Ransomware bei Comparis, Blackout bei der Swisscom

Das war keine gute Woche für die IT-Sicherheit. Und ob das nicht genügend Hiobsbotschaften gewesen wären, ist auch noch eines der bekanntesten Open-Source-Programme auf die schiefe Bahn geraten.

Das war keine gute Woche für den Informatikstandort Schweiz: Die Website von Comparis wurde durch einen erpresserischen Schadsoftware lahmgelegt. Die Angreifer haben Lösegeld in Höhe von 400’000 Dollar gefordert. Gezahlt wurde offenbar nicht, wie es im Beitrag beim «Tagesanzeiger» heisst.

Dabei [bei der Wiederherstellung der Website] habe dem Unternehmen geholfen, dass es regelmässig «Backups» ihrer Daten angelegt habe, wie der Sprecher bestätigte.

Ich würde Backups nicht in Anführungszeichen setzen, ehrlich gesagt. Sondern eher doppelt unterstreichen, mit Fettdruck versehen und rot auszeichnen. Denn man kann sie in Zeiten erpresserischer Verschlüsselungssoftware nicht ernst genug nehmen.

Apropos: Auch die Ransomware-Attacke auf die mit der VSA-Software von Kaseya betriebenen Server ist erst eine Woche her.

Erst klauen, dann verschlüsseln

In den Medienberichten habe ich keine schlüssigen Hinweise gefunden, wie es bei den betroffenen Unternehmen um die Backups bestellt ist. Allerdings berichtet der «Deutschlandfunk», es habe sich um eine doppelte Erpressung gehandelt: Daten sind nicht nur verschlüsselt, sondern auch abgesagt worden:

Auch Firmen, die aktuelle Backups ihrer Daten haben, werden voraussichtlich bezahlen. Denn die Strategie der Online-Kriminellen hat sich geändert. (…) Sie saugen sensible Daten ab, verschlüsseln dann. Das Erpressungsgeschäft verläuft zweistufig: Erstens wird für den Schlüssel bezahlt und zweitens dafür, dass die sensiblen Daten nicht veröffentlicht werden.

Das ist perfid, aber auch naheliegend – und vielleicht ein Zeichen dafür, dass die meisten Unternehmen ihre Hausaufgaben in Sachen Backup inzwischen zuverlässig erledigen. Das führt dazu, dass reine Kryptotrojaner ins Leere laufen und der Datendiebstahl als das lukrativere cyberkriminelle Geschäftsmodell erscheint.

#Swisscomblackout – schon wieder!

Und als ob das nicht genügend Internet-bezogene Hiobsbotschaften gewesen wären, sind hier in der Schweiz heute grossflächig die Festnetzanschlüsse ausgefallen, selbst die Notrufnummern waren betroffen. Gemäss SRF hat die Störung kurz vor Mitternacht begonnen und bis am Vormittag bis knapp vor acht Uhr gedauert.

Der Swisscom-Mediensprecher Sepp Huber wird in dem Beitrag mit folgender Erkenntnis zitiert:

Jede Störung ist unschön.

Wenn man bei der schönen Vokabel bleiben möchte, dann würde man diese Stellungnahme als beschönigend bezeichnen.

Auch sonst zeichnet sich die Erklärung der Swisscom durch einen enorm kleinen Informationsgehalt aus. Die Ursache wird wie folgt beschrieben:

Es lag eine technische Störung vor, ein Fehlverhalten eines Systems.

Ich weiss nicht, ob man sich noch vager hätte ausdrücken können.  Meines Erachtens sagt man besser nichts, als die Leute dann noch mit solchen Plattitüden abzuspeisen.

Es ist nicht die erste Panne dieser Art bei der Swisscom, und noch nicht einmal der erste Ausfall, bei dem die Notrufnummern betroffen war. Schon im Februar 2020 habe ich über ein solches Blackout berichtet.

Die Swisscom hat damals Besserung versprochen – und an dieses Gelöbnis wird sie nun im «Blick» erinnert. Die Zeitung zitiert den SP-Nationalrat Jon Pult, der eine klare Vorstellung hat, wo das Problem liegt:

In der Führungskultur der Swisscom. Sie spiele sich gern als grosser Tech-Konzern auf, anstatt sich als Unternehmen im Dienst der Bevölkerung und Volkswirtschaft zu sehen. «Die Swisscom muss den Service-public-Gedanken wieder ins Zentrum stellen – und zwar subito. Wenn das aktuelle Management das nicht hinbekommt, braucht es eben ein neues.»

Eine überaus treffende Analyse.

Harsche Vorwürfe an Audacity

Angesichts dieser Probleme mutet die Meldung von Heise.de, über die ich mich am Dienstag aufgeregt habe, zwar fast schon harmlos an. Im Beitrag Audacity: Sind wir schon Spyware? geht es um den (hier vorgestellten) freien Audio-Editor, der inzwischen gar nicht mehr so frei ist. Er wurde im Mai 2021 an die Muse Group verkauft, die u.a. Software für Notenblätter herstellt.

Sie sieht sich nun happigen Vorwürfen ausgesetzt. Bei «Foss Post» liest sich das wie folgt:

Die Muttergesellschaft ist ein multinationales Unternehmen. Es versucht, einen Datensammelmechanismus zu integrieren. Obwohl Audacity ein normales Desktop-Programm ist, wollen seine Entwickler es dazu bringen, diverse Daten von den Rechnern der Benutzer abzugreifen.

Verwiesen wird dann auf die Datenschutzrichtlinien, die unter anderem besagt, dass jegliche Benutzerdaten an staatliche Aufsichtsbehörden weitergeben weitergegeben werden könnten.

Nun liegt es im Auge des Betrachters, was man davon hält. Jede x-beliebige App auf dem Smartphone tut solche und ähnliche Dinge, manche in einem viel weitergehenden Mass. Der «normale» Anwender wird, wenn er sich dieses Umstands überhaupt bewusst ist, in den Aktivitäten von Muse nichts Aussergewöhnliches sehen.

In der Gemeinschaft der freien Software sieht man das naturgemäss anders: Hier ist die komplett anonyme Nutzung ohne jegliche «Phone-home»-Mechanismen eines der bedeutenden Merkmale, die die freie und offene Software auszeichnet.

Ich finde, absolut zu Recht: Es braucht eine Gegenbewegung zu den Produkten, die routinemässig und meist mit sehr dünner Legitimation Daten sammeln, als gäbe es kein Morgen. Nutzer, die das nicht wollen, brauchen echte Ausweichmöglichkeiten. Darum zeugt es nicht von besonderem Fingerspitzengefühl, wenn nun einer der «Leuchttürme» der freien Software mit Trackern ausgestattet wird.

Das Schöne an offener Software ist, dass sich niemand mit einer solchen Situation abfinden muss. Unter dem Namen Tenacity ist bei Github bereits eine Abspaltung (Fork) von Audacity zu finden, in der es keine Telemetrie und keine automatischen Crash-Reports gibt.

Beitragsbild: Transparentes Haus, nicht ganz so transparente Kommunikation (Claudio Schwarz, Unsplash-Lizenz).

Autor: Matthias

Computerjournalist, Familienvater, Radiomensch und Podcaster, Nerd, Blogger und Skeptiker. Überzeugungstäter, was das Bloggen angeht – und Verfechter eines freien, offenen Internets, in dem nicht alle interessanten Inhalte in den Datensilos von ein paar grossen Internetkonzernen verschwinden. Wenn euch das Blog hier gefällt, dürft ihr mir gerne ein Bier oder einen Tee spendieren: paypal.me/schuessler

Kommentar verfassen