CHECK POINT SICHERHEITSBERICHT 2013 CHECK POINT 2013 SICHERHEITS- BERICHT

Transkript

1 CHECK POINT SICHERHEITSBERICHT 2013 CHECK POINT 2013 SICHERHEITS- BERICHT JANUAR

2

3 CHECK POINT SICHERHEITSBERICHT _ EINFÜHRUNG UND METHODIK Check Point Sicherheitsbericht Einführung und Methodik Bedrohungen für Ihr Unternehmen Anwendungen im Arbeitsbereich von Unternehmen Fälle von Datenverlust in Ihrem Netzwerk Zusammenfassung und Sicherheitsstrategie Check Point Software Technologies 038 A Anhang

4 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT EINFÜHRUNG UND METHODIK Wie Wasser keine unveränderliche Form kennt, gibt es im Krieg keine unveränderlichen Bedingungen. 1 Obwohl dieser Satz bereits Jahre alt ist, hat er immer noch eine überraschend hohe Relevanz für die moderne Kriegsführung den Cyber-Krieg. Die Techniken von Hackern unterliegen einem steten Wandel, sie setzen immer fortschrittlichere und komplexere Angriffsmethoden ein. So wird Sicherheit zu einer immer größeren Herausforderung. Rechenzentren, Computer von Mitarbeitern und Mobiltelefone gehören zu den häufigsten Zielen von Hackern. Diese setzten eine schier unendliche Vielfalt an Malware ein, zum Beispiel Bots, Trojaner und Drive-By-Downloads. Hacker nutzen Tricks und Social Engineering zur Manipulation ahnungsloser Nutzer, um so Zugriff auf Unternehmensdaten zu erhalten, wie interne Dokumente, Finanzberichte, Kreditkartennummern und Benutzerdaten, oder auch, um Dienste mittels Denial-of-Service-Angriffen abzuschalten. Diese moderne Art des Krieges mit hoch entwickelten Bedrohungen und Angriffen wird weiter fortgesetzt. Immer mehr Unternehmensdaten werden in Rechenzentren, auf Servern, PCs und Mobilgeräten gespeichert. Mehr Daten und Plattformen bedeuten größere Risiken. Außerdem wird die Anzahl der Sicherheitsbedrohungen nicht kleiner, und jeder neue Angriff zeigt einen noch höheren Entwicklungsgrad. Welchen Sicherheitsrisiken war Ihre Netzwerkumgebung im letzten Jahr am häufigsten ausgesetzt? Welche Risiken kommen im nächsten Jahr auf Sie zu? Dies waren die beiden wichtigsten Fragen, mit denen sich Check Points Forschungsteam für Sicherheit in den letzten Monaten auseinandergesetzt hat. Im Zuge der Beantwortung dieser Fragen hat Check Point eine intensive Sicherheitsanalyse durchgeführt. Dieser Bericht gewährt einen Einblick in Sicherheitsereignisse in Netzwerken, die im Jahr 2012 in Unternehmen weltweit auftraten. Er informiert über die Sicherheitsereignisse in diesen Unternehmen, es werden Beispiele öffentlich gewordener Fälle genannt, und es wird erklärt, wie einige der Angriffe durchgeführt wurden. Darauf folgen Empfehlungen, welche Schutzmaßnahmen gegen derartige Sicherheitsbedrohungen ergriffen werden können. Der Bericht ist dreiteilig. Jeder Teil behandelt einen anderen Sicherheitsaspekt. Der erste Teil umfasst Sicherheitsbedrohungen wie Bots, Viren, Sicherheitslücken und Angriffe. Der zweite Teil behandelt risikoreiche Webanwendungen, die zur Bedrohung für die Sicherheit von Unternehmensnetzwerken werden. Der dritte Teil schließlich befasst sich mit Datenverlust durch unbeabsichtigte Handlungen von Mitarbeitern. Methodik Der Check Point Sicherheitsbericht 2013 basiert auf umfassender Untersuchung und Analyse von Sicherheitsereignissen. Die Informationen stammen vorwiegend aus vier Quellen: Analyseberichte von Check Point Sicherheits-Gateways 2, Check Point ThreatCloud 3, Check Point SensorNet -Netzwerk und Berichte von Check Point Endpoint Security. Es wurde eine Metaanalyse von Sicherheitsereignissen in Netzwerken von 888 Unternehmen durchgeführt. Hierbei fanden Daten Verwendung, die mithilfe von Check Point Sicherheits-Gateways erfasst wurden. Diese Gateways scannen den ein- und ausgehenden Live-Netzwerkdatenverkehr in Unternehmen. Der Datenverkehr wurde mit der mehrschichtigen Software Blades von Check Point überprüft, um eine Vielzahl von Sicherheitsbedrohungen aufzuspüren, unter anderem risiko reiche Anwendungen, versuchtes Eindringen, Viren, Bots und Verlust sensibler Daten. Der Netzwerkverkehr wurde in Echtzeit überwacht, durch die Implementierung des Check Point Sicherheits-Gateways, inline oder im Überwachungsmodus (TAP). 004

5 CHECK POINT SICHERHEITSBERICHT _ EINFÜHRUNG UND METHODIK Im Durchschnitt wurde der Netzwerkverkehr der einzelnen Unternehmen 134 Stunden überwacht. Die untersuchten Unternehmen stammen aus vielen verschiedenen Branchen und befinden sich an unterschiedlichen Standorten weltweit, wie die Diagramme 1-A und 1-B zeigen. Zusätzlich wurden über 111,7 Millionen Ereignisse aus Sicherheits-Gateways ausgewertet, mithilfe von Daten, die durch ThreatCloud von Check Point generiert wurden. ThreatCloud ist eine umfangreiche Sicherheitsdatenbank, die in Echtzeit aktualisiert wird. Daten werden aus einem großen Netzwerk globaler Sensoren eingespeist, die weltweit strategisch platziert sind und Informationen zu Bedrohungen und Angriffen von Malware sammeln. ThreatCloud ermöglicht ein gemeinsames Netzwerk zur Bekämpfung von Cyber-Kriminalität durch die Identifizierung sich abzeichnender weltweiter Sicherheitstrends und Bedrohungen. Es erfolgte eine Auswertung von Daten aus ThreatCloud, die innerhalb von drei Monaten zwischen August und Oktober 2012 erfasst wurden. Referenzmaterial zu den Daten aus ThreatCloud wurde durch das SensorNet -Netzwerk von Check Point im Zeitraum vom 1. Juli bis zum 30. September 2012 gesammelt. Check Point SensorNet ist ein global verteiltes Netzwerk von Sensoren, die Sicherheitsinformationen und Datenverkehrsstatistiken an ein zentrales Analysesystem senden. Diese Daten werden ausgewertet, um Trends und Anomalien aufzuspüren und eine Echtzeit-Darstellung der weltweiten Sicherheitslage bereitzustellen. Außerdem wurde eine Metaanalyse von 628 Endpunkt-Sicherheitsberichten in vielen verschiedenen Unternehmen durchgeführt. Diese Sicherheitsanalyse umfasste eine Prüfung aller Hosts zur Bestätigung von Risiken in puncto Datenverlust, Eindringlinge und Malware. Die Analyse wurde mit dem Berichts-Tool von Check Point Endpoint Security durchgeführt. Dieses prüft, ob Virenschutz auf dem Host installiert und auf dem neuesten Stand ist, ob die aktuellste Softwareversion installiert ist und vieles mehr. Das Tool ist kostenlos und öffentlich zugänglich. Es steht auf der Website 4 von Check Point zum Download zur Verfügung. Dieser Bericht basiert auf Daten aus den oben genannten Quellen. Quelle: Check Point Software Technologies Geografie Branchen 26 % Sonstige 235 Diagramm 1-A 40 % EMEA* % Industrie % Nord- und Südamerika % Finanzwesen % Regierungen % APAC* 178 4% Consulting 31 7 % Telekommunikation 59 *APAC Asiatisch-pazifischer Raum und Japan EMEA Europa, Naher Osten und Afrika Branchenspezifikation Industrie Chemie/Raffinerie, Gesundheits - wesen, Pharmazie, IT, Produktion, Transport, Versorgung, Infrastruktur Finanzwesen Regierung Telekommunikation Consulting Sonstige Finanzen, Buchhaltung, Online- Banking, Investment Regierung, Militär Telekommunikation, Dienstanbieter, ISP, MSP Consulting Services Werbung/Medien, Distributor, Bildung, Recht, Freizeit/ Gastgewerbe, Einzel-/Großhandel 005

6 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT BEDROHUNGEN FÜR IHR UNTERNEHMEN Sondermeldung: Neuer Cyber-Angriff aufgedeckt Im Jahr 2012 verbreiteten sich Cyber-Angriffe beständig und sorgten weiterhin für Schlagzeilen. Beinahe täglich schaffen es Bedrohungen durch Schadsoftware, Angriffe und Bot-Netze auf die Titelseiten der Zeitungen. Hacker feiern berüchtigte Erfolge beim Stehlen von Daten, Stilllegen von Abläufen und Ausspionieren von Unternehmen und Regierungen. Die folgenden Beispiele von Cyber-Angriffen im Jahr 2012 sind dabei nur die Spitze des Eisbergs: Hacker-Angriff auf das Netzwerk 6 des Weißen Hauses, Hacker-Aktivisten der Gruppe Anonymus legten die Websites der Handelsgruppen U.S. Telecom Association und TechAmerica 7 still, Cyber-Angriffe trafen die Capital One Financial Corp., BB&T Corp., die HSBC Bank USA 8 und viele andere. Advanced Persistent Threats Cyber-Kriminelle sind längst keine isolierten Amateure mehr. In vielen Fällen gehören sie gut strukturierten Organisationen an, die an Terrorzellen erinnern. Sie sind finanziell gut ES GIBT NUR ZWEI ARTEN VON UNTERNEHMEN: DIEJENIGEN, DIE BEREITS GEHACKT WURDEN, UND DIEJENIGEN, DIE NOCH GEHACKT WERDEN. Robert Mueller, Director, FBI, März ausgestattet, motiviert und verfolgen bestimmte Ziele. Cyber- Kriminelle scheinen ein hohes Maß an Zeit und Ressourcen in das Sammeln von Informationen zu investieren. Ihre kriminellen Aktivitäten verursachen große Schäden bei Unternehmen, unter anderem Verlust vertraulicher Daten, Ausfälle, Image-Schäden und selbstverständlich auch finanzielle Einbußen. Die komplexesten und langwierigsten Angriffe, die zum Erreichen eines bestimmten, vorher festgelegten Ziels dienen, werden als Advanced Persistent Threats (APT) bezeichnet. Es ist unwahrscheinlich, dass sie von herkömmlichen Sicherheitssystemen erkannt werden. Dies stellt eine Gefahr für Regierungen, große Unternehmen, Kleinunternehmen und sogar private Netzwerke dar. BLACKHOLE EIN EXPLOIT-KIT FÜR DIE MASSE Der starke Anstieg von schädlichen Aktivitäten im letzten Jahr liegt zum Teil daran, dass Hacker ganz einfach vorgefertigte Tools und Pakete für Angriffe nutzen. Mit nur einem Klick kann jeder ein komplettes, hochentwickeltes Angriffspaket herunterladen. Eines dieser Pakete ist das BlackHole Exploit Kit ein weitverbreitetes, webbasiertes Softwarepaket. BlackHole besteht aus mehreren Tools, die Sicherheitslücken in Webbrowsern ausnutzen, um Viren, Bots, Trojaner und andere Schadsoftware auf die Computer ahnungsloser Opfer herunterzuladen. Der Preis für diese Kits liegt zwischen 50 US-Dollar für einen Tag Nutzung, bis hin zu für ein ganzes Jahr

7 CHECK POINT SICHERHEITSBERICHT 2013 DATENLECKS IM JAHR 2012 Im letzten Jahr tauchten mehrere Datenlecks auf, wobei Kreditkarten-, Kunden-, Studenten- oder Patientendaten von Unternehmensservern ausgekundschaftet wurden. Diese schädlichen Aktivitäten zielen darauf ab, vertrauliche Informationen zu erbeuten. Die folgende Liste enthält einige Beispiele: Global Payments Inc. Ein globales Unternehmen für Zahlungsverarbeitung wurde im Juni 2012 gehackt. Über 1,5 Millionen Kreditkartenangaben wurden gestohlen. Clarksville, Tennessee, USA Im Juni 2012 drangen Hacker in das System der Clarksville-Montgomery County-Schulen ein und erbeuteten die Namen, Sozialversicherungsnummern und weitere persönliche Daten von rund Personen. Die Hacker verwendeten Informationen, die Angestellte und Schüler online angegeben hatten, um Zugriff auf das System zu erhalten 10. Serco Thrift Savings Plan Im Mai 2012 führte ein Angriff auf Serco in den USA dazu, dass Daten von Bundesbediensteten gestohlen wurden. Universität von Nebraska Ein Datenleck führte zum Diebstahl von über Dateien mit persönlichen Daten von Studenten, Ehemaligen, Eltern und Angestellten der Universität aus der Datenbank des Nebraska Student Information System. USA, Utah Department of Technology Services Im März 2012 wurden Patientenakten mit Daten zu Ansprüchen auf Medicaid-Leistungen (staatl. Gesundheitsfürsorge) vermutlich von Hackern aus Osteuropa von einem Server entwendet. Staatliches Gesundheitssystem Großbritanniens Zwischen Juli 2011 und Juli 2012 traten beim staatlichen britischen Gesundheitssystem (National Health Service) mehrere Datenlecks auf, die nahezu 1,8 Millionen Patienten akten preisgaben11. Der erste Schritt eines APT-Angriffs besteht typischerweise darin, Erkundungen vorzunehmen und somit Informationen über das Ziel zu erhalten. Dann erfolgt ein erstes Eindringen in das Netzwerk des Opfers, um eine Backdoor (Hintertür) zu öffnen und sich im Netzwerk einzurichten. Dies wird meist dadurch erreicht, dass ein Host mit einem Bot infiziert wird, der es dem Angreifer ermöglicht, unentdeckt mit dem infizierten Host zu kommunizieren. Der Angreifer versucht dann, weiter in das Netzwerk vorzudringen und noch mehr Knoten zu beeinträchtigen. Nach diesem Schritt hat der Angreifer sein Ziel BOT-TOOLKITS WERDEN ONLINE FÜR NUR 500 US-DOLLAR VERKAUFT UND VERURSACHEN BEI UNTERNEHMEN VERLUSTE IN MILLIONENHÖHE erreicht. Jetzt kann er den infizierten Host ausnutzen, um Daten zu sammeln oder aus der Entfernung Schaden anzurichten. Dabei bleibt er über einen langen Zeitraum beständig unentdeckt im Netzwerk. Bot-Netze wird es weiterhin geben Eine der größten Bedrohungen der Netzwerksicherheit, denen Unternehmen heute ausgesetzt sind, stellen Bot-Netze dar. Ein Bot ist eine Form von Schadsoftware, die in einen Computer eindringt, diesen infiziert und es Kriminellen ermöglicht, aus der Entfernung die Kontrolle über den Rechner zu übernehmen. Der infizierte Computer kann dann illegale Aktivitäten ausführen, zum Beispiel Diebstahl von Daten, Versenden von Spam, Verteilen von Malware und Teilnahme an Denial-of-Service (DoS)-Angriffen. Dies geschieht oft ohne dass der Besitzer des infizierten Computers es bemerkt. Bots spielen außerdem eine entscheidende Rolle bei APT- Angriffen. 007

8 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT _ BEDROHUNGEN FÜR IHR UNTERNEHMEN Unter den aktuellen Bedrohungen zeichnen sich zwei starke Trends ab, die auf Bot-Angriffen basieren. Der erste Trend ist die wachsende, profitorientierte Cyber-Kriminalität. Zu dieser Branche gehören Cyber-Kriminelle, Anwender von Malware, Programmierer sowie Anbieter von Tools und Partnerprogrammen. Ihre Produkte können ganz einfach online auf bestimmten Websites bestellt werden (zum Beispiel: Malware-Sets für Einsteiger, Versenden von Spam, Datendiebstahl und Denial-of-Service-Angriffe), und für Unternehmen ist es schwierig, diese Angriffe abzuwehren. Der zweite Trend besteht aus ideologischen und staatlich veranlassten Angriffen, die Personen oder Unternehmen aus politischen Gründen attackieren oder Teil einer Cyber-Kriegskampagne sind. Bot-Netze wird es weiterhin geben. Im Gegensatz zu Viren und anderer herkömmlicher statischer Malware (deren Code und Form gleich bleiben) sind Bot-Netze dynamisch und können schnell Form und Verkehrsmuster ändern. Bot-Toolkits werden online für nur 500 US-Dollar verkauft und verursachen durch ihre Angriffe bei Unternehmen Verluste in Millionenhöhe. Bots sind zu einem riesigen Problem geworden. AKTIVITÄTEN VON BOT-NETZEN Versand von Spam- s Verbreitung von Viren Verbreitung von Schadsoftware Angriffe auf Computer und Server Datendiebstahl 008

9 CHECK POINT SICHERHEITSBERICHT % DER UNTERSUCHTEN UNTERNEHMEN WAREN VON BOTS BEFALLEN Bot-Netze gibt es überall, aber wie konkret ist die Bedrohung? Schätzungsweise bis zu einem Viertel aller Privatcomputer mit Internetverbindung könnten Teil eines Bot-Netzes 12 sein. Unsere jüngsten Forschungsergebnisse zeigen, dass in 63 % der Unternehmen mindestens ein Bot entdeckt wurde. Die meisten Unternehmen sind mit einer Vielzahl von Bots infiziert. Funktionsweise von Bot-Netzen Ein Bot-Netz umfasst typischerweise mehrere Computer, die mit Schadsoftware infiziert sind. Diese stellt eine Netzwerkverbindung mit einem oder mehreren Steuersystemen her, sogenannte Command & Control-Server. Wenn ein Bot einen Computer infiziert, übernimmt er die Kontrolle über den Rechner und schaltet die Verteidigung durch den Virenschutz aus. Bots sind schwer zu entdecken, da sie sich in Computern Krimineller Bot-Herder Computer mit Internetverbindung Command & Control Bot verstecken und ihre Erscheinungsform gegenüber Antiviren-Software verändern. Der Bot verbindet sich dann mit dem Command & Control-Center (C&C), um Anweisungen von den Cyber-Kriminellen zu erhalten. Für diese Verbindungen werden viele Kommunikationsprotokolle genutzt, einschließlich Internet Relay Chat (IRC), HTTP, ICMP, DNS, SMTP, SSL und in manchen Fällen eigens von den Programmierern des Bot-Netzes erstellte Protokolle. Anzahl der mit Bots infizierten Hosts (% der Unternehmen) 10 % 7 9 Hosts 18 % Hosts 6 % Mehr als 21 Hosts 48 % 1 3 Hosts 18 % 4 6 Hosts Quelle: Check Point Software Technologies Spam, Virus, DDoS Diagramm 2-A 009

10 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT _ BEDROHUNGEN FÜR IHR UNTERNEHMEN ALLE 21 MINUTEN KOMMUNIZIERT EIN BOT MIT SEINEM COMMAND & CONTROL-CENTER Command & Control-Aktivitäten Bots treten in vielen verschiedenen Arten und Formen auf und können eine Vielzahl an Aktivitäten ausführen. In vielen Fällen kann bereits ein einzelner Bot eine große Bedrohung darstellen. Befindet es sich erst unter der Kontrolle des Command & Control-Servers, kann ein Bot-Netz vom Bot-Herder angewiesen werden, illegale Aktivitäten ohne das Wissen des Nutzers auszuführen. Dazu gehören das Infizieren weiterer Computer zur Erweiterung des Bot-Netzes, der massenhafte Versand von Spam, DDoS-Angriffe und Diebstahl persönlicher Daten, Finanzdaten und vertraulicher Unternehmensdaten durch Bots im Bot-Netz. Bots werden außerdem oft als Werkzeuge für ATP-Angriffe verwendet, bei denen Cyber-Kriminelle gezielt Personen oder Unternehmen attackieren. Häufigkeit der Kommunikation zwischen Bot und Command & Control-Center. 6 % 2 4 Stunden Diagramm 2-B 25 % Bis zu 1 Stunde 24 % Mehr als 4 Stunden 45 % 1 2 Stunden Quelle: Check Point Software Technologies Diagramm 2-B zeigt die Häufigkeit der Kommunikation zwischen Bot und Command & Control-Center. 70 % der Bots, die im Zuge unserer Untersuchung entdeckt wurden, kommunizierten mindestens einmal alle zwei Stunden mit ihrem Command & Control-Center. Der Großteil der Command & Control-Aktivitäten fand in den USA statt, gefolgt von Deutschland, den Niederlanden und Frankreich, wie in Diagramm 2-C zu erkennen ist. Die verschiedenen Typen der Kommunikation von Bot zu Command & Control-Center umfassen Berichte über neu infizierte Hosts, Keep-Alive-Nachrichten und Daten, die im Host-System gesammelt wurden. Unsere Untersuchung ergab, dass ein Bot durchschnittlich alle 21 Minuten mit seinem Steuerzentrum kommuniziert. Auf welches Bot-Netz sollte man achten? Es gibt zurzeit Tausende Bot-Netze. Die folgende Tabelle zeigt die bekanntesten und berüchtigtsten Bot-Netze, auf die wir während unserer Forschungen gestoßen sind. Zum besseren Verständnis dieser heimlichen Bedrohungen finden Sie weitere Informationen zu jeder Bedrohung in Anhang A. Bot-Netz-Familie Bösartige Aktivität Zeus Zwangi Sality Kuluoz Juasek Papras Weitere Informationen in Anhang A Diebstahl von Zugangsdaten für Online-Banking Anzeige unerwünschter Werbebotschaften Selbstreproduzierender Virus Entfernte Ausführung von schädlichen Dateien Schädliche Aktionen per Fernzugriff: Öffnen einer Befehlsshell, Suchen/Erstellen/ Löschen von Dateien und mehr Diebstahl von Finanzdaten und Erhalt von Fernzugriff 010

11 CHECK POINT SICHERHEITSBERICHT 2013 LÄNDER MIT DEN MEISTEN COMMAND & CONTROL-CENTERN 7 % Niederlande 9 % Deutschland Quelle: Check Point Software Technologies 3 % Kanada 58 % USA 7 % Frankreich 3 % Rumänien 4 % China Diagramm 2-C 3 % Argentinien 3 % Venezuela 3 % Australien IN 75% DER UNTERNEHMEN GREIFT EIN HOST AUF EINE BÖSARTIGE WEBSITE ZU 011

12 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT _ BEDROHUNGEN FÜR IHR UNTERNEHMEN ALLE 23 MINUTEN GREIFT EIN HOST AUF EINE BÖSARTIGE WEBSITE ZU Wie Ihr Unternehmen mit Malware infiziert werden kann Es gibt viele Ansatzpunkte zur Durchbrechung des Schutzes von Unternehmen. Browser-basierte Schwachstellen, Mobiltelefone, schädliche Anhänge und Wechselmedien sind nur einige davon. Außerdem bietet die explosionsartige Verbreitung der Verwendung von Web-2.0-Anwendungen und sozialen Netzwerken in Unternehmen Hackern die Gelegenheit, Opfer dazu zu bringen, auf bösartige Links zu klicken oder Mal vertisements aufzurufen. Dies ist Schadwerbung, die auf legalen Websites angezeigt wird. Obwohl Bot-Netze zurzeit als eine der größten Bedrohungen für Netzwerksicherheit gelten, werden Unternehmen auch von anderen Bedrohungen im Bereich Malware in Gefahr gebracht, wie Viren, Würmer, Spyware, Adware, Trojaner und viele mehr. Unsere Forschungsergebnisse zeigen, dass in 75 % der Unternehmen ein Host auf eine bösartige Website zugreift. Das folgende Kreisdiagramm zeigt die Anzahl der Hosts, die auf eine bösartige Website zugegriffen haben, und den Prozentsatz an Unternehmen, in denen dies vorkam. In über 50 % der Unternehmen haben mindestens fünf Hosts auf eine bösartige Website zugegriffen. Zugriff auf bösartige Websites nach Anzahl der Hosts (% der Unternehmen) 31 % 1 2 Hosts Diagramm 2-D 18 % 3 4 Hosts 15 % Mehr als 16 Hosts 20 % 5 8 Hosts Quelle: Check Point Software Technologies 16 % 9 16 Hosts Ein Schadprogramm kann von einem Nutzer heruntergeladen werden oder von einem Bot, der den Host bereits befallen hat. Unsere Untersuchung ergab, dass in 53 % der Unternehmen Malware im Unternehmensnetzwerk heruntergeladen wurde. In über 50 % dieser Unternehmen luden mehr als vier Hosts Malware herunter. Das folgende Kreisdiagramm zeigt die durchschnittliche Häufigkeit von Malware-Downloads in den untersuchten Unternehmen. Häufigkeit von Malware-Downloads (% der Unternehmen) Quelle: Check Point Software Technologies 19 % 2 6 Stunden 14 % Bis zu 2 Stunden 43 % Mehr als 1 Tag 12 % Stunden 12 % 6 12 Stunden Diagramm 2-E Diagramm 2-G zeigt die Anzahl der Hosts, die ein Schadprogramm heruntergeladen haben. In über 50 % der Unternehmen haben mindestens fünf Hosts auf eine bösartige Website zugegriffen. Bei unserer Untersuchung wurde der Großteil der Malware in den USA entdeckt, gefolgt von Kanada und Großbritannien, wie in Diagramm 2-F zu erkennen. Eine Methode zum Schutz vor Malware ist Virenschutz. Allerdings ergab unsere Untersuchung, dass 23 % der Hosts in Unternehmen ihren Virenschutz nicht täglich aktualisieren. Ein Host ohne aktuellen Virenschutz ist den neuesten Viren schutzlos ausgesetzt. Außerdem wurde deutlich, dass sich auf 14 % der Hosts in Unternehmen überhaupt kein Virenschutz befand. Hosts ohne Virenschutz sind besonders anfällig für eine Infektion mit Malware. 012

13 CHECK POINT SICHERHEITSBERICHT 2013 LÄNDER MIT DER MEISTEN MALWARE 4 % Großbritannien 3 % Deutschland Quelle: Check Point Software Technologies 8 % Kanada 71 % USA 2 % Frankreich 2 % Slowakei 2 % Tschechien 3 % Israel 3 % Türkei 2 % China Diagramm 2-F Anzahl der Hosts, die ein Schadprogramm heruntergeladen haben (% der Unternehmen) Diagramm 2-G 45 % 1 4 Hosts 13 % 5 8 Hosts 10 % 9 16 Hosts 12 % Hosts 20 % Mehr als 33 Quelle: Check Point Software Technologies miniflame : eine kleinere und gefährlichere Version des Flame-Virus Scheinbar ist die Malware Flame, die zu Beginn des Jahres 2012 entdeckt wurde, nur der Anfang. Im Laufe des Jahres wurde ein verwandtes Programm namens miniflame entdeckt, das präzisere Angriffe auf Ziele im Nahen Osten ausführt. miniflame enthält eine Backdoor, die Fernsteuerung, Datendiebstahl und das Erzeugen von Screenshots ermöglicht. 013

14 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT 2013 EUROGRABBER-ANGRIFF Über 36 Million Euro von mehr als Bankkunden gestohlen Im Jahr 2012 fand ein komplexer multidimensionaler Angriff auf verschiedene Banken in Europa statt, bei dem ca. 36 Millionen Euro von über Bankkunden gestohlen wurden. Die Daten lagen völlig offen, und Online- Banking-Kunden wussten nicht, dass sie Ziel eines Trojaner- Angriffs geworden waren, dass ihre Online-Banking- Sitzungen manipuliert wurden oder dass Geld direkt von ihren Konten gestohlen wurde. Diese Angriffskampagne wurde von Versafe und Check Point Software Technologies entdeckt und Eurograbber genannt. Der Eurograbber- Angriff umfasste eine neue und sehr erfolgreiche Variante des Trojaners ZITMO (Zeus-In-The-Mobile). Bis jetzt wurde diese Attacke nur in Ländern der Eurozone entdeckt. Eine Variation des Angriffs könnte jedoch auch Banken in Ländern außerhalb der EU gefährlich werden. Der mehrschichtige Angriff infizierte die Computer und Mobilgeräte der Online-Banking-Kunden, und sobald die Eurograbber-Trojaner auf beiden Geräten installiert waren, wurden die Online-Banking-Sitzungen der Bankkunden vollständig von den Angreifern überwacht und manipuliert. Sogar die Zwei-Faktor-Authentifizierung, die von Banken zur Sicherung des Online-Banking eingesetzt wird, wurde bei dem Angriff umgangen. Die Angreifer nutzten diese sogar, um ihre illegalen Finanztransaktionen zu authentifizieren. Außerdem wurden die Trojaner, die zum Angriff auf Mobilgeräte eingesetzt wurden, für Blackberry- und Android-Betriebssysteme entwickelt. So konnten mehr Ziele erreicht und sowohl geschäftliche als auch private Bankkunden erfasst werden. Dies führte zu illegalen Abbuchungen von 500 bis Euro pro Kundenkonto. Weitere Informationen zum Eurograbber- Angriff, einschließlich eines detaillierten Ablaufs der Attacke, finden Sie auf der Website von Check Point im Whitepaper zum Fallbeispiel Eurograbber-Angriff 12. Mehr Schwachstellen, mehr Exploits Allgemein bekannte Schwachstellen sind Hauptziele für Hacker. Diese verlassen sich auf die einfache Tatsache, dass viele Unternehmen ihre Software nicht wöchentlich aktualisieren. Je größer das Unternehmen, desto schwieriger ist es für Sicherheitsadministratoren, alle Systeme ständig aktuell zu halten. Daher kann in vielen Fällen eine Schwachstelle mit Patch, die bereits seit einem Jahr bekannt ist, immer noch dazu verwendet werden, in die Systeme großer und kleiner Unternehmen einzudringen, die in ihre Systeme nicht die neuesten Patches implementiert haben. Die schiere Anzahl an Schwachstellen, die jedes Jahr offengelegt werden, ist überwältigend. Allein 2012 wurden neue Möglichkeiten für Hacker entdeckt, Schaden zu verursachen und auf Systeme zuzugreifen. Außerdem existieren immer noch viele weitere unentdeckte Schwachstellen, die aktiv von Cyber-Kriminellen verwendet werden. Gesamtzahl gängiger Schwachstellen und Risiken Quelle: Gängige Schwachstellen und Risiken (CVE) Diagramm 2-H 014

15 CHECK POINT SICHERHEITSBERICHT _ BEDROHUNGEN FÜR IHR UNTERNEHMEN Diagramm 2-I zeigt auf, dass die gängigsten Produkte, die von beinahe allen Unternehmen weltweit verwendet werden, am anfälligsten für Schadsoftware sind: Produkte von Oracle, Apple und Microsoft sind am stärksten gefährdet. Häufigste Schwachstellen und Risiken 2012 nach Anbieter Es zeigte sich außerdem, dass in 68 % der Unternehmen Sicherheitsereignisse in Zusammenhang mit Produkten von Microsoft auftraten. Sicherheitsereignisse in Zusammenhang mit anderen Softwareherstellern wie Adobe und Apple wurden in einer deutlich geringeren Anzahl von Unternehmen entdeckt. Es ist interessant, dass obwohl Apple die Nummer zwei in Bezug auf Schwachstellen darstellt nur in einer vergleichsweise kleinen Zahl von Unternehmen Sicherheitsereignisse mit Bezug zu Apple-Produkten auftraten. Quelle: Gängige Schwachstellen und Risiken (CVE) 260 Apple 222 Microsoft 150 Firefox 119 Adobe 119 Cisco 118 IBM 80 Google 62 PHP 59 HP 384 Oracle Quelle: Check Point Software Technologies Sicherheitsereignisse nach Softwareanbieter % der Unternehmen 5 % Novell 5 % Apache 4 % Apple 3 % HP 15 % Oracle 13 % Adobe 68 % Microsoft Diagramm 2-I Diagramm 2-J Unsere Untersuchung zeigte, dass 75 % der Hosts in Unternehmen nicht die aktuellsten Softwareversionen verwenden (zum Beispiel: Acrobat Reader, Flash Player, Internet Explorer, Java Runtime Environment und weitere). Das bedeutet, diese Hosts bieten eine große Zahl an Schwachstellen, die von Hackern ausgenutzt werden können. Unsere Untersuchung ergab außer dem, dass 44 % der Hosts in Unternehmen nicht die ak tuellsten Service Packs für Microsoft Windows installiert haben. Service Packs enthalten üblicherweise Sicherheitsupdates für das Betriebssystem. Es ist ein Sicherheitsrisiko, das aktuellste Service Pack nicht zu installieren. Hacker verwenden verschiedene Techniken, die als Angriffsmethoden bezeichnet werden. Das Diagramm 2-K zeigt einige dieser Angriffsmethoden sowie den Prozentsatz an Unternehmen, die ihnen zum Opfer gefallen sind. Beschädigung von Speichern, Pufferüberlauf und Denial-of-Service-Angriffe sind nach unseren Forschungsergebnissen die häufigsten Angriffsmethoden. 015

16 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT _ BEDROHUNGEN FÜR IHR UNTERNEHMEN Häufigste Angriffsmethoden Pufferüberlauf 32 % Beschädigung von Speichern 32 % Code-Ausführung 24 % Denial-of-Service 32 % 19 % Stack-Überlauf 15 % Registrierungs-Spoofing 10 % Integer-Überlauf 8 % Offenlegung von Informationen 6 % Null-Zeiger-Dereferenzierung 5 % Privilegienerweiterung 2 % Pufferüberlauf 1 % Authentifizierungsumgehung Diagramm 2-K Quelle: Check Point Software Technologies SQL-Injektion ist eine Sicherheitsbedrohung (CVE ), bei der ein Angreifer SQL-Code (Structured Query Language) in die Eingabemaske eines Web-Formulars einschleust, um so Zugriff auf Ressourcen zu erhalten oder Veränderungen an gespeicherten Daten vorzunehmen. Diagramm 2-M zeigt, wie ein solcher Angriff aussieht. Der markierte Text zeigt die Daten, die der Hacker mithilfe der SQL-Injektion offenlegen wollte (in diesem Fall Benutzernamen und Kennwörter). Die SQL-Befehle sind: select, concat und from. Der Angriff wurde von 99 verschiedenen IP-Adressen aus durchgeführt. Obwohl sich das attackierte Unternehmen in Europa befindet, fanden die Angriffe von vielen verschiedenen Orten aus statt, wie Diagramm 2-M erkennen lässt. Eine SQL-Injektion kann manuell erfolgen (ein Hacker verwendet eine Tastatur) oder automatisiert sein (skriptbasierter Angriff ). In diesem Fall, wie in Diagramm 2-L zu sehen ist, bestand die Spitze des Angriffs aus Angriffsversuchen (wahrscheinlich automatisiert), die innerhalb von zwei Tagen mit dem gleichen Injektionsmuster von einer einzigen IP-Adresse aus durchgeführt wurden. SQL-Injektionsrate Anzahl der SQL-Injektionen 500 Wie sieht ein SQL-Injektionsangriff aus? Ablauf einer SQL-Injektion Dieser Fall zeigt ein reales Beispiel einer Serie von SQL-Injektionsangriffen, die zwischen Juli und Oktober 2012 in der Umgebung eines Kunden von Check Point stattfanden. Der Angriff wurde von einem Check Point Sicherheits-Gateway entdeckt und abgewehrt. Dieser Fall wurde vom Check Point ThreatCloud Managed Security Service Team aufgezeichnet. 22. Juli 5. Aug. Diagramm 2-J 19. Aug. 2. Sept. 16. Sept. 30. Sept. 14. Okt. 28. Okt. 016

17 58 Spanien CHECK POINT SICHERHEITSBERICHT 2013 SQL-INJEKTIONSRATE NACH URSPRUNGSLAND TOP 10 Diagramm 2-M 98 Deutschland 130 Algerien 198 Russland 369 USA Quelle: Check Point Software Technologies 122 Niederlande 53 Georgien 52 Ukraine 42 Rumänien 37 Großbritannien Sicherheitsempfehlungen Mehrere Sicherheitsebenen Da Bedrohungen immer komplexer werden, wachsen auch die Sicherheitsanforderungen. Zur Maximierung der Netzwerksicherheit in Unternehmen ist ein mehrschichtiger Schutzmechanismus erforderlich, der Schutz gegen die verschiedenen Angriffsmethoden bei Netzwerkbedrohungen und Sicherheitslücken bietet: Anti-Virus zur Identifizierung und Abwehr von Malware Anti-Bot zur Aufdeckung und Verhinderung von Schäden durch Bots IPS zum proaktiven Schutz vor Eindringlingen Web-Kontrolle URL Filtering und Anwendungskontrolle zur Verhinderung von Zugriffen auf Websites, die Malware hosten oder verbreiten Echtzeit-Sicherheitsinformationen und globale Zusammenarbeit Intelligente Überwachung, die proaktive Datenanalysen liefert 017

18 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT : Ein Jahr des Hacktivismus Die politischen Turbulenzen, die im Jahr 2010 mit dem Arabischen Frühling begannen, setzten sich auch 2012 mit verschiedenen Protestbewegungen in weiteren Ländern fort. Es ist daher keine Überraschung, dass eine Welle ideologisch motivierter Cyber-Angriffe entstand. Der Apple-Zulieferer Foxconn wurde von einer Organisation gehackt, die sich selbst Swagg Security nennt. Dieser Angriff fand offensichtlich aufgrund von Medienberichten statt, die über schlechte Arbeitsbedingungen in den Werken des Herstellers in China berichteten. 14 Die Hacktivismus-Gruppierung Anonymous behauptete, einen Website-Server des US-amerikanischen Justizministeriums für das Bureau of Justice Statistics gehackt zu haben und veröffentlichte 1,7 GB gestohlene Daten. Die Organisation verbreitete folgende Aussage zu den gestohlenen Daten: Wir veröffentlichen sie, um der Korruption Einhalt zu gebieten und diejenigen, die unterdrückt werden, wirklich zu befreien. 15 Die Websites und -Server des Vatikans wurden ebenfalls gehackt. Der Angriff durch Anonymus dauerte eine Woche. Die Gruppierung rechtfertigte diese Aktion mit der Behauptung, dass leistungsstarke Sender des Vatikan-Radios in ländlichen Gebieten außerhalb von Rom angeblich ein Gesundheitsrisiko darstellten. Die Gruppe behauptete weiterhin, dass diese Sender Leukämie und Krebs bei Menschen auslösten, die in der Nähe lebten. Außerdem behauptete Anonymous weiter, der Vatikan habe die Nazis unterstützt, historisch wertvolle Bücher zerstört und seine Geistlichen hätten Kinder sexuell belästigt. 16 Mit einem weiteren Cyber-Angriff legten Hacker der Gruppe Anonymous die Websites der Handelsgruppen U.S. Telecom Association und TechAmerica lahm. Diese Angriffe wurden anscheinend durchgeführt, da diese Unternehmen die Gesetzesvorlage zur Cyber-Sicherheit des Abgeordneten Mike Rogers unterstützen. Dieser Gesetzesvorschlag würde es privaten Unternehmen und der Regierung der USA ermöglichen, Informationen, die direkt eine Schwachstelle eines oder eine Bedrohung für ein Computer netzwerk darstellen, freizugeben. 17 Eingehende schädliche Daten aufhalten Unternehmen benötigen eine Anti-Malware-Lösung zur Überprüfung von Dateien, die in das Netzwerk eingehen. Diese muss in Echtzeit entscheiden können, ob die Dateien von Malware befallen sind. Die Lösung sollte schädliche Dateien davon abhalten, Unternehmensnetzwerke zu infizieren und außerdem den Zugriff auf Webseiten mit Malware verhindern, die versuchen, Drive-By-Downloads auszuführen. Mehrschichtiger Bot-Schutz Schutz vor Bots besteht aus zwei Phasen: Aufdeckung und Abwehr. Zur Maximierung der Möglichkeiten, Bots in einem Netzwerk zu erkennen und alle Aspekte des Bot-Verhaltens abzudecken, ist ein mehrschichtiger Aufspürmechanismus für Bots erforderlich. Eine Sicherheitslösung zum Aufspüren von Bots sollte eine Reputationsprüfung enthalten, die IP, URL und DNS erkennt, die zur Verbindung mit einem Bot-Netz von Kriminellen aus der Ferne verwendet werden. Außerdem ist es sehr wichtig, dass dieser Schutz die unverwechselbaren Kommunikationsmuster und Protokolle jeder Bot-Familie erkennt. Das Aufdecken von Bot-Aktionen ist ein weiterer wichtiger Bestandteil des Bot-Schutzes. Die Lösung sollte Bot-Aktivitäten wie Versand von Spam, Klickbetrug und Selbstreplikation erkennen. Die zweite Phase nach dem Erkennen infizierter Computer ist das Blockieren ausgehender Bot-Kommunikation an den Command & Control-Server. Diese Phase schaltet die Bedrohung aus und stellt sicher, dass die Bot-Agents keine sensiblen Daten versenden und auch keine weiteren Anweisungen für schädliche Aktivitäten erhalten. So wird der durch Bots verursachte Schaden sofort begrenzt. Mit diesem Ansatz erleben Unternehmen keine Ausfälle. Benutzer können normal weiterarbeiten, ohne zu bemerken, dass die Kommunikation von Bots blockiert wird. Das Unternehmen ist geschützt, ohne Beeinträchtigung der Produktivität. 018

19 CHECK POINT SICHERHEITSBERICHT _ BEDROHUNGEN FÜR IHR UNTERNEHMEN Globale Zusammenarbeit in Echtzeit Das Problem der Cyber-Angriffe ist zu groß, als dass ein Unternehmen es alleine lösen könnte. Unternehmen haben bessere Chancen, die wachsende Herausforderung zu meistern, wenn sie auf Zusammenarbeit und professionelle Unterstützung setzen. Wenn Cyber-Kriminelle Malware wie Bots und andere Formen komplexer Bedrohungen einsetzen, greifen sie oft massenhaft Seiten und Unternehmen an, um die Erfolgsaussichten zu erhöhen. Wenn Unternehmen diese Bedrohungen einzeln bekämpfen, bleiben viele Angriffe unentdeckt, da die Unternehmen untereinander keine Informationen über die Bedrohungen austauschen. Um moderne Bedrohungen auszuschalten, müssen Firmen daher zusammenarbeiten und Daten austauschen. Nur durch Zusammenarbeit werden Sicherheitsmaßnahmen stärker und effektiver. Intrusion Prevention Intrusion Prevention ist eine zwingend erforderliche Sicherheitsebene im Kampf gegen Cyber-Angriffsmethoden. Eine IPS-Lösung ist notwendig zur intensiven Datenverkehrskontrolle, um Eindringlinge von der Durchbrechung der Sicherheitsvorkehrungen und vom Diebstahl wichtiger Unternehmensdaten abzuhalten. Eine angemessene IPS-Lösung bietet folgende Funktionen: Protokollvalidierung und Erkennung von Anomalien Identifizierung und Ausschaltung von Datenverkehr, der nicht mit Protokollstandards übereinstimmt und Fehlfunktionen von Geräten oder Sicherheitsprobleme hervorrufen kann Verhinderung der Übertragung unbekannter Nutzlasten, die bestimmte Schwachstellen ausnutzen können Verhinderung übermäßiger Kommunikation, die Anzeichen für einen Denial-of-Service-Angriff (DoS) sein kann Bedrohungen erkennen und geeignete Maßnahmen ergreifen Ein guter Überblick über Sicherheitsereignisse und Trends ist ein weiterer wichtiger Bestandteil der Bekämpfung von Cyber-Kriminalität. Sicherheitsadministratoren müssen ständig genau über den Status der Netzwerksicherheit informiert sein, um Bedrohungen und Angriffe auf das Unternehmen zu erkennen. Dies erfordert eine Sicherheitslösung, die einen sehr guten Überblick über die Schutzmaßnahmen ermöglicht und auf entscheidende Informationen sowie potenzielle Angriffe hinweist. Die Lösung sollte außerdem die Möglichkeit bieten, intensive Untersuchungen bestimmter Ereignisse durchzuführen. Eine weitere unverzichtbare Funktion ist die Fähigkeit, auf Basis dieser Informationen sofort Aktionen auszuführen. Dies ermöglicht die Abwehr von Angriffen in Echtzeit oder proaktives Blockieren zukünftiger Bedrohungen. Die Sicherheitslösung muss flexibel und intuitiv verwaltbar sein und so die Bedrohungsanalyse vereinfachen und den Betriebsaufwand für Veränderungen gering halten. Sicherheits-Updates und Support Da sich die Bedrohungen immer wieder ändern, müssen sich die Verteidigungsmaßnahmen gemeinsam mit diesen entwickeln oder ihnen in der Entwicklung voraus sein. Sicherheitsprodukte können aktuelle Malware sowie die neuesten Schwachstellen und Exploits nur effektiv bekämpfen, wenn der Sicherheitsanbieter umfassende Untersuchungen durchführt und regelmäßig Sicherheits-Updates bereitstellt. Erstklassiger Sicherheits-Service basiert auf: Interner Untersuchung des Anbieters und Erhalt von Daten aus verschiedenen Quellen Regelmäßigen Sicherheits-Updates für alle wichtigen Technologien, einschließlich IPS, Anti-Virus und Anti-Bot Unkompliziertem und bequemem Support, Antworten auf Fragen und Probleme, die für die Umgebung des Kunden spezifisch sind 019

20 JÄHRLICHER CHECK POINT SICHERHEITSBERICHT ANWENDUNGEN IM ARBEITSBEREICH VON UNTERNEHMEN Es gibt neue Spielregeln Die Spielregeln haben sich verändert. Internetanwendungen galten früher einmal als Freizeitbeschäftigung: zum Ansehen der Urlaubsfotos von Freunden oder lustiger Filme. Web-2.0-Anwendungen sind jedoch zu essentiellen Geschäftstools für moderne Unternehmen geworden. Wir kommunizieren mit Kollegen, Kunden und Partnern, geben Informationen weiter und erhalten aktuelle Nachrichten und Meinungen. Internet basierte Tools wie Facebook, Twitter, WebEx, LinkedIn und YouTube werden auch in Unternehmen immer wichtiger, da sie als Geschäftsmotoren gelten. In diesem Abschnitt unserer Untersuchung erörtern wir die allgemeinen Risiken von Web-2.0-Anwendungen und ihrer Infrastruktur. Anschließend werfen wir einen Blick auf einzelne Anwendungen, die in den analysierten Unternehmen verwendet werden. Unsere Ergebnisse illustrieren wir mit Ereignissen und Beispielen aus der realen Geschäftswelt. Webanwendungen sind kein Spiele Neuartige Technologien bringen neue Sicherheitsprobleme mit sich. Dies gilt auch für webbasierte Tools. Verschiedene nützliche Internetanwendungen werden von Cyber-Kriminellen verwendet, um Unternehmen anzugreifen. Außerdem können sie Verletzungen der Netzwerksicherheit verursachen. Anwendungen wie Anonymisierungsprogramme, Dateispeicher- und Freigabelösungen, P2P-Filesharing, Remoteverwaltungstools und soziale Medien sind bereits für Angriffe auf Unternehmen genutzt worden. Zahlreiche Plattformen und Anwendungen können für private und geschäftliche Zwecke eingesetzt werden. Jedes Unternehmen muss wissen, welche Anwendungen Mitarbeiter für welche Zwecke nutzen, und eigene Internetrichtlinien festlegen. In 91 % der analysierten Unternehmen setzten Benutzer Anwendungen ein, die Sicherheitslösungen umgehen, Identitäten verschleiern und Datenverluste oder Malware-Infektionen verursachen können, ohne dass sie dies bemerken. SENSIBLE DATEN, DIE IN DEN USA PER P2P- FILESHARING-ANWENDUNGEN VERBREITET WURDEN Im Juni 2012 klagte die amerikanische Federal Trade Commission (FTC) zwei Unternehmen wegen der Offenlegung sensibler Daten in P2P-Filesharing-Netzwerken an. Betroffen waren Tausende von Kunden. Die FTC warf einem der Unternehmen (EPN Inc., ein Inkassobeauftragter mit Sitz in Provo, Utah) vor, vertrauliche Daten mit Sozial- und Krankenversicherungsnummern sowie medizinischen Diagnose codes von Krankenhauspatienten offengelegt zu haben. Sämtliche Computer, die mit dem P2P-Netzwerk verbunden waren, hätten auf die Daten zugreifen können. Dem anderen Unternehmen (einem Fahrzeughändler namens Franklin s Budget Car Sales Inc.) warf die FTC vor, Daten von Kunden in einem P2P-Netzwerk offengelegt zu haben. Dazu gehörten Namen, Adressen, Sozialversicherungsnummern, Geburtsdaten und Führerscheinnummern. 18 Im Jahr 2010 hatte die FTC fast 100 Unternehmen mitgeteilt, dass über ihre Netzwerke persönliche Daten von Kunden und/oder Mitarbeitern den Weg in P2P-Filesharing-Netzwerke gefunden hatten. Jeder Benutzer dieser Netzwerke hatte die Möglichkeit, die Daten für Identitätsdiebstahl und andere betrügerische Handlungen zu verwenden