Seine Empfehlung: Schutz durch risikobasiertes Schwachstellen-Management

[datensicherheit.de, 30.07.2021] MITRE habe kürzlich eine Liste der 25 gefährlichsten Schwachstellen veröffentlicht, welche durch das Community-Projekt „Common Weakness Enumeration“ (CWE) entwickelt worden sei. Die Ergebnisse fußten auf zwei Jahren Arbeit und einer Analyse von Daten aus dem National Institute of Standards and Technology (NIST), der National Vulnerability Database (NVD) und dem Common Vulnerability Scoring System (CVSS). Laut MITRE sind diese Schwachstellen besonders gefährlich, „weil sie oft leicht zu finden sind, akut ausgenutzt werden und sie Angreifern ermöglichen können, ein System vollständig zu übernehmen, Daten zu stehlen oder die Funktion einer Anwendung zu verhindern“.

Foto: ThreatQuotient

Markus Auer: Security-Teams sollten sich auf Schwachstellen konzentrieren, welche aufgrund des individuellen Risikoprofils am kritischsten sind!

Top 5 der beschriebenen Schwachstellen

Die „Top 5“ der beschriebenen Schwachstellen lesen sich demnach wie folgt:

1. CWE-787: Out-of-Bounds Write
2. CWE 79: Improper Neutralization of Input During Web Page Generation (Cross Site Scripting)
3. CWE 125: Out-of-Bounds Read
4. CWE-20: Improper Input Validation
5. CWE-78: Improper Neutralization of Special Elements used in an OS Common (OS Common Injection)

Es werde generell zwischen Schwachstellen-Klassen (CWE) und tatsächlich existierenden Schwachstellen (CVE) unterschieden:

• CWE (Common Vulnerability Enumeration): Klassen von Schwachstellen, die zu einer Sicherheitslücke führen können, z.B. CWE-89: SQL-Injection
• CVE (Common Vulnerabilities and Exposures): Schwachstellen in bestimmten Softwarepaketen, z.B. CVE-2013-3527: SQL-Injection in Vanilla Forums

Risikobasiertes Priorisieren der Schwachstellen

„Jedes Unternehmen hat zu jedem Zeitpunkt Hunderte, wenn nicht Tausende Schwachstellen offen“, warnt Markus Auer, „Regional Sales Manager Central Europe“ bei ThreatQuotient. Jedoch sei eine Schwachstelle grundsätzlich nur so schlimm, „wie die Bedrohung, die sie ausnutzt und die potenziellen Auswirkungen auf das Unternehmen“. Sicherheitsteams müssten wissen, „wie die Schwachstellen ausgenutzt werden können und einen risikobasierten Ansatz wählen, um Schwachstellen sinnvoll zu priorisieren und auszumerzen“.
Über lokale Schwachstellen-Scanner könnten Software-Schwachstellen im eigenen Netz erkannt werden und „Threat Intelligence“-Quellen wie MITRE könnten hierbei helfen, sich auf die wichtigsten Schwachstellen-Klassen (CWEs) zu konzentrieren, welche im Weiteren spezifischen Softwareschwachstellen (CVEs) zugeordnet würden, erläutert Auer.

Schwachstellen-Scans für ein besseres Risikoprofil

Tools, wie z.B. eine „Threat Intelligence“-Plattform, ermöglichten es den Sicherheitsteams durch die folgenden drei Schritte „ihre Ressourcen dort zu konzentrieren, wo das Risiko am größten ist“:

• Verstehen der Bedrohungen und der Schwachstellen, welche Angreifer ausnutzten, um die Relevanz für die Umgebung der Organisation zu bestimmen und Prioritäten zu setzen, welche Schwachstellen zuerst angegangen werden sollten.
• Automatische Zuordnung der Angreifer, welche auf das Unternehmen abzielten, mit CVEs die ausgenutzt würden, zu Ergebnissen von Schwachstellen-Scans für diese Ziele, um ein besseres Risikoprofil zu erstellen.
• Kontinuierliche Neubewertung und Neufestlegung der Prioritäten, „wenn sich sowohl die Gegner und ihre Taktiken, Techniken und Verfahren (TTPs), als auch Systeme, Anwendungen und die Umgebung der Organisation ändern“.

Risikobasiertes Schwachstellen-Management ermöglicht Unternehmen besseres Situationsbewusstsein

Ein risikobasiertes Schwachstellen-Management ermögliche es Unternehmen, ein besseres Situationsbewusstsein über Angreifer, ihre Methoden und das eigene Umfeld zu erlangen.
Auer betont abschließend: „Durch klare Prioritäten, welche Maßnahmen zuerst ergriffen werden müssen, um welche Schwachstellen zu beheben, können sich Security-Teams auf die Schwachstellen konzentrieren, die aufgrund des individuellen Risikoprofils am kritischsten sind.“

Weitere Informationen zum Thema:

CWE Common Weakness Enumeration
2021 CWE Top 25 Most Dangerous Software Weaknesses

[datensicherheit.de, 30.07.2021] Wau Holland, Mitgründer des Chaos Computer Club und Wegbegleiter des Datenschutzes, verstarb vor 20 Jahren. Nun soll sein Wirken in Filmdokumenten gewürdigt werden: So hatte am 29. Juli 2021, seinem 20. Todestag, die Dokumentation „Alles ist eins. Außer der 0.“ Premiere, meldet die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)

Film begleitet Holland ab den frühen 1980er-Jahren bis zu seinem Tod

Dieser Film begleitet Holland demnach ab den frühen 1980er-Jahren bis zu seinem Tod. Seine Lebensgeschichte werde verbunden mit dem Chaos Computer Club (CCC), der deutschen Netzpolitik und der rasanten Entwicklung der Digitaltechnik. Den Bogen zur heutigen Zeit spanne der Film mit Darstellungen zu den Enthüllungen von Edward Snowden und Chelsea Manning, zu „Wikileaks“ und Julian Assange sowie zu heutigen biometrischen Überwachungsmöglichkeiten.
„Der Journalist Wau Holland – eigentlich Herwart Holland-Moritz – gehörte zu den Gründern des CCC. Die bis heute gültige Forderung des CCC ,Öffentliche Daten nützen, private Daten schützen‘ verdeutlicht die Wichtigkeit von Informationsfreiheit auf der einen Seite und Datenschutz auf der anderen Seite“, so das ULD.

Marit Hansen erinnert sich noch gut an ihre Begegnungen mit Holland

Film-Patin Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, erinnert sich nach eigenen Angaben noch gut an ihre Begegnungen mit Holland. Sie habe ihn in den 1990er-Jahren bei Veranstaltungen wie dem „Chaos Computer Congress“ in Hamburg, den „Kieler Netztagen“ oder der „Datenschutz-Sommerakademie“ ihrer Dienststelle erlebt:
„Ob als geladener Gast in einer Podiumsdiskussion oder im privaten Kreis – Wau hatte immer etwas zu sagen, das einen zum Weiterdenken brachte: Komplexe Systeme lassen sich schwer – oder gar nicht – beherrschen. Aus Daten mit lächerlich geringem Informationsgehalt kann man ein detailliertes Bild über eine Person konstruieren. Dieses Bild muss aber gar nicht stimmen. Mit Auslassung von Informationen kann man manipulieren“, so Hansen.

Holland sah das Jahr 1995 als Wendepunkt an

Berührungsängste mit den „Hackern“ oder „Komputerfrieks“ hätten die schleswig-holsteinischen Datenschützer nicht gehabt. Hansen berichtet: „Bei unserer ,Sommerakademie 1998‘ zum Thema ‚Der neue Datenschutz‘ in Kiel machte Wau Holland das Jahr 1995 als Wendepunkt aus. Seitdem wurden die Beiträge der Nutzenden ziemlich vollständig gespeichert und in durchsuchbaren Archiven – damals: ,DejaNews‘ – gesammelt. Die Masse der Informationen wurde größer. Die schnelleren Computer ermöglichten Analysen zu beliebigen Zwecken. Die Nachvollziehbarkeit der Datensammlungen und -auswertungen stand in Frage.“ Menschen wie Holland hätten damals schon die Effekte von „Big Data“ und Künstlicher Intelligenz erahnt, welche wir heute immer mehr erlebten.
Holland sei nicht nur Visionär, sondern hatte auch Vorreiter im Bereich Medienkompetenz gewesen. In einem Interview aus dem Jahr 1999 habe er berichtet, dass in England die Kinder seit 1984 bereits ab der ersten Klasse Computer-Unterricht hätten, während in Deutschland Informatik im Schul- und Bildungsbereich viel zu wenig vorkomme. Hansen führt aus: „Wer Wau zuhörte, wusste, dass es ihm nicht nur um die Benutzung der Technik ging, sondern um das Verständnis für das gesamte technische System und die gesellschaftlichen Implikationen. Jetzt, mehr als zwei Jahrzehnte später, ist dies erfreulicherweise keine revolutionäre Forderung mehr, aber in der Umsetzung hapert es immer noch.“

Dokumentation über Holland kein bequemer Film

Der Film „Alles ist eins. Außer der 0.“ mache diese Herausforderungen erfahrbar anhand von vielfältigen Einspielern und Zeitdokumenten. „Es ist wichtig, in der Geschichte zurückzuschauen, um einiges besser zu verstehen und daraus zu lernen. Doch es ist kein bequemer Film, mit dem man sich berieseln lassen kann: In der heutigen Realität von Informationsfreiheit und Datenschutz sind die Probleme nach wie vor sehr relevant und längst nicht gelöst“, führt Hansen aus.
Die aktuelle Entwicklung sei besorgniserregend, wie die Nachrichten über die Ausnutzung von Sicherheitslücken mit der Spionagesoftware „Pegasus“ auch in Europa, über die Kontrolle privater Chat-Nachrichten oder über politische Beschlüsse zu „Staatstrojanern“ oder zur Vorratsdatenspeicherung zeigten.

Weitere Informationen zum Thema:

Neue Visionen
„Alles ist eins. Außer der 0.“

CCC Chaos Computer Club, 14.07.2021
Am 29. Juli kommt der CCC in die (Freiluft-)Kinos!

Neue Visionen Filmverleih auf YouTube, 02.11.2020
Kinotrailer „Alles ist Eins. Ausser der 0.“ – Kinostart 29. Juli 2021

WIKIPEDIA
Wau Holland

Gesellschaft für Informatik erörtert u.a. faires Forschungsdatenmanagement

[datensicherheit.de, 29.07.2021] Die Gesellschaft für Informatik e.V. (GI) lädt zu einer neuen Veranstaltungsreihe, der „Forschungsdaten-Soiree“ ein – in der ersten Auflage geht es demnach um „Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit“ Nachgegangen werden soll folgenden Fragen: „Was bedeutet FAIRes Forschungsdatenmanagement für die Informatik? Mit welchen Herausforderungen sehen sich Wissenschaftler/innen im Forschungsalltag konfrontiert? Welche Lösungsansätze wurden in einzelnen Sub-Disziplinen erarbeitet? Wie kann der Transfer dieser ,Best Practices‘ in andere Sub-Disziplinen gelingen?“

GI möchte Austausch zum Forschungsdatenmanagement in der Informatik befördern

Mit diesem neuen Veranstaltungsformat möchte die GI nach eigenen Angaben „den Austausch zum Forschungsdatenmanagement (FDM) in der Informatik befördern“ und lädt daher alle Interessierten ein, sich aktiv daran zu beteiligen.
In kurzen Impulsvorträgen sollen einzelne Sub-Disziplinen der Informatik ihre Forschungsdaten sowie ihre spezifischen Herausforderungen und Lösungsansätze im FDM vorstellen.
Neben der Darstellung unterschiedlicher Forschungsdaten der Informatik werde jede Veranstaltung zudem einem FDM-Thema gewidmet sein, „das disziplinübergreifend relevant ist und ebenfalls in kurzen Impulsvorträgen präsentiert wird“.

Es soll ein niedrigschwelliger Austausch zum Forschungsdatenmanagement in der Informatik ermöglicht werden

„Vom Spezifischen kommen wir so ins Allgemeine und öffnen die Diskussion im Anschluss für alle Teilnehmenden. Dadurch soll ein niedrigschwelliger Austausch zum Forschungsdatenmanagement in der Informatik ermöglicht werden.“

Abbildung: Gesellschaft für Informatik e.V.

Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit
19.08.2021, 17.00–18.30 Uhr
Interaktive Diskussions-Veranstaltung über „Zoom“ – Anmeldung erforderlich

In dieser Auftaktveranstaltung werde man sich den Forschungsdaten widmen, welche beim Hochleistungsrechnen (HPC) entstehen, und über Datensicherheit im Forschungsdatenmanagement diskutieren. Kurze Inputvorträge von Prof. Dr.-Ing. André Brinkmann (Johannes Gutenberg-Universität Mainz), Prof. Dr. Martin Schulz (TU München) und Prof. Dr. Hannes Federrath (Universität Hamburg) bilden laut GI die Grundlage für die anschließende Diskussion.

Weitere Informationen zum Thema:

NFDI CS
Abendveranstaltung / Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit

NFDI CS
Anmeldung zur Veranstaltung „Forschungsdaten-Soiree #1: Forschungsdaten im Hochleistungsrechnen (HPC) und Datensicherheit“ am 19.08.2021, 17:00 – 18:30 Uhr

[datensicherheit.de, 29.07.2021] Forscher von Malwarebytes haben nach eigenen Angaben eine neuartige Cyber-Doppel-Attacke aufgedeckt. Bei ihren Analysen stießen sie demnach auf ein verdächtiges Dokument mit dem Namen „Манифест.docx“ (Manifest.docx), welches „zwei Schadsoftware-Templates herunterlädt und aktiviert“ – eines nutze Makros und das andere sei ein html-Objekt, welches eine Schwachstelle im „Internet Explorer“ ausnutze.

Malwarebytes: Schwachstelle CVE-2021-26411 bereits von der Lazarus-Gruppe adressiert worden

Beide Techniken zielten darauf ab, einen Remote-Access-Trojaner (RAT) einzuschleusen. Die Kombination beider Techniken sei vorher noch nicht beobachtet worden. Die Technik, welche auf die Schwachstelle im „Internet Explorer“ abziele (CVE-2021-26411), sei zuvor allerdings bereits von der „Lazarus“-Gruppe verwendet worden.

Urheber der Attacke laut Malwarebytes bisher nicht identifiziert

Anhand der verwendeten Techniken allein hätten die Forscher nicht feststellen können, wer hinter dieser Attacke steckt. Aber ein „Decoy“-Dokument (Köder), welches den Opfern gezeigt worden sei, liefere einige Hinweise: „Es enthält die Erklärung einer Gruppe, die Andrej Sergejewitsch Portyko nahesteht und gegen Putins Politik auf der Halbinsel Krim gerichtet ist.“ Diese Attacke sei allerdings auch bereits in den Niederlanden und den USA aufgetaucht.

Malwarebytes nennt Folgen einer erfolgreichen Attacke

Der Remote-Access-Trojaner führe dann die folgenden Aktionen aus:

• Informationen über das Opfer sammeln
• Das Antivirenproramm identifizieren, das auf dem Gerät des Opfers läuft
• Shell-Codes ausführen
• Dateien löschen
• Dateien up- und downloaden
• Disk- und Dateisystem-Informationen auslesen

Weitere Informationen zum Thema:

Malwarebytes LABS, Threat Intelligence Team, 29.07.2021
Crimea “manifesto” deploys VBA Rat using double attack vectors

[datensicherheit.de, 28.07.2021] Der Digitalcourage e.V. und 145 weitere Organisationen fordern ein sofortiges Moratorium für Überwachungstechnologien – als Reaktion auf die Veröffentlichungen des „Pegasus“-Projektes sei jetzt die Politik gefordert, den Schutz von Bürgern in den Vordergrund zu stellen. Daher müssten staatliche Genehmigungen für Verkauf und Export solcher Technologien umgehend ausgesetzt werden, mindestens bis Regulierungen zum Schutz der Menschenrechte umgesetzt wurden.

Entwicklung, Vertrieb und Nutzung von Überwachungstechnologien gefährden Demokratie und Menschenrechte

Digitalcourage kritisiert den Einsatz von sogenannten Staatstrojanern, wie z.B. der „Pegasus“-Software: „Die Berichterstattung der letzten Woche zum ,Pegasus‘-Projekt hat bestätigt, wie gefährlich die Entwicklung, der Vertrieb und die Nutzung von Überwachungstechnologien für Demokratie und Menschenrechte ist.“ Durch die Installation derartiger Software könnten Dritte die vollständige Kontrolle über das Gerät übernehmen und so z.B. Nachrichten auf einem Smartphone mitlesen oder Mikrofon und Kamera aus der Ferne einschalten.
Daher hätten sich über 145 Organisationen und 28 Experten zusammengetan und einen Offenen Brief verfasst, welcher nun von Amnesty International veröffentlicht worden sei. Dem „Amnesty International Security Lab“ sei beim „Pegasus“-Projekt eine Schlüsselrolle zugekommen, da es die „Pegasus“-Software auf zahlreichen Smartphones habe nachweisen können – zu den Betroffenen hätten Journalisten, Regierungsmitglieder, Oppositionspolitiker aber auch deren Familien und Freundeskreise gehört.

Kommerzielle Anbieter von Überwachungstechnologien sollten verpflichtend Prüfung der Kunden auf menschenrechtliche Standards vornehmen

Möglich geworden seien die Veröffentlichungen zu der von der israelischen Firma NSO Group vertriebenen „Pegasus“-Software durch ein Datenleck. Dadurch habe ein internationales Journalisten-Netzwerk Einblick in die Opfer dieser Software erhalten. Darunter seien 50.000 Telefonnummern mit potenziellen Ausspähzielen von Behörden aus mindestens elf Ländern. In dem Offenen Brief forderten Digitalcourage und viele weitere Bürgerrechtsorganisationen daher ein sofortiges Moratorium für „Staatstrojaner“ und andere Überwachungstechnologien.
Der Einsatz von „Pegasus“ sowie die Vergabe von Exportlizenzen müssten umgehend unabhängig und transparent aufgeklärt werden. Kommerzielle Anbieter von Überwachungstechnologien sollten verpflichtet werden, eine Prüfung der Kunden auf menschenrechtliche Standards vorzunehmen und bei Verstößen haftbar gemacht werden. Die Staaten Israel, Bulgarien und Zypern, aus welchen die NSO Group ihre Software vertreibe, müssten sofort die Exportlizenzen widerrufen und das Ausmaß der rechtswidrigen Überwachungsmaßnahmen prüfen.

Überwachungsindustrie hat sich weltweit zur Gefahr für Demokratiebewegungen und freien Journalismus entwickelt

„Leider ist die NSO Group eine von vielen Anbieterinnen in diesem Feld. Zum Beispiel wurde ,Staatstrojaner‘-Software der in München ansässigen Firma FinFisher von deutschen Behörden bezahlt und der Export unterstützt“, sagt Konstantin Macher von Digitalcourage. Politik und Zivilgesellschaft könnten nicht weiter tatenlos zuschauen. Die Überwachungsindustrie habe sich weltweit zu einer Gefahr für Demokratiebewegungen und freien Journalismus entwickelt, warnt Macher und fordert: „Das Leben und die Freiheit von Menschen darf nicht Profit- und Machtinteressen geopfert werden.“
Letzte Woche habe Digitalcourage außerdem in einer Pressemitteilung auf den Zusammenhang der „Pegasus“-Software zum deutschen Einsatz von „Staatstrojanern“ verwiesen. Macher erläutert: „Immer wenn deutsche Behörden ,Zero Days‘ – also öffentlich nicht bekannte IT-Sicherheitslücken – kaufen, bzw. für die eigene Nutzung geheim halten, dann unterstützen sie damit auch die Überwachungsindustrie und den Einsatz gegen Unschuldige.“ Statt Autokraten und Kriminellen den Angriff auf Systeme zu erleichtern, müssten staatliche Stellen unsere Sicherheit in den Vordergrund stellen. Darum habe Digitalcourage bereits gefordert, dass der Gesetzgeber seinen Gestaltungsspielraum nutzen müsse, um zu Gunsten der Sicherheit von Bürgern und Unternehmen eine behördliche und kommerzielle Nutzung von „Zero Days“ für den „Staatstrojaner“ zu verbieten und stattdessen eine Meldepflicht für Behörden einführen solle.

Weitere Informationen zum Thema:

Amnesty International, 27.07.2021
Joint open letter by civil society organizations and independent experts calling on states to implement an immediate moratorium on the sale, transfer and use of surveillance technology

datensicherheit.de, 21.07.2021
Digitalcourage-Stellungnahme: Offenhalten von Sicherheitslücken erhöht Gefahr für Einzelne und Unternehmen angegriffen zu werden / Digitalcourage verweist auf Zusammenhang zwischen aktuellem Beschluss des Bundesverfassungsgerichts und Pegasus

datensicherheit.de, 19.07.2021
Pegasus – Spyware für gezieltes Ausforschen / Seit 2016 hat Avast mehrere Versuche von Pegasus, in Android-Telefone einzudringen, verfolgt und blockiert

[datensicherheit.de, 28.07.2021] Der eco – Verband der Internetwirtschaft e.V. weist in einer aktuellen Stellungnahme darauf hin, dass bereits zum Ende dieser Woche deutsche Unternehmen Regelungen zu Upload-Filtern umsetzen müssten. Auch im Hinblick auf das sogenannte Vertragsverletzungsverfahren, welches die EU-Kommission jüngst gegen 23 Mitgliedstaaten eingeleitet habe, warnt eco-Geschäftsführer Alexander Rabe „vor einem europäischen Flickenteppich“. Denn im schlimmsten Fall drohten bis zu 27 unterschiedliche nationale Regelungen zur Umsetzung der umstrittenen Urheberrechtsreform. Das berge die Gefahr des „Overblockings“ beim Einsatz von Upload-Filtern und bedeute einen Einschnitt für die Meinungs- und Informationsfreiheit.

Ende dieser Woche tritt in Deutschland ein Gesetz zur Umsetzung der Upload-Filter in Kraft

Weil sie die EU-Urheberrechtslinie nicht schnell genug oder nur unzureichend in nationales Recht umgesetzt hätten, habe die Europäische Kommission nun ein Vertragsverletzungsverfahren gegen 23 Mitgliedstaaten eingeleitet. Zwar sei Deutschland hiervon nicht betroffen. Doch hätten auch hierzulande zahlreiche Unternehmen mit erheblichen Rechtsunsicherheiten zu kämpfen, „solange die umstrittene Urheberrechtsreform nicht in allen EU-Staaten einheitlich umgesetzt wird“. Ende dieser Woche trete in Deutschland ein Gesetz in Kraft, welches die in der EU-Richtlinie geforderten Upload-Filter umsetzen solle.
Der eco kritisiert nach eigenen Angaben „scharf“, dass die Kommission mit der Urheberrechtsreform einen „europäischen Flickenteppich“ einzelner nationaler Gesetzestexte schaffe und den EU-Binnenmarkt dadurch entschieden gefährde. Statt mit den eingeleiteten Vertragsverletzungsverfahren Druck auf einzelne EU-Staaten auszuüben, fordert der eco-Verband demnach „eine koordinierte sowie harmonisierte Umsetzung der Urheberrechtsrichtlinie in Europa“.

Mittels Upload-Filtern sicherstellen, dass hochgeladenen Inhalte keine Urheberrechte verletzen

Rabe kommentiert: „Das Internet kennt keine Ländergrenzen und dieser Tatsache muss jetzt auch endlich die EU-Kommission Rechnung tragen. Selbst wenn in allen EU-Mitgliedstaaten die Urheberrechtsreform in nationales Recht umgesetzt wird, bleibt das Ergebnis weiterhin ein ,Flickenteppich‘ aus nationalen Gesetzestexten.“ Unternehmen aus ganz Europa würden damit in die Rolle von Schiedsrichtern gedrängt und müssten entscheiden, welche Inhalte mutmaßlich illegal sind und herausgefiltert werden müssen. Dies berge die Gefahr des „Overblockings“ beim Einsatz von Upload-Filtern und bedeute gleichzeitig einen potenziell tiefen Einschnitt für die Meinungs- und Informationsfreiheit.
Bereits zum 1. August 2021 müssten deutsche Unternehmen Regelungen zu Upload-Filtern umsetzen: Plattformanbieter, welche das Hochladen von Inhalten seitens ihrer Nutzer erlauben, müssten Lizenzverträge für die Inhalte abschließen, welche auf ihrer Plattform hochgeladen werden können. „Sie müssen zudem mittels Upload-Filtern sicherstellen, dass die hochgeladenen Inhalte keine Urheberrechte verletzen, insofern für diese konkreten Inhalte keine Ausnahmen bestehen – wie bei Zitaten, Kritiken, Rezensionen, Karikaturen, Parodien oder Pastiches – oder Lizenzen vorliegen.“

Rechtsunsicherheit: Noch anstehende EuGH-Entscheidung zur Klage von Polen gegen umstrittene Upload-Filter

eco-Geschäftsführer Rabe erwartet insbesondere für grenzüberschreitende Unternehmen Rechtsunsicherheiten: „Deutsche Unternehmen, die in der gesamten EU tätig sind, können dann im schlimmsten Fall auf bis zu 27 unterschiedliche nationale Umsetzungen der Urheberrechtsrichtlinie stoßen. Zudem ist spätestens nach den Schlussanträgen des Generalanwaltes davon auszugehen, dass einige nationale Regelungen der EU-Mitgliedstaaten zur Umsetzung von Artikel 17 rechtswidrig sein dürften.“
Eben diese noch anstehende EuGH-Entscheidung zur Klage von Polen gegen die umstrittene Urheberrechtsrichtlinie mache die Eröffnung der Vertragsverletzungsverfahren noch unverständlicher. „Die aktuelle Situation und der Schwebezustand bis zur Entscheidung des EuGH sind für alle Beteiligten unbefriedigend. Die EU-Kommission hat mit der späten Präsentation der entsprechenden Leitlinien, erst am Wochenende vor dem Ende der Umsetzungsfrist der Richtlinie, ihren Teil dazu beigetragen. Die Mitgliedstaaten werden jetzt gerügt und die Unternehmen werden allein gelassen mit einer erheblichen Rechts- und Planungsunsicherheit. Hier muss die EU-Kommission jetzt dringend gegensteuern“, so Rabe abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2021
Upload-Filter: eco warnt vor Folgen geplanter Urheberrechtsreform / eco sieht Austausch auf Online-Plattformen bedroht

datensicherheit.de, 04.08.2020
eco fordert, Upload-Filtern klare Absage zu erteilen / eco-Vorstandsvorsitzender warnt – das Internet, so wie wir es heute kennen und nutzen, könnte grundlegend verändert werden

datensicherheit.de, 21.03.2019
Upload-Filter: Einer pluralistischen Demokratie unwürdig / Dr. Bernhard Rohleder warnt vor „Meinungsfreiheit nur auf Antrag“

PSW GROUP fürchtet durch Microsoft, Amazon und Google um eigene europäische Sicherheitskultur

[datensicherheit.de, 27.07.2021] „Wie der ,Cloud-Monitor 2021‘ von Bitkom und KPMG zeigt, hat sich – nicht zuletzt durch die ,Corona‘-Krise – die ,Cloud‘ in Deutschland durchgesetzt. Von den 550 befragten Unternehmen ab 20 Mitarbeitenden setzen 82 Prozent bereits auf ,Cloud‘-Infrastrukturen“, berichtet die PSW GROUP in ihrer aktuellen Stellungnahme und gibt zu bedenken: Der Großteil dieser Unternehmen sei in ihrer „Cloud“-Strategie allerdings abhängig von US-amerikanischen sowie chinesischen „Cloud“-Anbietern. Eine Alternative böte die europäische „Gaia-X“, mit welcher die EU europäische Werte wahren und neue Maßstäbe bezüglich des Datenschutzes setzen wollte. Damit „Gaia-X“ nicht das gleiche Schicksal wie beispielsweise der „De-Mail“ blühe, gehöre auch eine gute Kommunikationsstrategie in den Projektplan: Denn Studien zeigten, dass tatsächlich nur wenige Unternehmen von der „De-Mail“ als sichere Alternative gewusst hätten. Auch „Gaia-X“ sei noch vielen Unternehmen unbekannt. Zur Unabhängigkeit von US-Riesen gehöre es also auch, die „Europa-Cloud“ mit ihren Vorteilen entsprechend zu kommunizieren, „damit nicht das nächste große Digital-Projekt floppt“.

Foto: PSW GROUP

Patrycja Schrenk: Bleibt man den ursprünglichen Grundsätzen treu, könnte Europa seine Pionierrolle im Datenschutz weltweit festigen

Europa-Cloud soll sichere Dateninfrastruktur schaffen und zum digitalen Ökosystem werden

Dieses ambitionierte Digitalprojekt deutscher und französischer Unternehmen, im Herbst 2019 gestartet, inzwischen mit über 300 beteiligten Organisationen (darunter Bosch, Siemens, SAP, Telekom, Bundesverband der Deutschen Industrie, Digitalverband Bitkom und IG Metall), sehe sich jedoch Kritik ausgesetzt – „auch seitens der IT-Sicherheitsexperten der PSW GROUP“. Insbesondere die Tatsache, dass mit Microsoft, Amazon und Google US-Giganten an „Gaia-X“ beteiligt seien, sieht Geschäftsführerin Patrycja Schrenk nach eigenen Angaben „kritisch“ und kommentiert: „So könnten die europäischen Werte, die mit ,Gaia-X‘ eigentlich hochgehalten werden sollten, tief fallen. Wenn ,Hyperscaler‘ dieser Art beteiligt sind, können kaum europäische Standards geschaffen und etabliert werden.“
„Gaia-X“, die „Europa-Cloud“, solle eine sichere Dateninfrastruktur schaffen und zu einem „digitalen Ökosystem“ werden. Die Initiatoren wünschten sich Wettbewerbsfähigkeit gegenüber internationalen „Cloud“-Angeboten: Zu Amazon, Google und Microsoft als drei der größten US-„Cloud“-Anbieter oder zu Alibaba als größtem „Cloud“-Anbieter in China. „Gaia-X wurde damit also auch geschaffen, um europäische Werte sicherzustellen – ein europäisches Äquivalent, für welches Transparenz, Offenheit sowie europäische Anschlussfähigkeit zentral sind.“

Ausgerechnet Microsoft, Google und Amazon wirken bei Europa-Cloud mit

Doch nun säßen ausgerechnet Microsoft, Google und Amazon mit im Boot „Europa-Cloud“. Zwar sollten diese Unternehmen am Projekt mitwirken, jedoch keine Dienste anbieten. Damit unterstünden die US-Riesen weder dem „Cloud Act“ noch dem „Patriot Act“ – zwei Gesetze, „die US-Unternehmen dazu verpflichten, Nutzerdaten auf behördliche Anfrage herauszugeben“. Eine Datenübermittlung an US-Behörden sei somit ausgeschlossen und man könne vom Know-how dieser Unternehmen profitieren. „Allerdings werden die ,Hyperscaler‘ ihr Wissen sicher nicht gratis einem möglichen Konkurrenten liefern. Denn gerade für diese Unternehmen soll ,Gaia-X‘ eine Konkurrenz sein – nämlich Europäische Datensouveränität versus US-Datenschutz mit Datenübermittlung an Behörden. Es bleibt folglich abzuwarten, inwieweit US-Unternehmen Einfluss auf Gaia-X haben werden“, so Schrenk.
Noch befinde sich „Gaia-X“ in der Projektphase – für Nutzer seien noch keine Dienste verfügbar. Auch einen Starttermin für diese „Europacloud“ gebe es noch nicht. Immerhin: Bis zum Jahresende sollten für „Gaia-X“ 24 nationale Hubs geschaffen werden, die nicht zwangsweise in der EU liegen müssten. „Gaia-X“ nehme also Form an. „Ich würde mir wünschen, dass Einwände und Kritiken ernstgenommen, viele Diskussionen geführt werden und dann erst gehandelt wird. Dann könnte ,Gaia-X‘ tatsächlich die selbstgesetzten Ziele einhalten und die Folgegeneration der Dateninfrastruktur aus Europa für Europa werden, die Datensouveränität für Nutzende und Unternehmen garantieren kann“, sagt Schrenk. Bleibe man den ursprünglichen Grundsätzen treu, könnte Europa seine Pionierrolle im Datenschutz weltweit festigen. „Solange in der Folge keine neuen Abhängigkeiten entstehen, ist auch die Beteiligung der Tech-Konzerne außerhalb der EU wenig problematisch.“

Weitere Informationen zun Thema:

PSW GROUP News, Bianca Wellbrock, 29.06.2021
Europäische Cloud: Floppt mit Gaia-X das nächste europäische Digital-Projekt?

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 11.02.2021
Digitale Souveränität – oft beschworen, immer mehr bedroht / Tobias Gerlinger kritisiert steigende Ausgaben des Bundes für Software von Microsoft zu Lasten Digitaler Souveränität

Ziel der LemonDuck-Schadsoftware ist Integration infizierter Rechner in ein Bot-Netz

[datensicherheit.de, 27.07.2021] Die Crypto-Mining-Malware „LemonDuck“ werde erneut verbreitet und bedrohe nun auch „Linux“-Systeme, meldet die Check Point® Software Technologies Ltd. – nach eigenen Angaben beobachtet diese aktuell die Aktivitäten quasi eines alten Bekannten. „LemonDuck“ sei mittlerweile nicht nur mehr nur eine Bedrohung für „Windows“-Geräte, sondern sei nach Updates nun auch dazu in der Lage, „Linux“-Systeme zu infizieren.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Systeme mit veralteter bzw. ungewarteter Software, einschließlich Betriebssystemen, außer Betrieb nehmen!

LemonDuck nutzt ähnliche Methoden wie früher hinsichtlich Verwaltung und Hosting der Infrastruktur des Bot-Netzes

Ziel dieser Schadsoftware sei die Integration der infizierten Rechner in ein Bot-Netz und die Verwendung desselbigen und den damit verbundenen Ressourcen für Crypto-Mining. Obwohl sich die aktuelle Variante der Malware von den bisherigen Iterationen unterscheide, nutze sie nach wie vor ähnliche Methoden wie früher, „was die Verwaltung und das Hosting der Infrastruktur des Bot-Netzes angeht, wie Microsoft berichtet“.

LemonDuck-Rückkehr erinnert daran, dass es so etwas wie eine für immer verschwindende Schwachstelle nicht gibt

Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei Check Point Software Technologies GmbH, kommentier: „Die Rückkehr der ,LemonDuck‘-Malware erinnert uns daran, dass es so etwas wie eine Schwachstelle, die für immer verschwindet, nicht gibt. Tatsächlich kommen sie oft weiterentwickelt zurück, mit der Fähigkeit, mehr Schaden anzurichten.“

Zentraler Tipp gegen LemonDuck-bedrohung: Betriebssysteme rechtzeitig patchen!

Signaturbasierte Sicherheitstechnologien wie Antiviren- und Intrusion-Prevention-Systeme (IPS) könnten nur so viele Signaturen unterstützen, „wie es die aktuelle Bedrohungslandschaft zulässt“. Es sei wichtig, so Schönig als Empfehlung, „dass Sie sicherstellen, dass Ihre Betriebssysteme rechtzeitig gepatcht werden. Stellen Sie außerdem immer sicher, dass Sie Systeme mit veralteter / ungewarteter Software, einschließlich Betriebssystemen, außer Betrieb nehmen“.

Weitere Informationen zum Thema:

Microsoft, Microsoft 365 Defender Threat Intelligence Team, 22.07.2021
When coin miners evolve, Part 1: Exposing LemonDuck and LemonCat, modern mining malware infrastructure

Chris Harris nimmt Stellung zur wachsenden Abhängigkeit der Abläufe von der IT-Infrastruktur

[datensicherheit.de, 26.07.2021] „Seit den Olympischen Spielen 2004 in Athen ist Cyber-Sicherheit ein immer wichtigeres Thema sowohl für Gastgeberländer als auch das Internationale Olympische Komitee (IOC)“, so Chris Harris, „EMEA Technical Director“ bei Thales. Die wachsende Abhängigkeit der Abläufe von der IT-Infrastruktur habe zu erhöhten Anforderungen an die IT-Sicherheit geführt, um sich auf mögliche Cyber-Attacken vorzubereiten und diese abzuwehren.

Foto: Thales

Chris Harris: Cybersecurity-Bedrohungen für Olympischen Spiele nicht ohne Präzedenzfall…

Abhängigkeit der Olympischen Spiele von der Technologie verdeutlicht potenzielle Risiken, falls IT-Systeme infiltriert werden

Harris führt aus: „Auch wenn die Olympischen Spiele in Tokio ohne Zuschauer stattfinden werden, nachdem Japan nach einem Anstieg der ,COVID-19‘-Fälle erneut den Notstand ausgerufen hat, sind die Spiele dennoch auf eine Vielzahl modernster digitaler Infrastrukturen angewiesen, wie z.B. KI-gestützte Geräte zur Live-Übersetzung, Technologie zur Gesichtserkennung und das ,Robot Taxi‘ von ZMP, ein fahrerloses Auto.“
Die Abhängigkeit der Olympischen Spiele 2020 in Tokio, pandemie-bedingt erst jetzt stattfindend, von der Technologie verdeutliche die potenziellen Risiken, „für den Fall, dass die IT-Systeme infiltriert werden“. Das Gastgeberland und das Internationale Olympische Komitee müssten sich auf diese Unternehmen, ihr technisches Know-how und ihre digitale Infrastruktur verlassen können.

Japan und IOC haben IT-Sicherheit als überaus wichtigen Faktor identifiziert

Es sei daher nicht verwunderlich, dass Japan und das IOC die Cyber-Sicherheit als einen überaus wichtigen Faktor identifiziert und Pläne angekündigt hätten, in diesen Bereich zu investieren, um eine möglichst cyber-sichere Umgebung für die Spiele zu schaffen. Das IOC weise jedoch darauf hin, dass es die spezifischen Details seines Cyber-Sicherheitsplans nicht offenlegen werde, da Cyber-Kriminelle daraus Informationen schöpfen könnten.
„Cybersecurity-Bedrohungen für die Olympischen Spiele sind nicht ohne Präzedenzfall. Bei den Olympischen Winterspielen 2018 in Pyeongchang gab es bis dato die meisten Angriffe. Russische Hacker führten vor der Eröffnungsfeier Angriffe auf die Netzwerke des Austragungsorts durch, die den Einlass der Zuschauer verlangsamten und Wi-Fi-Netzwerke offline nahmen. Sie manipulierten auch Teile der TV-Übertragung“, so Harris.

Ergänzend zur physischen Sicherheit gewinnt IT-Sicherheit an Bedeutung

In der Vergangenheit habe der Schwerpunkt bei den Olympischen Spielen auf der physischen Sicherheit des Ereignisses gelegen. „Da jedoch heute das virtuelle Publikum in unserer immer stärker vernetzten Welt wächst, muss die Cyber-Sicherheit in den Mittelpunkt gerückt werden, um sicherzustellen, dass eine derartige Großveranstaltung ohne Unterbrechungen oder Sicherheitsrisiken durchgeführt werden kann. Wenn Länder aus der ganzen Welt zusammenkommen, werden böswillige Akteure zweifelsfrei versuchen, sich durch kriminelle Vorhaben zu bereichern oder die Gastgebernation auf der internationalen Bühne zu blamieren.“
Tatsächlich unterschieden sich die konkreten Risiken nicht wesentlich von denen, mit denen auch normale Unternehmen im Cyber-Raum konfrontiert seien, „aber die Verlockung einer solch großen und sichtbaren Bühne und eines hochkarätigen Ziels bedeutet, dass das Ausmaß und die Menge dieser Angriffe weit über das hinausgehen, womit andere Organisationen normalerweise konfrontiert werden“. Die RAND Corporation habe eine Studie veröffentlicht, die die Arten von Bedrohungen aufzeige, denen Tokio ausgesetzt sei, darunter:

• Gezielte Angriffe, die sich gegen hochrangige olympische Einrichtungen, Personen oder Organisationen richten.
• Distributed-Denial-of-Service-Angriffe (DDoS) gegen die Infrastruktur von Tokio 2021 oder zugehörige Netzwerke.
• Ransomware-Angriffe, die eine Vielzahl von Geräten, Diensten und die zugrunde liegende Infrastruktur zur Unterstützung der Olympischen Spiele Tokio 2020 betreffen könnten.
• Cyber-Propaganda oder Fehlinformationen zur Schädigung des Rufs von Einzelpersonen, Sponsoren-Organisationen oder der Gastgebernation.

Derselben Studie zufolge seien die wahrscheinlichsten Bedrohungsakteure ausländische Geheimdienste, Cyber-Terroristen, Cyber-Kriminelle, „Hacktivisten“ oder böswillige Insider.

IT-Sicherheit mitgedacht: umfangreiche Vorbereitungen in Tokio

Um diesem Ausmaß an Bedrohungen zu begegnen, sei eine solide Planung unerlässlich. Japan habe seit 2015 mit den Vorbereitungen für die Olympischen Spiele begonnen und Partnerschaften mit internationalen und nationalen Organisationen und Behörden geschlossen. „So wurde beispielsweise eine Partnerschaft mit dem U.S. Department of Homeland Security, dem NIST und einem israelischen Stromversorger geschlossen, um Cyber-Sicherheitsbedrohungen für Kritische Infrastrukturen während der Olympischen Spiele zu bewältigen“, berichtet Harris.
Noch wichtiger sei, dass alle führenden japanischen Unternehmen, welche die Olympischen Spiele unterstützen, das „NIST Cybersecurity Framework“ angepasst hätten, um ihre Bereitschaft und Reaktion auf das weltweit akzeptierte Rahmenwerk abzustimmen. Das Gastgeberland habe außerdem vor Kurzem erst Erfahrungen bei der Organisation eines Großevents sammeln können – so sei Japan Gastgeber der Rugby-Weltmeisterschaft 2019 gewesen, einer weiteren großen internationalen Sportveranstaltung, welche als Probelauf für Tokio 2021 gedient habe.

Sogenannte Ethical Hacker ausgebildet, um Mangel an IT-Sicherheitsexperten auszugleichen

Harris kommentiert: „Dies war eine einmalige Gelegenheit für das Land, vor den Olympischen Spielen einen Meilenstein zu setzen, um seine Bereitschaft und Fähigkeiten zur Reaktion auf Vorfälle im Voraus zu testen. Schließlich zeigte eine Überprüfung der japanischen Cyber-Sicherheitsstrategie für Tokio 2021, dass das Land nur über eine begrenzte Anzahl von Cyber-Sicherheitsexperten verfügt, da lediglich 28 Prozent der IT-Fachleute im Land arbeiten.“
Um dieses Problem zu lösen, habe Japan 220 „Ethical Hacker“ ausgebildet, in der Hoffnung, ein besser auf Cyber-Attacken vorbereitetes Tokio 2021 zu schaffen. Derselbe Bericht komme zu dem Schluss, dass es von äußerster Wichtigkeit sei, nicht nur die mit Tokio 2021 zusammenhängende Infrastruktur wie Strom, Transport und Veranstaltungsorte zu sichern, sondern auch die IT-Umgebung für die Remote-Arbeit.

IT-Sicherheit – ein Marathonlauf im Sprinttempo

Der Faktor Verschlüsselung werde eine übergeordnete Rolle beim Schutz der Informationen spielen, welche für den erfolgreichen und sicheren Betrieb der Spiele entscheidend seien. Netzwerke sollten verschlüsselt werden, „so dass alle erfassten Daten unlesbar sind“. Die Prinzipien von „Zero Trust“ müssten angewendet werden, „um sicherzustellen, dass Personen und Geräte innerhalb des internen Netzwerks authentifiziert sind und nur Zugriff auf die benötigten Ressourcen erhalten“. Jeder Server, jeder Datenspeicher, jedes IoT-Gerät, das z.B. die Bewegung von Fahrzeugen oder Sendungen verfolgt oder Videos aufnimmt, sollte verschlüsselte Informationen an vertrauenswürdige Stellen übermitteln und nur mit den Servern und Diensten kommunizieren können, „die für den Betrieb notwendig sind“.
Harris betont abschließend: „Und schließlich ist es angesichts der zunehmenden Ransomware-Angriffe wichtig, sicherzustellen, dass kritische Systeme und Netzwerke getrennt sind, und weiterhin zu gewährleisten, dass Backups und Berechtigungskontrollen auf Prozessebene vorhanden sind, um die Bedrohung der Kernsysteme zu begrenzen.“

[datensicherheit.de, 26.07.2021] Nicht erst seit dem verheerenden Ransomware-Angriff auf Colonial Pipelines sehen sich Kritische Infrastrukturen (KRITIS) offensichtlich steigenden Bedrohungen ausgesetzt. Ein Angriff wie in den USA könne jederzeit auch bei uns stattfinden – mit ähnlich gravierenden Folgen, warnt Claroty in einer aktuellen Stellungnahme. Ransomware-Attacken seien zumeist opportunistisch. „Das heißt, Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen. Sie greifen also vor allem solche Ziele an, von denen sie vermuten, dass sie hohe Lösegeldforderungen zahlen können und werden.“ Der eigene Aufwand lasse sich zudem durch Ransomware-as-a-Service-Angebote noch weiter reduzieren, indem Know-how und kriminelle Dienstleistungen „gebucht“ würden.

Bisher keine Beispiele für Ransomware, welche speziell auf OT-Komponenten abzielt

„Durch die zunehmende Konvergenz von IT- und OT-Netzwerken, also Informationstechnologie und Betriebstechnik verschwimmen die Grenzen zwischen den beiden ehemals getrennten Bereichen.“ Entsprechend könnten Angriffe von der einen auf die andere Infrastruktur „überspringen“. „Bislang haben wir keine Beispiele für Ransomware gesehen, die speziell auf OT-Komponenten abzielt, und dies gilt auch für Colonial Pipeline: Die Ransomware infiltrierte das IT-Netzwerk und es gibt keine Hinweise darauf, dass sie direkte Auswirkungen auf das OT-Netzwerk hatte.“
Als Vorsichtsmaßnahme habe Colonial jedoch die OT-Seite des Netzwerks abgeschaltet und so die weitere Ausbreitung verhindert. Dieser Schritt sei vor allem deshalb notwendig erschienen, „da der Pipelinebetreiber offensichtlich über eine mangelnde Transparenz dieser Infrastruktur verfügte, so das Ausmaß der Gefährdung nicht beurteilen konnte und sich nicht in der Lage sah, die potenziellen Auswirkungen auf das OT-Netzwerk abzumildern und zu begrenzen“.

Grant Geyers 4 Erkenntnisse aus dem Ramsomware-Vorfall bei Colonial

Grant Geyer, „CPO“ von Claroty, sieht mach eigenen Angaben vor allem vier wichtige Erkenntnisse aus diesem Cyber-Angriff:

1. Anstieg gezielter Ransomware
„Wir wissen zwar nicht genau, wie die Hacker-Gruppe ,DarkSide‘ die Ransomware in das IT-Netzwerk von Colonial Pipeline eingeschleust hat, bekannt ist jedoch, dass ,DarkSide‘ gezielt finanzstarke Unternehmen angreift. Sobald eine Infektion erfolgt ist, ermöglicht eine mangelhafte und unzureichende Segmentierung zwischen IT- und OT-Umgebungen eine Ransomware-Infektion der OT-Netzwerke. Durch Isolierung und Segmentierung der OT können Unternehmen die laterale Verbreitung von Ransomware stoppen.“

2. Veraltete Technologie
„Die Zahl der Angriffe auf Kritische Infrastrukturen hat an Häufigkeit und Schwere zugenommen. Unsere im Umbruch befindliche Kritische Infrastruktur bietet Cyber-Kriminellen eine enorme Angriffsfläche. Viele industrielle Umgebungen arbeiten mit veralteter Technologie, die nur selten oder gar nicht gepatcht wird. Eine gezielte Modernisierung der Technologie und die Verbesserung der Governance können hier einen großen Beitrag zur Risikominimierung leisten.“

3. Verteilte Umgebungen
„Pipelines (wie auch zahlreiche andere Kritische Infrastrukturen und Produktionsstätten) sind hochgradig verteilte Umgebungen, und die Tools, mit denen Anlagenbetreibern ihren Mitarbeitern Fernzugriff gewähren, sind eher für einfachen Zugriff als für Sicherheit optimiert. Dies gibt Angreifern die Möglichkeit, die Sicherheitsmaßnahmen relativ leicht zu überwinden, wie wir zuletzt bei dem Angriff auf die Wasserversorgung in Oldsmar, Florida, gesehen haben.“

4. Energieversorger sind besonders gefährdet
„Sicherheitsforscher von Claroty haben gezeigt, dass diese Branche einer der am stärksten von Schwachstellen in industriellen Kontrollsystemen (ICS) betroffenen Sektoren ist. So wurden in der zweiten Jahreshälfte 2020 74 Prozent mehr ICS-Schwachstellen gemeldet als noch im zweiten Halbjahr 2018. Cyber-Kriminelle verfügen also über viele Möglichkeiten, die Steuerungen von Industrienetzwerken zu kompromittieren.“

Sich selbst auf Ransomware-Angriffe rechtzeitig bestmöglich vorbereiten

Geyer adressiert folgende Fragen: „Worauf kommt es nun für die Sicherheitsverantwortlichen an? Wie lassen sich die Kritischen Systeme effektiv schützen, was ist zu beachten?“ Um sich auf Angriffe wie den auf Colonial Pipeline bestmöglich vorzubereiten, rät Geyer vor allem folgende Punkte zu beachten:

• Patchen Sie alle Systeme oder schaffen Sie kompensierende Kontrollen: Während das Patchen von Systemen in OT-Umgebungen Wartungsfenster erfordert, haben es Angreifer meist auf veraltete oder ungepatchte ,Windows‘-Systeme abgesehen. Wenn ein Patching nicht möglich ist, stellen Sie sicher, dass kompensierende Kontrollen (z. B. Firewall-Regeln, ACLs) vorhanden sind, um das inhärente Risiko zu verringern.
• Implementieren Sie eine starke Authentifizierung für alle OT-Benutzer: Trotz der Sensibilität von OT-Umgebungen verwenden viele Unternehmen Ein-Faktor-Benutzernamen und -Passwörter für den Zugriff auf ihre Anlagen. In etlichen Fällen werden sogar die Anmeldedaten geteilt. Implementieren Sie eine starke Multifaktor-Authentifizierung, um sicherzustellen, dass die Benutzer such diejenigen sind, für die sie sich ausgeben. Setzen Sie zudem auf Least Privilege-Zugriff und reduzieren Sie so zusätzlich das Risiko.
• Segmentieren Sie das Netzwerk: Viele OT-Umgebungen wurden in erster Linie unter Zugriffs- und Produktivitätsaspekten und weniger in Hinblick auf die Sicherheit konzipiert. Sie sind also ,flach‘ und begünstigen so eine schnelle Ausbreitung von Ransomware-Infektionen. Durch die Segmentierung des Netzwerks lassen sich Umfang und Auswirkungen eines Angriffs wesentlich begrenzen.“
• Führen Sie eine Table-Top-Exercise durch: Eine solche Übung hilft den Beteiligten, die organisatorischen und technischen Vorbereitungsmaßnahmen auf ein solches Ereignis zu verstehen und umzusetzen. Sind Sicherungs- und Wiederherstellungsfunktionen vorhanden? Ist die Geschäftsführung in der Lage zu handeln? Verfügt das Unternehmen über eine Cyber-Versicherung – auch für den Fall eines Ransomware-Angriffs?

Weitere Informationen zum Thema:

datensicherheit.de, 15.07.2021
Mespinoza: Ransomware-Gruppe nutzt Hacking-Tools mit skurrilen Namen wie MagicSocks und HappyEnd / Palo Alto Networks veröffentlicht Profil cyber-Krimineller Gruppe Mespinoza, welche auch in Deutschland zuschlägt

datensicherheit.de, 13.07.2021
Globale Verteidigung gegen Ransomware erfolgsentscheidend / Opfer von Ransomware-Attacken sollten direkt mit lokalen Behörden kooperieren, um das Wissen schnell mit anderen Unternehmen zu teilen

datensicherheit.de, 12.07.2021
Zunahme von Ransomware-Angriffen nicht allein technisch zu begegnen / Grenzüberschreitende Bedrohung durch Ransomware erfordert auch Handeln auf politischer Ebene