Je stärker sich das Internet in sämtlichen Aspekten des Alltags etabliert, desto mehr Angriffspunkte für kriminelle Machenschaften bieten sich. Ziel sind sowohl die Anbieter von Online-Inhalten und IT-Infrastrukturen als auch die Endverbraucher. Gerade im Zuge der Debatte um die Sicherheitslücken im Meltdown- oder Spectre-Angriffsszenario zeigt sich, wie wichtig und weitreichend die Frage der Sicherheit im Internet geworden ist.
Erst kürzlich veröffentlichte 1&1 die Ergebnisse einer Umfrage zur aktuellen Lage der Internet-Security, zehn Experten der IT-Welt äußerten sich dabei zu heutigen und möglichen zukünftigen Gefahren im Netz. Dieser Artikel bietet euch eine Übersicht zu den darin aufgeführten Security-Trends im neuen Jahr.
Das Schwert: Botnet-Angriffe auf CMS und IoT
Internet- und IT-Teams sind sich einig, dass DDoS-Angriffe von einem Botnet wie Mirai auch weiterhin zu den größten Gefahren im Cyberspace gehören. „Für Angreifer stellt das eine günstige Methode dar, Infrastrukturen im Netz zu attackieren“, erklärt Sascha Mizera, Head of Information Security bei 1&1. Große Unternehmen könnten sich in der Regel IT-Experten leisten, die das System zeitnah wieder hochfahren, sodass die von professionellen Verbrechern geforderte Lösegeldzahlung schnell vom Tisch sei.
Doch eine stundenlange Verlangsamung oder sogar Offline-Schaltung könne Onlineshops oder monetisierten Blogs nachhaltigen wirtschaftlichen Schaden zufügen. „Derartige DDoS-Angriffe abzuwehren bzw. sich dagegen zu schützen, ist nach wie vor alles andere als einfach“, ergänzt Prof. Dr. Christoph Meinel vom Hasso-Plattner-Institut für Softwaresystemtechnik.
Aktuell seien unter anderem Content-Management-Systeme attraktive Ziele, allen voran das beliebte WordPress. „Die verwendeten Content-Management-Systeme stellen häufig große Sicherheitsrisiken dar. Vor allem dann, wenn die Systeme veraltet sind und keine Updates mehr durchgeführt werden. Hinzu kommt, dass durch installierte Plug-ins Gefahren entstehen“, so Harald A. Summa vom Verband der Internetwirtschaft. Veraltete Plug-ins und Themes würden den Hackern als Hintertüren dienen und es ihnen ermöglichen, Insights über ganze Online-Infrastrukturen für spätere Angriffe zu sammeln. Ebenfalls angreifbar seien die vielen neuartigen IoT-Geräte („Internet of Things“), die gegenwärtig auf den Markt kommen.
Innovationsdruck und das Gewinnstreben der Hersteller seien so groß, dass viele der tollen Gadgets und praktischen Features nur rudimentär gesichert seien, wodurch sie geradezu zu Spionage- und Sabotageakten einladen würden. „Das Internet of Things wird eine große Rolle bei zukünftigen Angriffen spielen. Zum einen sind viele Geräte im IoT unzureichend gesichert und können so missbraucht werden. Zum anderen gibt es so viele Geräte mit einer Internetanbindung, dass ein Zusammenschluss dieser Geräte eine immense Datenflut erzeugen könnte“, führt Prof. Dr. Meinel aus.
Der Schild: Verschlüsselungen, Updates und Sicherheitsbewusstsein
Einigkeit herrscht unter den Branchen-Experten auch bezüglich der wichtigsten und wirkungsvollsten Selbstverteidigungsmaßnahmen im Cyberspace. HTTPS-Verschlüsselungen sollen zum Schutz von Nutzerdaten nicht mehr nur für E-Commerce-Plattformen, sondern für alle Websites als Standard gelten. Das beste Mittel für größtmögliche Sicherheit sei demnach die Aktualität. „Wenn ein Software-Update angeboten wird, sollte man dieses auch installieren“, stellt Summa klar.
Nicht zuletzt sei der User – als eines der leichtesten Ziele in der Online-Welt – gefordert. Wolle er kriminellen Machenschaften so weit wie möglich vorbeugen, müsse er ein Bewusstsein für die Risiken beim Surfen entwickeln.
„Seien Sie vorsichtig bei der Freigabe Ihrer Daten! Klicken Sie keinen Link an, ohne ihn validiert zu haben!“, rät der IT-Sicherheitsexperte Dr. Florian Hauser. Ein gutes Argument gegen die leichtfertige Preisgabe der eigenen Daten sind die ab und an bekannt werdenden Leaking-Skandale (zum Beispiel bei Yahoo!), die beweisen, dass private Informationen auch auf den externen Servern großer Konzerne nicht gänzlich sicher sind.
Eine Tatsache sollte man sich jedenfalls immer bewusst machen: Einen hundertprozentigen Schutz vor Cyber-Kriminalität gibt es nicht und kann es wohl auch nie geben – die Kriminellen lernen stets dazu und zwingen die Programmierer von Sicherheitssoftware immer wieder zum Reagieren.
Die ganze Sicherheitsproblematik fängt doch schon bei zu einfachen Passwörtern an. Solange die Menschheit zu bequem bleibt sich hierrüber Gedanken zu machen, wird es Hackern immer wieder ein leichtes sein, "einfache Opfer" zu finden.
Hier gibt es ganz gute Tipps wie sichere Passwörter aussehen.
Ja, ich kenne das sehr gut und habe noch den Rootserver. PWs allein reichen lange nicht mehr, denn ich setze zudem auf TFA und solche Mechanismen. Auch habe ich so meine Zettelwirtschaft ala Notizblock. Ich habe um die 100 Projekte, das bedeutet 100 verschiedene PWs, die stets ausgetauscht werden, wenn Domain/Hostingumzug etc.pp. Internetblogger.de wird täglich BruteForce-Angriffen ausgesetzt, oft aus der Ukraine oder sonst wo. Da ist es gut, dass Wordfence all das abfängt und mich und das Blog schützt. Anders geht es nicht. Auch sollte man beim WP-Blog den Slug zum Autor ändern, danach den Usernamen ändern, alles nachträglich, frisch nach der Erstinstallation. Wordfence ist sehr gut und scannt auch Unterverzeichnisse nach Malware sowie Verdächtigem ab. All das muss man immer im Auge behalten und nicht solche PWs wie konrad555. Das geht einfach nicht.