IT Essentials: Die Teenager-Rebellion

Wie kommt es, dass eine Gruppe von Teenagern riesigen, hochentwickelten Organisationen massiven Schaden zufügen kann?

Bild: KI

Die Jugend von heute, nicht wahr? Was ist aus den guten alten Zeiten geworden, als junge Leute sich noch an Stränden prügelten, auf Parkbänken ohnmächtig wurden und an Straßenecken herumhingen und illegale Substanzen konsumierten? Wenn man ihnen heute den Rücken zukehrt, hacken sie sich in große Unternehmen, Supermarktketten oder Verkehrsbetriebe.

Zwei britische Teenager wurden wegen ihrer mutmaßlichen Beteiligung an einem Angriff auf Transport for London (TfL) vor Gericht gestellt, der das Unternehmen 39 Millionen Pfund gekostet und den Betrieb drei Monate lang lahmgelegt hatte.

In den USA wurde ein mutmaßliches Mitglied derselben Bande, Scattered Spider, diese Woche in Las Vegas in die Obhut seiner Eltern übergeben, nachdem er im Alter von 15 Jahren wegen des Verdachts des Hackens von Casinos verhaftet worden war, was MGM mehr als 100 Millionen Dollar Schaden zugefügt hatte.

Mitglieder von Scattered Spider waren auch an Angriffen auf M&S und die Co-op sowie viele andere beteiligt. Drei von vier Personen, die im Juli im Zusammenhang mit diesen Vorfällen festgenommen wurden, waren unter 20 Jahre alt.

Und wenn man noch etwas weiter zurückblickt, gab es Lapsus$, die Teenager-Bande, die Okta, Samsung, Microsoft und Nvidia mit einer Reihe von Cyberangriffen heimgesucht hat, bevor sie 2022 gefasst wurde.

Geht man noch weiter zurück (denn natürlich handelt es sich hierbei keineswegs um ein neues Phänomen), findet man zahlreiche Beispiele von Personen, die gerade erst die Schuluniform abgelegt haben (oder sogar noch tragen) und Raubüberfälle auf Unternehmen begehen, um Geld oder Lolz zu erlangen.

Natürlich sind es nicht immer Kinder. Der Verdächtige im Fall der Störung der Gepäckabfertigung am Flughafen in dieser Woche ist mit seinen 40 Jahren schon ziemlich alt. Aber ein Großteil der Festgenommenen ist sehr jung. Das wirft einige interessante Fragen auf.

Verfügen junge Menschen über besondere Fähigkeiten, die mit Erreichen des 20. Lebensjahres verkümmern? Das scheint unwahrscheinlich. Vielmehr haben sie viel Zeit, sind ständig vernetzt, sehr statusbewusst und neigen dazu, sich gegenseitig zu einem noch riskanteren Spiel anzustacheln.

Sind sie diejenigen, die am ehesten gefasst werden? Mit ziemlicher Sicherheit ja. Diejenigen, die weiter oben in der Nahrungskette stehen, sind vorsichtiger, lassen sich weniger auf Wagnisse ein und verraten sich seltener.

Die wichtigste Frage ist jedoch, wie es einer Gruppe von Teenagern gelingt, großen, hoch entwickelten Organisationen Jahr für Jahr immer wieder massiven materiellen, finanziellen und Reputationsschaden zuzufügen, obwohl diese Organisationen Millionen für IT-Sicherheit ausgeben.

Seien wir ehrlich: Wenn Kinder es schaffen, all diese wunderbaren Sicherheitsvorkehrungen zu umgehen, muss es für alle anderen ein Kinderspiel sein.

Sind die Investitionen in Cybersicherheit vergebene Liebesmüh?

Nein!

Aber vielleicht sind die Millionen einfach falsch investiert.

Empfohlene Lektüre

Scattered Spider-Angriffe beginnen häufig damit, dass ein Drittanbieter angerufen wird, sich als IT-Support ausgibt und ihn dazu verleitet, Passwörter herauszugeben. Penny Horwoods Blick auf die Gemeinsamkeiten von JLR, Co-op und M&S zeigt auf ausgelagerte Sicherheitsdienste. Die Auslagerung Ihrer Cybersicherheit mag kurzfristig günstiger sein, kann sich aber langfristig als äußerst kostspielig erweisen. Und da die Regierung erwägt, einige betroffene Unternehmen zu retten, könnten wir alle am Ende dafür bezahlen müssen.

Und wenn Sie zu den bedrängten Cybersicherheitsexperten gehören, die die Aufgabe haben, Horden von Kindern (und anderen) abzuwehren, hat CISO Don Gibson, der aufgrund von Stress eine Nahtoderfahrung hatte, einen Ratschlag für Sie: Seien Sie freundlich zu sich selbst.