Branche, Gastbeiträge - geschrieben von am Samstag, Juni 6, 2020 23:43 - ein Kommentar

Dieses IT-Sicherheitsrisiko unterschätzen viele Unternehmen

Tags:

Datensicherung hat nicht immer die ausreichende Priorität in Unternehmen

Ein Gastbeitrag von unserem Gastautor Steffen Lippke

[datensicherheit.de, 06.06.2020] Hacker greifen derzeit verstärkt viele Unternehmen weltweit an, die finanziell geschwächt oder durch die Corona-Krise abgelenkt sind. Ein Cybersecurity-Hack trifft systemkritische Infrastruktur-Unternehmen in diesen Zeiten sehr hart.

Mit zwei Herausforderungen sind viele Unternehmen in dieser Phase konfrontiert: Einige müssen ihr Budget für die IT-Sicherheit kürzen weil die Auftragslage schlecht ist, andere können sich keine externen IT-Sicherheitsberater mehr leisten und gleichzeitig fehlt die eigene Expertise  im Unternehmen.

Hacker nutzen Ablenkung durch die derzeitige Situation aus

Cyberangriffe vom Typ APT (Advanced Persitent Threat) haben seit Februar stark zu genommen, weil Hacker die Ablenkung durch das Chaos ausnutzen möchten. Bei einem APT arbeiten bezahlte Hacking-Spezialisten an Möglichkeiten, um die IT-Sicherheits-Barrieren Ihres Unternehmens unbemerkt zu durchbrechen und Schaden anzurichten. Die Auftragsgeber der Hacking-Spezialisten sind Regierungen und Mitwettbewerber.

Das generelle Problem an einem Advanced Persitent Threat ist die Schwierigkeit der Abwehr mit geeigneten Sicherheitskonzepten und softwaregestützten Werkzeugen. Ein solcher Angriff wird von Cyberkriminellen zum Teil monatelang geplant und die Täter haben dabei ein besonderes Interesse, dass der Vorfall lange Zeit unbemerkt bleibt.

Cyberrisk-Trend 2020: Der Verschlüsselungs-Trojaner

Angreifer verwenden Verschlüsselungs-Trojaner, um die IT eines Unternehmens lahmzulegen und/oder sich finanzielle Vorteile aus der Tat zu verschaffen. Ein solche Schadsoftware befällt z.B. den Computer eines Mitarbeiters und verschlüsselt alle Dateien, sodass diese nicht mehr zugreifbar sind. Der Trojaner breitet sich ohne geeignete Schutzmaßnahmen in der Folge im ganzen Unternehmen aus und legt die IT lahm.

In einer anonymen Erpressung-E-Mail stellen die Kiriminellen für die Entschlüsselung der Dateien eine Lösegeldforderung (Ransom). Die Selbst-Entschlüsselung ist häufig nicht möglich, weil in einigen Fällen gute Verschlüsselungsalgorithmen wie AES-256 verwendet werden. Je nach Solvenz des Unternehmens werden die Lösegeld-Forderungen u.U. angepasst.

Einige Beispiele:

  •  450 Mio. für einen Konzern
  •  2.500.000 für eine Mittelstands-GmbH
  •  300 € für Privatpersonen

Betroffene Unternehmen stehen vor der schwierigen Entscheidung, ob sie auf Forderungen eingehen sollen oder nicht. Dabei besteht durchaus auch die Gefahr, dass trotz Zahlung der Lösegeld-Forderung sich die verschlüsselten Datenbestände nicht entschlüsseln lassen.

Cyberkriminelle nutzen Schwachstellen in Standardsoftware

Hacker suchen nach unbekannten Schwachstellen in Betriebssystemen oder bekannter Standard-Software wie Word, Adobe Reader, Java, Browsern usw., nutzen aber auch bisher nicht behobene und bekannte Schwachstellen aus.

Informationen zu den Schwachstellen lassen sich im Dark Web erwerben, aus Schwachstellen-Datenbanken beziehen oder alternativ durch eigene Suche der Cyberkriminellen identifizieren. Eine neuartige, unbekannte Schwachstelle, für die es zu diesem Zeitpunkt noch keinen Patch gibt, nennt sich „Zero-Day“-Schwachstelle. Diese sind üblicherweise nur einem eingeschränkten Personenkreis bekannt, aber dadurch unter Umständen sehr wirkungsvoll.

Das unterschätze Sicherheitsrisiko für Unternehmen

„Im Keller haben wir unsere Datensicherung (Backups) liegen, die wir im Hacking-Notfall nutzen können!“ – Das ist zutreffend und ist nach Ansicht des Verfassers die einzige Möglichkeit, sich vor den oben beschriebene Angriffsszenarien wirkungsvoll zu schützen!

Eines der größten Sicherheitsrisiken ist folgendes: Manche Unternehmen testen niemals ihre Backups auf die Wiederherstellungs-Fähigkeit (Recovery).

Obwohl ein Unternehmen seine Backups regelmäßig durchführt und testet, treten die folgenden Fehler häufig auf:

  • Malware hat das Backup befallen und das betroffene Unternehmen hat keine älteren Datensicherungen, die Basis für eine Datenwiederherstellung sind.
  • Regelmäßig wird eine Datensicherung angestoßen, die aber z.B. wegen technischer Fehlkonfiguration unbrauchbar ist.
  • Der Backup-Job sicherte die falschen oder unnötigen Dateien. Die unternehmenskritischen Daten sind verloren.
  • Es werden nicht alle Daten gesichert, sodass eine komplette Wiederhestellung unmöglich ist.

Empfehlung: Sicherheitsrisiko dauerhaft minimieren

Die einzige taugliche Möglichkeit die oben erwähnten Fehler auszuschließen, ist die Datensicherungen auf einem Testsystem wiederherzustellen und die folgenden Punkte zu überprüfen:

  • Kann der Admin auf die Backup-Daten zu greifen (Credentials)?
  • Sind alle unternehmenskritische Dateien vorhanden?
  • Ist die Funktion der Anwendung oder Datenbank gewährleistet?

Ein Recovery-Testlauf kostet Geld und Zeit – ist aber die einzige Möglichkeit sich vor den Folgen effektiv zu schützen.

Tipps für eine gelungene Prävention

Der Verfasser empfiehlt eine geeignete Versionierung der Dateien bei einer Sicherung zu nutzen und dabei z.B. folgende zeitliche Abfolge einzuhalten:

  • 1 Backup alle 1 Wochen
  • 1 Backup alle 4 Wochen
  • 1 Backup alle 8 Wochen

Wenn dann ein Mitarbeiter unabsichtlich ein Dokument löscht, lassen sich dadurch ggf. Teile des Datenbestandes wiederherstellen. Das Unternehmen kann sich gegen Malware mit einem „Spätzünder“ schützen. Der Backup-Admin greift auf das nächst ältere Backup zurück.

Steffen Lippke schreibt mit Leidenschaft an seinem Tutorial-Blog für Hacking + Coding Lippke.li, mit dem er Anfänger die Technologien von morgen praxisnah erklärt.

Neben Blogging entwickelte er PGEI Pro (pgei.de), einen Installer für Photoshop und GIMP Erweiterungen.



ein Kommentar

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Marion Herber
Jun 7, 2020 7:16

Ich muss Steffen da voll zu stimmen. Ich kenne mehrere Fälle, bei der die „total sichere“ Backups, doch gescheitert sind. Die Wiederherstellung muss man testen, sonst können alle Daten für immer verloren sein. Ein wesentliches Risiko!

Kommentieren

Kommentar

Theiners SecurityTalk

SecurityCruise am 08. Juli 2020

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Kooperation

Initiative Digital

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Partner

ZIM-BB

Gefragte Themen


Datenschutzerklärung