E-Book von proofpoint beschreibt bedeutende Vorfälle der letzten zwölf Monate

[datensicherheit.de, 03.06.2020] Sogenannte BEC-E-Mails zuverlässig als solche zu entlarven, stellt eine große Herausforderung dar. Ein solcher Angriff per „Business eMail Compromise“ – auch als „Chefmasche“ oder „CEO-Betrug“ bekannt – nutzt menschliches Verhalten aus. proofpoint stellt nun aktuell als E-Book eine Aufstellung der bekanntesten und niederträchtigsten BEC- und EAC-Angriffe („eMail Account Compromise“) der letzten zwölf Monate zur Verfügung.

Abbildung: proofpoint

proofpoint-E-Book „Sie haben BEC! Die 10 größten, gefährlichsten und dreistesten BEC-Betrugsversuche von 2020 und 2019“

Business eMail Compromise: dicht dran am Original

Es ist offensichtlich nicht immer einfach, authentische E-Mails und betrügerische Nachrichten zu unterscheiden: Die Anfrage etwa stammt von der richtigen Person und auch deren Inhalt – etwa eine Banküberweisung vorzunehmen oder Auskunft zu vertraulichen Mitarbeiterdaten zu geben – kann durchaus zum üblichen Tagesgeschäft des jeweiligen Mitarbeiters gehören.
Indem der Absender solcher Anfragen nun seine Identität fälscht, kann es ihm gelingen, den Ansprechpartner damit zu überlisten – ein unter Umständen teurer Irrtum.

Business eMail Compromise nutzt für Menschen typischen Eigenschaften aus

BEC-Angriffe nutzen laut proofpoint „just die für Menschen typischen Eigenschaften aus, die eine funktionierende Gesellschaft sowie reibungslose Abläufe in Unternehmen erst ermöglichen“.
BEC-Betrüger setzten auf menschliche Psychologie und bezögen sich auf reguläre Geschäftsprozesse, um die Adressaten dazu zu verleiten, z.B. Gelder zu überweisen, Überweisungen und Zahlungen umzuleiten oder vertrauliche Informationen zu versenden.

Business eMail Compromise eng verwandt mit eMail Account Compromise

Die Kompromittierung von E-Mail-Konten (EAC) sei eng mit BEC verwandt. Doch anstatt lediglich mithilfe eines Doppelgänger-Kontos eine Person zu imitieren, der ein Anwender vertraut, kaperten EAC-Angreifer das tatsächliche Konto der vertrauenswürdigen Person.
BEC- und EAC-Angriffe ließen sich insbesondere mit veralteten Tools, nur punktuell ansetzenden Lösungen und den in Cloud-Plattformen integrierten Schutzmaßnahmen nur schwer erkennen und verhindern. BEC-E-Mails enthielten weder Malware noch schädliche URLs, welche mit standardmäßiger Cyber-Abwehr analysiert werden könnten.

Business eMail Compromise: Beute in Milliarden-Höhe

Es überrasche nicht, dass die Opfer von BEC-Betrugsversuchen bereits Milliarden US-Dollar verloren hätten – mit steigender Tendenz. Im aktuellen E-Book stellt proofpoint „einige der größten, gefährlichsten und dreistesten Betrugsversuche der letzten Monate vor“.
Diese Fälle zeigten, dass BEC- und EAC-Betrüger in der Wahl ihrer Ziele nicht wählerisch seien: Sie griffen Organisationen jeder Größe sowie Menschen auf jeder Stufe der Karriereleiter an.

Ein Fallbeispiel: Rijksmuseum Twenthe

Cyber-Kriminelle hätten „große Beute im Sinn“. Daher überrasche es kaum, wenn sie z.B. die mit wertvollen Meisterwerken befassten Kunsthändler und Museen ins Visier nähmen. Irgendwann habe in diesem konkreten Fall ein Betrüger entweder das E-Mail-Konto des Kunsthändlers kapern oder eine überzeugende Doppelgänger-Adresse erstellen können. Der Händler habe jedenfalls das Gemälde „A View of Hampstead Heath: Child’s Hill, Harrow in the Distance“ des englischen Landschaftsmalers John Constable aus dem Jahre 1824 verschickt, doch die Überweisung sei an ein Konto in Hongkong und nicht an jenes des Verkäufers gegangen – der EAC-Betrüger habe in einer früheren E-Mail die Zahlungsdetails „aktualisiert“.
Das Rijksmuseum Twenthe (Nationalmuseum im niederländischen Enschede) habe so 3,1 Millionen US-Dollar verloren. Es habe sodann den Kunsthändler verklagt und behauptet, dieser hätte fahrlässig gehandelt oder nicht eingegriffen, als der Betrüger sein Konto kompromittierte. Der Händler habe im Gegenzug gegen das Museum geklagt und sei der Meinung, dass dort die Bankdaten vor der Überweisung hätten genauer überprüft werden sollen.

Personenorientierte Sicherheitsmaßnahmen gegen Business eMail Compromise

Zum Glück sei es „nie zu spät – oder zu früh – für den Aufbau einer starken Abwehrstrategie gegen BEC/EAC“.
Da sich diese Angriffe gegen menschliche Schwächen und nicht gegen technische Schwachstellen richteten, seien personenorientierte Sicherheitsmaßnahmen erforderlich, welche ein großes Spektrum an BEC- und EAC-Techniken verhindern, erkennen und abwehren könnten.

Weitere Informationen zum Thema:

proofpoint
E-Book / Die größten 10 BEC-Betrugsversuche von 2019 und 2020

proofpoint
E-Book “You’ve Got BEC!A Roundup of the 10 Biggest, Boldest, and Most Brazen Business Email Compromise Scams of 2020 and 2019“

datensicherheit.de, 03.06.2020
BEC: Cyberkriminelle kapern Banküberweisungen

datensicherheit.de, 03.12.2019
BEC-Attacken bevorzugt an Werktagen

[datensicherheit.de, 03.06.2020] SentinelOne, Anbieter einer autonomen Cybersicherheitsplattform, ist der offizielle Cybersicherheitsanbieter für den britischen Luxusautohersteller Aston Martin. Der Automobilhersteller setzt die Endpoint-Protection-Plattform der nächsten Generation ein, um seine Produktion, seine Zentrale, seine Lieferkette und seine Außenstellen gegen die sich ständig weiterentwickelnde Bedrohungslandschaft zu sichern.

Erhebliche Investitionen in die Cybersicherheit

Das 1913 gegründete Unternehmen Aston Martin entwickelt seit mehr als einem Jahrhundert außergewöhnliche Automobile, die nach eigenen Angaben mit höchsten Ansprüchen an Ästhetik, Handwerkskunst und Technik gebaut werden und zum Inbegriff des britischen Luxus geworden sind. Angesichts der wachsenden Bedrohungslandschaft investierte Aston Martin erheblich in die Revolutionierung seines Cyber-Sicherheitsprogramms mit einer über die Cloud bereitgestellten künstlichen Intelligenz, um den alten Virenschutz zu ersetzen. Das alte Virenschutzprogramm war als Verteidigung gegen moderne Malware und Ransomware-Angriffe nicht mehr geeignet. Darüber hinaus erforderte der Betrieb der alten Sicherheitslösung den Einsatz zu vieler Mitarbeiter und erwies sich als Störfaktor für die Kunden des Automobilherstellers. Angesichts einer komplexen IT-Landschaft mit Windows, Mac, Linux und Cloud-Workloads sowie hochspezifizierten CAD-, CAE- und Design-Produktions-Workstations benötigte Aston Martin eine Lösung, die problemlos über verschiedene Betriebssysteme hinweg funktioniert und robuste APIs für die nahtlose Integration in den Technologie- und Cybersicherheits-Stack aufweist.

„Eine Lösung, die unseren Kunden sowie unseren Ingenieuren und Konstrukteuren Probleme bereitet, war keine Option für uns“, kommentiert Steve O’Connor, Director of Information Technology, Aston Martin. „Wir wollten eine Plattform, die einfach zu bedienen und für die Benutzer fast unsichtbar ist, die uns aber gleichzeitig volles Vertrauen und Sicherheit gibt. Vor allem wollten wir etwas zukunftssicheres, da Aston Martin Lagonda ständig Innovationen einführt.“ 

„Wir waren beeindruckt, wie schnell SentinelOne mit Fähigkeiten, die wir von keinem anderen Anbieter gesehen haben, zum Marktführer für Unternehmenssicherheit wurde“, fährt O’Connor fort. „Nach einem Auswahlverfahren gingen drei Anbieter zum Proof-of-Concept über. Während dieses Prozesses setze sich SentinelOne klar von der Konkurrenz ab und zeigte eine deutliche Führungsrolle gegenüber anderen etablierten Anbietern. Wir sahen einen unübertroffenen Schutz und eine sehr geringe Anzahl von Fehlalarmen, während wir gleichzeitig positive Reaktionen von Benutzern aller Betriebssysteme erhielten.“

Die Singularity-Plattform von SentinelOne ist ein produktorientierter Ansatz, der auf preisgekrönter, patentierter KI und Machine Learning basiert. Die Lösung ist nicht nur dazu in der Lage, Angriffe zu verhindern, sondern auch autonom jede Bedrohung abzuwehren, so dass technisches Personal entlastet wird und die Gewissheit besteht, dass keine Bedrohung übersehen wird. Automobilhersteller konnte dieses Vertrauen in die Sicherheit mit dem MDR-Dienst (Managed Detection and Response) „Vigilance“, der rund um die Uhr eine globale SOC-Skalierbarkeit bietet und selbst vor den komplexesten Bedrohungen schützt, nach Angaben von SentinelOne auf die nächste Stufe heben.

„Schon unmittelbar während des Proof-of-Concept erwies sich SentinelOne als die richtige Lösung für uns. Die Einrichtung war einfacher, als wir erwartet hatten, trotz unserer komplexen Umgebung. Zu sehen, wie die SentinelOne-Plattform Bedrohungen frontal bekämpft – auch die, die unser bisheriger Virenschutz übersehen hat – war ein großer Moment für das Team“, sagt O’Connor.

Neben Aston Martin haben sich kürzlich eine Vielzahl an Kunden für SentinelOne entschieden, um alte und neue Virenschutzprogramme zu ersetzen. Das Unternehmen hat in der gesamten EMEA-Region ein außergewöhnliches Wachstum verzeichnet und in den letzten Monaten Dutzende von Organisationen mit mehr als 50.000 Endpunkten bei führenden Finanzdienstleistern, im Einzelhandel, in der Produktion und bei Behörden gewonnen.

„Mit der Sicherung der Mitarbeiter, Plattformen und Systeme von Aston Martin Lagonda betraut zu werden, ist eine Ehre. Wir sind davon überzeugt, dass der patentierte Ansatz von SentinelOne nicht nur ein unübertroffenes Maß an Schutz und Sichtbarkeit bietet, sondern auch der Erfahrung gerecht wird, die wir mehr als 4.000 führenden Unternehmen weltweit zur Verfügung stellen. Mit SentinelOne hinter dem Lenkrad hebt Aston Martin seine Cyber-Abwehr auf ein neues Niveau und spart gleichzeitig Zeit und Betriebskosten bei der Durchführung einer globalen Cyber-Sicherheitsoperation“, sagt Nicholas Warner, Chief Operating Officer bei SentinelOne.

Weitere Informationen zum Thema:

datensicherheit.de, 23.01.2020
Sensible Kundendaten: Datenleck beim Autovermieter Buchbinder

Kriminelle Hacker spähen Firmen gezielt aus und fälschen Identitäten um Überweisungen umzuleiten

[datensicherheit.de, 03.06.2020] Das Check Point Research Team von Check Point® Software Technologies Ltd. sieht aktuell einen Trend, dass Cyberkriminelle versuchen, Mitarbeiter im Home-Office zu täuschen und auszunutzen, um falsche Überweisungen ausführen zu lassen. BEC nennt sich das kriminelle Vorgehen. Der FBI Internet Crime Report 2019 hat gezeigt, dass allein in den Vereinigten Staaten von Amerika 1,7 Milliarden Dollar durch BEC gestohlen wurden.

Business Email Compromise bei Hackern beliebt

Der Begriff ‚BEC‘ steht für ‚Business Email Compromise‘ und beschreibt eine bestimmte Masche, die sich aktuell bei Hackern großer Beliebtheit erfreut. Dabei verschaffen sich die Angreifer geschickt Zugang zu den Mail-Konten von Entscheidungsträgern einer Firma oder deren Zulieferern. Sobald sie diesen haben, beginnen sie damit, den E-Mail-Verkehr zu lesen, die Prozesse zu verstehen und die Mitarbeiter auszuspionieren. Ziel des Ganzen ist eine Hochstapelei: Die Hacker wollen so viel Wissen über die innere Struktur und Kommunikations-Weise des Unternehmens erlangen, dass sie in der Lage sind, sich als Entscheidungsträger – CEO oder CFO – auszugeben und die Mitarbeiter mit betrügerischen, aber geschickt gefälschten, Nachrichten zu täuschen. Gelingt ihnen das, veranlassen sie angeblich autorisierte Überweisungen auf ihre eigenen Konten und digitalen Geldbeutel (Wallets) oder leiten angewiesene Überweisungen dorthin um. Wie viel Geld eine Gruppe mit dieser Masche im Alleingang stehlen kann, hat Check Point bereits anhand eines vom Research-Team enttarnten Falles gezeigt.

Aktuelle Situation erleichtert die Durchführung

Die aktuelle Situation, mit vielen Mitarbeitern im Home-Office, erleichtert die Durchführung dieser Masche erheblich. Arbeitsanweisungen, Absprachen und Kundenkontakt – fast alle Kommunikation findet aktuell ausschließlich digital statt. Hat ein Angreifer dann zusätzlich die Zugangsdaten zu dem Konto eines hochrangigen Mitarbeiters, wie einem CEO oder CFO gestohlen, stehen der erfolgreichen Attacke nur wenige Hürden im Weg. Umso wichtiger ist es, BEC erst gar nicht zu ermöglichen und Mitarbeiter dahingehend zu schulen.

Christine Schönig, Check Point Software, Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies GmbH meint: „Wir befinden uns mitten in einem Paradigmenwechsel der Hacker-Aktivitäten: Die Kriminellen nutzen die Vorteile aus, dass viele von uns derzeit zu Hause arbeiten. Wir sehen die BEC-Betrügereien als Teil dieses Trends. Jedes Unternehmen und jede Organisation, die dafür bekannt ist, große Geldsummen zu transferieren, sollte sich bewusst machen, dass es ein Hauptziel dieser Betrugsart ist. Wenn Mitarbeiter zu Hause arbeiten und vor allem auf den E-Mail-Verkehr angewiesen sind, kann ein geschickter Angreifer jede einzelne E-Mail überwachen und manipulieren – das lohnt sich besonders bei den Mitarbeitern, die in der Lage sind, Geld zu bewegen. Wir erwarten außerdem eine Zunahme der Betrugsversuche im Jahr 2020, da Tele-Arbeit und digitale Kommunikation stark zugenommen haben – auch an inhaltlichem Wert der Nachrichten.“

Check Point empfiehlt folgende Schritte, um sich vor BEC zu schützen:

1. Aktivieren Sie die Multi-Faktor-Authentifizierung für geschäftliche E-Mail-Konten. Diese Art der Authentifizierung erfordert mehrere Informationen zur Anmeldung, wie ein Passwort und einen SMS-Code. Die
2. Implementierung der Multi-Faktor-Authentifizierung erschwert es Cyberkriminellen, Zugang zu den E-Mails der Mitarbeiter zu erhalten.
3. Öffnen Sie keine E-Mails von unbekannten Parteien. Wenn Sie dies tun, klicken Sie nicht auf Links oder öffnen Anhänge, da diese oft Malware enthalten, die auf Ihr Computersystem zugreift.
   Überprüfen Sie die E-Mail-Adresse des Absenders doppelt. Eine gefälschte E-Mail-Adresse hat oft eine ähnliche Endung wie die legitime E-Mail-Adresse.
4. Überprüfen Sie die Adresse immer, bevor Sie Geld oder Daten senden. Machen Sie es zum Standardverfahren für Mitarbeiter, E-Mail-Anfragen für eine telegrafische Überweisung oder vertrauliche Informationen erst von allen Verantwortlichen bestätigen zu lassen.
5. Nutzen Sie die Funktion ‚Weiterleiten‘ statt ‚Antworten‘ für Rückmeldungen bei geschäftlichen E-Mails. Beim Weiterleiten muss die korrekte E-Mail-Adresse manuell eingegeben oder aus dem internen Adressbuch ausgewählt werden. Die Weiterleitung stellt somit sicher, dass Sie die korrekte E-Mail-Adresse des vorgesehenen Empfängers verwenden.

Weitere Informationen zum Thema:

Check Point
Alles über die Nachforschung zu BEC-Betrugsversuchen

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 07.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen

[datensicherheit.de, 03.06.2020] Mit der Digitalisierung steigt für kleine und mittelständische Unternehmen (KMU) die Komplexität der IT-Infrastruktur, und somit auch die Gefahr, durch Cyberangriffe Schaden zu erleiden. Cybersicherheit ist dabei eng mit dem Ruf des Unternehmens, dem Vertrauen seiner Kunden, aber auch mit finanziellen Schadensrisiken verbunden. Entsprechend sind die Investitionen in Lösungen zum Schutz vor Cyberangriffen in den vergangenen Jahren auch im Mittelstand gestiegen. Ein 100%iger Schutz vor Angriffen kann allerdings nicht gewährleistet werden, vor allem da eine große Gefahr durch die Unachtsamkeit von den eigenen Mitarbeitern ausgeht. Zu den aktuell akutesten Bedrohungen für die IT- und Datensicherheit in KMUs gehören heutzutage Phishing-Attacken durch gefälschte Emails oder Web-Seiten. Es ist daher für Unternehmen ratsam sich auch auf einen Ernstfall vorzubereiten. Ein Aspekt hierbei ist der Abschluss einer Cyber-Versicherung, um im Schadensfall die finanziellen Risiken abzumindern. Veronym, Deutschlands erster Cloud Security Service Provider (CSSP), erläutert die zentralen Aspekte von Cyberversicherungen für mittelständische Unternehmen.

Cyberversicherungen in Deutschland noch relativ neu

Cyberversicherungen sind in Deutschland noch relativ neu im Vergleich zu schon lange bestehenden Versicherungen, wie Unfallschutz oder Betriebshaftpflicht. Bei Cyber-Versicherungen ist das Cyber-Risiko des Unternehmens die Grundlage für die Vertragskonditionen. Es ist allerdings nicht einfach, das Cyber-Risiko eines Unternehmens zu ermitteln, da dieses sehr von dem Grad der Digitalisierung und auch dem Reifegrad der Cyber-Schutz Maßnahmen abhängt.

„Daher treffen die Anbieter von Cyberversicherungen bei kleinen und mittelständischen Unternehmen häufig auf eine Reihe von Vorbehalten“, erläutert Dr. Michael Teschner von Veronym. Das Unternehmen arbeitet als Cloud Security Service Provider mit verschiedenen Anbietern von Cyber-Versicherungen zusammen, um speziell kleine und mittelständische Unternehmen in Sachen Cybersicherheit zu unterstützen.

„Eine Cyberversicherung ist wie ein Airbag im PKW – man möchte sich damit eigentlich am liebsten gar nicht beschäftigen und vermutet, dass man ihn eh nie benötigt. Und dennoch würde wohl kaum ein Kunde heute noch einen PKW ohne Airbag kaufen“, erklärt Michael Teschner. „Da Cyberversicherungen für den Kunden jedoch einiges komplexer sind als ein Airbag, sind viele Unternehmen noch zögerlich. Es wäre aber dringend anzuraten, sich mit diesem Thema zu beschäftigen und einige Vorbehalte einer ernsthaften Prüfung zu unterziehen.“

Skepsis wegen Kosten und Leistungsumfang

Für viele Entscheider in kleinen und mittelständischen Unternehmen ist der Begriff der Cyberversicherung noch sehr abstrakt. Dabei sind die verschiedenen Leistungen sehr plausibel und konkret: Cyber-Haftpflicht, Cyber-Betriebsunterbrechung und Cyber-Eigenschaden. Dazu kommen häufig eine Soforthilfe im Notfall sowie die die Übernahmen von Kosten für Dienstleister, die während einer akuten Krise hinzugezogen werden. Um das Niveau der Cybersicherheit vorab zu erhöhen bieten manche Versicherungen kostenfreie Cybersicherheitstrainings an. Werden diese von der Mehrheit der Belegschaft erfolgreich absolviert kann beispielsweise der Selbstbehalt reduziert werden. Außerdem unterstützen einige Anbieter ihre Kunden auch bei der regelmäßigen Aktualisierung von Krisenmanagement-Plänen.

„Zahlreiche KMUs fragen sich, ob sie sich eine Cyberversicherung überhaupt leisten können. Dabei sollte man sich eher fragen, ob man es sich leisten kann, nicht gegen entsprechende Vorfälle abgesichert zu sein“, meint  Teschner. „Rund ein Drittel aller KMUs wurden bereits Opfer eines Cyberangriffs. Knapp 22.000 Euro Schaden verursacht ein Cyberangriff im Schnitt in Kleinunternehmen. Allerdings können auch deutlich höhere Kosten im sechsstelligen Bereich entstehen.“

Klare Kriterien und Zuständigkeiten

Zunächst gilt es im Vorfeld den aktuellen Status der Cybersicherheit zu erheben. „Diese Phase kann für das Unternehmen schon sehr hilfreich sein, denn oft werden hierbei bestehende Schwachstellen erkannt“, erklärt Teschner. „Manche Versicherungen arbeiten eng mit Sicherheitsanbietern zusammen und können so Unternehmen Komplettpakete anbieten, die neben dem Schutz und dem Erkennen von Angriffen auch eine Krisen Reaktion beinhaltet.“

Im Schadensfall greift der Versicherungsschutz allerding nur wenn die bestehenden Obliegenheiten aus dem Vertrag, sprich die Pflichten des Versicherungsnehmers auch erfüllt sind. Das bedeutet, dass im laufenden Betrieb regelmäßig geprüft werden muss, ob die eingesetzten technischen Maßnahmen zum Schutz gegen Cyber-Angriffe auch immer auf dem neusten Stand sind. Wesentliche vereinfacht wird ein solcher Nachweis bei dem Einsatz von einem Security-Service. Hierbei ist der Betreiber in der Verantwortung die Anforderungen zu gewährleisten und das Unternehmen kann sich auf seine Kernkompetenzen fokussieren.

Neben dem Preis-/Leistungsverhältnis in Bezug auf eine Schadensregulierung sollten Unternehmen auch darauf achten, welche zusätzlichen Leistungen die Versicherung umfasst. So können regelmäßige Informationen rund das Thema Cybersicherheit Unternehmen dabei helfen die Gefahr eines erfolgreichen Angriffs zu minimieren.

Grundsätzlich rät Veronym kleinen und mittelständischen Unternehmen dazu, vor dem Abschluss einer Cyberversicherung zusammen mit kompetenten Beratern der Versicherung die eigenen IT-Sicherheitsvorkehrungen gründlich unter die Lupe zu nehmen. „In den USA und UK sind sehr viele Unternehmen mit diesem Thema schon vertraut und nutzen eine entsprechende Versicherung. In Deutschland hingegen stehen wir hier noch am Anfang“, fasst Michael Teschner abschließend zusammen. „Den Unternehmen, die den Wert einer Cyberversicherung erkannt haben, möchte ich dringend raten, bei ihrer Entscheidung das ganze Bild zu betrachten. Technische Maßnahmen, Krisenvorsorge und Cyberversicherung sollte man nicht als voneinander unabhängige Inseln betrachten, sondern vielmehr als Einheit, bei der die drei Elemente aufeinander abgestimmt sein müssen, um den bestmöglichen Effekt zu erzielen.“

Weitere Informationen zum Thema:

Veronym
Unternehmenswebsite

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

Nach Information durch „ethische Hacker“ wurden durch Sophos „Hotfixes“ veröffentlicht

[datensicherheit.de, 02.06.2020] „vpnMentor.com“ ist nach Angaben des Betreibers „die weltweit größte VPN-Überprüfungs-Website“. Das eigene Sicherheitsforschungslabor ist demnach ein sog. Pro-Bono-Service, welcher der Online-Gemeinschaft helfen soll, sich gegen Cyber-Bedrohungen zu verteidigen, und gleichzeitig Organisationen über den Schutz der Daten ihrer Benutzer aufklärt. In einem aktuellen Bericht wird auf die Entdeckung von drei Schwachstellen in der Firewall-/VPN-Technologie des Cyber-Sicherheitsanbieters Cyberoam (a Sophos Company) eingegangen – diese beträfen das „E-Mail-Quarantänesystem“, welches ohne Authentifizierung erreichbar sei.

Abbildung: vpnMentor

vpnMentor-Report „Critical Flaws in Cybersecurity Devices Exposed Entire Networks to Attack and Takeover“

In kurzer Folge drei Schwachstellen in Cyberoam-Produkten gefunden

Die Schwachstellen seien von verschiedenen unabhängig voneinander arbeitenden Forschern entdeckt worden. Über die erste Schwachstelle sei Ende 2019 berichtet worden, während die zweite Anfang 2020 von einem anonymen „ethischen Hacker“ mit vpnMentor geteilt worden sei. Sophos habe bereits „Hotfixes“ zur Behebung dieser beiden Schwachstellen veröffentlicht. Nach Bestätigung der Ergebnisse habe das eigene Team dann noch eine dritte, bisher ebenfalls unbemerkt gebliebene Schwachstelle entdeckt.
Diese Schwachstellen könnten sowohl unabhängig voneinander als auch in ihrer Gesamtheit ausgenutzt werden, indem eine böswillige Anfrage gesendet werde, welche es einem nicht authentifizierten Angreifer aus der Ferne ermöglichen würde, beliebige Befehle auszuführen.

Jedes von Cyberoam-Firewalls geschützte Gerät hätte ausgenutzt werden können

Cyberoam entwickle hauptsächlich Technologielösungen für große Unternehmen sowie internationale Organisationen und integriere sie in umfangreichere Netzwerke. Die Software werde normalerweise am Rand eines Netzwerks platziert und umgebe dieses mit zahlreichen Sicherheitstools. Im Wesentlichen bilde sie ein Gateway, welches den Zugriff für Mitarbeiter und andere berechtigte Parteien ermöglichen und gleichzeitig jeden unberechtigten Eintritt in ein Netzwerk blockieren solle.
Der Hauptdefekt in der Sicherheit von Cyberoam habe nun zwei separate Sicherheitslücken in der Art und Weise betroffen, wie E-Mails auf einem Cyberoam-Gerät aus der Quarantäne freigegeben werden. Beide nicht miteinander in Zusammenhang stehenden Probleme hätten dazu verwendet werden können, Hackern Zugriff auf Geräte zu gewähren – in letzter Konsequenz also jedes von Cyberoam-Firewalls geschützte Gerät auszunutzen. Das erste Problem sei gegen Ende des Jahres 2019 entdeckt, an Sophos gemeldet und von Sophos sowie Cyberoam umgehend behoben worden.

Möglicher Hacker-Zugriff über webbasierte Cyberoam-Firewall-Oberfläche

Das zweite Problem sei von einem anonymen Hacker mit ethischen Grundsätzen mitgeteilt worden. Nachdem das interne Team des eigenen Forschungslabors unter der Leitung von Nadav Voloch diese vom anonymen Hacker gemeldete Sicherheitslücke überprüft hatte, habe Nadav die Überprüfung der früheren Offenlegung der Sicherheitslücke und der Cyberoam-Server-Schnittstellen fortgesetzt. Er habe dann feststellt, dass die Geräte von Cyberoam Standardkennwörter unterstützten. Insgesamt handele es sich dabei um zwei separate, nicht authentifizierte Sicherheitslücken in der E-Mail-Quarantäne-Funktion, die innerhalb von sechs Monaten entdeckt worden seien, und zusätzlich noch die Unterstützung von Standardkennwörtern. Man habe sodann mit Cyberoam zusammengearbeitet, indem ein Zeitplan für die Offenlegung und eine Patch-Umgehung koordiniert worden seien.
Im Grunde genommen ermöglichten diese Sicherheitslücken bösartigen Hackern indirekten Zugriff auf jedes Sicherheitsgerät von Cyberoam über die zentrale webbasierte Firewall-Oberfläche des Betriebssystems. Dies sei aufgrund eines Fehlers bei der Einrichtung des Zugriffs auf Benutzerkonten auf ihren Geräten möglich geworden. Für die Ausnutzung dieser Sicherheitslücken sei keine Authentifizierung erforderlich gewesen. Ein Angreifer habe lediglich die IP-Adresse des anfälligen Cyberoam-Geräts kennen müssen, um eine zuverlässige „Shell“ ohne Abstürze zu erhalten. „Sobald Hacker Remote-Zugriff auf die Cyberoam-OS-Shell erhalten, können sie indirekt auf jede Serverdatei zugreifen und das gesamte Netzwerk überwachen.“ Dies sei auch eine privilegierte Position, um auf andere Geräte zuzugreifen, die mit demselben Netzwerk verbunden sind – oft eine ganze Organisation.

Mindestens 170.000 einzelne Cyberoam-Firewalls mit Internet-Verbindung potenziell betroffen

vpnMentors eigene Untersuchung des Ausmaßes der Sicherheitsanfälligkeit habe gezeigt, dass mindestens 170.000 einzelne Firewalls mit Internet-Verbindung potenziell von der Sicherheitsanfälligkeit betroffen gewesen seien. Jede einzelne fungiere als potezieller Zugang zu Tausenden von unabhängigen Organisationen auf der ganzen Welt.
Da Cyberoam-Geräte und -VPNs oft als grundlegendes Sicherheits-Gateway zum Schutz großer Netzwerke verwendet würden, hätte jede Sicherheitsanfälligkeit in ihrer Software schwerwiegende Auswirkungen auf ein betroffenes Netzwerk. Hacker könnten sich dann theoretisch einfach in andere Geräte in diesem Netzwerk einschalten und jeden angeschlossenen Computer, Laptop, Telefon, Tablet oder Smart Device steuern.

Cyberoam-Geräte auf „Shodan“ zu lokalisieren

Hacker könnten Cyberoam-Geräte recht einfach aufspüren, da die Informationen über die Internet-Suchmaschinen wie „Shodan“ und „ZoomEye“ öffentlich zugänglich seien. Diese speziellen Suchmaschinen dienten dem Auffinden für mit dem Internet verbundene Geräte, mit denen jedes in einem Netzwerkbereich betriebene Gerät (oder jeder Server) sowie dessen Standort über eine IP-Adresse angezeigt werden könnten.
Mithilfe von „Shodan“ z.B. seien die IP-Adressen von ungefähr 86.000 Cyberoam-Geräten einfach herausgefiltert worden – vermutlich „nur ein kleiner Bruchteil der tatsächlichen Größe des Netzwerks“, denn es gebe viel mehr versteckte Geräte, welche nicht mit dem Internet verbunden seien und sich in nicht standardmäßigen Konfigurationen befänden.

Trotz Behebung der Schwachstellen könnte Cyberoam weiter im Visier sein

Die Gefahren seien ziemlich ernstzunehmen. Eine erfolgreiche Ausbeutung hätte es böswilligen Angreifern ermöglichen können, unbefugten Zugang zu und Kontrolle über 100.000 potenziell sensible Unternehmensnetzwerkgeräte auf der ganzen Welt zu erlangen. Der Zugriff auf ein ganzes Netzwerk und die Kontrolle darüber würde es ermöglichen, eine große Bandbreite an Betrug, Angriffen und Diebstahl zu begehen:

• Diebstahl privater Daten
• Netzwerk-, Konto- und Geräteübernahme
• böswillige Manipulation legitimer Netzwerkpakete

Glücklicherweise seien diese Schwachstellen noch rechtzeitig entdeckt und gegenüber Sophos verantwortungsbewusst aufgedeckt und offengelegt worden, worauf schnell reagiert und „Hotfixes“ erstellt worden seien. „Wären diese Schwachstellen von kriminellen Hackern entdeckt worden, hätten die Auswirkungen auf die betroffenen Netzwerke katastrophal sein können.“ Konkret: „Wenn diese Sicherheitslücke schließlich von kriminellen oder böswilligen Hackern entdeckt worden wäre, hätte sie zu direkten Angriffen auf das Netzwerk von Cyberoam, ihre Partner und die Kunden der Partner führen können.“ Diese Sicherheitsanfälligkeit seien zwar behoben worden, aber Cyberoam könnte jedoch immer noch mit erhöhter Aufmerksamkeit von Hackern konfrontiert werden, welche sich der beständigen Fehler in den Sicherheitsprotokollen bewusst seien und nach weiteren Fehlern in anderen Bereichen suchten.

Cyberoam-Benutzer sollten sich der früheren Sicherheitslücken bewusst sein

Wer derzeit ein Cyberoam-Sicherheitsgerät verwendet, möge sicherstellen, den neuesten Sicherheitspatch von Sophos zu erhalten und zu installieren. Ferne sei darauf zu achten, dass niemand im Netzwerk mehr die von Cyberoam ursprünglich bereitgestellten Standard-Anmeldeinformationen verwendet oder dass die noch verwendeten manuell deaktiviert sind. Als ethische Hacker seien sie verpflichtet, ein Unternehmen zu informieren, wenn Schwachstellen in dessen Online-Sicherheit entdeckt werden. Eben genau das habe man in diesem Fall getan: Sobald sie auf diese Umgehung aufmerksam gemacht wurden, hätten sie sich an Cyberoam und Sophos gewandt – „nicht nur, um sie über die Schwachstelle zu informieren, sondern auch, um ihnen zu erklären, wie sie funktioniert“.
Sophos habe schnell geantwortet und der Prozess zur Behebung des Problems sofort begonnen. Die vpnMentor-Ethik bedeute aber auch, Verantwortung gegenüber der Öffentlichkeit zu tragen: Cyberoam-Benutzer müssten sich der früheren Sicherheitslücken bewusst sein, von denen auch sie betroffen gewesen seien. Der Zweck des eigenen Forschungslabors sei es, „das Internet für alle Benutzer sicherer zu machen“. Man tue sein Bestes, um sensible Benutzerdaten geheim zu halten, „indem wir weit verbreitete Software-Fehler wie diesen finden und aufdecken“.

Weitere Informationen zum Thema:

vpnMentor, 14.05.2020
Report: Critical Flaws in Cybersecurity Devices Exposed Entire Networks to Attack and Takeover

vpnMentor
Blog

datensicherheit.de, 08.05.2020
VPN-Anbieter HMA führt No-Logs-Richtlinie ein

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware

datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen

Prävention bleibt die beste Verteidigung / Best Practices zum Schutz von Unternehmen

Von unserem Gastautor Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 02.06.2020] Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches Talent, um hohe Summen von ihren Opfern zu erpressen. Die Entwickler des GandCrab-RaaS rühmten sich, 2,5 Millionen US-Dollar pro Woche einzunehmen. Aktuelle Angriffe mit dem polymorphen Emotet-Virus, der den TrickBot-Trojaner einführt, daraufhin Daten stiehlt und die Ryuk-Ransomware herunterlädt, können ebenso effektiv wie profitabel sein.

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian. Bild: Digital Guardian

Neues Druckmittel: Victim-Outing von Unternehmen, die kein Lösegeld bezahlen

Darüber hinaus greifen Cyberkriminelle zu neuen Mitteln, um den Druck auf ihre Opfer weiter zu erhöhen. Die Angreifer hinter der Ransomware-Variante Maze haben begonnen, öffentlich bekanntzumachen, wenn Unternehmen sich weigern, Lösegeld zu zahlen. Auf einer Website gaben die Kriminellen kürzlich Namen, Websites und sogar gestohlene Daten von Opferfirmen weiter.

Weitere Akteure, die die Ransomware-Wirtschaft antreiben

Ransomware bleibt nicht nur eine ernsthafte Bedrohung, weil sie für Cyberkriminelle eine effektive Einnahmequelle ist. Das florierende Geschäft der Daten-Geiselnahme wird auch durch weitere Akteure zusätzlich angefacht:

Versicherungsanbieter: Teilweise Ermutigung zur Zahlung von Lösegeldern

Traditionell ermöglichen Anbieter, die auf Cyber-Versicherungen spezialisiert sind, eine Deckung für Verluste, die durch eine Ransomware-Infektion entstehen. Wie die Non-Profit-Nachrichtenseite ProPublica vor kurzem herausfand, haben einige Versicherer dazu ermutigt, Lösegelder zu zahlen, wenn es wahrscheinlich ist, dass die Kosten durch eine schnelle Wiederherstellung des Geschäftsbetriebs minimiert werden können. Dies ermöglicht es den betroffenen Unternehmen zwar, schneller einen Decryption-Key zu erhalten, doch durch Lösegeldzahlungen an die Erpresser wird das Problem nur noch weiter verschärft.

Ransomware-Broker zur Abwicklung der Lösegeldzahlungen

Nicht jede Organisation, die von Ransomware betroffen ist, ist mit den treuhänderischen Forderungen der Angreifer vertraut; dazu gehört auch, wie Krypto-Währungen wie Bitcoin funktionieren. Hierfür gibt es mittlerweile Vermittlerservices, die von Unternehmen oder deren Rechtsberatung beauftragt werden können, um eine Reduzierung der geforderten Summe auszuhandeln oder den Prozess der Lösegeldzahlung abzuwickeln. Zu diesen Dienstleistern zählt etwa die Firma Coveware, die sich selbst als „Ransomware Recovery First Responder“ bezeichnet und Unternehmen bei der Erleichterung von Zahlungen, aber auch bei der Erhebung und Weitergabe von Daten hilft, die sie mit Strafverfolgungsbehörden und Sicherheitsforschern austauscht. Eine Handvoll anderer Firmen wie Gemini Advisory und Cytelligence sind in letzter Zeit ebenfalls entstanden.

Solange Cyberkriminelle, Vermittlerfirmen und Versicherer weiterhin Gewinne erzielen, wird Ransomware ein Problem bleiben – eine Win-Win-Situation für alle, außer für die Opfer. Laut eines Berichts von Coveware steht viel Geld auf dem Spiel: Die durchschnittliche Lösegeldzahlung sei allein vom ersten bis zum zweiten Quartal 2019 um 184 Prozent von 12.762 auf 36.295 US-Dollar gestiegen.

Grundlegende Best Practices gegen Ransomware

Die Einhaltung grundlegender Best Practices bleiben der Schlüssel zur Minimierung von Schäden durch Ransomware. Zu den wichtigsten Sicherheitspraktiken zählen:

1. Aufklärung: Eine effektive Ransomware-Abwehr fußt maßgeblich auf der umfangreichen Mitarbeiterschulung. Zu den häufigen Infektions- oder Angriffsvektoren gehören:
   • E-Mail-Anhänge: Eine der gängigsten Methoden zur Verbreitung von Ransomware ist die Versendung bösartiger E-Mail-Anhänge durch Phishing-Attacken, beispielsweise als gefälschte Rechnungen oder Bewerbungsunterlagen.
   • Social Media: Ein weiteres Mittel der Täuschung ist ein Angriff über Social Media. Einer der bekanntesten Kanäle ist der Facebook Messenger: Kriminelle erstellen Konten, die die aktuellen Kontakte eines Benutzers nachahmen und Nachrichten mit bösartigen Dateien oder Links versenden.
   • Online-Popups: Ein älterer, gängiger Angriffsvektor sind Online-Popups, die häufig verwendete Software nachahmen und Nutzer dazu bringen wollen, auf das gefälschte Fenster zu klicken, um die Malware herunterzuladen.
   • Gefälschte Apps: Im Bereich der mobilen Ransomware zählen gefälschte Apps zu den häufigsten Infektionsvektoren. Apps sollten daher nur von vertrauenswürdigen Quellen bezogen werden.
2. Häufige und getestete Backups: Die Sicherung aller wichtigen Dateien und Systeme ist eine der stärksten Abwehrmaßnahmen gegen Ransomware. Backups sollten regelmäßig getestet werden, um sicherzustellen, dass die Daten vollständig und nicht beschädigt sind.
3. Strukturierte, regelmäßige Updates: Die meiste Software, die Unternehmen verwenden, aktualisiert der Softwarehersteller regelmäßig. Diese Updates können Patches beinhalten, um die Software vor bekannten Bedrohungen zu schützen. Jedes Unternehmen sollte einen Verantwortlichen benennen, der die Software aktualisiert.
4. Korrekte Verfolgung von Berechtigungen: Jeder Mitarbeiter, der Zugang zu Systemen erhält, schafft eine potenzielle Schwachstelle für Ransomware. Fehlende Aktualisierung von Passwörtern und unzulässige Nutzerberechtigungen können zu noch höheren Angriffswahrscheinlichkeiten führen.
5. Weitere Security-Technologien und -Services: Darüber hinaus können zusätzliche Security-as-a-Service-Dienste wie etwa Managed Detection and Response (MDR) Unternehmen durch externe Sicherheitsexperten dabei unterstützen, Bedrohungen zu jagen, zu erkennen und in Echtzeit auf Angriffe zu reagieren, um Ransomware-Angriffe und andere Advanced Threats zu stoppen, bevor sensible Unternehmensdaten gefährdet werden.

Prävention bleibt die beste Verteidigung. Mit einem mehrschichtigen Sicherheitsansatz aus Mitarbeiteraufklärung, kontinuierlichen Update- und Backup-Praktiken sowie Sicherheitstechnologien lässt sich das Risiko eines Ransomware-Angriffs deutlich verringern.

Weitere Informationen zum Thema:

Digital Guardian
Enterprise IP & DLP Software

datensicherheit.de, 14.05.2020
Gesundheitswesen: Globaler Anstieg von Ransomware- und Cyberangriffen

Anlässlich der Ermittlungen zu „G20“-Ausschreitungen mit Hilfe von Gesichtserkennung erstellte biometrische Datenbank war heftig umstritten

[datensicherheit.de, 28.05.2020] Laut einer aktuellen Meldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Polizei Hamburg jene im Zuge der „G20“-Ermittlungen erstellte biometrische Datenbank zum Gesichtsabgleich gelöscht. Der HmbBfDI hatte nach eigenen Angaben datenschutzrechtliche Bedenken gegenüber der Protokollierungspraxis der Polizei beim Zugriff auf die biometrische Datenbank geäußert. Die Polizei Hamburg habe den HmbBfDI selbst darüber in Kenntnis gesetzt, dass sie die anlässlich der Ermittlungen zu den „G20“-Ausschreitungen mit Hilfe einer Gesichtserkennungssoftware erstellte biometrische Datenbank nunmehr gelöscht habe. Als Grund hierfür sei angegeben worden, dass keine strafrechtliche Erforderlichkeit mehr für die Datenbank hinsichtlich der „G20“-Verfahren bestehe.

HmbBfDI

Prof. Dr. Johannes Caspar: Schlussstrich unter das seit 2018 kontrovers diskutierte Verfahren fraglich…

Strafrechtliche Ermittlungen im Umfeld des „G20-Gipfels“ in Hamburg im November 2017

Der gesamte Komplex reiche bis in den November 2017 zurück. Damals habe die Polizei in Hamburg im Rahmen strafrechtlicher Ermittlungen rund um die Geschehnisse des „G20-Gipfels“ begonnen, aus hochgeladenen privaten Aufnahmen, polizeieigenen Videos sowie Bild- und Videomaterial von S-Bahnstationen und aus den Medien per Gesichtserkennungssoftware Gesichter aller im Material feststellbarer Personen automatisch auszumessen und mit Hilfe dieser Informationen maschinenlesbare Templates zu erstellen.
Diese Gesichtstemplates seien in der nun gelöschten Datenbank vorgehalten und mit Templates einzelner Tatverdächtiger in der Vergangenheit immer wieder automatisiert abgeglichen worden. Bereits im Juli 2018 habe der HmbBfDI die Polizei auf seine Auffassung hingewiesen, wonach für die biometrische Analyse der Gesichter „keine hinreichende Ermächtigungsgrundlage“ existiere, welche derartig intensive Grundrechtseingriffe zum wesentlichen Teil völlig unbeteiligter Personen rechtfertigen könnte.

HmbBfDI: Im August 2018 Löschung dieser Datenbank angeordnet

Im August 2018 habe der HmbBfDI das Vorgehen beanstandet und dann im Dezember desselben Jahres gegenüber der Behörde für Inneres und Sport schließlich die Löschung dieser Datenbank angeordnet. Auf Klage der Innenbehörde habe das Verwaltungsgericht Hamburg diese Anordnung aufgehoben, da dem HmbBfDI die Kompetenz zur Überprüfung der maßgeblichen Rechtsgrundlage gefehlt habe und die Maßnahmen auf eine allgemeine Regelung der Datenverarbeitung im Bundesdatenschutzgesetz hätten gestützt werden können.
Der HmbBfDI hat nach eigenen Angaben gegen dieses Urteil des VG Hamburg vom 23. Oktober 2019 (Az. 17 K 203/19) die Zulassung der Berufung vor dem OVG Hamburg beantragt. „Die jüngst erfolgte Löschung der biometrischen Datenbank durch die Polizei Hamburg ist nachdrücklich zu begrüßen. Ob sie allerdings einen Schlussstrich unter das seit 2018 kontrovers diskutierte Verfahren zieht, bleibt fraglich“, so der HmbBfDI, Prof. Dr. Johannes Caspar. Nach derzeitigem Stand hätten die Strafverfolgungsbehörden in Hamburg „faktisch und nach dem Urteil des VG Hamburg auch rechtlich die Möglichkeit, die Technologie der automatisierten Gesichtserkennung regelhaft einzusetzen“. Die Polizei habe wiederholt geäußert, dass deren Einsatz auch für andere Großereignisse in Hamburg in Betracht komme.

Erhebliche Gefährdung für eine freie Gesellschaft und die Privatsphäre

Die „erheblichen Gefährdungen der automatisierten Gesichtserkennung für eine freie Gesellschaft und die Privatsphäre“ würden jedoch nicht erst seit der massenhaften Auswertung von Gesichtsdatenbanken durch das US-Unternehmen Clearview weltweit kritisch diskutiert.
Besondere gesetzliche Vorgaben zur Zulässigkeit des Einsatzes dieser Technologie seien als Mindestmaß erforderlich, „gerade um Rechte und Freiheiten von Menschen, die ganz überwiegend zu keinem Zeitpunkt tatverdächtig sind, wirksam zu schützen“. Diese fehlten bislang. Insoweit sei eine weitergehende gerichtliche Klärung der zentralen Fragen anzustreben, betont Professor Caspar.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Verwaltungsgerichtsverfahren zur Anordnung des HmbBfDI bezüglich des Einsatzes von VIDEMO

datensicherheit.de, 19.05.2020
Bundesverfassungsgericht: Grundsatzurteil zum BND-Gesetz

[datensicherheit.de, 28.05.2020] Bereits Anfang 2020 wurde über eine Reihe zielgerichteter Angriffe auf Industrieunternehmen in verschiedenen Regionen berichtet. Nach Analysen des Kaspersky ICS CERT [1] konzentrierten sich diese auf Systeme in Japan, Italien, Deutschland und Großbritannien. Die Angreifer hatten dabei Anbieter von Geräten und Software für Industrieunternehmen im Visier und nutzten infizierte Microsoft-Office-Dokumente, PowerShell-Skripte und verschiedene Techniken, die eine Erkennung und Analyse der Malware schwierig gestalten, wie beispielsweise Steganografie [2], eine Technologie zum Verbergen von Daten.

Hochentwickelte Angriffe

Angriffe auf Industrieobjekte sind hochentwickelt und ziehen diverse Konsequenzen nach sich: von erfolgreicher Industriespionage bis hin zu erklecklichen finanziellen Verlusten. Die Experten von Kaspersky haben nun eine Reihe von Angriffen untersucht, deren anfänglicher Angriffsvektor Phishing-Mails waren, die für jedes Opfer individuell sprachlich angepasst wurden. Die verwendete Malware führte nur dann Aktivitäten aus, wenn die Sprache des Betriebssystems mit der in der Phishing-Mail übereinstimmte. Im Falle eines Angriffs auf ein japanisches Unternehmen wurden beispielsweise der Text der Mail und das mit schädlichen Makros kompromittierte Microsoft-Office-Dokument auf Japanisch verfasst. Um das Malware-Modul erfolgreich zu entschlüsseln, musste das Betriebssystem zudem über eine japanische Lokalisierung verfügen.

Angreifer nutzten das Programm Mimikatz

Eine genauere Analyse zeigte, dass die Angreifer das Programm Mimikatz [3] verwendet haben, um die Authentifizierungsdaten von Windows-Konten des kompromittierten Systems zu stehlen. Diese Informationen können von Angreifern verwendet werden, um Zugriff auf weitere Systeme im Unternehmensnetzwerk zu erhalten und weitere Angriffe zu entwickeln. Angreifer erhalten damit auch Zugriff auf Konten mit Domänenadministratorrechten.

In allen entdeckten Fällen wurde die Malware durch Sicherheitslösungen von Kaspersky nach eigenen Angaben blockiert, die Angreifer konnten ihre Aktivitäten daher nicht fortsetzen. Infolgedessen bleibt das endgültige Ziel der Kriminellen unbekannt.

„Diese Angriffe erregten aufgrund mehrerer nicht standardmäßiger technischer Lösungen, die von den Angreifern verwendet wurden, unsere Aufmerksamkeit“, erklärt Vyacheslav Kopeytsev, Sicherheitsexperte bei Kaspersky. „Beispielsweise wird das Malware-Modul mithilfe von Steganografiemethoden im Image codiert, das Image selbst wird dabei auf legitimen Webressourcen gehostet. Das macht es fast unmöglich, den Download solcher Malware mithilfe von Lösungen zur Überwachung und Steuerung des Netzwerkverkehrs zu erkennen: Aus Sicht technischer Lösungen unterscheidet sich diese Aktivität nicht von dem üblichen Zugriff auf ein legitimes Image-Hosting. In Verbindung mit den anvisierten Zielen dieser Infektionen zeigen diese Techniken eine ausgefeilte und selektive Natur der Angriffe. Es ist besorgniserregend, dass insbesondere industrielle Auftragnehmer zu den Opfern des Angriffs gehören. Wenn die Authentifizierungsdaten von Mitarbeitern der Zuliefererorganisation in die falschen Hände geraten, kann dies zu vielen negativen Konsequenzen führen – angefangen beim Diebstahl vertraulicher Daten bis hin zu Angriffen auf Industrieunternehmen durch vom Auftragnehmer verwendete Remoteverwaltungstools.“

„Der Angriff auf industrielle Auftragnehmer zeigt, dass es für einen zuverlässigen Betrieb von entscheidender Bedeutung ist, sicherzustellen, dass sowohl Workstations als auch Server geschützt sind – sowohl in Unternehmens- als auch in betrieblichen Technologie-Netzwerken“, ergänzt Anton Shipulin, Solution Business Lead bei Kaspersky Industrial CyberSecurity. „Obwohl ein starker Endpunktschutz ausreicht, um ähnliche Angriffe zu verhindern, empfehlen wir dennoch einen ganzheitlichen Ansatz zur Unterstützung der Cyber-Abwehr der Industrieanlage zu verwenden. Angriffe über Auftragnehmer oder Lieferanten können innerhalb des Unternehmens völlig unterschiedliche Einstiegspunkte haben, einschließlich des OT-Netzwerks. Obwohl die Hintergründe des Angriffs unklar bleiben, ist es besser davon auszugehen, dass die Angreifer das Potenzial haben, sich Zugang zu den kritischen Systemen der Einrichtung zu verschaffen. Moderne Mittel zur Netzwerküberwachung, Anomalie- und Angriffserkennung können dazu beitragen, Anzeichen eines Angriffs auf industrielle Steuerungssysteme und -geräte rechtzeitig zu erkennen und einen Vorfall zu verhindern.“

Kaspersky-Empfehlungen für mehr Schutz für Industrieunternehmen

• Mitarbeiter im sicheren Umgang mit E-Mails schulen, damit diese insbesondere Phishing-Mails erkennen können.
• Die Ausführung von Makros in Microsoft-Office-Dokumenten sowie von PowerShell-Skripten wenn möglich beschränken.
• Bei PowerShell-Prozess-Startups drauf achten, welche Microsoft-Office-Anwendungen initiiert wurden. Nach Möglichkeit sollten Programme keine Debug-Privilegien (SeDebugPrivilege) erhalten
• Eine Sicherheitslösung wie Kaspersky Endpoint Security for Business [4] nutzen, die Sicherheitsrichtlinien zentral verwalten kann und aktuelle Antiviren-Datenbanken und Softwaremodule für Sicherheitslösungen bietet.
• Eine dedizierte Sicherheitslösung für Endpoints und Netzwerke der Betriebstechnologie wie Kaspersky Industrial Cybersecurity for Nodes oder Kaspersky Industrial Cybersecurity for Networks [6] nutzen, um einen umfassenden Schutz aller industriellen Systeme zu gewährleisten.
• Konten mit Domänenadministratorrechten nur mit Bedacht einsetzen. Nach der Verwendung solcher Konten sollte das System, auf dem die Authentifizierung durchgeführt wurde, neu gestartet werden.
• Eine Kennwortrichtlinie mit bestimmten Komplexitätsvorraussetzungen und regelmäßigen Kennwortänderungen im gesamten Unternehmen implementieren.
• Beim Verdacht auf eine Infektion eine Antivirenprüfung starten und eine Kennwortänderung für sämtliche Konten, die zum Anmelden bei den gefährdeten Systemen verwendet wurden, erzwingen.

[1] https://ics-cert.kaspersky.com/reports/2020/05/28/steganography-in-targeted-attacks-on-industrial-enterprises/
[2] https://www.kaspersky.com/blog/digital-steganography/27474/
[3] https://www.security-insider.de/was-ist-mimikatz-a-851187/
[4] https://www.kaspersky.de/small-to-medium-business-security
[5] https://www.kaspersky.de/enterprise-security/industrial

Weitere Informationen zum Thema:

Kaspersky ICS CERT
Steganography in targeted attacks on industrial enterprises

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

[datensicherheit.de, 28.05.2020] Mit seinem heutigen Urteil zum Rechtsstreit zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH hat der Bundesgerichtshof (BGH) das Einwilligungserfordernis vor der Verarbeitung von personenbezogenen Daten klargestellt. Werbetreibende Unternehmen benötigen beim Setzen von personenbezogenen Cookies somit die freiwillige, explizite Einwilligung der Nutzer, wie es auch die Datenschutzgrundverordnung (DSGVO) und die europäische E-Privacy-Richtlinie vorschreiben.

Der Verband der Internetwirtschaft (eco) begrüßt, dass durch das Urteil heute Unklarheiten beim Setzen von personenbezogenen Cookies beseitigt wurden und der Umgang mit Daten europäisch einheitlich geregelt worden ist.

Dazu sagt eco-Geschäftsführer Alexander Rabe:

„In Deutschland wurde für das Setzen von Werbecookies lange das Opt-Out-Modell angewendet – Nutzer mussten informiert werden und konnten dann aktiv dem widersprechen. Die EU-Gesetzgebung sieht jedoch bereits seit 2009 eine Einwilligung vor. Seit dem Inkrafttreten der DSGVO haben sich die Anforderungen an eine Einwilligung nochmals verändert, die nun ,ausdrücklich´ lautet – es muss also eine eindeutige, bestätigende Handlung seitens der Nutzer geben. Somit gibt das heutige Urteil Unternehmen und Nutzern endlich Klarheit und Rechtssicherheit im Umgang mit Cookies.“

Mit der Datenschutzgrundverordnung hat Europa den Rahmen für die zukünftige Ausgestaltung des Schutzes von personenbezogenen Daten gesetzt. Zersplitterte Regulierung, die bislang in nationalen Datenschutzgesetzen unterschiedlich gehandhabt wurde, wurde in einer zentralen europäischen Verordnung gebündelt, systematisiert und nach denselben Prinzipien aufgestellt. Zur aktuellen Evaluierung der DSGVO hat der Verband der Internetwirtschaft eigene Eckpunkte entwickelt.

Weitere Informationen zum Thema:

datensicherheit.de, 01.10.2019
EuGH-Urteil: Werbe-Cookies nur bei Einwilligung

Fehlerhafte Bibliotheken landen auf indirektem Wege im Code / Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code / JavaScript und Ruby haben besonders große Angriffsflächen

[datensicherheit.de, 28.05.2020] Veracode hat einen neuen Report zum Thema Sicherheit in Open-Source-Software veröffentlicht. Der Report zeigt unter anderem auf, dass 70 Prozent aller gescannten Anwendungen mindestens eine Schwachstelle in einer ihrer Open-Source-Bibliotheken aufweisen.

Open Source in der Branche gefragt

Open Source steht in der IT-Branche hoch im Trend. Das macht die Arbeit vieler Entwicklerteams effizienter, innovativer und schneller. Selbst Microsoft plant immer mehr Quellcode seiner Software frei verfügbar zu machen. In punkto Sicherheit bietet Open Source tatsächlich auch gewisse Vorteile: ist der Quellcode für alle einsehbar, können Schwachstellen wesentlich schneller und besser identifiziert werden und der Code optimiert. Aber Sicherheit in Open Source Software hat auch seine Schattenseiten. Die schiere Masse an Code in Open-Source-Bibliotheken führt dazu, dass fehlerhafte Open-Source-Bibliotheken leichter verbreitet werden und somit mehr Anwendungen, die diese Bibliotheken einsetzen, gefährdet sind.

„State of Software Security (SoSS): Open Source Edition“-Report veröfentlicht

Vor diesem Hintergrund hat Veracode seinen neuen „State of Software Security (SoSS): Open Source Edition“-Report veröffentlicht, für den die in 85.000 verschiedenen Anwendungen enthaltenden Open-Source-Bibliotheken untersucht wurden – eine Anzahl von über 351.000 Open-Source-Bibliotheken insgesamt. Nahezu alle modernen Anwendungen, einschließlich derer, die kommerziell verkauft werden, beinhalten Open-Source-Komponenten. Dabei kann ein einziger Fehler in einer Open-Source-Bibliothek alle Anwendungen, die auf diese Bibliothek zurückgreifen, beschädigen. „Open Source Software weist eine überraschende Vielzahl an Schwachstellen auf“, kommentiert Julian Totzek-Hallhuber, Solution Architect bei Veracode. „Die Angriffsfläche einer Anwendung ist weder auf ihren eigenen Code, noch auf den Code von den einbezogenen Bibliotheken beschränkt, da diese wiederum von anderen Bibliotheken abhängig sind. Entwickler führen also in der Realität weitaus mehr Code in ihre Anwendungen ein, als auf den ersten Blick vermutet. Solange sich Entwickler dessen aber bewusst sind, sind sie in der Lage Fehler schneller zu beheben und können das Risiko verringern.“

Julian Totzek-Hallhuber, Solution Architect bei Veracode, Bild: Veracode

Die Forscher von Veracode kamen zu folgenden Ergebnissen:

Open Source Bibliotheken sind omnipräsent und bergen Risiken

• Die am häufigsten verwendeten Bibliotheken sind in über 75 Prozent aller Anwendungen zu finden.
  Viele fehlerhafte Bibliotheken (47 Prozent) landen auf indirektem Wege im Code – sprich nicht direkt vom Entwickler gezogen, sondern beruhend auf einer weiteren, ursprünglich eingesetzten Open-Source-Bibliothek.
• Die meisten durch fehlerhafte Bibliotheken entstandenen Schwachstellen in Anwendungen können aber bereits durch kleine Versions-Updates behoben werden.
• Nicht alle Bibliotheken haben CVEs („Common Vulnerabilities and Exposures“) – das bedeutet, dass Entwickler sich nicht auf CVEs verlassen können, um Schwachstellen in Bibliotheken zu erkennen und zu beheben. So beinhalten zum Beispiel über 61 Prozent aller fehlerhaften JavaScript-Bibliotheken Schwachstellen ohne entsprechende CVEs.

Die Programmiersprache macht einen Unterschied

• Manche Sprachen neigen dazu häufiger transitive Abhängigkeiten einzuführen als andere. In über 80 Prozent der JavaScript-, Ruby- und PHP-Anwendungen führt die Mehrheit der Bibliotheken zu transitiven Abhängigkeiten.
• Der Einsatz von PHP-Bibliotheken führt mit über 50-prozentiger Wahrscheinlichkeit zu fehlerhaftem Code.
• Von den OWASP-Top-Ten-Schwachstellen, stellen Fehler im Access Control mit 25 Prozent aller Schwachstellen die größte Menge dar. In Open-Source-Bibliotheken stellt Cross-Site-Scripting die häufigste Schwachstelle dar: sie wurde in 30 Prozent aller Bibliotheken gefunden. Weitere häufige Schwachstellen waren unsichere Deserialisierung, die in 23,5 Prozent aller Bibliotheken gefunden wurde und Broken Access Control mit 20,3 Prozent.

Weitere Informationen zum Thema:

Veracode
„State of Software Security: Open Source Edition“-Report

datensicherheit.de, 05.05.2020
Sicherheit: Konzept Passwort muss überdacht werden