Die Fälle von Cyberkriminalität steigen laut Polizei rasant. Unternehmen und Behörden stehen im Fokus der Angreifer. Sicherheitslücken bestehen dabei oft seit vielen Jahren - was es Hackern leichter macht. Von Philipp Wundersee.
Alle Unternehmen und Behörden müssten per Gesetz mit einer empfindlichen Strafandrohung dazu verpflichtet werden, Cyber-Erpressern niemals Lösegelder zu zahlen. Dann wäre der Spuk bald vorbei.
Welt"
Und stellt damit nicht mehr 'nur' eine Bedrohung für Einzelne - Personen oder Unternehmen - dar, sondern für das gesamte Gemeinwesen mitsamt seiner öffentlichen und wirtschaftlichen (Versorgungs-) Infrastruktur. Und stellt damit nicht mal in erster Linie für Strafverfolger eine Herausforderung dar: "Es wird nicht weniger. Und leider auch nicht einfacher. Wir sehen zunehmend zielgerichtete, hochkomplexe Angriffe aus dem Graubereich zwischen organisierter und drittstaatlich induzierter Cyberkriminalität. Für die Strafverfolger ist es eine Herausforderung, ihre Handlungsfähigkeit in diesem Umfeld zu bewahren".
Vor allem, wenn viele es Kriminellen nicht schwer machen, weil sie der Meinung sind, dass ihr Arbeitsalltag ihnen nicht genug Zeit für die Einhaltung 'kleinerer' Sicherungsmaßnahmen ließe oder Unternehmer so lange meinen, dass das Geld für Investitionen in Cybersicherheit nicht da sei, bis sie sich diese Zeit bzw. das Geld nehmen müssen. Weil ihnen gar nicht anderes übrigbleibt.
…gibt es nicht sooo viele, und vor allem : Die Kosten richtig viel Geld.
Mit A14 kann z.B. der öffentliche Dienst keinen hinter dem Ofen hervorlocken.
Es sind ja, wie im Bericht auch erwähnt, selten 0-Day-Exploits, sondern z.T. JAHRELANG BEKANNTE LÜCKEN.
Und leider sind auch kleine Unternehmen oft schlichtweg zu geizig, sich für 120€ / Jahr eine Backupsoftware im Abo und für die gleiche Summe nochmal ein paar TByte an online-Speicher zuzulegen.
Und man kann denen garnicht oft genug sagen :
EIN Backup ist Minimum, 2 besser, 3 noch besser.
Und bei Firmen natürlich TÄGLICHE Datensicherung, evtl. sogar „on the fly“, also permanent.
Tja, liebe Behörden - das war von Anfang an glasklar, das DER Bumerang voll zurückkommt.
Gab es wirklich Leute, die geglaubt haben, dass professionelle Hacker diese Lücken nicht finden ? So dämlich kann doch niemand sein!
Den Bock abschießen tun manche Hersteller mit angeblich sicher versteckten "Admin Accounts" ohne Passwort, "admin" oder "12345678" als PW.
Es kommt alles wie es kommen musste. Und wird es noch.
Alle Unternehmen und Behörden müssten per Gesetz mit einer empfindlichen Strafandrohung dazu verpflichtet werden, Cyber-Erpressern niemals Lösegelder zu zahlen. Dann wäre der Spuk bald vorbei.
Ne, denn der Mittelstand ist eh Zahlungsunfähig, wenn seine komplettenDatensätze nicht mehr greifbar sind.
Da helfen keine Strafen…
Logisch,
Die Hacker setzten auf kostensparen, unkenntniss und das ist ja überall weit verbreitet.
Viele Sicherheitmängel sind lange bekannt und werden aber leider nicht behoben ,
…gibt es nicht sooo viele, und vor allem : Die Kosten richtig viel Geld.
Mit A14 kann z.B. der öffentliche Dienst keinen hinter dem Ofen hervorlocken.
Na dann zahlt man halt A16. Das ist dann ein Dezernent oder ein leitender Direktor. Das Gehalt kann sich sehen lassen.
Mögliche Maßnahmen sind bekannt. Sie müssen aber auch durchgeführt werden. So sind tägliche Backups z.B. sehr preiswert und automatisiert durchführbar.
Alle Unternehmen und Behörden müssten per Gesetz mit einer empfindlichen Strafandrohung dazu verpflichtet werden, Cyber-Erpressern niemals Lösegelder zu zahlen. Dann wäre der Spuk bald vorbei.
Das wird aber sehr schwierig werden. Viele haben bei diesen Straftaten große Sorgen.
Sie wollen vorallem nicht auffallen. Denken Sie an UNIs, Kankenhäuser usw.
Auch gibt es ja verschieden Lösungen wir man mit Nötigungen umgehen kann.
Das wird aber sehr schwierig werden. Viele haben bei diesen Straftaten große Sorgen.
Wenn die Zahlung von Lösegeldern unter Strafe steht, ist die Sorge weg, dann macht man es eben nicht mehr. Und wenn die Täter wissen, dass das Erpressungsziel nicht zahlen kann, lohnt sich auch die Erpressung nicht.
Compouterhacker für eine Art Spaßguerilla gehalten, und so sind sie auch wirklich entstanden. Ich selbst habe damals unter DOS Viren programmiert, aus dem einzigen Antrieb, mich der Herausforderung zu stellen. Und um sie zu testen, musste ich sie natürlich in Umlauf bringen. Und sie funktionierten auch.
Wann Viren für kriminelle Aktivitäten eingesetzt werden, war wohl nur eine Frage der Zeit, nur merkwürdigerweise hatte das niemand auf dem Schirm. Jetzt ist die Büchse der Pandora geöffnet, der Geist ist aus der Flasche und man wird ihn nie wieder (ganz) hinein kriegen. Auch nicht, wenn man Geld in die Hand nimmt.
Die Spaß-Hacker gibt es immer noch, sie betreiben den CCC und andere Organisationen und stehen nun selbst dem Anwender beratend zur Seite, entdecken Schadsoftware, entwickeln diese z.T. zu Testzwecken selber. Hier muss ein Umdenken stattfinden, man muss diese Hilfe ohne Berührungsängste in Anspruch nehmen.
Kostet wenig, bringt viel.
…gibt es nicht sooo viele, und vor allem : Die Kosten richtig viel Geld.
Mit A14 kann z.B. der öffentliche Dienst keinen hinter dem Ofen hervorlocken.
Na dann zahlt man halt A16. Das ist dann ein Dezernent oder ein leitender Direktor. Das Gehalt kann sich sehen lassen.
A16 sind in den mittleren Altersgruppen zwischen ca. 7.000 und 7.500 €.
Die möchte ein sehr guter ITler aber nicht im Monat, sondern eher pro Woche haben.
Wie geschrieben: RICHTIG GUTER.
Keiner, der ‘ne Exceltabelle oder eine Datenbank erstellen kann oder gerade mal ein Class-C Netzwerk betreuen kann.
Sondern einer, der z.B. ihr Excel so manipulieren kann, daß Sie das nicht merken.
Oder entsprechende Programme schreibt, die vom Nutzer und Betriebssystem UND Antivirensoftware nicht bemerkt werden.
Das wird aber sehr schwierig werden. Viele haben bei diesen Straftaten große Sorgen.
Wenn die Zahlung von Lösegeldern unter Strafe steht, ist die Sorge weg, dann macht man es eben nicht mehr. Und wenn die Täter wissen, dass das Erpressungsziel nicht zahlen kann, lohnt sich auch die Erpressung nicht.
Tolle Idee. Ich frage mich grade, ob man Raubüberfälle verhindern könnte, indem man den Opfern unter Androhung von Strafe verbietet, die Beute herauszugeben.
Das wird aber sehr schwierig werden. Viele haben bei diesen Straftaten große Sorgen.
Wenn die Zahlung von Lösegeldern unter Strafe steht, ist die Sorge weg, dann macht man es eben nicht mehr. Und wenn die Täter wissen, dass das Erpressungsziel nicht zahlen kann, lohnt sich auch die Erpressung nicht.
Es geht ja bei Verbrechen und Nötigungen nicht immer um Geld. Viel wollen mit unlauteren Maßnahmen auch ander idiologische oder politische Ziel erzwingen.
Alle Unternehmen und Behörden müssten per Gesetz mit einer empfindlichen Strafandrohung dazu verpflichtet werden, Cyber-Erpressern niemals Lösegelder zu zahlen. Dann wäre der Spuk bald vorbei.
Und dann ihre ganzen Daten zu verlieren welche die Existenz bedrohen koennen.
Verstehe worauf Sie hinauswollen. Aber so einfach ist es nicht.
Die meisten Unternehmen oder Organisationen erwarten von der IT Einsparungen vor allem im Personalwesen, weil Computer Arbeitsprozesse vereinfachen oder ganz ablösen können.
Und deshalb sollen Invests oder Löhne für die IT möglichst billig sein.
Das ist der größte Fehler und macht angreifbar. Mit IT kann man besser werden im Wettbewerb, größere Mengen gleichmäßig verarbeiten,
aber man wird nicht billiger ohne Gefahr zu laufen, das alles von außen zerstört wird.
Aktuelle Methoden wie Agility in der Softwareentwicklung verführen geradezu die Anwendungen zu weniger als 80% vollständig und richtig zu machen, der Rest wird nur bei Bedarf, also Reklamation, mit Updates nachgebessert.
Diese noch unfertigen Anwendungen bieten die Lücken für kriminelles Eindringen in IT-gestützte Organisation und bringen diese an den Rand des Bankrott.
...
100 Prozent gibt wohl nie, Hacker und Diebe sind immer sehr schnell und finden neues, und dann ist auch eine Frage des Geldes, was kann sich die kleine Firma leisten.
Dann spart die kleine Firma aber an der falschen Stelle. Und das wird in der Regel noch teurer. Einer Firma, die bei der IT-Sicherheit spart, würde ich ohnehin nicht mein Vertrauen schenken. Das Problem ist nur, dass man als Kunde nicht hinter die Kulissen gucken kann.
Alle Unternehmen und Behörden müssten per Gesetz mit einer empfindlichen Strafandrohung dazu verpflichtet werden, Cyber-Erpressern niemals Lösegelder zu zahlen. Dann wäre der Spuk bald vorbei.
Und dann ihre ganzen Daten zu verlieren welche die Existenz bedrohen koennen.
Bei elektronischen Krankenakten auch das Leben der Patienten.
Wann Viren für kriminelle Aktivitäten eingesetzt werden, war wohl nur eine Frage der Zeit, nur merkwürdigerweise hatte das niemand auf dem Schirm. Jetzt ist die Büchse der Pandora geöffnet, der Geist ist aus der Flasche und man wird ihn nie wieder (ganz) hinein kriegen.
Der Geist wäre der Büchse auch entkommen, hätte man schon früher mehr Wert auf mehr effektive Schutzmaßnahmen gelegt. Sie hätten sich auch nicht zufrieden gegeben, hätten Ihre programmierten Probegeister nix gekonnt, und die Quälgeister wären überall am Türsteher gescheitert.
Sie hätten bessere programmiert solange, bis sie sich hätten wo einschleichen können. Das wäre Ihnen auch gelungen. The Eternal Rat Race zwischen Eindringling und Türsteher, zwischen Kriminellen und Polizei.
Ich bekomme ja Haarausfall bei diesem ganzen Admin-, Anti Viren- und sonstigem Computer-Gedöne, das mehr ist als aufmerksamer Anwender.
My Home Mac ist Stand Alone, die 3 in Teilselbständigkeit sind Ethernet Intranet. Für Internet ist Laptop.
Hat der Admin seinen Job nicht gemacht und z.B. jahrelang keine Updates gemacht oder Einfallstore eingebaut, haftet der.
War der Software-Bude der eingesetzten Software die Lücke bekannt,hat die aber nicht geschlossen, haftet die.
Ist es ein 0day-Exploit,dass einem unserer Geheimdienste bekannt ist und wird von diesem genutzt,anstatt den Job zu machen Schaden vom Volk - in dem Fall von Behörden und Unternehmen - abzuwenden und alles dafür zu tun,dass die Lücke geschlossen wird,haften der Geheimdienst und damit der Staat.
Und ist es was völlig unbekanntes, zahlt ne Versicherung.
So what ?
03. März 2023 - 18:23 Uhr von frosthorn
[...]
jahrzehntelang hat man [...]
Vielen Dank für Ihren Kommentar,
volle Zustimmung.
Flächendeckende Überwachung und damit Sicherheit in der Breite ist prioritär höher zu bewerten als individuelle Sicherheit, deswegen wird ein sicheres Internet nie Realität werden können, selbst wenn es realisierbar ist. Gefühlt sind jedoch Netzbetreiber für die Sicherheit ihrer Netze verantwortlich. Können sie das nicht garantieren, müssten sie nach meinem Rechtsempfinden auch für die Schäden geradestehen.
Um die relative, digitale Sicherheit für einen gewissen Zeitraum zu erhöhen, bleibt grossen Unternehmen nichts anderes übrig als in superteure Abwehrsysteme zu investieren, doch jeder Hacker, der sich weiterbildet und sein Wissen weitergibt, verschafft anderen Hackern wiederum die Möglichkeit selbst zu hacken und so manches Softwareunternehmen könnte bei einem 220 Mrd-Verteilungskuchen, Tendenz steigend, locker mit Hackern unter einer Decke stecken und deren Aktivitäten abgesprochen sein, zumindest wenn es nach der Fantasie von spekulativen Kriminalautoren geht.
[...] und so manches Softwareunternehmen könnte bei einem 220 Mrd-Verteilungskuchen, Tendenz steigend, locker mit Hackern unter einer Decke stecken und deren Aktivitäten abgesprochen sein, zumindest wenn es nach der Fantasie von spekulativen Kriminalautoren geht.
Da braucht es keine Kriminalautoren. Denken Sie an Enigma. Definitiv keine Verschwörungstheorie, sondern bittere Realität.
... zu praktizieren, dann wird es für die Seite der Cyberkriminalität schwer.
Eine 3Ebene-System-Installation bedeutet, dass die 1.Ebene nur für die Internetpräsentation zuständig ist - aber hier laufen auch Informationen wie Emails auf - aber eben nicht direkt voll durch - .
Die 2.Ebene ist dafür zuständig - ständig - den Datentransfer (also u.v.a. auch die Emails) zwischen der 1.Ebene und der 3.Ebene zu überprüfen. Schwierig wird es wenn die Abteilung Cyberkriminalität es geschafft hat Dateianhänge in den Umlauf zu bringen, die für die Updates der Software (Betriebssysteme) gedacht waren.
Die Unternehmen haben hier Abwehrsysteme zu installieren, welche genau diese schädlichen Dateianhänge der Software dauerhaft unschädlich machen (und genau hier liegt das Problem in D : wir haben nicht genügend gute Leute die sich mit dem Problem auskennen).
Die 3.Ebene ist nur für den betrieblichen Ablauf des Unternehmens intern zuständig - und arbeitet intern (fast) nur offline.
Ansonsten : Gute Nacht !
[...] und so manches Softwareunternehmen könnte bei einem 220 Mrd-Verteilungskuchen, Tendenz steigend, locker mit Hackern unter einer Decke stecken und deren Aktivitäten abgesprochen sein, zumindest wenn es nach der Fantasie von spekulativen Kriminalautoren geht.
Da braucht es keine Kriminalautoren. Denken Sie an Enigma. Definitiv keine Verschwörungstheorie, sondern bittere Realität.
Wir sind schon weiter
https://www.heise.de/news/Windows-11-Angreifer-umgehen-mit-UEFI-Bootkit…
Flächendeckende Überwachung und damit Sicherheit in der Breite ist prioritär höher zu bewerten als individuelle Sicherheit, deswegen wird ein sicheres Internet nie Realität werden können, selbst wenn es realisierbar ist. Gefühlt sind jedoch Netzbetreiber für die Sicherheit ihrer Netze verantwortlich. Können sie das nicht garantieren, müssten sie nach meinem Rechtsempfinden auch für die Schäden geradestehen.
Um die relative, digitale Sicherheit für einen gewissen Zeitraum zu erhöhen, bleibt grossen Unternehmen nichts anderes übrig als in superteure Abwehrsysteme zu investieren, doch jeder Hacker, der sich weiterbildet und sein Wissen weitergibt, verschafft anderen Hackern wiederum die Möglichkeit selbst zu hacken ...
Wie sieht es eigentlich mit mit den Top-Spezialisten bei der Bundesnetzagentur aus ? Haben diese Leute das Internet in D wg der Cyberkriminalität voll im Griff ?
Oder was geht da ?
Hat der Admin seinen Job nicht gemacht und z.B. jahrelang keine Updates gemacht oder Einfallstore eingebaut, haftet der ...
Und weil viele Unternehmensführungen die Kosten für den Schutz gg Cyberkriminalität scheuen, machen auch eher Laien den Job als Admin. Und ab diesem Zeitpunkt braucht sich niemand mehr wundern.
Wer nix zahlt hat eben auch keinen Schutz.
Und wer wenig zahlt hat eben wenig Schutz.
Und wer sich der Cyber-Schutzgelderpressung entledigen will - muss sich mal was einfallen lassen - .
An der Stelle sind die Unternehmensführungen gefragt.
Sehr geehrte User,
wir werden die Kommentarfunktion um 21;45 Uhr schließen.
Bitte schreiben Sie Ihre Kommentare noch zu Ende, bevor ein neues Thema eröffnet wird.
Mit freundlichen Grüßen
Die Moderation
Sehr geehrte User,
die Kommentarfunktion für dieses Thema wird nun geschlossen. Danke für Ihre rege Diskussion.
Mit freundlichen Grüßen
Die Moderation
die Lücken ja bekannt, also könnten die auch beseitigt werden, mit entsprechender Technik oder Software, ein sauberes Programm hat eigentlich keine Angriffslücken..
Außer natürlich Menschliche Fehler über Mail oder andere Gelegenheiten.
Meist ist es ein Tor zwischen den dem Außennetz und dem Internen Netz, wenn es keine Verbindung gibt, dann kann ein inneres internes auch nicht angegriffen werden, sagen die Profis.
Aber zur Netzbetreuung müssen auch die richtigen Menschen vorhanden sein, und das ist oft nicht gegeben.
100 Prozent gibt wohl nie, Hacker und Diebe sind immer sehr schnell und finden neues, und dann ist auch eine Frage des Geldes, was kann sich die kleine Firma leisten.