Coinminer – So schützen Onlinehändler ihre Rechner vor Bitcoin-Schürfer

Stellen Sie sich Folgendes vor: Sie sind Hauptfigur in einem Krimi. Sie werden als Ermittler an den Tatort eines Verbrechens gerufen. Sie dürfen den Tatort – einen Serverraum – zwar sehen, aber nur durch einen Türspion. Notizblock, Diktiergerät, Smartphone, Maßband oder Kamera müssen draußen bleiben. Und der einzige Zeuge hat zwar die Tat unmittelbar beobachtet, ist aber schwerhörig, hochgradig sehbehindert, kann sich an nichts erinnern, was länger als zwei Stunden her ist und kaum jemand in der Firma kennt ihn richtig. Noch dazu gibt es keine Leiche und es scheint nichts gestohlen worden zu sein. Im Lager fehlt nichts und der Tresor der Geschäftsführung ist unangetastet. „Nur der Stromverbrauch da drin ist höher als sonst“, versucht der Hausmeister zu helfen.

Wie soll man unter diesen Umständen arbeiten? Das ist sehr wahrscheinlich die erste Frage, die Ihnen unter diesen Gegebenheiten durch den Kopf geht. Sie haben zu wenig Informationen – und die Informationen, die es gibt, sind unvollständig. Hier ist dann detektivische Kleinarbeit gefragt, so wie in unserem Fall. Der einzige verwertbare Anhaltspunkt ist der erhöhte Stromverbrauch. Aber was soll diese Information bringen? Der Tatort ist ein Serverraum. Darin befinden sich viele Rechnersysteme. Die verbrauchen Strom. Je mehr sie zu tun haben, desto mehr Strom benö­tigen sie. Es muss also in den letzten Tagen etwas passiert sein, was den Stromverbrauch erhöht hat. Hier steckt unsere erste konkrete Spur, und wir sind mittendrin im Thema.

Jede Kryptowährung benötigt Rechenleistung. Gerade populäre Währungen wie Bitcoin benötigen eine ganze Menge an Rechenkapazität, um neue Coins zu schürfen. Das kostet Zeit, Energie und Geld. Aus Sicht eines Angreifers mit ausreichend krimineller Energie liegt es hier nahe, die Kosten jemand anderem aufzubürden. Es ist für die Täter auch logisch, diese Ressourcen dort zu suchen, wo viel davon vorhanden ist – vor allem in Rechenzentren und Firmennetzen. Hier kommen sogenannte Coinminer ins Spiel. Wie der Schadcode den Weg in ein Netzwerk findet, dürfte wenig überraschen. Es sind die Klassiker, die auch für alle anderen Schadprogramme gelten: Mailanhänge, verseuchte Links, Social Engineering und kompromittierte Zugänge.

Je nachdem, wie geschickt sich Täter anstellen, bleiben sie mitunter monatelang unentdeckt. Coinminer sind das ultimative „Get rich quick“-Modell: Minimaler Invest, maximaler Profit, geringes Ergreifungsrisiko. Warum unerwünschtes Co­inmining kein „Verbrechen ohne Opfer“ ist, erklärt sich von selbst. Von dem illegal platzierten Coinminer beanspruchte Rechenleistung steht nicht für geschäftliche Zwecke zur Verfügung. Das wiederum kann beispielsweise direkte Auswirkungen auf die Zuverlässigkeit und Verfügbarkeit von Shopsys­temen haben. Zudem treibt die erhöhte Systemlast auch die Energiekosten in die Höhe. Der verstärkte Verschleiß an Hardware führt perspektivisch zu weiteren Mehrkosten, wenn Komponenten vorzeitig ersetzt werden müssen.

Doch Coinminer sind nicht das einzige Problem: Wenn es jemand geschafft hat, einen Coinminer in einem Firmennetz unterzubringen, was hält dieselbe Person oder Gruppe von Drastischerem ab? Ob Ransomware oder Coinminer – beides ist in erster Linie Software, die sich installieren und verteilen lässt. Zyniker würden sagen: „Wer „nur“ einen Miner im Netzwerk hat, der kann sich sogar fast glücklich schätzen.“ Wo IT-Systeme der Kern des eigenen Geschäfts sind, steht und fällt das Unternehmen mit den drei Fundamenten der IT-Sicherheit: Vertraulichkeit, Verfügbarkeit und Integrität von Daten und Systemen. Gibt eines davon nach, gibt es ein Problem. Und das Vorhandensein eines Coinminers kann durchaus bedeuten, dass mindestens eines dieser Fundamente „still“ versagt hat und das Gesamtgebäude der IT-Sicherheit nur von außen noch intakt aussieht. Darunter lauert aber oft eine Mischung aus Datenschutzverstößen, jahrelang angehäuften technischen Schulden und halbfertigen Prozessen.

Manche Unternehmen sind sehr zurückhaltend, wenn es um die Aufdeckungen von Missständen bei der eigenen Sicherheit geht. Ein Grund dafür ist sicherlich die Angst vor öffentlicher Bloßstellung. Und so sehen sich oft genug Sicherheitsverantwortliche unserem Eingangsszenario gegenüber, das vielleicht besser in eine Sherlock-Holmes-Geschichte passen würde. Wie lässt sich verhindern, dass ein Unternehmen zur Cash Cow von Kriminellen wird?

Thema Coinminer: Dreh- und Angelpunkt des gesamten Falls sind fehlende Informationen

Die Seh-, Hör,- und Gedächtnisschwäche des Logservers – unseres einzigen Zeugen – lässt sich durch besseres Logging beheben. Und wenn mehr Menschen mit ihm geredet und ihn nach den richtigen Informationen gefragt hätten, dann hätte es gar nicht erst so weit kommen müssen. Das sind eine Menge Konjunktive für etwas, das im Prinzip einfach ist. Man muss es „nur“ machen.

Über …

Tim Berghoff ist Security Evangelist bei G Data CyberDefense, bildet die Schnittstelle zwischen technischer Komplexität und dem Anwender. Er ist zuständig für eine klare Kommunikation von G Data in der Fachwelt, bei Presse, Händlern, Resellern und Endkunden und spricht oft auf Events.

Kryptowährung als Zahlungsmittel im E-Commerce?

QR-Code abscannen und loslesen!

Lesen Sie auch: https://www.e-commerce-magazin.de/kundenzufriedenheit-warum-die-richtige-payment-strategie-dazu-gehoert/