06.02.2024 - Dem BACS wurde ein Fall gemeldet, bei dem Cyberkriminelle in das Netzwerk einer Privatperson eingedrungen sind. Nach dem Verschlüsseln der privaten Familienfotos und weiterer Daten wurde ein Erpresserschreiben hinterlassen, in welchem eine erhebliche Summe Lösegeld gefordert wurde.
Die Betriebsmodi der privaten Router
Wer zuhause das Internet nutzt, verwendet in der Regel einen so genannten «Router», der als Verbindungspunkt zwischen dem heimischen Netzwerk und dem Internet dient. Meist wird der Router vom Internetprovider zur Verfügung gestellt. Router verwalten den Internetverkehr und die Daten zwischen Geräten in verschiedenen Netzwerken und ermöglichen es mehreren Geräten im internen Netz, dieselbe Internetverbindung zu nutzen. So können verschiedene Mitglieder eines Haushaltes mit ihren Geräten auch den gleichen Internetanschluss nutzen. Ist der Router im sogenannten «Router»-Modus, wird ein privates Netzwerk erstellt und die damit verbundenen Geräte - PCs, Tablets, Handys, usw. - sind damit nicht direkt vom Internet her sicht- und erreichbar. Dies betrifft auch angeschlossene Netzwerk-Speicher-Geräte (Network Attached Storage NAS).
Leider liefern einzelne Provider ihre Geräte immer noch im sogenannten «Bridge»-Modus aus. Das bedeutet, dass keine «Router»-Funktionalität vorhanden ist - was wiederum bedeutet, dass die im Heimnetz betriebenen Geräte direkt mit dem Internet verbunden sind und gegenüber sämtlichen Angriffen aus dem Internet exponiert sind. Das ist unbedingt zu vermeiden, daher sollte beim Provider auf eine Konfiguration im «Router»-Modus bestanden werden. Ausnahmen sind nur dann sinnvoll, wenn man zwischen dem Router und den angeschlossenen Geräten einen separaten Router betreibt. Das ist aber nur für fachlich versierte Anwenderinnen und Anwender empfohlen.
Die Übernahme des NAS Gerätes
Im vorliegenden Fall war der Router des Opfers tatsächlich im empfohlenen «Router»-Modus. Wie und warum konnten die Hacker dennoch eindringen? Das Stichwort heisst «Port Weiterleitung», je nach Gerät auch als «Port Forwarding» oder «Network Address Translation (NAT)» bezeichnet. Dabei wird ein von einem internen Gerät angebotener einzelner Dienst gegen aussen verfügbar gemacht. Das ist in den Fällen nützlich, wenn auf einen Dienst wie einen Dateiserver, eine Überwachungskamera oder die Heizungssteuerung von aussen zugegriffen werden muss. Durch das Öffnen einzelner Ports ist so nicht direkt das ganze Netz, sondern nur dieser Dienst exponiert. Ist dieser Dienst aber nicht genügend geschützt (schwaches Passwort) oder technisch verwundbar, kann es zu einem Eindringen kommen - teilweise mit fatalen Folgen. Genau das ist im aktuellen Fall passiert: Über eine Verwundbarkeit des Netzwerk-Speichersystems konnten die Täter das Gerät übernehmen, sich im Heimnetzwerk ausbreiten und die Daten, wie zum Beispiel die Familienfotos verschlüsseln. Gemäss den Empfehlungen des BACS hat das Opfer kein Lösegeld bezahlt und Anzeige bei der Kantonspolizei erstattet. Die Fotos bleiben aber leider verschlüsselt.
Wann der Router schützt - und wann nicht
Ein Router im «Router»-Modus bietet nur dann hinreichend Sicherheit für das dahinterstehende Heimnetz, wenn dieser mit den aktuellen Sicherheits-Patches versehen ist und keine Port-Weiterleitungen konfiguriert sind, also von aussen keine Dienste erreichbar sind.
Insbesondere darf auch die Router-Administration nicht von aussen sichtbar sein. Alle gängigen Geräte unterstützen die Deaktivierung bzw. sind schon im Auslieferungszustand entsprechend konfiguriert.
Zu beachten ist, dass ein Router jedoch in keinem Fall vor Phishing und Malware schützt. In der Regel sind Verbindungen von innen nach aussen (zum Internet hin) beliebig erlaubt - Phishing und Schadsoftware bedienen sich solcher Verbindungen. Hier sind also weitere Schutzmechanismen gefragt (z. B. Antiviren-Software).
Lösungsansätze zum Schutz des Heimnetzwerkes
Hat man trotz aller Warnungen und Gefahren den Bedarf, einen internen Dienst vom Internet her sichtbar zu machen, gibt es Möglichkeiten, um das Risiko zu mindern.
Updates und gute Passwörter
Einerseits ist es unerlässlich, dass auch im internen Netz alle Geräte bezüglich Aktualisierungen auf dem neuesten Stand sind. Zudem sind zu kurze oder sehr einfache Passwörter zu vermeiden. Das BACS empfiehlt, dass für exponierte Dienste mindestens 12-stellige Passwörter verwendet werden sollten
Schützen Sie Ihre Konten / Passwörter
Nicht alles im selben Netzwerk
Dienste, die gegen aussen sichtbar gemacht werden, sollten idealerweise nicht im selben Teil des Netzwerks (Netzwerksegment) stehen, wie die anderen Heimgeräte. Manche Heimrouter bieten diese Funktion an. Dafür hat sich der Name «DMZ» eingebürgert. «DMZ» steht für «Demilitarisierte Zone». Die Idee ist dabei, dass auch bei einer Kompromittierung des exponierten Gerätes der Rest des internen Netzes geschützt ist.
Netzwerk-Zugriff beschränken
Ob der Zugriff vom ganzen Internet her möglich sein muss, muss gut überlegt sein. Das Stichwort heisst «Geofencing» - das Erlauben des Zugriffs nur aus bestimmten Ländern. Die Router-Hersteller integrieren entsprechende Lösungen teils bereits in ihren Geräten. Um das Durchprobieren von Passwortlisten zu verhindern, ermöglichen einzelne Produkte auch, eine maximale Anzahl von Fehlversuchen zu definieren, nach welchen der Zugang gesperrt wird.
VPN verwenden
Das BACS empfiehlt insbesondere die Verwendung eines VPNs («Virtual Private Network»). Damit erhält man einen authentisierten und verschlüsselten Zugang ins heimische Netz, ohne Dienste direkt exponieren zu müssen. Die meisten Geräte unterstützen eines oder mehrere der gängigen VPN-Protokolle wie IPsec, OpenVPN oder Wireguard.
Wenn immer möglich, sollten exponierte Dienste und VPN-Zugänge mit einem zweiten Faktor geschützt werden (2-Faktor-Authentisierung, kurz «2FA»).
Sind Sie unsicher bezüglich der Sicherheit Ihres Heimnetzes, zögern Sie nicht, sich zum Beispiel von einem versierten Bekannten oder einer spezialisierten Firma beraten zu lassen.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 06.02.2024
