Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

[datensicherheit.de, 18.05.2024] „Vor Kurzem wurde bekannt, dass ein Mitarbeiter eines Entwicklungsunternehmens für Passwortmanager das Ziel eines Deepfake-Phishing-Angriffs wurde, bei dem sich der Angreifer als ,CEO’ des Unternehmens ausgab“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in einer aktuellen Stellungnahme. In diesem Fall sei positiv zu vermelden: „Dank seiner Schulung konnte der Mitarbeiter jedoch die verdächtigen Anzeichen des Angriffs rechtzeitig erkennen und ließ sich nicht täuschen.“ Dieser Vorfall mache indes deutlich, „wie hoch das Risiko solcher Angriffe ist und dass sie Unternehmen jeder Branche betreffen können“. Zugleich zeige er, wie entscheidend die Sensibilisierung der Mitarbeiter für eine wirksame Verteidigung sei.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Deepfakes nutzen generative KI, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen!

Kontaktierter Mitarbeiter erkannte Deepfake-Angriff und machte Meldung

Bei dem besagten Vorfall habe ein Mitarbeiter mehrere Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht erhalten, welche alle durch den Einsatz von Deepfake-Technologie die Stimme des „CEO“ nachgeahmt hätten. Der betreffende Mitarbeiter habe jedoch verdächtige Merkmale des Angriffs bemerkt: „Die Kommunikation fand außerhalb der üblichen Geschäftskanäle statt und es wurde eine künstliche Dringlichkeit vermittelt.“ Daraufhin habe er den Vorfall umgehend dem internen Sicherheitsteam gemeldet.

IT-Sicherheitsexperten warnten zudem vor der zunehmenden Verbreitung von Deepfake-Technologien und betonten, wie wichtig es sei, das Bewusstsein für derartige Angriffe zu schärfen. Dr. Krämer führt hierzu aus: „Deepfakes nutzen generative Künstliche Intelligenz, um Audio- und/oder visuelle Muster zu kombinieren und so authentisch wirkende Aufnahmen zu erstellen.“ Diese Technologie sei nicht nur mit politischer Desinformation in Verbindung gebracht worden, sondern gebe auch im privaten Sektor zunehmend Anlass zur Sorge, da sie leicht zugänglich sei und potenziell für betrügerische Aktivitäten genutzt werden könne.

Deepfake-Phishing-Angriffe haben für Unternehmen erhebliches Schadens-Potenzial

„Einmal erfolgreich durchgeführt, könnten solche Angriffe schwerwiegende Konsequenzen haben“, warnt Dr. Krämer. Von der Offenlegung vertraulicher Informationen bis hin zu finanziellen Verlusten oder sogar dem Zugang zu sensiblen Systemen und Datenbanken könnte ein Deepfake-Phishing-Angriff erhebliche Schäden verursachen. Die Tatsache, dass der Mitarbeiter in diesem Fall die verdächtigen Merkmale des Angriffs erkannt und reagiert habe, zeige, dass eine umfassende Schulung und Sensibilisierung für solche Bedrohungen unerlässlich seien.

„Die potenziellen Auswirkungen von Deepfake-Angriffen auf Unternehmen sind vielfältig und können von Rufschädigung bis hin zu finanziellen Verlusten reichen.“ Daher sei es entscheidend, dass Unternehmen nicht nur auf reaktive Maßnahmen setzten, sondern auch proaktiv handelten, um sich gegen diese Bedrohungen zu wappnen. Dr. Krämer betont: „Das umfasst nicht nur technologische Lösungen, sondern auch eine Sensibilisierung der Mitarbeiter für die Risiken von Deepfakes und die Förderung einer Sicherheitskultur und Wachsamkeit in der gesamten Organisation!“ Letztendlich erfordere der Kampf gegen Deepfake-Bedrohungen eine ganzheitliche Strategie, die sowohl technologische Innovationen als auch menschliche Intelligenz umfasse.

Weitere Informationen zum Thema:

datensicherheit.de, 20.02.2024
Deepfakes: Vielfältige Betrugsversuche / Es gibt aber auch konstruktive Anwendungen für Deepfake-Prinzipien

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

[datensicherheit.de, 18.05.2024] Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben nach eigenen Angaben eine neue Zero-Day-Schwachstelle in „Windows“ mit der Bezeichnung „CVE-2024-30051“ gefunden. Diese Entdeckung wurde demnach im Zuge der Untersuchung der „Windows DWM Core Library Elevation of Privilege“-Schwachstelle („CVE-2023-36033“) Anfang April 2024 gemacht. Ein Patch sei am 14. Mai 2024 im Rahmen des „May Patch Tuesday“ von Microsoft veröffentlicht worden.

Auf VirusTotal aufgetaucht: Hinweis auf potenzielle Windows-Sicherheitslücke

„Am 1. April 2024 erregte ein auf ,VirusTotal’ hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im ,Windows’-Betriebssystem hin.“ Trotz gebrochenen Englischs und der fehlenden Details (wie die Schwachstelle ausgelöst werden kann), habe das Dokument einen Exploit-Prozess beschrieben, der jenem vom Zero-Day-Exploit für „CVE-2023-36033“ geglichen habe, obwohl sich diese Schwachstellen voneinander unterschieden.

Das Team habe vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem habe es seine Untersuchung fortgesetzt. „Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.“

Kaspersky habe seine Erkenntnisse umgehend an Microsoft gemeldet – anschließend sei die Schwachstelle verifiziert und als „CVE-2024-30051“ bezeichnet worden.

Global Research & Analysis Team untersuchte Zero-Day-Schwachstelle in Windows

Nach dieser Meldung hätten die Kaspersky-Experten begonnen, „die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen“. Mitte April 2024 habe das Team einen Exploit für „CVE-2024-30051“ entdeckt und seine Verwendung in Verbindung mit „QakBot“ sowie anderer Malware beobachtet. Dies deute darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit hätten.

„Wir fanden das Dokument auf ,VirusTotal’ aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, berichtet Boris Larin, „Principal Security Researcher“ im „Global Research & Analysis Team“ (GReAT) bei Kaspersky.

Er kommentiert: „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cyber-Sicherheit betrifft.“

Nutzer sollten nun ihre Windows-Systeme aktualisieren

Kaspersky plane, technische Details zu „CVE-2024-30051“ zu veröffentlichen, „sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre ,Windows’-Systeme aktualisieren konnten“. Kaspersky habe sich bei Microsoft für die „prompte Analyse und Veröffentlichung von Patches“ bedankt.

Die Kaspersky-Produkte seien aktualisiert worden, um die Ausnutzung von „CVE-2024-30051“ und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:

• „PDM:Exploit.Win32.Generic“
• „PDM:Trojan.Win32.Generic“
• „UDS:DangerousObject.Multi.Generic“
• „Trojan.Win32.Agent.gen“
• „Trojan.Win32.CobaltStrike.gen“

Kaspersky verfolge den fortschrittlichen Banking-Trojaner „QakBot“ seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, habe sich „QakBot“ erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Diese Malware sei für ihre häufigen Updates und Verbesserungen bekannt – dies mache sie zu einer ständigen Bedrohung in der Cyber-Sicherheitslandschaft. In den vergangenen Jahren sei beobachtet worden, dass „QakBot“ andere Botnets, wie beispielsweise „Emotet“, für die Verbreitung nutze.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 14.05.2024
QakBot attacks with Windows zero-day (CVE-2024-30051)

NIST, 25.04.2024
National Vulnerability Database: CVE-2024-30551 Detail

NIST, 25.04.2024
National Vulnerability Database: CVE-2023-36033 Detail

MICROSOFT, 14.04.2024
Windows DWM Core Library Elevation of Privilege Vulnerability / CVE-2024-30051 / Security Vulnerability

Mehrheit der CISOs (Chief Information Security Officers) in Deutschland und weltweit fühlt sich von der obersten Führungsebene unter Druck gesetzt, die Cyber-Risiken herunterzuspielen

[datensicherheit.de, 17.05.2024] Trend Micro hat nach eigenen Angaben am 16. Mai 2024 neue Studienergebnisse zum Umgang mit Cyber-Risiken in Unternehmen veröffentlicht. Demnach fühlen sich drei Viertel der deutschen IT-Security-Verantwortlichen (76% gegenüber weltweit 79%) von der Geschäftsleitung unter Druck gesetzt, die Cyber-Risiken im Unternehmen herunterzuspielen. „48 Prozent (weltweit 41%) von ihnen glauben, dass erst ein schwerwiegender Sicherheitsvorfall im Unternehmen die Führungsriege dazu veranlassen würde, entschlossener gegen Cyber-Risiken vorzugehen“, berichtet Richard Werner, „Security Advisor“ bei Trend Micro, in seiner aktuellen Stellungnahme zu den Ergebnissen der aktuellen Trend-Micro-Studie.

Foto: Trend Micro

Richard Werner rät Unternehmen zur Einführung einer ganzheitlichen Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM)

Große Hürde für CISOs, den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen

Werner berichtet: „Warum werden CISOs nicht gehört? 49 Prozent der Befragten in Deutschland (weltweit 42%) glauben, dass sie als übermäßig negativ gelten. 32 Prozent (weltweit 43%), sagen, sie würden als sich wiederholend und nörgelnd gesehen. Mehr als ein Drittel von ihnen (34%, weltweit 33%) berichtet, bereits von der Geschäftsleitung kurzerhand abgewiesen worden zu sein.“

Diese Ergebnisse deuteten offensichtlich auf ein gravierendes Kommunikationsproblem hin: Offenbar schafften es die IT-Security-Verantwortlichen nicht, der Geschäftsleitung den Zusammenhang zwischen Cyber-Risiken und daraus entstehenden Geschäftsrisiken aufzuzeigen.

Umgekehrt berichteten fast alle (99%), dass sich ihre interne Lage verbessert habe, sobald es ihnen gelungen sei, den geschäftlichen Nutzen ihrer Cyber-Sicherheitsstrategie zu messen:

• „46 Prozent (weltweit 43%) erhielten daraufhin mehr Budget.
• 45 Prozent (weltweit 44%) haben den Eindruck, dass ihre Rolle im Unternehmen als wertvoller angesehen wird.
• 42 Prozent (weltweit 41%) werden in die Entscheidungsfindung auf höherer Ebene einbezogen.
• 40 Prozent (weltweit 45%) erhielten mehr Verantwortung.
• 26 Prozent (weltweit 46%) fühlen sich als glaubwürdiger wahrgenommen.“

Zu oft wird immer noch die Cyber-Sicherheit lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt

Doch es gebe noch viel zu tun: In über einem Drittel der deutschen Unternehmen (34%, weltweit 34%) werde Cyber-Sicherheit nach wie vor lediglich als reine IT-Aufgabe und nicht als Teil des Managements von Geschäftsrisiken behandelt.

Nur zirka die Hälfte (51%, weltweit 54%) der Befragten seien zuversichtlich, „dass ihre Führungsebene die Cyber-Risiken, denen das Unternehmen ausgesetzt ist, vollständig versteht“. Da sich diese Zahl seit 2021 kaum verändert habe, stellten sich nun die Fragen: „Berichten CISOs die richtigen Kennzahlen? Sprechen sie die richtige Sprache, um Cyber-Risiken effektiv in geschäftlichen Begriffen zu kommunizieren?“

Eine große Herausforderung sei dabei die heterogene IT-Security-Landschaft. „Viele isolierte Einzellösungen erzeugen inkonsistente Datenpunkte, die es den Security-Verantwortlichen erschweren, klare Aussagen zu Cyber-Risiken zu machen“, erläutert Werner.

Cyber-Risiken indes zumeist das größte Geschäftsrisiko für Unternehmen

Er führt weiter aus: „Mehr als die Hälfte der Security-Verantwortlichen in Deutschland (62%) sagen, dass Cyber-Risiken ihr größtes Geschäftsrisiko sind. Es gelingt ihnen aber oft nicht, dieses Risiko so zu kommunizieren, dass es die Geschäftsleitung versteht. Infolgedessen werden sie ignoriert, herabgesetzt und der Nörgelei bezichtigt.“ Werner warnt in diesem Zusammenhang: „Wenn sich die Kommunikation mit der Führungsebene nicht verbessert, wird die Cyber-Resilienz von Unternehmen leiden!“ Der erste Schritt zur Verbesserung sollte darin bestehen, eine „Single Source of Truth“ für die gesamte Angriffsfläche zu schaffen.

Über die Hälfte der Befragten (59%, weltweit 58%) glaubten, dass sie stärker in ihre Kommunikationsfähigkeiten investieren müssten. Eine ganzheitliche Plattform zum Management der Angriffsoberfläche (Attack Surface Risk Management / ASRM) könne dabei zur Lösung dieses Kommunikationsproblems beitragen, indem sie konsistente, management-taugliche Risikoeinblicke liefere.

Abschließend erläutert Werner: „ASRM sammelt interne und externe Security-Daten in einem zentralen ,Data Lake’, analysiert und korreliert sie KI-gestützt. Im ,Executive Dashboard’ erhalten CISOs alle Informationen zur Risiko-Exposition, die sie für ein überzeugendes Reporting bei der Geschäftsleitung brauchen.“

Weitere Informationen zum Thema:

TREND MICRO
Warum werden CISOs nicht gehört? / Studie von Trend Micro zeigt: IT-Sicherheitsverantwortlichen wird von Geschäftsführungen zu wenig Vertrauen entgegengebracht

[datensicherheit.de, 16.05.2024] Das BKA-Lagebild „Cybercrime“ gilt neben dem BSI-Lagebericht als die wohl wichtigste, jährlich erscheinende Einschätzung zum Status Quo der Cyber-Sicherheit Deutschlands. Die neueste Ausgabe zu den erfassten Cybercrime-Straftaten ist Mitte Mai 2024 erschienen und spiegelt offensichtlich eine alarmierende Zunahme wider. Angesichts dieser bedrohlichen Entwicklungen haben führende Cyber-Sicherheitsexperten zu ihren Einsichten und Lösungsansätzen Stellung bezogen:

Deutsche Unternehmen im Cybercrime-Ländervergleich auf Platz 4 der Ransomware-Opfer

„Im ,BKA Bundeslagebild Cybercrime 2023‘ stellt die Behörde fest, dass vor allem eine Zunahme von Cyber-Angriffen von ,Hacktivisten’ wie ,Killnet’ und ,Noname 057(16)‘ beobachtet werden konnte“, so Marco Eggerling, „Global CISO“ bei Check Point Software. Dies decke sich mit ihren eigenen Erkenntnissen: „Vor allem diese beiden Gruppierungen hatten und haben es auf Betreiber Kritischer Infrastruktur wie Flughäfen etc. abgesehen, auch wenn ihr bevorzugtes Mittel der Wahl – DDoS-Attacken – wenn überhaupt, dann nur von kurzem Erfolg waren.“ Der Fokus dieser Gruppen liege mehr auf Eigen-PR, als darauf tatsächlichen Schaden anzurichten.

Bedrohlicher seien da eher die Aktivitäten der Ransomware-Gruppen einzuschätzen. Laut dem jährlichen „Cyber Security Report 2024“ von Check Point Research (CPR) hätten deutsche Unternehmen im Ländervergleich auf Platz 4 der Ransomware-Opfer gelegen. Zu den Hauptzielen gehörten Organisationen und Firmen aus dem Bildungs- und Gesundheitssektor sowie der öffentlichen Verwaltung. Die Angreifer hätten ihre Strategie verfeinert: „Sie nutzen vermehrt Zero-Day-Schwachstellen und Ransomware-as-a-Service (RaaS) mit neuen Erpressungstaktiken.“

Bemerkenswert sei auch, dass das BKA eine Zunahme von Delikten aus dem Ausland beobachtet habe und dass nun mehr Verbrechen mit Cybercrime in Verbindung stünden (26,5%). „Vor allem die Zunahme bei den Ransomware-Zahlungen und die vom BKA festgestellte durchschnittliche Summe von mehr als 620.000 US-Dollar macht angesichts der Diskussionen um die NIS-2 nachdenklich“, betont Eggerling.

Jedes Nutzer-Konto sollte als digitale Brandschutztür im Cyberspace aufgefasst werden!

Eines zeige dieser Report ganz deutlich: „Cyber-Kriminelle benötigen zunehmend zweckentfremdete digitale Identitäten, um Schaden anzurichten und Daten zu entwenden“, unterstreicht Thomas Müller-Martin, „Global Partners Technical Lead“ bei Omada. Dass die Ermittler als hauptsächliche Angriffsvektoren „Initial Access Broker“, Phishing-Methoden und Ransomware auflisteten, lehre uns, dass Identitätsmanagement nach dem Least-Privilege-Prinzip längst un­ab­ding­bar und kein „Nice-to-have“ sei.

Er führt aus: „Hacker kommen auch mit kompromittierten Nutzerkonten nur so weit, wie die Zugriffsrechte des Accounts reichen, den sie übernommen haben.“ Somit werde jedes Konto zu einer Art digitaler Brandschutztür.

„Moderne Zugriffsverwaltung muss obendrein in der Lage sein, in Sekundenschnelle alle (administrativen) Accounts zu deaktivieren – ein Muss bei der Geschwindigkeit zeitgenössischer Hacker-Angriffe“, so Müller-Martin. Überall brauche es also engmaschiges „Identity Management“ und ein schnelles Reaktionsvermögen. So reduziere man im Ernstfall den Blast-Radius eines Cyber-Angriffs. „Das schützt wertvolle Daten vor Fremdzugriff, gewährt Compliance und macht Unternehmen reaktionsfähig und zukunftssicher.“

Es gilt, komplexe Cyber-Angriffsvektoren effizient zu erkennen und zu neutralisieren!

Die Ergebnisse verdeutlichten die wachsenden Herausforderungen, die Cyber-Angriffe auf Unternehmen darstellen. Christian Borst, „CTO EMEA“ bei Vectra AI, kommentiert: „Effektive Bedrohungserkennung und -reaktion, wie sie durch fortschrittliche Sicherheitsplattformen ermöglicht wird, sind essenziell, um sich gegen diese Risiken zu wappnen.“

Die Integration von Signalen aus unterschiedlichen Quellen – Netzwerk, „Cloud“, Identität und Endpunkte – könne helfen, komplexe Angriffsvektoren effizient zu erkennen und zu neutralisieren. Insbesondere die Anwendung Künstlicher Intelligenz (KI) zur Analyse und Priorisierung von Sicherheitswarnungen unterstütze Unternehmen dabei, schneller auf Bedrohungen zu reagieren und Ressourcen gezielter einzusetzen.

Borsts Fazit: „Durch die Kombination dieser Technologien können Sicherheitsteams die Überwachung, Erkennung und Reaktion auf Cyber-Angriffe optimieren, was zu einer signifikanten Reduzierung der durch Cyber-Kriminalität verursachten Schäden führt.“

Identitätsbetrug in Deutschland wieder wesentliches Einfallstor für Cyber-Kriminelle

Auch im vergangenen Jahr – 2023 – sei Identitätsbetrug in Deutschland wieder ein wesentliches Einfallstor für Cyber-Kriminelle gewesen. „Der Bericht belegt: Phishing, ,Spear Phishing’ und ,Social Engineering’ stehen bei Cyber-Kriminellen auch weiterhin hoch im Kurs“, meint Detlev Riecke, „Regional Vice President (DACH)“ bei Ping Identity.

Er warnt: „Inzwischen stehen den Angreifern ausgefeilte KI-Werkzeuge zur Verfügung. Die Qualität der Angriffe wächst. Doch auch die Professionalität der Cyber-Kriminellen nimmt zu.“ Immer mehr Angreifer spezialisierten sich auf die Kompromittierung von Identitätsdaten, verdingten sich als „Initial Access Broker“. Sie nutzten die erbeuteten Daten nicht selbst, sondern verkauften sie im sogenannten Darknet an interessierte Dritte – ebenfalls Cyber-Kriminelle – weiter, welche dann Folgeangriffe planten und umsetzten. Mit einer Besserung der Lage werde in den kommenden Jahren also kaum zu rechnen sein.

„Sehr richtig stellt das BKA in seinem Bericht aber auch fest, dass mittlerweile KI-gestützte Tools existieren, mit denen gegen eben diese Art von Angriffen erfolgreich vorgegangen werden kann“, stellt Riecke klar: So seien moderne IAM- und CIAM-Systeme (Identity Access Management bzw. Customer Identity and Access Management) durchaus in der Lage, automatisiert Identitätsbetrug aufzuspüren und abzustellen – bevor Cyber-Kriminelle größere Schäden anrichten könnten.

Unternehmen sollten Kontrolle über digitale Umgebung verstärken und sich effektiver gegen komplexe Cyber-Bedrohungsszenarien schützen!

„Der Bericht hebt die steigenden Herausforderungen durch Ransomware und fortschrittliche, anhaltende Bedrohungen hervor“, führt Kristian von Mejer, „Director Central Europe“ bei Forescout, aus.

In diesem Kontext werde die Bedeutung von Lösungen deutlich, die nicht nur Sicherheitslücken aufzeigten, sondern auch aktiv nach Anomalien im Netzwerk suchten, um Angriffe frühzeitig zu erkennen und zu isolieren.

Solche Systeme sollten in der Lage sein, das gesamte Spektrum an „Managed Devices“ zu überwachen und in Echtzeit auf Bedrohungen zu reagieren. Durch die Kombination aus Sichtbarkeit aller Netzwerkelemente und der Fähigkeit, Sicherheitsrichtlinien dynamisch anzupassen und durchzusetzen, könnten Unternehmen die Kontrolle über ihre digitale Umgebung verstärken und sich effektiver gegen die komplexen Bedrohungsszenarien von heute schützen.

Umgang mit KI erforderlich – denn Cyber-Kriminelle nutzen diese bereits zunehmend für täuschend echt aussehende Betrugsmaschen

„Die im ,Bundeslagebild Cybercrime’ aufgezeigte steigende Komplexität und Raffinesse von Cyber-Angriffen unterstreicht die Notwendigkeit für fortschrittliche Lösungen zur Betrugserkennung und -prävention“, erklärt Frank Heisel, „Co-CEO“ von RISK IDENT. Der Einsatz von Technologien, welche verdächtige Transaktionen und Aktivitäten in Echtzeit analysieren und interpretieren könnten, sei entscheidend, um die durch Cyber-Kriminalität verursachten Schäden zu minimieren.

Besonders wichtig sei dabei der Umgang mit Künstlicher Intelligenz (KI), welche zunehmend für täuschend echt aussehende Betrugsmaschen verwendet werde. „Anbieter, die ihre Sicherheitssoftware kontinuierlich – auch mit Hilfe von Machine Learning – weiterentwickeln und an neue Betrugstaktiken anpassen, bieten Unternehmen einen wichtigen Vorteil im Kampf gegen Online-Betrug“.

Zusätzlich zur Implementierung von Betrugserkennungslösungen ist laut Heisel jedoch auch die Bildung der Gesellschaft zum Thema KI von entscheidender Bedeutung. Eine umfassende Aufklärung könne die natürliche Resistenz jedes Einzelnen gegen solche Betrügereien erhöhen und somit einen entscheidenden Schutzfaktor gegen die wachsenden Bedrohungen durch Cyber-Kriminalität hinzufügen.

Phishing immer noch einer der am häufigsten genutzten Cyber-Angriffsvektoren

Alexander Koch, „VP Sales EMEA“ bei Yubico, gibt folgende Einschätzung: „Der Report zeigt, dass Phishing immer noch einer der am häufigsten genutzten Angriffsvektoren ist. Ein neuer Trend ist dabei, dass die Verwendung von Künstlicher Intelligenz zur Verfeinerung von Phishing-Kampagnen zunimmt.“

Allein dieser Umstand rücke die Bedeutung von robusten Authentifizierungsverfahren besonders in den Fokus. Hardware-Sicherheitstoken (wie z.B. der „YubiKey“) böten eine erhebliche Abwehr gegen solche Bedrohungen, indem sie den Angreifern eine physische Barriere gegen Remote-Phishing-Angriffe entgegensetzten. Diese Geräte erforderten direkte menschliche Interaktion, was sie gegenüber den ausgeklügelten Methoden der Cyber-Kriminellen resistent mache.

Durch die Nutzung physischer Sicherheitsmechanismen werde der Authentifizierungsprozess deutlich sicherer, da betrügerische Eingriffe in digitale Prozesse wirkungsvoll blockiert würden. Koch fasst zusammen: „Dies stellt sicher, dass selbst hochpersonalisierte Phishing-Versuche, die auf den Diebstahl sensibler Daten abzielen, keinen Erfolg haben.“

Oberste Priorität für Unternehmen: Cyber-Anomalien und -Risiken sofort erkennen und adressieren

Lars Christiansen, „Area VP EMEA Central“ bei Tanium: „Der Bericht hebt unter anderem hervor, dass die Herausforderungen durch Cyber-Kriminalität stetig steigen, insbesondere in den Bereichen Ransomware und Angriffe auf IT-Infrastrukturen.“ Die damit verbundenen wirtschaftlichen Schäden durch Cyber-Kriminalität, welche im Jahr 2023 laut Bitkom e.V. 148 Milliarden Euro erreichten, machten die Notwendigkeit effektiver Sicherheitslösungen deutlich.

Cyber-Sicherheits-Plattformen mit umfassender und integrierter Echtzeit-Überwachung sowie Steuerung von Endgeräten seien entscheidend, um die durch Cyber-Angriffe verursachten Schäden zu minimieren. Die Fähigkeit, schnell auf Bedrohungen reagieren zu können, reduziere nicht nur die potenziellen Kosten für Unternehmen, sondern stärke auch die allgemeine Resilienz gegenüber fortschreitenden und sich stets weiterentwickelnden Cyber-Bedrohungen.

Christiansens Empfehlung: „Für Unternehmen muss es nun oberste Priorität haben, Anomalien und Risiken sofort erkennen und adressieren zu können!“ Die Fähigkeit zur digitalen Wachsamkeit sei im Kampf gegen die wirtschaftlichen Auswirkungen von Cyber-Kriminalität unerlässlich.

Verteidigung gegen Cyber-Angriffe: Backups spielen entscheidende Rolle

Backups spielten eine entscheidende Rolle bei der Verteidigung gegen Cyber-Angriffe, indem sie die Wiederherstellung der Datenintegrität nach Sicherheitsvorfällen ermöglichten. Michael Heuer, „VP DACH“ bei Keepit, macht klar: „Eine effektive Backup-Strategie versetzt Organisationen in die Lage, essenzielle Daten rasch wiederherzustellen, was die Betriebskontinuität unterstützt und die Downtime sowie Kosten reduziert, die mit Cyber-Angriffen verbunden sind.“

Dies sei besonders wichtig, da viele Cyber-Kriminelle darauf abzielten, Daten zu kompromittieren oder zu verschlüsseln, wodurch der Zugriff auf wichtige Geschäftsinformationen verhindert werde.

„Dabei lassen sich SaaS-Applikationen wie ,Microsoft 365‘ oder ,Salesforce’ – die einen großen Teil der Firmendaten verwalten – besonders einfach mit den Backup-Lösungen dedizierter Spezialisten absichern“, rät Heuer abschließend.

Weitere Informationen zum Thema:

Bundeskriminalamt BKA, 16.05.2024
Im Fokus: Bundeslagebild Cybercrime 2023

[datensicherheit.de, 15.05.2024] Der IT-Sicherheitshersteller ESET hat nach eigenen Angaben am 15. Mai 2024 einen neuen Forschungsbericht veröffentlicht, welcher demnach das schädliche Treiben der Hacker-Gruppe „Ebury“ enthüllt: Diese soll mehr als 400.000 ,Linux’-, ,FreeBSD’- und ,OpenBSD’-Server im Laufe der vergangenen 15 Jahre mit ihrer Malware infiziert haben. „Allein in den vergangenen 18 Monaten kamen 100.000 neue Betroffene hinzu.“ In vielen Fällen hätten die „Ebury“-Betreiber vollen Zugriff auf große Server von Internetprovidern und bekannten Hosting-Anbietern erlangen können. Diese Cyber-Kriminellen betrieben somit eine der fortschrittlichsten serverseitigen Malware-Kampagnen, welche immer noch im Gange sei und sich weiter ausbreite.

Ebury vielseitig schädlich – Verbreitung von Spam, Umleitungen von Web-Traffic und Diebstahl von Anmeldedaten

„Zu den Aktivitäten der ,Ebury’-Gruppe und ihres Botnets gehörten im Laufe der Jahre die Verbreitung von Spam, Umleitungen von Web-Traffic und der Diebstahl von Anmeldedaten.“ In den letzten Jahren seien diese Hacker darüber hinaus auch in Kreditkarten- und Krypto-Währungsdiebstähle eingestiegen.

Seit mindestens 2009 diene „Ebury“ als „OpenSSH“-Hintertür und zum Diebstahl von Anmeldedaten. Sie werde verwendet, um zusätzliche Malware zu installieren, um das Botnet zu monetarisieren (z.B. Module für die Umleitung des Web-Traffics), den Datenverkehr für Spam zu projizieren, Adversary-in-the-Middle-Angriffe (AitM) durchzuführen und unterstützende bösartige Infrastruktur zu hosten. Bei AitM-Angriffen habe ESET zwischen Februar 2022 und Mai 2023 über 200 Ziele in mehr als 75 Netzwerken in 34 verschiedenen Ländern identifiziert.

Ebury-Betreiber stahlen Krypto-Währungs-Wallets, Anmeldedaten und Kreditkartendetails

Die Betreiber hätten das „Ebury“-Botnet verwendet, um Krypto-Währungs-Wallets, Anmeldedaten und Kreditkartendetails zu stehlen. ESET habe neue Malware-Familien aufgedeckt, welche von dieser Bande zu finanziellen Zwecken entwickelt und eingesetzt worden seien – darunter „Apache“-Module und ein „Kernel“-Modul zur Umleitung des Webverkehrs. Die „Ebury“-Gruppe nutze auch Zero-Day-Schwachstellen in der Administratoren-Software aus, um Server massenhaft zu kompromittieren.

„Nachdem ein System kompromittiert wurde, exfiltriert die Malware eine Reihe von Daten. Die dabei erbeuteten Kennwörter und Schlüssel werden wiederverwendet, um sich bei verwandten Systemen anzumelden.“ Jede neue Hauptversion von „Ebury“ bringe einige wichtige Änderungen sowie neue Funktionen und Verschleierungstechniken mit sich.

Ebury-Kriminelle in der Lage, Tausende von Servern auf einmal zu kompromittieren

„Wir haben Fälle dokumentiert, in denen die Infrastruktur von Hosting-Anbietern durch ,Ebury’ kompromittiert wurde. Hierbei wurde ,Ebury’ auf Servern eingesetzt, die von diesen Anbietern vermietet wurden, ohne dass die Mieter gewarnt wurden. Dies führte dazu, dass die Kriminellen in der Lage waren, Tausende von Servern auf einmal zu kompromittieren“, berichtet ESET-Forscher Marc-Etienne M. Léveillé, welcher „Ebury“ mehr als ein Jahrzehnt lang untersucht habe.

Diese Hacker-Gruppe kenne keine geographischen Grenzen – es gebe in fast allen Ländern der Welt mit „Ebury“ kompromittierte Server. „Jedes Mal, wenn ein Hosting-Anbieter infiziert wurde, führte dies zu einer großen Anzahl weiterer betroffener Server in denselben Rechenzentren.“ Gleichzeitig schienen keine Branchen gezielter angegriffen zu werden als andere.

Namhafte Ebury-Opfer in aller Welt

Zu den Opfern gehörten Universitäten, kleine und große Unternehmen, Internetprovider, Krypto-Händler, Tor-Exit-Nodes, Shared-Hosting-Anbieter und Dedicated-Server-Provider. Ende 2019 sei die Infrastruktur eines großen und populären US-basierten Domain-Registrars und Web-Hosting-Anbieters kompromittiert worden.

Insgesamt seien etwa 2.500 physische und 60.000 virtuelle Server von den Angreifern kompromittiert worden. Ein sehr großer Teil der Server – wenn nicht alle – werde zwischen mehreren Nutzern für die Websites von mehr als 1,5 Millionen Konten gemeinsam genutzt. Bei einem anderen Vorfall seien insgesamt 70.000 Server dieses Hosting-Anbieters 2023 durch „Ebury“ kompromittiert worden. Auch „kernel.org“, der Host für den Quellcode des „Linux“-Kernels, sei unter den Opfern gewesen.

Ebury ernsthafte Bedrohung und Herausforderung für Linux-Community

„,Ebury’ stellt eine ernsthafte Bedrohung und eine Herausforderung für die ,Linux’-Community dar. Es gibt keine einfache Lösung, die ,Ebury’ unwirksam machen würde.“ Aber eine Handvoll Abhilfemaßnahmen könnten laut Léveillé angewandt werden, um die Verbreitung und die Auswirkungen zu minimieren.

Man müsse sich darüber im Klaren sein, dass es nicht nur sich weniger um die Sicherheit kümmernde Organisationen oder Einzelpersonen treffe – viele technisch versierte Personen und große Organisationen stünden auf der Liste der Opfer. Vor zehn Jahren habe ESET ein „Whitepaper“ über die Operation „Windigo“ veröffentlicht, bei der mehrere Malware-Familien in Kombination eingesetzt worden seien, wobei die „Ebury“-Malware-Familie den Kern gebildet habe.

ESET-Forscher erlangten erhebliche Einblicke in die Operationen der Ebury-Bedrohungsakteure

Ende 2021 habe sich die niederländische „National High Tech Crime Unit“ (NHTCU), ein Teil der niederländischen Polizei, an ESET wegen Servern in den Niederlanden gewandt, welche im Verdacht gestanden hätten, mit „Ebury“-Malware infiziert zu sein. „Dieser erwies sich als begründet, und mit der Unterstützung der NHTCU konnten die ESET-Forscher erhebliche Einblicke in die Operationen der ,Ebury’-Bedrohungsakteure gewinnen.“

Nach der Veröffentlichung des „Windigo-Papers“ Anfang 2014 sei einer der Täter 2015 an der finnisch-russischen Grenze festgenommen und später an die Vereinigten Staaten von Amerika ausgeliefert worden. Obwohl er zunächst seine Unschuld beteuert habe, seien von ihm schließlich 2017 die Vorwürfe eingeräumt worden – „einige Wochen bevor sein Prozess vor dem US-Bezirksgericht in Minneapolis beginnen und ESET-Forscher als Zeugen aussagen sollten“.

Weitere Informationen zum Thema:

eseT, 2024
APT Activity Report / IRAN-ALIGNED CYBERATTACKS: RISE IN DISRUPTIVE OPERATIONS / October 2023 – March 2024

datensicherheit.de, 13.02.2014
Ebury-Rootkit: Zahlreiche deutsche Server infiziert / BSI gibt Informationen für Betreiber und Provider

NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

[datensicherheit.de, 14.05.2024] „In einer Zeit, in der Cyber-Bedrohungen größer und raffinierter denn je sind, hat die Europäische Union (EU) mit der Einführung der Richtlinie zur Netz- und Informationssicherheit (NIS-2) einen wichtigen Schritt zur Stärkung ihrer digitalen Verteidigung getan“, so Andy Fourie, „VP of Sales EMEA“ bei BlueVoyant, in seiner aktuellen Stellungnahme. Die NIS-2-Richtlinie baue auf der Grundlage der Vorgängerrichtlinie aus dem Jahr 2016 auf und sei eine Reaktion auf die zunehmenden Angriffe auf Lieferketten und den Bedarf an robusteren Meldeverfahren in ganz Europa. Diese Richtlinie betreffe mehr als 160.000 in der EU tätige Unternehmen – „insbesondere diejenigen, die in 15 Schlüsselsektoren als ,wesentliche’ und ,wichtige’ Unternehmen eingestuft sind“.

Foto: BlueVoyant

Andy Fourie zu NIS-2-Konsequenzen: Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen!

NIS-2 schreibt KRITIS-Unternehmen umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor

NIS-2 schreibe solchen Unternehmen eine umfassende Überarbeitung ihrer Cyber-Sicherheitspraktiken vor und zwinge sie, ihre Schutzmaßnahmen in der Lieferkette und ihre Meldepflichten neu zu bewerten und zu verbessern. „Da die Frist für die Einhaltung der Vorschriften im Oktober 2024 abläuft, beginnt für die Unternehmen ein Wettlauf mit der Zeit, um die strengen Anforderungen von NIS-2 zu erfüllen.“

Fourie empfiehlt einen genaueren Blick auf die neuen Anforderungen: „NIS-2 führt vier Hauptbereiche ein, die jeweils spezifische Mandate umfassen, die darauf abzielen, die Cyber-Sicherheitsstandards in allen Bereichen zu erhöhen:“

1. Risikomanagement
Die Unternehmen müssten einen vielschichtigen Ansatz zur Minimierung von Cyber-Risiken umsetzen. Dazu gehörten die Einführung fortschrittlicher Protokolle für das Management von Vorfällen, die Stärkung der Sicherheit der Lieferkette, die Verbesserung der Sicherheit von Netzwerken, die Verbesserung der Zugangskontrolle und der Einsatz von Verschlüsselungstechnologien.

2. Verantwortlichkeit der Unternehmen
Die Richtlinie unterstreiche die Notwendigkeit der Überwachung und Schulung von Maßnahmen zur Cyber-Sicherheit durch die Unternehmensleitung. Sie führe Sanktionen, auch finanzieller Art, für Verstöße ein, „die auf fahrlässiges Verhalten von Führungskräften zurückzuführen sind“.

3. Berichtspflichten
Organisationen müssten Verfahren für die unverzügliche Meldung von derartigen Cyber-Vorfällen einrichten, welche die Bereitstellung von Diensten oder Datenempfängern erheblich beeinträchtigen, und dabei die festgelegten Meldefristen einhalten.

4. Geschäftskontinuität
Die Unternehmen müssten solide Pläne entwickeln, um die Betriebskontinuität nach größeren Cyber-Vorfällen zu gewährleisten. Dazu gehörten Strategien zur Systemwiederherstellung, Notfallverfahren und die Bildung von Krisenreaktionsteams.

10 NIS-2-Mindestanforderungen

NIS-2 definiere neben den allgemeinen Verpflichtungen zehn grundlegende Anforderungen, die das Fundament der Cyber-Sicherheit in der EU bilden sollen:

1. Risikobewertungen und Formulierung von Sicherheitsrichtlinien für Informationssysteme
2. Evaluierung der Wirksamkeit von Sicherheitsmaßnahmen durch festgelegte Richtlinien und Verfahren
3. Anwendung von Kryptographie und Verschlüsselung
4. Effiziente Bewältigung von Sicherheitsvorfällen
5. Sichere Systembeschaffung, -entwicklung und sicherer Systembetrieb, einschließlich Protokollen zur Meldung von Sicherheitslücken
6. Durchführung von Schulungen zur Cyber-Sicherheit und Einhaltung grundlegender Praktiken der Cyber-Hygiene
7. Sicherheitsverfahren für Mitarbeiter, die auf sensible Daten zugreifen
8. Notfallpläne zur Aufrechterhaltung des Geschäftsbetriebs während und nach Cyber-Vorfällen
9. Multi-Faktor-Authentifizierung (MFA) und Verschlüsselung für Sprach-, Video- und Textkommunikation
10. Stärkung der Sicherheit in der Lieferkette – Anpassung der Sicherheitsmaßnahmen an die Schwachstellen der einzelnen direkten Zulieferer

Die Nichteinhaltung dieser umfassenden Anforderungen könnte erhebliche Geldbußen nach sich ziehen, die sich für „wesentliche Unternehmen“ auf 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes und für „wichtige Unternehmen“ auf sieben Millionen Euro oder 1,4 Prozent beliefen.

NIS-2-Vorbereitung als strategischer Imperativ

Für in der EU tätige Unternehmen bedeute die Vorbereitung auf NIS-2 eine Reihe strategischer Schritte, darunter die Feststellung der Anwendbarkeit, die Bewertung bestehender Sicherheitsmaßnahmen, die Überarbeitung der Sicherheitsrichtlinien und die Einbeziehung neuer Sicherheits- und Meldemaßnahmen in ihr Lieferkettenmanagement.

Glücklicherweise könnten aktuelle Cyber-Sicherheitsrahmenwerke, wie das „NIST Cyber Security Framework“ (CSF) oder ISO27001 eine solide Grundlage bilden, welche den Übergang für Unternehmen erleichtern könnten. Da die Frist im Oktober 2024 immer näher rücke, sei die Botschaft klar: „Die Zeit zum Handeln ist jetzt gekommen!“ Die NIS-2-Richtlinie der EU lege nicht nur die Messlatte für die Cyber-Sicherheit höher, sondern unterstreiche auch die Bedeutung eines einheitlichen und proaktiven Ansatzes zum Schutz der Digitalen Landschaft vor neuen Bedrohungen. „Unternehmen müssen diese Veränderungen mit Sorgfalt und Weitsicht angehen“, legt Fourie abschließend nahe.

Weitere Informationen zum Thema:

Europäische Kommission
Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie)

OpenKRITIS
NIS2 in EU Countries

NIS2 DIRECTIVE
NIS2 Requirements / Understand and prepare for the upcoming NIS2 requirements

OpenKRITIS
Sanktionen in NIS2 (ab 2024) / Situation ab 2024

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

Die Verschlüsselung von E-Mails und ihren Anhängen als entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen

[datensicherheit.de, 14.05.2024] In einer Zeit, in der digitale Kommunikation aus dem Geschäftsalltag nicht mehr wegzudenken sei, sei die Sicherheit von E-Mails für Unternehmen eine dringliche Angelegenheit – die Verschlüsselung von E-Mails und ihren Anhängen sei sogar ein entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen. „Auch wenn die E-Mail-Verschlüsselung laut Datenschutz-Grundverordnung keine generelle Pflicht ist, gibt es zahlreiche Gründe, warum Unternehmen, unabhängig von ihrer Größe oder Branche eine E-Mail Verschlüsselung implementieren sollten“, betont Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Im Sinne eines verbesserten Datenschutzes sollten Unternehmen sich mit dem Thema E-Mail-Verschlüsselung beschäftigen. Denn durch deren Einsatz könnten Kunden, Partner und Mitarbeitende sicher sein, „dass die Kommunikation sicher und authentisch ist, was wiederum das Vertrauen und die Glaubwürdigkeit stärkt“.

Foto: PSW GROUP

Patrycja Schrenk: Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff!

Verschlüsselung von E-Mails angemessene Maßnahme, um sensible Informationen zu zu schützen

„Die Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff und verhindert damit, dass hochsensible persönliche und geschäftliche Informationen, wie Zugangsdaten, Kalkulationen oder Organigramme, in unbefugte Hände gelangen“, erläutert Schrenk. Zugleich warnt sie davor, die Notwendigkeit einer Verschlüsselung zu unterschätzen: „Selbst vermeintlich harmlose Informationen können von Cyber-Kriminellen genutzt werden, um Angriffe zu planen. Details zu internen Veranstaltungen oder Betriebsfeiern könnten beispielsweise für Social-Engineering-Angriffe verwendet werden. Durch die Verschlüsselung wird das Risiko solcher Angriffe minimiert.“

Wichtig ist laut PSW folgender Umstand: Zwar sei die E-Mail-Verschlüsselung nicht gesetzlich vorgeschrieben, dennoch lege die Datenschutz-Grundverordnung (DSGVO) fest, dass Unternehmen und Organisationen geeignete Technische und Organisatorische Maßnahmen (TOM) ergreifen müssten, um personenbezogene Daten angemessen zu schützen. „Die Verschlüsselung von E-Mails ist eine solche angemessene Maßnahme, um den Schutz sensibler Informationen zu gewährleisten“, unterstreicht Schrenk.

E-Mail-Verschlüsselung: S/MIME-Zertifikate ermöglichen automatische Verschlüsselung

Eine gängige und sichere Methode, die Sicherheit von E-Mail-Kommunikation zu erhöhen, seien S/MIME-Zertifikate (Secure/Multipurpose Internet Mail Extensions). Solche digitalen Zertifikate ermöglichten die automatische Verschlüsselung von E-Mail-Inhalten samt ihrer Anhänge mit zusätzlicher Signaturfunktion. Schrenk führt aus: „Wenn eine E-Mail mit einem S/MIME-Zertifikat signiert und verschlüsselt ist, können nur der beabsichtigte Empfänger und der Absender die Nachricht lesen. Dies schützt den Inhalt vor unbefugtem Zugriff während der Übertragung, wodurch die Integrität und Vertraulichkeit der Nachrichten gewährleistet wird.“ Der Empfänger wiederum könne sicher sein, dass die empfangene E-Mail tatsächlich von der angegebenen Quelle stamme und nicht manipuliert worden sei. Dies helfe, Phishing-Angriffe zu erkennen und zu verhindern – eine wichtiger Punkt, denn laut Lagebericht zur E-Mail-Sicherheit des IT-Sicherheitsanbieters Mimecast seien 97 Prozent der befragten Unternehmen im Jahr 2022 Ziel von Phishing-Attacken per E-Mail gewesen.

Unternehmen könnten S/MIME-Zertifikate von verschiedenen, auf die Ausstellung von digitalen Zertifikaten spezialisierten Zertifizierungsstellen erwerben. Namhafte Anbieter seien DigiCert, Sectigo, D-TRUST und Certum. Schrenk über den Ablauf: „Zunächst muss das antragstellende Unternehmen seine Identität gegenüber der Zertifizierungsstelle nachweisen, üblicherweise durch Vorlage von Unternehmensdokumenten. Erst dann kann es den eigentlichen Antrag für das S/MIME-Zertifikat stellen, indem es relevante Informationen wie den Unternehmensnamen und gültige E-Mail-Adressen angibt.“ Dies geschehe in der Regel über ein Online-Formular auf der Website der Zertifizierungsstelle. Im Anschluss prüfe die Zertifizierungsstelle die eingereichten Informationen und erstelle das S/MIME-Zertifikat. Dieser Vorgang dauere wenige Tage. „Nach Erhalt des Zertifikats installiert und konfiguriert das Unternehmen dieses in den E-Mail-Clients seiner Mitarbeitenden“, so Schrenk.

Mit Verified Mark Certificates Sicherheit der E-Mail-Kommunikation noch weiter steigern

Neu seien übrigens sogenannte Verified Mark Certificates (VMC), die weiter zur Steigerung der E-Mail-Sicherheit beitrügen. Durch die Implementierung dieser Zertifikate werde das Logo des E-Mail-Absenders bereits im Posteingang des Empfängers angezeigt, „noch bevor die E-Mail geöffnet wird“. Dies gehe über die herkömmliche Sicherung hinaus und trage dazu bei, die E-Mail-Sicherheit zu erhöhen, „indem Spam oder gefährliche Nachrichten frühzeitig erkannt werden“. Gleichzeitig biete es Unternehmen erhebliche Marketingvorteile, weil durch die visuelle Hervorhebung im Posteingang die Wahrscheinlichkeit, dass der Empfänger die E-Mail öffnet, steige, was sich positiv auf die Öffnungsraten auswirke.

„VMC-Zertifikate unterliegen dem BIMI-Standard, der das Anzeigen von Markenlogos in E-Mail-Clients regelt und somit einen höheren Schutz vor Phishing und anderen Angriffen bietet. Dadurch wird auf den ersten Blick anhand des Markenlogos erkennbar, ob es sich um eine vertrauenswürdige E-Mail handelt. Voraussetzung für die Nutzung von VMC-Zertifikaten allerdings ist die DMARC-Konformität, womit gewährleistet wird, dass eine Nachricht tatsächlich von der angezeigten Absender-Domain stammt. Zudem muss das Markenlogo markenrechtlich geschützt sein“, führt Schrenk abschließend aus.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 30.01.2024
Lagebericht der E-Mail-Sicherheit: E-Mail Sicherheit wird zur Chefsache

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht zu den Standards / Benötigt werden „Fachübersetzer“ und IT-Verantwortliche mit gutem Durchblick

datensicherheit.de, 12.07.2019]
E-Mail-Verschlüsselung mit PGP nicht sicher / PSW GROUP warnt – Verwendung von Keyservern zeigt deutliche Schwächen

Einfache Passwörter zu leicht zu knacken und umfangreiche für den Anwender zu kompliziert

[datensicherheit.de, 13.05.2024] „Passwörter sind nicht mehr zweckmäßig – sie sind leicht zu knacken und sind für den Anwender zu komplex!“, so Simon McNally, „Technical Director IAM EMEA“ bei Thales, in seiner aktuellen Stellungnahme. Die jüngste Ausgabe des „Digital Trust Index“ von Thales zeigt demnach auf, dass 64 Prozent der Befragten vom umständlichen Zurücksetzen von Passwörtern frustriert sind. Menschliches Versagen sei immer noch die Hauptursache für Datenschutzverletzungen. Für Unternehmen sollte nicht zuletzt deshalb das Passwort-Thema ein wichtiges Anliegen sein. Die Entwicklungen im Bereich der Künstlichen Intelligenz (KI) und des Quantencomputings machten dies nur noch dringlicher. McNally kommentiert: „Passwörter sollten der Vergangenheit angehören, den Passkeys gehört die Zukunft. Die von einigen Tech-Konzernen eingeleitete Entwicklung sollte gefördert werden.“

foto: Thales

Simon McNally: Passkeys ermöglichen besseren Schutz der Privatsphäre

Es ist Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben

McNally: „Wenn also ein Tag für die Sensibilisierung dieses Themas benötigt wird, dann ist es an der Zeit, die Bedeutung von Passkeys neu zu definieren und hervorzuheben.“ Durch den Einsatz kryptographischer Techniken seien Passkeys schwerer zu knacken und damit wesentlich sicherer. „Sie werden außerdem automatisch generiert und können sicher auf den Geräten gespeichert werden.“ Für den Anwender sei die Verwendung einfacher und er brauche sich nicht mehr komplizierte Passwörter oder Phrasen zu überlegen.

Schließlich ermöglichten Passkeys einen besseren Schutz der Privatsphäre, indem sie eine Authentifizierung ohne Weitergabe sensibler Informationen ermöglichten und so das Risiko von Datenschutzverletzungen verringerten. Letztes Jahr – 2023 – habe Google angekündigt, dass Passkeys nun standardmäßig für Nutzer aktiviert seien, und auch Amazon und Apple hätten diesen Schritt vollzogen.

3 Schritte, um Einsatz von Passkeys zu beginnen

Anwender könnten die folgenden Schritte gehen, um mit dem Einsatz von Passkeys zu beginnen. „Der Einsatz hängt von den Konten ab, über die die Anwender verfügen sowie die Websites, die sie nutzen“, erläutert McNally und führt weiter aus:

1. Bestehende Konten auf den Einsatz von Passkeys überprüfen!
Unternehmen wie Google, Apple und Amazon, Sony und Nintendo hätten damit begonnen, Passkeys mit ihrer Software und ihren Diensten zu unterstützen, so dass der Umstieg einfach sei.

2. Passkeys auf den Geräten aktivieren!
In den Sicherheitseinstellungen des Telefons, Tablets oder Computers gebe es die Option zum Erstellen eines Hauptschlüssels. Je nach Gerät finde sich diese Option in den Sicherheitseinstellungen oder in den Anmeldeoptionen.

3. Eine Authentifizierungsmethode einrichten!
„Wenn das Gerät oder Betriebssystem dies unterstützt, muss eine Authentifizierungsmethode eingerichtet werden.“ Dabei könne es sich um einen Fingerabdruck oder eine Gesichtserkennung handeln.

Weitere Informationen zum Thema:

THALES
2024 Thales Digital Trust Index / Building Digital Experiences that Enhance Consumer Trust

datensicherheit.de, 15.12.2023
Passwort-Handhabung als Herausforderung: Wenn möglich zusätzlich Zwei-Faktor-Authentifizierung einrichten! / Passwort-Vielzahl im Alltag und Berufsleben erfordert methodisches Vorgehen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

datensicherheit.de, 16.06.2022
Account Takeover: 24 Milliarden Benutzernamen und Passwörter im Darknet / Report Account Takeover in 2022 zeigt Ausmaß weltweit geleakter Logindaten nach Kontoübernahmen

[datensicherheit.de, 13.05.2024] Laut einer aktuellen BlackBerry-Studie werden deutsche Unternehmen immer wieder von Lücken in und Angriffen auf ihre Software-Lieferkette überrascht. Diese basiert demnach auf einer Umfrage unter hundert deutschen IT- und Cybersecurity-Entscheidern. In den vergangenen zwölf Monaten hätten 81 Prozent der befragten Unternehmen einen Angriff auf oder eine Schwachstelle innerhalb ihrer Software-Lieferkette festgestellt. „Ein erfolgreicher Angriff kann schwerwiegende Folgen für das Geschäft haben!“

Cyber-Angriffe auf deutsche Unternehmen jeder Größe keine Seltenheit mehr

Angriffe auf deutsche Unternehmen jeder Größe seien keine Seltenheit und die meisten Entscheider verfolgten bereits eine Strategie, um sich abzusichern. Dennoch zeige diese neue Studie, „dass die Software-Lieferkette ein Blinder Fleck in der Sicherheitsstrategie der meisten Unternehmen darstellt“. Denn knapp vier von fünf Unternehmen (79%) seien im vergangenen Jahr – 2023 – auf einen Teil ihrer Software-Lieferkette aufmerksam gemacht worden, „der ihnen vorher unbekannt und der ungeschützt war“. Die größten Gefahrenpotenziale bergen laut BlackBerry Schwachstellen in Web-Browsern (30%) und Betriebssystemen (27%).

„Ein besorgniserregender toter Winkel, denn die Befragten berichten von ernsten Konsequenzen.“ Die meisten seien Opfer von Datenverlust (57%), hätten finanzielle Einbußen erlebt (53%) und den Verlust von Geistigem Eigentum (51%). Hinzu kämen die Beeinträchtigung des Geschäfts (47%) und ein Reputationsschaden (40%). Um sich vollständig von einem Angriff zu erholen, bräuchten 59 Prozent der Unternehmen meistens länger als eine Woche.

SBOM hilft Unternehmen, Cyber-Schwachstellen in der Software-Lieferkette zu ermitteln

Aus dieser Studie gehe hervor, dass Entscheider vor allem auf Datenverschlüsselung (54%), Schulungen für Mitarbeiter zum Sicherheitsbewusstsein (39%) und eine „Vulnerability Disclosure Policy“ (39%) setzten, um ihre Software-Versorgungskette abzusichern. Eine „Vulnerability Disclosure Policy“ solle festlegen, „wie ein Ethischer Hacker seine Informationen über entdeckte Schwachstellen in Systemen ermitteln und weitergeben soll“.

Eine sehr effektive Methode, um einem Angriff vorzubeugen, nutzten lediglich knapp ein Drittel der befragten – die „Software Bill of Materials“ (SBOM) werde nur von 34 Prozent der Unternehmen eingesetzt. In einer solchen Digitalen Stückliste seien alle eingekauften oder verwendeten Software-Bausteine aufzuführen. Eine SBOM erlaube es schnell und einfach, einen Überblick über die eigene Software zu erhalten, „sie zu auf Schwachstellen hin zu untersuchen und die Cyber-Sicherheit auszubauen“. Die Lösung erlaube es Akteuren, „Licht in die Dunkelstellen ihrer Lieferketten zu bringen“.

Unternehmen können SBOM mit modernen Lösungen automatisch erstellen und wirksam ihre Cyber-Sicherheit stärken

„Auf die Frage, warum die Unternehmen eine Lösung nicht einsetzen, die ihre Cyber-Sicherheitslage verbessern kann, machten die Umfrageteilnehmer ein mangelndes technisches Verständnis (39%), den Fachkräftemangel (37%) und das Fehlen wirksamer Tools (34%) verantwortlich.“ Es fehle den Unternehmen sowohl an den nötigen Arbeitsstunden als auch an dem nötigen Wissen, um die Software-Lieferkette abzusichern.

Moderne Lösungen leisteten einen wichtigen Beitrag, um zuverlässig eine SBOM automatisch zu erstellen. Sie dienten zudem häufig dazu, Software auf Schwachstellen und handwerkliche Fehler zu überprüfen. „Dank ihrer Genauigkeit vermeiden die Lösungen dabei ,False Positives’, was viel Aufwand und Zeit spart.“ Unternehmen hätten mit Lösungen dieser Art die Chance, wirksam ihre Cyber-Sicherheit zu stärken, ohne sich vom Fachkräftemangel und fehlendem Know-how ausbremsen zu lassen. „Die Studie zeigt, dass bisher nicht einmal jedes fünfte Unternehmen diesen Weg geht.“

Software-Lieferkette als Einfallstor für Cyber-Angreifer gilt es ernstzunehmen

Der kommende Cyber-Sicherheitsstandart NIS-2 trete im Oktober 2024 in Kraft und doch zeige der Report, dass sich ein Graben zwischen Vorgaben und der Prioritäten der Studienteilnehmer auftue. 64 Prozent der befragten Unternehmen in der Deutschland müssten sich an die kommenden Vorgaben halten und 54 Prozent fühlten sich „sehr gut“ oder „gut“ auf die neuen Richtlinien vorbereitet. NIS-2 gebe vor, dass betroffene Unternehmen den Behörden innerhalb von 24 Stunden nach einem Angriff diesen melden müssten. Trotzdem gebt die große Mehrheit der Unternehmen (71%) an, das sie mehr als einen Tag benötigten, um eine Sicherheitslücke zu identifizieren. „Damit würden sie die Standards nicht erfüllen und stehen etwaigen Konsequenzen gegenüber.“

Auf lokale Unternehmen kämen somit große Sicherheitsherausforderungen zu. Die Software-Lieferkette sei ein Einfallstor für Angreifer, welches die meisten Entscheider bis jetzt vernachlässigten. Eine SBOM sei eine zuverlässige Sicherheitsmaßnahme, welche vielen Organisationen helfen könne, sich trotz des Fachkräftemangels abzusichern.

Weitere Informationen zum Thema:

datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

[datensicherheit.de, 11.05.2024] Auch Peter Sandkuijl, „VP Sales Engineering EMEA“ bei Check Point Software„Die NIS-2 der Europäischen Union bringt eine Reihe von Cyber-Sicherheitsanforderungen mit, die für eine größere Anzahl von Betreibern Kritischer Infrastrukturen gelten. Sie erfordert die Umsetzung geeigneter Maßnahmen zur Absicherung ihrer Netzwerke und Informationssysteme. Alle 27 EU-Mitgliedsstaaten müssen diese neuen Verpflichtungen in ihre nationalen Gesetze aufnehmen und sie bis Oktober 2024 in Kraft setzen.

Foto: Check Point Software

Peter Sandkuijl: NIS-2 könnte in einigen Branchen tiefgreifende Auswirkungen u.a. auf die Unternehmenskultur, die Budgets und die Arbeitseinstellung von Mitarbeitern haben…

Aufgrund unzureichender Cyber-Sicherheitsmaßnahmen Geschädigte können rechtliche Schritte einleiten

Unternehmen, die unter die NIS-2 fallen, diese aber nicht einhalten, müssen nun ganz offensichtlich mit einer Reihe rechtlicher Konsequenzen rechnen: „Unter diese Verwaltungsstrafen fallen Geldbußen und andere Strafen, die denen der DSGVO ähneln.“ Darüber hinaus könne die Nichteinhaltung der Vorschriften dazu führen, dass Kunden oder andere Parteien, die aufgrund unzureichender Cyber-Sicherheitsmaßnahmen geschädigt wurden, eigene rechtliche Schritte einleiten.

Sandkuijl betont: „Um sicherzustellen, dass diese Strafandrohungen ernst genommen werden, ist in der Richtlinie eindeutig festgelegt, dass die Einhaltung der Vorschriften nachzuweisen und fehlendes Bewusstsein keine Entschuldigung ist.“ Letzteres werde vom IT-Manager über den „CISO“, den „DPO“ bis hin zum Vorstand wohl für entsprechendes Bewusstsein sorgen, „so dass sie entsprechende Maßnahmen ergreifen“. Die potenziellen Geldstrafen könnten darüber hinaus auch eine persönliche Haftung für „CEOs“ bedeuten – „was eine Premiere in der Cyber-Sicherheit darstellt“.

Von NIS-2 betroffene Organisationen benötigen zwingend eine Cyber-Sicherheitsstrategie

Sandkuijl ist überzeugt, dass die persönliche Haftung, Geldstrafen und die Verpflichtung, den Behörden jeden einzelnen Vorfall innerhalb von 24 Stunden zu melden, Auslöser für Verhaltensänderungen sein werden. Der Einfluss von externen Parteien auf die Dienstleistungen eines Unternehmens werde dazu führen, dass die gesamte Lieferkette unter die Lupe genommen werden müsse. „CEOs“ und andere Führungskräfte müssten eine Strategie für Dritte entwickeln, welche einen großen Einfluss auf Unternehmen weltweit haben werde – nicht nur auf Unternehmen in der EU.

Es gebe zwei Arten von NIS-2 betroffener Organisationen: „Diejenigen, die über eine Cyber-Sicherheitsstrategie verfügen, die die ,Business Continuity’ und die damit verbundenen Risiken berücksichtigt, werden nur wenig zusätzliche Arbeit haben.“ Auf der anderen Seite gebe es jedoch noch immer Organisationen ohne eine Cyber-Sicherheitsstrategie: „Sie haben möglicherweise noch einiges an Arbeit vor sich.“ Diese müssten ihre Cyber-Sicherheitslage bewerten und eine Risikoanalyse durchführen. Darüber hinaus müssten sie in „Security Awareness“-Trainings auf allen Ebenen investieren und technische Maßnahmen umsetzen. „All dies muss geschehen, bevor das Gesetz in Kraft tritt“, betont Sandkuijl.

NIS-2 beschreibt angemessenes Cyber-Schutzniveau – und lässt Raum für Auslegung

Er führt aus: „Das Problem ist, dass es sich um eine Leitlinie handelt, die weder eine Checkliste noch eine Reihe von Mindestanforderungen enthält. Sie beschreibt ein angemessenes Schutzniveau, das natürlich ausgelegt werden kann.“ Am besten sei es, zunächst die aktuelle Situation zu analysieren, einen Fahrplan mit klaren Zielen und Zeitvorgaben zu erstellen und dann loszulegen.

Dies werde sich auf die gesamte Organisation auswirken und könne in einigen Branchen tiefgreifende Auswirkungen auf die Unternehmenskultur, die Budgets, die Arbeitseinstellung von Mitarbeitern und vieles mehr haben. Zu den technischen Mindestanforderungen gehörten Firewall- und Intrusion-Prevention-Technologien, Endgeräteschutz, Mehrfaktor-Authentifizierungen, Datenverschlüsselung und Zugriffsbeschränkung sowie weitere bewährte Verfahren.

Weitere Informationen zum Thema:

CHECK POINT
What is the NIS2 Directive?

datensicherheit.de, 02.05.2024
NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit / Ari Albertini sieht Umsetzung der NIS-2-Richtlinie als notwendige, aber derzeit noch nicht hinreichende Maßnahme an

datensicherheit.de, 19.04.2024
NIS-2: Die Bedeutung der Richtlinie für die Lieferkette / ESET-Podcast „WeTalkSecurity“ widmet sich der Rolle der Lieferkette im Kontext der NIS2-Richtlinie

datensicherheit.de, 16.04.2024
NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos / Bis 17. Oktober 2024 müssen die EU-Mitgliedstaaten die Zweite Auflage der „Network and Information Security Directive“ (NIS-2) in nationales Recht umgesetzt haben