Ein Gastbeitrag von Manfred Kindler.
Am 2. November 1988 um 18 Uhr startete der Informatikstudent Robert Tappan Morris am Massachusetts Institute of Technology Yorker Cornell-Universität ein 99-zeiliges Softwareprogramm, welches die Anzahl der angeschlossenen Computer im noch jungen Internet zählen sollte. Unabsichtlich infizierte er aufgrund eines kleinen Programmierfehlers innerhalb der nächsten Tage Tausende von Rechnern und legte schätzungsweise zehn Prozent aller Internetcomputer weltweit lahm. Der erste Computerwurm der IT-Geschichte war geboren.
Die Bedrohungen des Coronavirus haben in den vergangenen Monaten alle Lebensbereiche erfasst. Auch vor IT-Welt macht die COVID-19-Pandemie nicht halt, denn sie verbreitet nicht nur biologische, sondern auch digitale Viren. Cyberkriminelle haben sich schnell auf die riesige Zahl von Privatrechnern eingestellt, über die Millionen Deutsche in diesen Tagen vom Home-Office aus ohne professionelle Firewall und IT-Verantwortliche mit ihren Arbeitgebern oder Schulen kommunizieren. Obwohl die Betreiber privater E-Mail-Dienste täglich millionenfach mit Schadprogrammen verseuchte Post aus dem Datenstrom herausfiltern, fallen ratlose Menschen auf gefakte Corona-Apps, Infektionskarten, Malware-Attacken und Phishing-Mails herein.
300 Millionen auf Zoom
In der Vor-Corona-Zeit herrschten bei Live-Konferenzen ausgesprochen teure, fest installierte Systeme vor. Viele Unternehmen hatten daher wegen der hohen Investitionskosten auf die notwendige Infrastruktur verzichtet. Nun offerieren viele Anbieter für Videokonferenzen einfache Lösungen zu vernünftigen Preisen bis zu kostenlosen Applikationen. Cyberkriminelle machen sich diesen aktuellen Boom zunutze, seitdem die Nachfrage zu entsprechenden Tools regelrecht explodiert ist. In nur einer Woche im März sprang die Anzahl der Nutzer von Microsoft Teams um 12 Millionen auf 44 Millionen User pro Tag. Der Marktführer Zoom vervielfachte seine Nutzerzahlen in nur vier Monaten seit Dezember 2019 von 10 Millionen auf 300 Millionen tägliche Teilnehmer, nachdem auch Schulen und Universitäten diese Technik für den digitalen Unterricht einsetzen.
Allerdings wies die Zoom-Software anfangs einige Sicherheitslücken auf, die nun das FBI und die New Yorker Staatsanwaltschaft beschäftigen. Immer mehr Zoom-Nutzer beschwerten sich über das „Zoom-Bombing“, denn offenbar fällt es Hackern leicht, die Konferenzen zu sabotieren. So tauchten während der Videoschalten plötzlich pornografische Inhalte und Hassbotschaften auf den Bildschirmen auf. Nachdem sogar der Online-Schulunterricht durch derartige Inhalte gestört wurde, hat das Unternehmen laut eigenem Bekunden einige der Lücken geschlossen. Dennoch hat das Auswärtige Amt am 8. April 2020 allen Mitarbeitern von der Nutzung von Zoom auf dienstlichen Geräten abgeraten und folgte damit dem Beispiel der NASA, von SpaceX und dem Autokonzern Tesla, welche ein komplettes Verbot aussprachen.
Seit Januar 2020 wurden zudem über 1700 neue Zoom-Domains registriert. Dadurch luden sich unvorsichtige Mitarbeiter statt der offiziellen Software einen mit Schadsoftware gespickten Download herunter. Auch andere große Anbieter müssen sich zunehmend mit neuen Phishing-Seiten auseinandersetzen. Kunden der Google-Plattform für virtuelle Konferenzräume (classroom.google.com) wurden durch Domänen wie googloclassroom\.com und googieclassroom\.com getäuscht.
Anfang Juli veröffentlichte die Berliner Datenschutzbeauftragte einen Bericht, nach dem es nicht möglich sein, Zoom datenschutzkonform einzusetzen. Empfohlen wurden stattdessen Big Blue Button und Jitsi.
Gefälschtes Corona-Dashboard
Nicht nur digitale Konferenzen sind das Ziel der Cyberkriminellen. So konnte das BSI eine exponentielle Zunahme an Registrierungen von Domainnamen mit Schlagwörtern wie „corona“ oder „covid“ beobachten. Neben der Nutzung für legitime Informationsangebote werden viele dieser Domainnamen für kriminelle Aktivitäten missbraucht. Nutzer werden zum Download von Software-Updates aufgefordert und dadurch mit Schadprogrammen infiziert. Die Angreifer können anschließend unter anderem Manipulationen beim Online-Banking der Nutzer durchführen oder Zugriff auf Unternehmensnetzwerke erlangen, um sensible Informationen auszuspähen oder Daten zu verschlüsseln und dann die Opfer zu erpressen.
Die John-Hopkins-Universität (JHU) bietet auf ihrer Homepage eine öffentlich zugängliche Pandemie-Weltkarte mit einer Echtzeitdarstellung der globalen Ausbreitung des Coronavirus. Betrüger erstellten ein Imitat der Webseite, die sie mit der AZORult-Malware infiltrierten. Diese Malware macht sich eine vier Jahre alte Schwachstelle auf den Geräten mit Windows-Betriebssystemen zunutze. Sie durchsucht den Computer nach Programmen, greift Passwörter ab, macht Screenshots, sammelt Informationen über Cookies und den Browserverlauf und ist sogar in der Lage, Schlüssel für Kryptowährungen zu stehlen. Somit können die Kriminellen an sensible Daten wie Login-Daten, Kreditkartennummern etc. gelangen. Es ist damit zu rechnen, dass in Kürze auch Schadsoftware für andere Betriebssysteme wie MacOS eingesetzt wird.
Sicherheitsexperten warnen vor einer aktuellen Falle: Eine zweifelhafte „coronavirus map“ zeigt in einer interaktiven Karte die Ausbreitung von Covid-19. Sie wird als 3,26 MB große Datei namens „Corona-virus-Map.com.exe“ oder „CoronaMap.exe“ per Mail, über Messenger-Dienste oder auch als Download-Link auf Webseiten versendet. Im Darknet werden mittlerweile ganze Bausätze zum Erstellen von Kartenfälschungen angeboten, die sogar mit akkuraten und aktuellen Zahlen befüllt werden. Am häufigsten wird die JHU-Corona-Map gefälscht.
Mit der Hilfe von Machine Learning versucht Google rund 99,9 % aller Phishing- und Spam-E-Mails abzufangen, bevor sie die Endnutzer erreichen. Allein in Gmail blockiert Google jeden Tag über 100 Millionen Phishing-E-Mails, davon behandeln rund 18 Millionen E-Mails das Thema Covid-19. Zusätzlich drehen sich 240 Millionen Spam-E-Mails um das Coronavirus.
Ausspioniertes Home Office
Vervielfacht haben sich auch die Downloads von Spionage-Programmen wie Hubstaff, InterGuard, Teramind, Seek, VeriClock, innerAcitv, Activ-Trak oder Time Doctor, die Mitarbeiter und ihr Schaffen im Home Office kontrollieren können. Viele bieten eine Kombination aus Bildschirmüberwachung und Leistungsanalyse. Hubstaff und Seek knipsen alle paar Minuten einen Screenshot vom Bildschirm, um vermeintliche Faulenzer aufzuspüren. Normalerweise sind deutsche Arbeitnehmer per Gesetz vor einer solchen Schnüffelei am Arbeitsplatz geschützt, aber die Firmen nutzen als Begründung den angeblichen Schutz ihrer IT-Infrastruktur vor Hackern. Der Deutsche Gewerkschaftsbund ist mittlerweile alarmiert.
Aber auch unter dem Vorwand der Abstandswahrung in Coronazeiten testen große Firmen neue Kontrollsoftware. In Shanghai nutzt das Wirtschaftsprüferunternehmen PWC eine App, welche die WiFi-Signale der Mitarbeiter-Handys verfolgt. Sensoren der Siemens-Tochter Enlighted überwachen Mitarbeiter-Badges, um angeblich zu verhindern, dass Personen sich zu nahekommen. Nebenbei hat das Unternehmen jederzeit Kenntnis, wer, wo, auf welcher Etage mit wem zusammengetroffen ist. Und auch Schweizer Banken kontrollieren ihr Mitarbeiter minuziös, offiziell zur Bekämpfung der Finanzkriminalität.
Tracking von Infizierten
Die vom Gesundheitsminister zunächst favorisierte zentrale Einführung einer Contact-Tracing-App mit behördlichem Zugriff auf die Gesundheitsdaten konnte nur durch eine massive Protestwelle von netzpolitischen Organisationen im letzten Augenblick gestoppt werden. Das Konzept einer zentralen Tracking-App, wie sie bereits in mehreren autoritär geführten Ländern eingeführt wurde, stand nicht zur Diskussion.
Wo ist der Unterschied zwischen Tracking und Tracing in Corona-Apps? Mehr dazu im folgenden Artikel:
Durchbruch für die Videosprechstunde
Abschließend soll aber auch auf die positiven Aspekte der Corona-Krise hingewiesen werden. Da ist zunächst der Durchbruch für die Videosprechstunden zu nennen – zehntausende Ärzte haben sich neu bei den KVen für Televisiten registriert. Am 30. März 2020 eröffnete NRW-Ministerpräsident Armin Laschet vorzeitig eine Vorstufe des Virtuellen Krankenhauses. Die Universitätskliniken Aachen und Münster bieten dazu ihre Expertise für alle NRW-Krankenhäuser zur Behandlung von Covid-19 Patienten über Telekonsile an. Gemäß einer BAH-Umfrage erwarten 76% der Befragten durch die Digitalisierung im Gesundheitswesen eine bessere Behandlung durch Ärzte.
Bei der Meldung von Infizierten an das Robert-Koch-Institut sind die IT-Defizite der Gesundheitsbehörden sehr frühzeitig drastisch zutage getreten. Die neue dezentrale Corona-Tracing-App wurde schon von zehn Millionen Bundesbürgern (Stand: 20.Juni 2020) heruntergeladen. Ohne die geplante Modernisierung und Personalaufstockung sind die Gesundheitsämter allerdings auch mit Corona-Tracing-App kaum in der Lage, die Nachverfolgung sicherzustellen.
Sicherheit und das Internet of Medical Things (IoMT)
Dank des Digitalisierungsschubs durch Corona ist die Cybersicherheit im Gesundheitswesen noch stärker in den Vordergrund gerückt. Die kriminellen Angreifer setzen mit ausgeklügelten Taktiken oft an sicherheitstechnisch nur unzureichend geschützten Medizingeräten an – dem Internet of Medical Things (IoMT). Laut einer Studie von Unit 42 von 2019 waren 83% aller Bildgebungssysteme nicht mit notwendigen Sicherheitsupdates versehen. Cyberkriminelle haben zunehmend die oft ungeschützten Rechner im IoT- und IoMT-Bereich als Ziele für Malware entdeckt und nutzen die Ressourcen unauffällig zum Schürfen von Kryptowährungen – dem sogenannten Cryptojacking. Im Mai 2020 hatten Angreifer den Zugang zu mehr als zehn Hochleistungs-Rechenzentren in Europa gehackt und konnten ihre Rechte auf die höchste Stufe (Root) erweitern. Es scheint aber, dass das Ziel kein Datendiebstahl der COVID-19-Forschungsergebnisse, sondern das Schürfen von Kryptowährung war.
Im Juni 2020 veröffentlichte die Konrad-Adenauer Stiftung eine Zusammenstellung über „Die Auswirkungen von COVID-19 auf Cyberkriminalität und staatliche Cyberaktivitäten“. Sie beinhaltet auch die Aspekte der Cyberspionage und Cybersabotage. Und auf europäischer und globaler Ebene wurden kürzlich zwei wichtige Leitfäden verabschiedet: den MDCG Guidance on Cybersecurity for Medical Devices und die IMDRF Principles and Practices for Medical Device Cybersecurity.
Corona als Härtetest der Gesundheits-IT
Letztendlich bringt die Corona-Pandemie somit neue Gefahren für die Sicherheit von Gesundheitsdaten mit sich – sie wird aber auch der Digitalisierung des Gesundheitssystems einen enormen Entwicklungsschub bescheren, weil sie die bestehenden Defizite nicht nur in der IT-Infrastruktur gnadenlos offenlegt.
