Millionen Geräte wurden zur Waffe – gegen die Deutsche Bahn, gegen Unternehmen, gegen Behörden. Ihre Besitzer haben bis heute nichts davon gewusst.
Patrick Lenz
Inhaber von top.media, Innovationstreiber & Wissensvermittler
Vielleicht hast Du auch die folgenden Meldungen mitbekommen (und vielleicht warst Du sogar davon betroffen):
Das BKA hat gemeinsam mit Behörden aus den USA und Kanada zwei der weltgrößten Hacker-Netzwerke abgeschaltet. „Aisuru“ und „Kimwolf“ — zusammen gab es mehrere Millionen infizierte Geräte, die für massive Angriffe auf Webseiten und digitale Dienste genutzt wurden.
Zuletzt hatte es die Deutsche Bahn erwischt, deren Website und App tagelang unter Beschuss standen. Die Infrastruktur der Hacker ist jetzt zerschlagen, zwei mutmaßliche Betreiber identifiziert, Kryptowährungen sichergestellt.
Das sind gute Nachrichten. Was aber kaum einer beachtet und gelesen hat:
Die Geräte, die für diese Angriffe genutzt wurden, waren keine Hacker-Server in irgendwelchen Kellern. Es waren Router, Webcams, Android-TV-Boxen.
Geräte in Wohnungen und Büros von normalen Menschen. Die Besitzer haben bis heute nichts davon gewusst.
Das finde ich die eigentlich spannendere Geschichte: Millionen Menschen waren Teil des Ganzen ohne es zu wissen.
Ihre Geräte wurden zur Waffe. Gegen die Deutsche Bahn. Gegen Unternehmen. Gegen Behörden.
Selbst alles, was Du nie als IT betrachtet hast, aber trotzdem in Deinem Netzwerk hängt, ist eine riesige Sicherheitslücke in Deinem Unternehmen...
Unsere heutigen Themen
Staubsaugerroboter haben Kameras und Mikrofone. Smarte Thermostate telefonieren regelmäßig in die Cloud. Drucker schicken Verbrauchsdaten an den Hersteller. Kaffeemaschinen bekommen Firmware-Updates.
Das alles passiert still. Im Hintergrund. Du siehst es nicht. Jedes dieser Geräte hat eine Software, die ausgeführt wird. Und überall wo Software läuft, kann jemand eingreifen.
DAS KLASSISCHE SZENARIO
Ein Hersteller wird kompromittiert. Auf einen Schlag bekommen alle seine Geräte weltweit ein verseuchtes Firmware-Update. Ab diesem Moment läuft auf dem Gerät Code, den Du nicht kennst, nicht siehst und nicht kontrollierst.
Der Angreifer interessiert sich zwar nicht für Deine Kaffeepräferenzen oder dafür wie sauber Dein zu Hause ist... Aber er interessiert sich dafür, was das Gerät von innen sehen kann:
Welche anderen Geräte im selben Netzwerk erreichbar sind. Ob da irgendwo Dateien liegen, E-Mails laufen oder Zugangsdaten gespeichert sind.
Das Gerät selbst braucht dafür nur Zugang zu Deinem Netzwerk. Und den hat es. Weil es vermutlich im gleichen WLAN hängt wie alles andere auch...
Stell Dir vor, Du steckst alles in denselben Mehrfachstecker... Den Drucker, den Laptop, die Kaffeemaschine, den Beamer. Beim Stromnetz merkst Du irgendwann, dass etwas nicht stimmt — es riecht nach Plastik, die Sicherung fliegt raus.
Im Netzwerk riecht es nach nichts. Dort merkst Du es erst, wenn die Kundendaten weg sind — oder ein Erpressungsbrief im Postfach landet: „Deine Daten sind verschlüsselt, Zahlung bis Freitag.“
In den meisten Fällen (und genau das ist bei Aisuru und Kimwolf passiert) merkst Du es aber gar nicht. Millionen Geräte wurden monatelang für Angriffe auf Unternehmen und Behörden genutzt.
Das BSI informiert Betroffene über ihre Internet-Provider. Doch wer diese Nachricht übersehen hat, weiß bis heute nicht, ob sein Gerät dabei war.
FALLBEISPIEL 2016
Ich bin bei meiner Recherche auf einen Fall von 2016 gestoßen: Das BKA hat damals das Botnetz „Avalanche“ zerschlagen. Die Betroffenen wurden damals auch persönlich von ihren Providern angeschrieben. Aber fast ein Jahr später waren immer noch 39% der Geräte infiziert. Die Leute wurden zwar benachrichtigt, aber haben trotzdem nichts getan.
Wenn Du wissen willst, ob Dein Gerät betroffen war: Das BSI hat unter bsi.bund.de eigene Seiten für Aisuru und Kimwolf veröffentlicht — inklusive Anleitungen zur Bereinigung.
Bei Aisuru reicht oft ein Neustart. Bei Kimwolf braucht es einen kompletten Werksreset.
Doch bist Du jetzt sensibilisiert und kannst Dich schützen, wenn es noch einmal passiert? Sobald ein „normales“ Gerät im generellen Netzwerk hängt, ist es kein reines Haushaltsgerät mehr. Es ist ein Zugangspunkt.
Die meisten dieser Zugangspunkte befinden sich zuhause... Früher war die Logik einfach: Firewall im Büro, alles dahinter sicher. Das hat funktioniert — solange alle im Büro saßen.
Dann kam das flexible Arbeiten. Und damit ein Problem, das die meisten bis heute nicht gelöst haben.
Im Homeoffice sitzt der Firmenlaptop im gleichen WLAN wie die smarte Waage, die smarte Zahnbürste, die Waschmaschine, der Backofen. Alles hängt im gleichen Netz. Alles kann uneingeschränkt miteinander kommunizieren.
Du schickst Deinen Mitarbeiter mit dem Firmenlaptop nach Hause — mit Zugriff auf Kundendaten und internen Dokumenten.
Und dieser Laptop hängt im selben Netzwerk wie zehn Geräte, deren Sicherheitsstand Du nicht kennst und nicht kontrollieren kannst.
Die naheliegende Reaktion: Dann richten wir für jeden Mitarbeiter zu Hause ein separates IoT-Netzwerk ein.
Das wird jedoch keiner machen und keiner bezahlen. Ich sage das ehrlich, auch wenn ich ein ITler bin.
Meine Schätzung aus dem Alltag mit Kunden: Fast kein Mittelständler hat eine echte Trennung zwischen seinen Firmengeräten und den privaten Smart Devices seiner Mitarbeiter. Und die wenigsten wissen überhaupt, welche und wie viele Smart-Geräte ihre Mitarbeiter zu Hause nutzen.
Der Firmenlaptop im Homeoffice hängt im selben Netz wie alles andere — und es wurde wahrscheinlich nicht bewusst so entschieden... Es ist einfach so gewachsen.
Wie man das ändert, ohne das komplette Heimnetzwerk jedes Mitarbeiters umzubauen, das schauen wir uns jetzt:
Das Heimnetzwerk jedes Mitarbeiters umzubauen ist keine realistische Option. Was funktioniert: den Firmenlaptop selbst zur Festung machen. Das bedeutet konkret drei Dinge:
ERSTENS
Nur bekannte Geräte kommen rein
Wenn sich ein Mitarbeiter mit seinem Privatgerät auf Microsoft 365 anmeldet (richtige E-Mail, richtiges Passwort, richtiger MFA-Code) kommt er trotzdem nicht rein. Weil das Gerät nicht in unserem Management ist.
Das nennt sich Conditional Access und es ist in den meisten Microsoft 365 Business-Paketen bereits enthalten, wird aber von den wenigsten aktiv eingerichtet und genutzt.
ZWEITENS
Der Firmenlaptop wird überwacht, nicht nur geschützt
Kein reiner Virenschutz. Sondern ein System, das rund um die Uhr mitliest, was auf dem Gerät passiert — und sofort Alarm schlägt, wenn irgendetwas nicht stimmt.
Ungewöhnlicher Datenabfluss. Verbindung zu einem unbekannten Server. Zugriff auf Dateien, die niemand anfassen sollte.
Damit würden wir zumindest mitkriegen, wenn die Kaffeemaschine auf den Laptop losgeht.
DRITTENS
Im Büro kommt die Netzwerktrennung
Alles, was kein Standard-Bürogerät ist — Kaffeemaschine, Thermostat, Staubsaugerroboter — raus aus dem Firmennetz, rein in ein eigenes WLAN. Die Geräte kommen trotzdem ins Internet. Aber sie können nicht mehr mit Deinem Dateiserver reden.
Manchmal reicht dafür schon ein klassischer Router. Das ist keine Raketenwissenschaft — es muss nur jemand die Entscheidung treffen, es zu tun.
Sicher, günstig oder flexibel — zwei davon gehen. Alle drei nicht. Wer das nie aktiv entschieden hat, hat es trotzdem entschieden — nur unbewusst.
Aber ein Hinweis:
Wer diesen Beitrag hier liest, ist mindestens eine Woche zu spät dran. Denn der Shortcut erscheint jeden Donnerstag um 10 Uhr per E-Mail in Dein Postfach.
Hier auf der Website wird er erst eine Woche zeitversetzt veröffentlicht.
Wenn Du in Zukunft zu den Ersten gehören willst und immer die aktuellsten News erfahren willst, trag dich unten ein:
Das war der Shortcut für diese Woche!
Wenn Du wissen willst, wo Du gerade stehst — ob Deine Geräte getrennt sind, ob Deine Firmenlaptops wirklich vernagelt sind — dann lass uns das gemeinsam anschauen.
Auch das ist eine Entscheidung. Antworte dafür einfach auf diese E-Mail oder buche Dir direkt einen Termin bei mir.
Bis nächsten Donnerstag,
Patrick & das top.media Team