verschlüsselte E-Mails bekommen, ebenso wie zu Daten beim Online-Speicherdienst Skydrive.
Wie half Microsoft? Die US-Geheimdienste bekamen demnach zudem die Möglichkeit, über Skype geführte Videotelefonate mitzuschneiden – und sollen davon auch regen Gebrauch gemacht haben. Skype sei dem Überwachungsprogramm Prism bereits im Februar 2011 beigetreten, noch bevor Microsoft die Firma übernahm. Mit Prism sammelt die NSA früheren Medienberichten zufolge Daten von Internetfirmen wie Google, Microsoft, Yahoo oder Apple.
Sind deutsche Nutzer betroffen? Davon ist auszugehen, denn auch viele Nutzer in Deutschland sind bei Facebook angemeldet, verschicken ihre E-Mails über Microsofts Hotmail oder besitzen Apple-Geräte.
Sind deutsche Nutzer betroffen? Der "Spiegel" berichtete, dass monatlich eine halbe Milliarde Kommunikationsverbindungen aus Deutschland abgefangen werden. Da die Internetkommunikation global abläuft, kann eine Mail von Berlin nach München über Computer in den USA laufen und so von den US-Geheimdiensten abgegriffen werden.
Hatten die Schnüffler direkten Zugriff? Ob die Geheimdienste direkten Zugriff auf Nutzerdaten hatten, ist strittig. Edward Snowden sagt ja. "Firmen wie Google, Facebook, Apple, Microsoft, sie alle tun sich mit der NSA zusammen", sagte er dem "Guardian" in einem Videointerview Anfang Juni. "Sie geben der NSA direkten Zugang, den sie nicht beaufsichtigen müssen, damit sie dafür nicht haftbar gemacht werden können."
Hatten die Schnüffler direkten Zugriff? Die Firmen dagegen bestreiten vehement, den Geheimdiensten eine Hintertür in ihre Computersysteme gebaut zu haben. Daten würden nur aufgrund richterlicher Anordnungen und nicht massenhaft herausgegeben, betonten die Unternehmen wiederholt. "Wir kommen nur solchen Anordnungen nach, die sich auf spezielle Konten oder Identifikationsmerkmale beziehen", erklärte Microsoft. Einen unbeschränkten oder direkten Zugriff gebe es nicht.
Wie offen können die Firmen sein? Die Online-Firmen unterliegen strengen Geheimhaltungsregeln. Erst nachdem sie die Politik dazu drängten, durften sie überhaupt zugeben, dass sie Anordnungen zur Datenweitergabe an Geheimdienste von dem zuständigen, geheim tagenden US-Gericht erhalten hatten. So betonte Microsoft jetzt, es gebe "Aspekte der Debatte, die wir gerne freier diskutieren würden". US-Gesetze verpflichten die Firmen zur Zusammenarbeit - und Verschwiegenheit.
Wie kann man sich schützen? Bundesinnenminister Hans-Peter Friedrich (CSU) empfahl Nutzern bereits, US-Dienste zu meiden. Computerexperten raten dazu, die eigene Kommunikation zu verschlüsseln und für das Speichern von Daten Dienste mit Sitz außerhalb der USA zu nutzen. Denn die Einschränkungen für US-Geheimdienste gelten vor allem für die Überwachung eigener Staatsbürger und nicht für Deutsche.
Wie kann man sich schützen? "Ich fürchte, das ist ein relativ schwacher Schutz, denn die US-Gesetzgebung erlaubt den Zugriff auf Kommunikationsdaten von Ausländern in sehr breitem Umfang", sagte der Bundesdatenschutzbeauftragte Peter Schaar dem Bayerischen Rundfunk.