Ashley Madison stellt eine neue, dunklere Phase des Cyberhackings dar

Ende Juli bestätigte Avid Life Media (ALM) – Eigentümer der Online-Dating-Site Ashley Madison –, dass es Opfer eines massiven Datendiebstahls geworden sei, bei dem möglicherweise die persönlichen Daten und die Identität von Millionen von Ashley-Madison-Benutzern offengelegt worden seien.

Einen Monat später wurden die Befürchtungen des Unternehmens (ganz zu schweigen von denen seiner Benutzer) bestätigt, als die mutmaßlich verantwortlichen Hacker, bekannt als das Impact Team, die Namen, Adressen, Telefonnummern und Kreditkartentransaktionsdaten von rund 32 Millionen Kunden veröffentlichten . Die Informationen wurden über das „Dark Web“ veröffentlicht – eine halbanonymisierte Ecke des Internets, auf die nur mit einem speziellen Tor-Browser und einem Onion-Router zugegriffen werden kann. Natürlich erschienen auch Anweisungen, wie man an die Daten kommt, und in den Boulevardblättern folgte eine Flut von Berichten über Partner, die die persönlichen Daten ihrer besseren Hälfte herausgefunden hatten. In der weiteren Berichterstattung wurde angeklagt, dass es sich bei dem Leck um einen Insider-Job gehandelt habe, und es wurde tiefer darüber nachgedacht, wie und warum viele Menschen die Site tatsächlich nutzen.

Die dunkle Seite

Aus Sicht der Cybersicherheit stellt Ashley Madison jedoch das bislang prominenteste Beispiel einer neuen, düstereren Phase von Cyberangriffen dar. Anstatt einfach nur zu versuchen, Unruhe zu stiften, für Verlegenheit zu sorgen oder ein bisschen Eigenwerbung zu machen, versuchen Cyberkriminelle mit ihren Hacks immer häufiger, Lösegeld zu erpressen. Anfang Juli wurde der Film-Streaming-Dienst Plex gehackt. Der Angreifer versuchte, dem Dienst Geld abzuluchsen . Einen Monat zuvor waren sowohl die Bank of China als auch die Bank of East Asia Opfer eines DDoS-Angriffs geworden, wobei Hacker den beiden Instituten damit drohten, den Angriff auszuweiten, wenn sie nicht eine hohe Summe in Bitcoins zahlten.

Das Impact Team behauptete, der Angriff sei beinahe ein moralischer Kreuzzug gegen das Unternehmen hinter Ashley Madison gewesen. Nach Angaben der Hacker erzielte ALM im Jahr 2014 mit dem Service zur vollständigen Löschung einen Umsatz von 1,7 Millionen US-Dollar. Der Service ermöglicht es Benutzern, den Website-Nutzungsverlauf und personenbezogene Daten gegen eine einmalige Gebühr von 19 US-Dollar zu entfernen. Das Impact Team behauptet, dass dies nicht der Fall sei und die Zahlungsdaten der Benutzer weiterhin zugänglich seien.

Eine 3,2-Milliarden-Dollar-Frage?

Ein wahrscheinlicherer Grund für den Hackerangriff ist jedoch die hochsensible Natur der gestohlenen Informationen und ihr möglicher Geldwert. Stellen Sie sich vor, die 32 Millionen Menschen, deren Daten ins Darknet gelangt sind, wären bereit, 100 US-Dollar für die Entfernung dieser Daten zu zahlen? Wenn Sie nachrechnen (oder wenn Sie es nicht so genau nehmen: die Einnahmen aus Bestechungsgeldern könnten sich auf sage und schreibe 3,2 Milliarden US-Dollar belaufen), wird deutlich, welche Auswirkungen ein Datendiebstahl wie der Hackerangriff auf Ashley Madison haben kann.

Was bedeutet das also für Unternehmen? Ganz einfach: Wir müssen uns ernsthaft mit der Cybersicherheit befassen – und zwar schnell. Unabhängig von Ihrer Meinung zu Ashley Madison und den angebotenen Diensten bleibt der Hack ein Beispiel für die allgegenwärtigen Herausforderungen, denen sich Unternehmen beim Schutz der Daten zahlender Kunden gegenübersehen, und dürfte auch Auswirkungen auf künftige Umsätze haben.

Viele Unternehmen ändern ihre Richtlinien und Schutzmaßnahmen einfach nicht schnell genug, um auf die sich rasch entwickelnden Sicherheitsbedrohungen reagieren zu können. Wenn Sie bisher noch nicht ins Visier geraten sind, haben Sie Glück gehabt. Wenn Organisationen jetzt nicht handeln, werden Hacker weiterhin neue Wege finden, ihre Systeme zu kompromittieren und Daten zu stehlen.  

Den Hackern einen Schritt voraus

Leider gibt es kein Patentrezept zum Schutz vor Hackern. Unternehmen sollten sich jedoch zunächst einmal ansehen, was sie schützen wollen und welche Angriffe Hacker möglicherweise riskieren möchten. Die Vektoren dieser Angriffe sind zunehmend mehrfädig. Beispielsweise ist möglicherweise ein DDoS-Angriff im Gange, doch zielt dieser häufig darauf ab, das Sicherheits- und IT-Team abzulenken, während Hacker Ihre Applications gezielt an anderer Stelle angreifen, um Zugriff auf Ihre Daten zu erhalten. Der übliche Schwerpunkt dieser Angriffe liegt auf den Applications, bei denen ein Hacker die Application oder die Benutzer dieser Applications ausnutzen kann.

Wenn wir die moralische Debatte rund um Ashley Madison einmal beiseite lassen, sollte der Fokus darauf liegen, wie Hacker immer häufiger Firmen überlisten und dabei die persönliche Freiheit oder das Recht auf Anonymität verletzen. Um zu verhindern, dass derartige Angriffe wöchentlich oder sogar täglich zur Tagesordnung werden, müssen die Sicherheitsbranche und Unternehmen aller Sektoren zusammenarbeiten, um den Hackern einen Schritt voraus zu sein.