EURO 2024: Veranstalter und Fans im Fokus von Cyberangriffen

Sportsommer in Europa. Welche Cyberrisiken sehen Sie rund um die EURO 2024 sowie den Olympischen und Paralympischen Spielen?

Alexander Peters: Bei der Europameisterschaft kommen erstmals ausschließlich elektronische Tickets über eine Ticket-App der UEFA zum Einsatz. Das Innenministerium äußerte Besorgnis, dass Cyberkriminelle versuchen könnten, das Ticketsystem lahmzulegen. Bei einem solchen Szenario kämen Fans gegebenenfalls nicht ins Stadion. Aber auch schwere Attacken auf Transport- oder Energieinfrastruktur sind genau wie andere terroristische Anschläge natürlich denkbar.

Welche Akteure stecken hinter solchen Angriffen?

Alexander Peters: Vor dem Hintergrund globaler Konflikte sehen wir seit Jahren eine stetig steigende Anzahl von Angriffen, die staatlichen Akteuren zuzuordnen sind. Mehr als 100 Hackergruppen bekennen sich allein im Kontext der aktuellen Eskalation im Nahostkonflikt zu einer Beteiligung. Vieles, was zum Bereich Cybercrime gehört, ist aber auch schlicht kommerziell motiviert – denken Sie an die gefälschten Ticketshops im Vorfeld der EM. 

Was vielen Attacken gemeinsam ist: Die überwältigende Mehrzahl beginnt mit einer E-Mail und gefälschte Webseiten, über die die Angreifer in den Besitz von Zugangsdaten, Informationen oder Geld gelangen, werden nicht zuletzt durch den Einsatz von generativer KI glaubwürdiger. Auch Social Engineering-Attacken nehmen massiv zu.

Gibt es Beispiele von Cyberangriffen bei früheren Sportveranstaltungen?

Alexander Peters: Ein prominentes Beispiel ist der Angriff auf die Olympischen Spiele 2018 in Südkorea, bekannt als „Olympic Destroyer“. Dieser Angriff störte die Eröffnungszeremonie, beeinträchtigte IT-Systeme, das Internet und die Ticketverwaltung. Ein weiteres Beispiel sind die fast 450 Millionen Angriffe auf offizielle Webseiten der mit den Olympischen Spielen 2021 in Japan verbundenen Organisationen. 

Auch die Befürchtung bezüglich der Ticketsysteme kommt nicht von ungefähr. Während großer Turniere wie der Weltmeisterschaft oder der Europameisterschaft wurden mehrfach DDoS-Angriffe auf Ticketverkaufsplattformen durchgeführt, um diese lahmzulegen und den Verkauf zu stören. Ebenfalls im Jahr 2018 wurde die FIFA selbst Ziel eines Angriffs, bei dem Hacker vertrauliche Informationen stahlen und veröffentlichten. Diese Angriffe wurden im Zusammenhang mit der Enthüllung des russischen Doping-Skandals gesehen, da viele der gestohlenen Daten Informationen über Dopingtests enthielten. Die Gruppe hinter den Angriffen wurde mit der russischen Hackergruppe „Fancy Bear“ in Verbindung gebracht, die mutmaßlich auch hinter den jüngsten Attacken auf die SPD und auf Rüstungs-IT steht.

Was sind die größten Schwachstellen bei einer Veranstaltung wie der EURO 2024?

Alexander Peters: Es wäre anmaßend, mich zu etwaigen Schwachstellen zu äußern. Aber natürlich gibt es bei prestigeträchtigen Veranstaltungen immer eine menschliche Komponente. Von einem renommierten Cybercrime-Experten habe ich die folgenden Bestandteile eines Betruges gelernt: Falsche Identität, Zeitdruck, Emotion und Ausnahme. Bei Eintrittskarten für EM-Spiele sind die Faktoren „Zeitdruck“ und „Emotion“ sehr stark. Menschen lassen sich leichter dazu überreden, eine Ausnahme zu machen und leichtfertig auf einen Link zu klicken, Geld an ein unbekanntes Konto zu überweisen oder einen Anhang ungeprüft zu öffnen.

Falsche Identitäten lassen sich insbesondere bei E-Mails leider immer noch sehr leicht umsetzen, obwohl Schutzmaßnahmen verfügbar sind. Quishing-Angriffe – also Phishing-Angriffe, die QR-Codes verwenden – sind beispielsweise eine wachsende Bedrohung. Generative KI macht falsche Identitäten glaubwürdiger, indem etwa Stimmen von vertrauenswürdigen Personen nachgeahmt oder Deep Fake-Videos eingesetzt werden. Das ist auch ein großes Problem für die gesellschaftliche Resilienz gegenüber Falschinformationen. Das BSI hat darauf im Kontext der EM explizit hingewiesen.

Was können Veranstalter und Unternehmen tun, um sich gegen Cyberrisiken zu schützen?

Alexander Peters: Unternehmen und Veranstalter müssen Sicherheitskonzepte implementieren und regelmäßig testen. Dazu gehört die Schulung von Personal im Bereich Cybersicherheit. Es ist wichtig, dass Mitarbeiter Phishing-Mails erkennen und wissen, wie sie mit verdächtigen Aktivitäten umgehen. Übungen zur Simulation von Cyberangriffen, sogenannte Penetrationstests, helfen, die Reaktionsfähigkeit zu verbessern und Schwachstellen im System aufzudecken. In Frankreich haben Cybersicherheitsexperten vor der Olympiade den Ernstfall geübt: Bei einem Hockeyturnier wurden Hacker gebeten, Sicherheitslücken zu finden.

Der Einsatz fortschrittlicher Technologien zur Erkennung und Abwehr von Bedrohungen ist ebenfalls wichtig. Dazu zählen E-Mail-Sicherheitssysteme, die schädliche Anhänge und Links erkennen und blockieren, sowie Cloud-Lösungen, die Datenverschlüsselung und kontinuierliche Überwachung bieten. Auch Collaboration Tools benötigen zusätzlichen Schutz, da sie es Hackern leicht machen, die Identität einer vertrauenswürdigen Person anzunehmen.

Ein weiterer wichtiger Aspekt mit Blick auf den menschlichen Faktor ist das Human Risk Management, also besondere Schutzmaßnahmen für gefährdete Individuen, wie Führungskräfte oder prominente Persönlichkeiten. Sie sollten zusätzliche Schulungen und personalisierte Sicherheitsprotokolle erhalten. Dazu gehört die regelmäßige Überprüfung und Aktualisierung ihrer Sicherheitsmaßnahmen, die Verwendung von sicheren Kommunikationsmitteln und die Beratung durch Cybersicherheitsexperten.

Und was raten Sie Fans?

Alexander Peters: Fans sollten auf offizielle Ticketplattformen und Webseiten zugreifen, starke Passwörter verwenden und Zwei-Faktor-Authentifizierung aktivieren, um ihre Konten zu schützen. Sie sollten wachsam gegenüber E-Mails oder auch Chatnachrichten sein, die ungewöhnliche oder verdächtige Links und Anhänge enthalten. Im Zweifel sollte die Echtheit der E-Mail durch direkten Kontakt mit der offiziellen Quelle überprüft werden. Geräte und Anwendungen sollten auf dem neuesten Stand gehalten werden, um Sicherheitslücken zu schließen. Regelmäßige Updates und Patches sind essenziell für den Schutz vor Cyberangriffen.

Viele unterschätzen die Effizienz dieser wenigen und vergleichsweise einfachen Maßnahmen. Die Zwei-Faktor-Authentifizierung reduziert das Risiko von Kontoübernahmen um bis zu 99 Prozent. Regelmäßige Updates und Patches können das Risiko von Exploits und Sicherheitslücken um bis zu 85 Prozent reduzieren. Ungepatchte Systeme sind dagegen ein offenes Tor für Cyberkriminelle.

Welche Rolle spielen E-Mails und Collaboration Tools bei Cyberattacken?

Alexander Peters: E-Mail- und Collaboration-Tool-Sicherheit spielen eine zentrale Rolle, da ein Großteil der Kommunikation und Koordination über diese Kanäle erfolgt. Es ist wichtig, dass Systeme zur Erkennung von Phishing und Quishing implementiert sind, um Angriffe abzuwehren. Besondere Vorsicht ist bei verdächtigen Links geboten. Im vierten Quartal 2023 war für Benutzer erstmals das Risiko höher, auf einen bösartigen Link zu stoßen als auf einen bösartigen Anhang. Da Nutzer als Spam oder Phishing gekennzeichnete E-Mails ignorieren oder gar nicht erst erhalten, gehen Angreifer zunehmend dazu über, Malware statt als Dateianhang über Links einzuschleusen, die schlussendlich auf Phishing-Websites führen.

Viele Unternehmen vertrauen auf die eingebauten Sicherheitsfunktionen von Google Workspace oder Microsoft 365. Da jedoch 95 Prozent des Cloud-E-Mail-Verkehrs über diese beiden Dienste abgewickelt wird, sind sie ein bevorzugtes Ziel für Angreifer, die es immer wieder schaffen, die Schutzmechanismen zu umgehen. Zusätzliche Sicherheitslösungen bedeuten eine weitere Schutzschicht, die es Angreifern deutlich schwerer machen. Das ist genau wie bei Fahrradschlössern: Es gibt zwar nie eine hundertprozentige Sicherheit, aber jedes zusätzliche Schloss kostet den Angreifer Zeit, in der er ertappt werden kann. KI-unterstützte Secure E-Mail Gateways (SEG) filtern gefährliche E-Mails heraus, bevor diese den E-Mail-Server überhaupt erreichen. Schutzkonzepte müssen die gesamte IT-Umgebung, einschließlich Collaboration-Tools, umfassen.

Welche Vorkehrungen wurden getroffen, um Attacken zu verhindern?

Alexander Peters: Deutschland als Ausrichter hat im Vorfeld erheblich in Abwehrmaßnahmen investiert, sei es durch die Stärkung der nationalen Cybersicherheitsinfrastruktur, durch die Erarbeitung von Sicherheitshinweisen, die Zusammenarbeit mit Partnern, die Durchführung von Sicherheitsüberprüfungen und Simulationen oder die Information der Öffentlichkeit.

Auch Technologien zur Bedrohungserkennung und -abwehr wurden im Kontext der EURO 2024 verstärkt angefragt und implementiert. Dazu zählen die genannten Secure E-Mail Gateways (SEG). Ebenso Web Application Firewalls (WAF), die Webanwendungen wie Ticketverkaufsplattformen schützen, indem sie bösartigen Datenverkehr identifizieren und blockieren. Das verhindert etwa Angriffe wie SQL-Injections und Cross-Site Scripting (XSS), die darauf abzielen, Schwachstellen in Webanwendungen auszunutzen. Bot-Management-Lösungen erkennen und blockieren bösartige Bots, die versuchen, Plattformen zu überlasten oder zu manipulieren. Sie schützen vor automatisierten Angriffen wie Denial-of-Service (DoS) und Ticket-Scraping. So genannte Intrusion Detection and Prevention Systems (IDPS) überwachen Netzwerke und Systeme auf verdächtige Aktivitäten und potenzielle Bedrohungen.

ist SE Leader DACH beim Cybersecurity-Spezialisten Mimecast.