[datensicherheit.de, 20.09.2018] Pindrop meldet, dass eigene Forschungen eine Zunahme der Fälle von Callcenter-Angriffen, d.h. Telefonbetrug, in den letzten vier Jahren um 350 Prozent ergeben haben.

Ursachen der Zunahme

Es gebe zwei Gründe für diese dramatische Wandlung:

• Erstens sei Cyber-Kriminalität eine lukrative Branche und die Zahl der Datenschutzverletzungen nehme zu.
• Zweitens hätten sich die Betrüger weiterentwickelt und kombinierten Social Engineering mit Online-Betrug.

Pindrop erstellt aktuellen Bericht

Aktuell liegt laut Pindrop ein vollständiger Bericht zu diesem Thema vor. Zentrale Erkenntnis sei eben der Anstieg bei Telefonbetrug um mehr als 350 Prozent in den letzten vier Jahren. Die am stärksten betroffenen Branchen sind demnach:

• Versicherung 36 %
• Banken 20 %
• Einzelhandel 15 %

[datensicherheit.de, 11.07.2018] Andrea Voßhoff, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat am 11. Juli 2018 ihren „6. Tätigkeitsbericht zur Informationsfreiheit“ für die Jahre 2016 und 2017 vorgelegt. Bei den Bundesbehörden seien in diesen beiden Jahren insgesamt 21.805 Anträge auf Zugang zu amtlichen Informationen nach dem Informationsfreiheitsgesetz des Bundes eingegangen.

Erneute Zunahme der IFG-Anträge

Die insgesamt 21.805 Anträge auf Zugang zu amtlichen Informationen nach dem Informationsfreiheitsgesetz des Bundes (IFG) hätten die Zahlen der Jahre 2014-2015 (18.139 Anträge) „deutlich überschritten“.
Sodann habe es im Berichtszeitraum insgesamt 790 Eingaben gegeben, von denen in 702 Fällen um Vermittlung zu IFG-Anträgen gebeten worden sei – in den übrigen Fällen seien allgemeine Auskünfte zum IFG erteilt worden.
Voßhoff: „Die erneute Steigerung der IFG-Anträge zeigt deutlich, dass das Recht auf Informationszugang inzwischen zum ,Werkzeugkoffer‘ des mündigen Bürgers in einer auf Offenheit, Diskurs und Partizipation angelegten Gesellschaft geworden ist. Der Staat ist nicht länger die unzugängliche Trutzburg, in der Verwaltungsinformationen ,hinter Schloss und Riegel‘ versteckt bleiben.“

Verbesserungspotenzial bei Umwelt- und Verbraucherinformationen

Verbesserungspotenzial sieht Voßhoff nach wie vor im Bereich der Umwelt- und Verbraucherinformationen. Hierfür gelte das Umweltinformationsgesetz (UIG) bzw. Verbraucherinformationsgesetz (VIG). Darin sei bisher noch keine Ombudsfunktion vorgesehen.
„Erneut fordere ich den Gesetzgeber auf, das UIG und das VIG entsprechend zu evaluieren, damit meine Ombuds-, Beratungs- und Kontrollfunktion künftig auch Bürgerinnen und Bürgern, die Hilfe beim Zugang zu Umwelt- oder Verbraucherinformationen brauchen, zur Verfügung steht“, betont Voßhoff.

Der „6. Tätigkeitsbericht“

Der „6. Tätigkeitsbericht zur Informationsfreiheit für die Jahre 2016 und 2017“ soll laut Voßhoff einen Überblick über die Entwicklung des Informationsfreiheitsrechtes, die Rechtsprechung zum IFG und die Aktivitäten der BfDI geben.
Der Bericht ist abrufbar auf der Website der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und kann – wie auch andere Informationsmaterialien – kostenlos unter folgender Anschrift angefordert werden: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Husarenstraße 30, 53117 Bonn.

Weitere Informationen zum Thema:

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Informationsfreiheit

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 11.07.2018
6. Tätigkeitsbericht zur Informationsfreiheit 2016 – 2017

datensicherheit.de, 29.01.2018
Andrea Voßhoff: Datenschutz als Basis der Digitalen Souveränität

Ein Gastbeitrag des Internet-Dienstleisters und Cloud-Anbieters OVH

[datensicherheit.de, 02.05.2018] DDoS-Angriffe haben 2016 mehrmals Schlagzeilen gemacht. Man denke etwa an die Rekord-Attacke auf einen unserer Kunden im September 2016 oder auch an den Angriff auf den Blog des investigativen Journalisten Brian Krebs. 2017 war in den Medien seltener von DDoS-Angriffen die Rede. Das bedeutet aber nicht, dass es keine gegeben hätte. Ganz im Gegenteil zeigen unsere Statistiken zum Jahr 2017, dass Distributed-Denial-of-Service-Angriffe nach wie vor eine der größten Sorgen für alle Internet-Akteure sind, seien es Cloud-Anbieter wie OVH oder Internetanbieter (engl. Internet Service Provider, ISP). Die Angriffstechniken werden immer ausgereifter, und die über dem Internet of Things (IoT) schwebende Bedrohung konnte bisher nicht abgewendet werden. Ganz im Gegenteil.

Informationen von Clément Sciascia, dem Lead Tech des Projekts VAC (eine von OVH entwickelte Kombination verschiedener Technologien zur Abwehr von DDoS-Angriffen).

Gestiegenes Angriffsvolumen und zeitliche Verteilung

Ein paar allgemeine Informationen vorab: 2017 hat das VAC von OVH im Schnitt rund 1.800 DDoS-Angriffe pro Tag registriert, das sind etwa 50.000 pro Monat. Der ruhigste Tag war der 16. März 2017 mit „nur“ 981 Angriffen. Der ereignisreichste Tag des vergangenen Jahres war dagegen der 04. Oktober 2017 mit 7.415 Angriffen. Das ist übrigens der Jahrestag der Unabhängigkeitserklärung von Belgien (04. Oktober 1830), aber wir vermuten da erst einmal keinen Zusammenhang.

In Abbildung 1 ist zu sehen, dass die allgemeine Tendenz – bezogen auf die Zahl der registrierten Angriffe – steigend ist (R2 = 0,05613). Hierfür können verschiedene Erklärungen angeführt werden. Einerseits darf man nicht unterschätzen, dass unsere Systeme mit der Zeit immer ausgereifter werden und die Angriffe besser erkennen (das ist die gute Nachricht). Andererseits ist aber auch klar, dass die Zahl der Angriffe immer mehr zunimmt (das ist die weniger gute).

Wenn man sich Abbildung 1 einmal genauer anschaut, ist außerdem zu erkennen, dass es in manchen Monaten mehr Angriffe gab als in anderen. Das ist zunächst einmal eine interessante Tatsache, aber es ist noch zu früh, hieraus irgendwelche Schlussfolgerungen zu ziehen.

Bild: OVH

Abbildung 1: Zahl der vom VAC von OVH im Jahr 2017 erkannten und abgewehrten Angriffe nach Monaten.

Bild: OVH

Abbildung 2: Vorkommen von Angriffen nach Wochentag und Uhrzeit (UTC).

Bei einem genaueren Blick auf die Verteilung der Angriffe nach Wochentag und Uhrzeit (Abbildung 2) wird deutlich, dass die meisten Attacken gegen Abend stattfinden (Weltzeit), und zwar größtenteils zwischen 19 und 21 Uhr UTC.

Diese sehr ungleichmäßige Verteilung der Angriffe stellt eine besondere Herausforderung für das VAC Team dar, weil eine regelrechte Angriffswelle in einem sehr kurzen Zeitfenster abgewehrt werden muss. Und das gilt umso mehr, als der frühe Abend auch der kritischste Zeitraum für die meisten Spiele- und E-Commerce-Plattformen ist, die zu dieser Tageszeit die meisten Besucher haben. Zu dieser Zeit wird die Bandbreite also am meisten in Anspruch genommen, und zwar sowohl vom legitimen Traffic als auch vom durch die Angriffe generierten unerwünschten Traffic, der dann vom VAC erkannt und abgewehrt werden muss (Mitigation). Schon die geringste Überlastung hätte erhebliche Konsequenzen für die Dienstqualität aller Kunden.

2017 waren etwa 60.000 verschiedene IP-Adressen bei OVH das Ziel wenigstens eines DDoS-Angriffs.

Bild: OVH

Abbildung 3: Verschiedene IP-Adressen, die im Laufe des Jahres 2017 mindestens einmal Ziel eines DDoS-Angriffs waren.

Abbildung 3 zeigt für jeden Monat des Jahres die Zahl unterschiedlicher IP-Adressen, die mindestens einmal Opfer eines Angriffs wurden. Dieses Diagramm weist einen wesentlichen Unterschied zu dem in Abbildung 1 auf (Zahl der registrierten Angriffe pro Monat): Mit Ausnahme des Monats Juni ist die Zahl der angegriffenen IP-Adressen mit etwa 9.000 pro Monat im Jahresverlauf relativ konstant. Gleichwohl ist die Tendenz auch hier steigend (R2 = 0,01282).

Die Unterschiede in den Abbildungen 1 und 3 deuten darauf hin, dass manche IP-Adressen häufiger Ziel einer Attacke sind als andere. Abbildung 4 bestätigt diese Annahme.

Bild: OVH

Abbildung 4: Angriffshäufigkeit je Monat und IP-Adresse.

Diese Abbildung gruppiert die IP-Adressen nach Angriffsvolumen pro Monat. Es ist klar zu erkennen, dass die Mehrzahl der IP-Adressen zwischen ein- und fünfmal pro Monat angegriffen wird (Medianwert 2). Im gesamten Jahresverlauf waren die angegriffenen IP-Adressen im Schnitt 13 Angriffen ausgesetzt. 30 der betroffenen IP-Adressen wurden im Jahresverlauf häufiger als 1.000-mal angegriffen (auf die am häufigsten angegriffene IP-Adresse erfolgten 4.317 Attacken).

E-Gaming und E-Commerce: die am häufigsten von DDoS-Angriffen betroffenen Services

Wir haben einen näheren Blick auf die betroffenen IP-Adressen geworfen. Aus den uns zur Verfügung stehenden Informationen über die verantwortlichen Nutzer der damit verbundenen Dienstleistungen konnten wir ableiten, welche spezifischen Aktivitäten am häufigsten Opfer dieser Angriffe werden.

Als Erstes haben wir festgestellt, dass alle Nationalitäten unter diesen Attacken zu leiden haben. Wie nicht anders zu erwarten war, werden Online-Gaming-Dienste am häufigsten angegriffen, allen voran Minecraft-Server. Schon seit einigen Jahren beobachten wir die Rivalität zwischen Game-Server-Administratoren, die sich regelrechte Cyberkriege liefern.

Auch wenn die Gründe hierfür manchmal nichtig sind, scheint es doch vor allem eine Sache des Geldes zu sein. Die wichtigsten Gaming-Server generieren einen beträchtlichen Umsatz. Deshalb greifen die Administratoren sich gegenseitig an, um die Servicequalität des Konkurrenten zu verschlechtern und so die Gamer zu den eigenen Servern zu locken. Ein gnadenloser Wettstreit …

Es ist dabei auch festzuhalten, dass der von OVH angebotene spezifische DDoS-Schutz für den Gaming-Sektor zahlreiche Nutzer aus diesem Bereich überzeugt hat, sodass sie in unseren Statistiken wohl überrepräsentiert sind. Auch wenn die Angriffe auf bei OVH gehostete Game-Server aufgrund unserer soliden Schutzmechanismen meist ins Leere laufen, sind die Versuche doch nicht umsonst. Sie helfen nämlich unseren Ingenieuren im Bereich Forschung und Entwicklung, die ständig an der Verbesserung der Erkennungsalgorithmen arbeiten, indem sie diese Angriffe analysieren. Das wiederum kommt allen Kunden von OVH zugute.

An zweiter Stelle kommen die E-Commerce-Plattformen. Erstaunlicherweise werden Plattformen unterschiedlichster Größe angegriffen − vom riesigen Händler bis hin zum kleinen Onlineshop mit eher bescheidenem Traffic. Dabei geht es in den wenigsten Fällen um eine Rivalität zwischen den Beteiligten, sondern vielmehr um Erpressung. Das Prinzip ist einfach: Nach einer ersten Attacke schickt der Angreifer seinem Opfer eine E-Mail und fordert darin im Gegenzug für die Einstellung der Angriffe eine Zahlung in einen elektronischen Geldbeutel, normalerweise in Form von Bitcoins (BTC) oder Monero (XMR). Meist werden diese Drohungen nicht umgesetzt. Wir empfehlen Ihnen auch, niemals auf solche Forderungen einzugehen und zu zahlen, denn damit würden Sie diese kriminellen Aktivitäten geradezu unterstützen. Und Sie selbst hätten trotzdem keinerlei Sicherheit, nicht noch einmal das Opfer von Angriffen zu werden. Die einzig echte Lösung besteht darin, einen Hosting-Anbieter zu finden, der diese Angriffe effizient abwehren kann. Dadurch werden Ihre Angreifer entmutigt und konzentrieren sich dann auf eine leichtere Beute.

Bild: OVH

Abbildung 5: Eine der schlimmsten uns bekannten Erpresser-E-Mails.

Im Übrigen sind die angegriffenen Aktivitäten sehr heterogen, sodass eine Klassifizierung wenig sinnvoll wäre. Innovative Start-ups, öffentliche Verwaltung oder Informationsseiten (Medien, Blogs, …), jeder kann eines Tages Opfer eines solchen DDoS-Angriffs werden. Die Hintergründe sind kaum zu verallgemeinern: Rivalität zwischen Konkurrenten, Streitigkeiten zwischen einem Service und einem Nutzer, der Versuch, die Medien zu zensieren (zu diesem Thema empfehlen wir den Artikel des amerikanischen Journalisten Brian Krebs: The Democratization of Censorship) u. v. m.

Veränderungen in Intensität und Art der Angriffe

Wir konnten auf unserem Netzwerk 2017 keine Angriffe feststellen, die den Rekord von 1 Terabit pro Sekunde überschritten hätten. Dennoch haben wir weiterhin in die Kapazitäten unseres VAC und unseres Backbone investiert, um so mit diesen unvermeidbaren Angriffen umgehen zu können. Denn die Mittel zu deren Umsetzung gibt es immer noch, insbesondere Botnets (Netzwerke aus kompromittierten Geräten), auf die wir gleich näher eingehen werden.

Bild: OVH

Abbildung 6: Für Angriffe auf IP-Adressen bei OVH genutzte Vektoren im Jahr 2017.

Bei einer Analyse der in Abbildung 6 gezeigten Vektoren und Fokussierung auf die vierte Schicht (L4) des OSI-Modells fanden wir wenig überraschend vor allem UDP-Angriffe, SYN-Flood und Amplification-Angriffe. Die Ausnutzung von Schwächen des UDP-Protokolls stellt mehr als die Hälfte aller auf unserem Netzwerk registrierten Angriffe dar (UDP + Amplification + DNS + NTP). Die Wahl der UDP und SYN-Flood Vektoren ist dabei keineswegs zufällig. Vielmehr bieten sie dem Angreifer die Möglichkeit, die eigene Identität zu verschleiern, indem er Pakete mit missbräuchlich angeeigneten IP-Adressen zusammenstellt. Eine Technik, die übrigens auch die Umsetzung von Amplification-Angriffen ermöglicht. Diese wiederum werden gerne von „Booter-Diensten“ eingesetzt − Plattformen, die DDoS-Angriffe zum Kauf anbieten und dafür in der Regel ein Netzwerk von Computern verwenden, die ihre echte IP verbergen. Tatsächlich wird ein Großteil der von uns registrierten Angriffe über solche Plattformen gestartet; die Botnets stellen ihrerseits einen deutlich geringeren Anteil dar.

Auch wenn die Vektoren auf L4 gleich geblieben sind, konnten wir eine kleine Veränderung in der Art der Angriffe feststellen. Abbildung 7 zeigt den Monatsdurchschnitt der Attacken nach Datenpaketen pro Sekunde und Bandbreite. Während die Bandbreite im Jahresverlauf weitgehend konstant bleibt (etwa 700 Mbit/s je Angriff), schwankt die Zahl der versendeten Pakete doch beträchtlich, mit einer auffälligen Spitze im Oktober mit fast 1 Mpps.

Bild: OVH

Abbildung 7: Durchschnitt der DDoS-Angriffe in Paketen pro Sekunde (pps) (oben) und Bandbreite (Mbit/s) (unten) je Monat.

Bei einem Blick auf die Statistik zu den größten Angriffen im Jahr 2017 (Abbildung 8) lässt sich eine klare Verbindung herstellen zwischen den einzelnen Spitzen und dem Auftauchen neuer Botnets aus verbundenen Geräten (IoT) oder gehackten Routern. Auch wenn wir oben betont haben, dass der Großteil der Angriffe über „Booters“ gestartet wird, werden doch die stärksten Attacken gerade über Botnets gestartet, insbesondere solche der Mirai-Familie (also durch Verwendung von Teilen des Mirai-Codes, der Ende 2016 von seinem reuigen Entwickler öffentlich gemacht wurde).

Darüber hinaus konnten wir eine Veränderung in den von den Angreifern gewählten Strategien sehen. Es ist klar zu erkennen, dass die Größe der stärksten Angriffe im Hinblick auf die Bandbreite unterhalb von 200 Gbit/s bleibt, also deutlich weniger als in den vergangenen Jahren. Die Angreifer haben wohl erkannt, dass wir einfach zu viel zusätzliche Bandbreite in der Hinterhand haben, als dass sie unsere Netzwerke überlasten könnten. Tatsächlich nutzen wir von den 13 Tbit/s der weltweiten OVH Netzwerkkapazität gerade einmal durchschnittlich 3,5 Tbit/s. Stattdessen konzentrieren sich die Angreifer jetzt auf die Kapazität des Netzwerk-Equipments und unserer Abwehrsysteme zur Verarbeitung großer Mengen an Datenpaketen, indem sie Angriffe mit geringer Bandbreite, dafür aber umso mehr Paketen starten. Ganz konkret werden nicht etwa Pakete mit 1.480 Bytes versendet, die einen beträchtlichen Traffic generieren würden, sondern zahllose winzig kleine Pakete mit weniger als 100 Bytes.

In Abbildung 8 ist deutlich zu sehen, wie im Laufe der Monate die Zahl der pps kontinuierlich steigt. Das zeigt einmal mehr, dass wir es mit Angreifern zu tun haben, die sich anpassen und ihre Techniken immer weiter verbessern, um unsere Schutzmechanismen zu umgehen. Deshalb müssen wir sicherstellen, dass wir ihnen immer einen Schritt voraus sind.

Bild: OVH

Abbildung 8: Größte Attacken nach pps (oben) und Bandbreite (unten) je Monat.

Angriffe, die auf Schicht 4 des OSI-Modells ansetzen, sind im Allgemeinen besonders beeindruckend in Sachen Bandbreite und/oder Pakete pro Sekunde. Nichtsdestotrotz sind auch Angriffe auf Schicht 7 (Anwendungsebene) nicht zu unterschätzen, etwa HTTP-Floods.

Hier ist zunächst einmal festzuhalten, dass die Angriffe auf Schicht 7 seit dem Auftauchen neuer Vektoren wie SSH-Flood oder SMTP-Flood deutlich ansteigen. Dabei ist HTTP-Flood mit zwei Dritteln aller von uns beobachteten Angriffe auf Schicht 7 unzweifelhaft der am häufigsten verwendete Vektor. Diese Attacken haben übrigens nicht die gleichen Auswirkungen auf das Ziel wie L4-Angriffe. Hier geht es nicht darum, die Netzwerkinfrastruktur, sondern vielmehr die Anwendung selbst zu überlasten, indem man beispielsweise einen Apache-Dienst mit Anfragen überschwemmt. Derartige Angriffe sind in der Regel etwas schwieriger aufzuspüren, weil eine Vielzahl von Variablen eine Rolle spielt, etwa die Leistung des Servers (ein VPS wird nicht so viele Anfragen bewältigen können wie ein Dedicated Server mit Dual-Socket-System) oder auch die Konfiguration des Servers und dessen Optimierung angesichts erhöhter Last. Die Erkennungsmechanismen können also nicht für alle Kunden die gleichen Grenzwerte verwenden.

Sie sehen also, dass genau in diesem Bereich die größte Herausforderung für unsere Teams besteht. Denn Angriffe auf L7 könnten in den nächsten Monaten noch deutlich häufiger werden. Wir haben festgestellt, dass anders als bei den L4-Attacken die Angriffe auf Schicht 7 größtenteils über Botnets gestartet werden, seien es IoT-Botnets oder traditionellere Varianten. Insbesondere haben wir festgestellt, dass immer häufiger „WordPress Pingbacks“ ausgenutzt werden, eine standardmäßig aktivierte Funktion, die für Reflection-Angriffe genutzt werden kann.

Reaper- und Satori-Botnets im Fokus

Anhand der Statistiken in Abbildung 8 ist deutlich zu erkennen, dass es gegen Ende 2017 relativ viele DDoS-Angriffe gab. Die Monate September und Oktober waren Schauplatz von Angriffen zwischen 80 und 100 Gbit/s bzw. zwischen 60 und 90 Mpps. Einige dieser Attacken konnten wir dem Reaper-Botnet zuordnen, das innerhalb eines sehr kurzen Zeitraums eine Vielzahl von Systemen infiziert hat. Hier ist auch ein Phänomen zu erkennen, das wir schon weiter oben erläutert haben: Die Angreifer versuchen die Anzahl der Pakete pro Sekunde zu maximieren, anstatt die Bandbreite zu überlasten. Wir können Ihnen allerdings versichern, dass das OVH VAC problemlos alle hinterhältigen Pläne durchkreuzen konnte.

Das Satori-Botnet, das in der Welt der Cybersicherheit immer mehr von sich reden macht, hat seit November einen steilen Aufstieg hingelegt. Am 24. November 2017 konnten wir beobachten, wozu dieses Botnet tatsächlich fähig ist: Ein Angriff mit „nur“ 160 Gbit/s hat fast 250 Mpps generiert. Das war das erste Mal in der Geschichte des VAC, dass wir es mit einer solchen Zahl zu tun hatten. Gleichzeitig war es auch eine hervorragende Gelegenheit, das Verhalten der verschiedenen an der Mitigation beteiligten Bausteine im Detail zu analysieren. Das VAC hat den Angriff abgewehrt, aber vor allem konnten wir aufgrund der gesammelten Daten mögliche Verbesserungen ermitteln und unsere Abwehr-Algorithmen optimieren.

IoT: die unsichtbare Gefahr

Nachdem wir nun schon von Reaper und Satori gesprochen haben, dürfen zum Abschluss dieses Artikels natürlich die IoT-Botnets nicht fehlen. Im September 2016 hat die Welt Mirai kennengelernt, und zwar infolge eines Angriffs auf einen unserer Kunden, bei dem ein neuer Rekord von einem Terabit pro Sekunde aufgestellt wurde (genug, um eine Festplatte mit 2 TB in nur 16 Sekunden zu füllen!). Dieses Botnet hat Nachlässigkeiten seitens der Hersteller verbundener Objekte (IoT) bei der Entwicklung ihrer Produkte ausgenutzt. So wurden vor allem Kameras mithilfe einer Schadsoftware kompromittiert, um sie so in Zombies zu verwandeln, die ihrem Botmaster zu Diensten sind.

Aber die vom IoT ausgehende Bedrohung, die über dem Internet schwebt, beschränkt sich nicht allein auf Mirai. Schon vorher folgte Malware häufig dem gleichen Prinzip, etwa Aidra (2008), Tsunami (2010), Mr.Black (2014) oder auch LizKebab/Gafgyt/QBOT (2014). Seit dem Angriff auf unser Netzwerk beobachten wir diese Botnets mit umso größerer Aufmerksamkeit, um ihre Organisation zu verstehen, ihre Verbreitungsmechanismen, die Entwicklung in der Zahl der kompromittierten Geräte, die für einen geplanten Angriff verwendet werden können, und noch vieles mehr.

Dank dieser systematischen Beobachtungen haben wir heute eine sehr viel genauere Vorstellung von dieser Bedrohung – und können im Fall der Fälle die notwendigen Schritte einleiten. So haben etwa im letzten November unsere Erkennungstools verschiedene Versuche des Satori-Botnets festgestellt, immer mehr verbundene Objekte zu kompromittieren.

Um neu entstehende und etablierte Botnets im Auge zu behalten, verwenden wir sogenannte „Honeypots“, wörtlich also „Honigtöpfe“. Die Bezeichnung ist eine Anspielung auf den Zeichentrickbären Winnie Puuh, der oft durch den Anblick oder den Duft eines Honigtopfes verführt wird und so in kritische Situationen gerät. Bei unseren Honigtöpfen handelt es sich um Köder, die wir ganz bewusst mit Schwachstellen designen und ins Internet stellen. Regelmäßige Analysen helfen uns dann dabei, die Funktionsweise der Kompromittierungsversuche zu verstehen.

Abbildung 9 zeigt eben diese Aktivitäten rund um unsere Honeypots für das Jahr 2017. Berücksichtigen wir zusätzlich zu diesen Kurven noch die Spitzenzeiten der großen Botnets, die 2017 Schlagzeilen gemacht haben − etwa Hajime, Reaper oder Satori −, dann stellen wir fest, dass die Aktivität rund um die Honeypots deutlich zugenommen hat.

Bild: OVH

Abbildung 9: Aktivität unserer Honeypots im Kampf gegen IoT-Botnets.

Anhand dieser Grafik kann man auch für das erste Quartal 2017 eine relativ hohe Aktivität feststellen. Diese ist vor allem auf die Malware Hajime zurückzuführen, die das gesamte Internet in einer Art Dauerschleife gescannt hat. Ab April gab es dann spürbar weniger Aktivität, bevor es im September wieder von Neuem anfing – wenn auch in geringerem Ausmaß. Diese Trends spiegeln die geringer werdende Begeisterung der „Script Kiddies“ für Mirai wider. Als „Script Kiddies“ bezeichnet man Jugendliche mit nur geringer technischer Kompetenz, dafür aber umso mehr Ambitionen im Bereich Cyberkriminalität. Blöd für sie, dass der Aufbau eines Botnets mit Mirai oder einer seiner Varianten dann doch nicht so kinderleicht ist. Um die notwendige Zahl an kompromittierten Geräten zu erreichen, muss man regelrechte F&E betreiben, um die Vektoren für die Infektion aktuell zu halten. Denn die Sicherheitslücken, die sich die Vektoren von gestern zunutze machten, sind heute vielleicht schon geschlossen. Deswegen haben die „Kiddies“ dann realistischere Projekte für sich entdeckt: QBOT. Wir werden noch auf diesen Punkt zurückkommen, aber heute repräsentiert QBOT etwa 80 % der aktiven IoT-Botnets. Technisch versiertere Angreifer haben weiterhin Mirai verwendet und auch verbessert, indem sie unter anderem die Ausnutzung neuer Sicherheitslücken in Geräten in den Code eingepflegt haben.

Bild: OVH

Abbildung 10: Geolokalisierung der IPs, über die unsere Honeypots kompromittiert werden sollten, im zeitlichen Verlauf.

In Abbildung 10 sieht man perfekt die Umsetzung neuer Schwachstellen und Nachlässigkeiten in den Infektionsalgorithmen. Jedes Mal, wenn ein neuer Exploit implementiert wird, werden sehr schnell sehr viele Geräte neu kompromittiert, was zu einer ungewöhnlich hohen Aktivität auf unseren Honeypots führt (Spitzen). Wenn wir die infizierten Geräte dann geolokalisieren, können wir für jede einzelne Spitze ein bestimmtes Land ermitteln.

Und hier ist die Erklärung dafür: Die am häufigsten ausgenutzten Schwachstellen sind Router (und vor allem Router von Privatpersonen, also normale „Internetrouter“). Wenn sich die Hacker auf diese Geräte konzentrieren, ist ihnen ein gewisser Erfolg sicher, weil die Internetanbieter ihre Kunden in einem Land oder einem geografischen Gebiet praktisch flächendeckend mit einem einzigen Routermodell versorgen. Hat dieses Modell eine Sicherheitslücke, können mit nur einem einzigen Infektionsalgorithmus innerhalb kürzester Zeit Tausende Geräte kompromittiert werden. Und weil ein kompromittiertes Gerät dann seinerseits das Internet nach anfälligen Geräten durchsucht, gibt es plötzlich eine ungewöhnlich hohe Aktivität aus einem bestimmten Land. Diese wird dann durch unsere Honeypots zurückverfolgt, wie in Abbildung 10 zu sehen ist.

Zur Erinnerung: Ein Botnet ist eine Gruppe von infizierten Geräten, den sogenannten Zombies, die mit einem Command-and-Control-Server verbunden sind. Dieser Kontrollserver steuert sie per Fernzugriff und lässt sie bestimmte Aktionen ausführen (z. B. eine IP angreifen). Unsere Honeypots ermöglichen es uns, auch diese Kontrollserver zurückzuverfolgen und so ihre Anzahl zu schätzen. Abbildung 11 zeigt die Zahl der von unseren Systemen im Jahr 2017 erkannten Command-and-Control-Server (kurz C&C-Server). Zwar identifizieren wir immer mehr davon, allerdings darf man daraus keine voreiligen Schlüsse ziehen. Jeden Monat verbessern wir unsere Erkennungssysteme und entdecken deshalb heute Botnets, die gestern noch nicht auf unserem Radar erschienen wären. Daher können wir heute noch nicht mit Sicherheit sagen, ob es hier eine echte steigende Tendenz gibt.

Bild: OVH

Abbildung 11: Durch unsere Systeme erkannte Kontrollserver je Monat in 2017.

Was jedoch in jedem Fall bemerkenswert ist, ist die weiter oben schon angesprochene zunehmende Abkehr von Mirai zugunsten von QBOT. Während im ersten Quartal 2017 fast 30 % der von uns erkannten Botnets den Mirai-Code verwendeten, waren es im vierten Quartal 2017 nur noch 10 % (die übrigen identifizierten Botnets verwendeten mit überwältigender Mehrheit QBOT). Wie aber schon Elie Bursztein (Leiter des Anti-Abuse-Teams von Google) in seinem Blog erklärt hat, hat sich die Architektur von Mirai-Botnets im Laufe der Monate weiterentwickelt. Statt eines einzigen großen Botnets nutzen die Betreiber jetzt lieber mehrere kleine, um einerseits eine höhere Ausfallsicherheit zu erreichen, falls ein Teil ihres Netzwerks erkannt wird, und andererseits auch den Verkauf der durch diese Botnets angebotenen „Dienste“ zu erleichtern (normalerweise hängen die Kosten für die Nutzung eines Botnets von der Anzahl der mobilisierten Bots ab). Dementsprechend ist es nicht ungewöhnlich, dass mehrere Kontrollserver mit unterschiedlichen IP-Adressen gleichzeitig genau denselben Befehl an ihre Bots senden.

Wenn wir uns nun noch einmal genauer ansehen, auf welche Vektoren die Nutzer dieser Botnets setzen, und zwar unabhängig von ihrem Ziel, dann können wir große Ähnlichkeiten zu den Angriffen auf dem OVH Netzwerk feststellen, die wir oben bereits analysiert haben. In Abbildung 12 ist zu sehen, dass auch hier UDP mit 46 % an der Spitze liegt, gefolgt von SYN-Flood mit 20 % und (auf der Anwendungsebene) HTTP-Flood mit 19 %.

Bild: OVH

Abbildung 12: Am häufigsten durch IoT-Botnets verwendete Vektoren im Jahr 2017.

Ganz besonders interessant ist auch, die von den Hackern angegriffenen Ports zu analysieren. In Abbildung 13 sieht man die sieben am häufigsten angegriffenen Ports, unabhängig vom Netzwerk. Port 80 (HTTP) wird am häufigsten ins Visier genommen, und zwar sowohl bei Angriffen via TCP-Protokoll als auch via UDP-Port – auch wenn das auf Anhieb unlogisch erscheint (denn HTTP basiert auf TCP).

Die übrigen Ports sind noch interessanter, weil man durch sie ein klares Bild der Nutzer von Botnets bekommt. Wie oben bereits angesprochen, ist die Welt der Videospiele unerbittlich, und die starke Konkurrenz verleitet Admins dazu, sich auf regelrechte Cyberkriege einzulassen. Darüber hinaus scheinen aber viele der Benutzer dieser Botnets einfach nur schlechte Spieler zu sein, die versuchen, ihre Gegner während einer laufenden Partie durch Angriffe auf die Xbox Live Ports zu stören.

Bild: OVH

Abbildung 13: Durch IoT-Botnets am häufigsten angegriffene Ports im Jahr 2017.

Ausgehend von diesen Zahlen versuchten wir herauszufinden, ob andere Netzwerke von den gleichen, durch IoT-Botnets verursachten Angriffstypen wie OVH betroffen waren. Hierfür haben wir drei andere Internet-Akteure ausgewählt: einen wichtigen US-amerikanischen ISP, einen großen CDN-Provider und schließlich einen Hosting-Anbieter, der in seiner Geschäftstätigkeit OVH ähnelt.

Die Ergebnisse sind spannend:

• Der große amerikanische ISP wird vor allem Opfer solcher DDoS-Attacken, die auf Xbox Live, PlayStation und alles, was mit Gaming zu tun hat, abzielen.
• Der CDN-Provider hingegen ist hauptsächlich von L7-Attacken des Typs HTTP-Flood betroffen (was in Anbetracht seines Geschäftsmodells auch relativ logisch ist).
• Der Hosting-Anbieter dagegen erlebt ganz ähnliche Angriffe wie OVH.

Für alle, die noch Zweifel hatten: DDoS-Angriffe nehmen also keineswegs nur Hoster ins Visier. Alle Internet-Akteure, ob groß oder klein, sind in der einen oder anderen Form dieser Bedrohung ausgesetzt, die direkt von der Art der angebotenen Dienstleistungen abhängt. Der einzig echte Unterschied besteht in den zur Verfügung stehenden Mitteln, mit denen diese Akteure ihre Nutzer schützen. Und in ihrer Fähigkeit, durch die genaue Beobachtung und Auswertung der Techniken schon heute die DDoS-Angriffe von morgen vorherzusagen.

Die wichtigsten Fakten

Nach dieser Analyse können wir nun drei wichtige Tatsachen festhalten:

• Die Angriffstypologien verändern sich: Die Intensität in Sachen Bandbreite nimmt deutlich weniger zu als die Zahl der versendeten Pakete pro Sekunde.
• Es gibt deutlich mehr Angriffe auf Anwendungsebene (L7).
• Die Struktur der IoT-Botnets beweist – wenn überhaupt ein Beweis nötig war –, dass Cyberkriminelle die Schwachstellen der verbundenen Objekte gezielt ausnutzen, um ihr „Business“ nachhaltig zu sichern.

Diese Entwicklungen zeigen deutlich, wie die Angreifer ihre Techniken kontinuierlich an die Gegenmaßnahmen von Akteuren wie OVH anpassen.

Es ist schlicht unmöglich, ein prototypisches Opfer von DDoS-Angriffen auszumachen; die Profile sind vollkommen unterschiedlich. Allerdings sind zwei Bereiche besonders häufig betroffen: Online-Gaming (allen voran Minecraft- und Teamspeak-Server) und E-Commerce-Plattformen, und zwar unabhängig von ihrer Größe.

In den meisten Fällen verfolgen die Angreifer vor allem finanzielle Ziele: sei es ganz direkt durch die Erpressung von Geldern, oder indirekt durch die Schädigung eines Konkurrenten mit dem Ziel, dessen Kunden abzuwerben. Noch kurz zu einem Punkt, der nichts mit Gaming zu tun hat: Es haben auch schon Herausgeber von Anti-DDoS-Lösungen Angriffe gestartet um dann hinterher bei den Opfern der Attacken Werbung für das eigene Schutzangebot zu machen.

Wir jedenfalls werden auch 2018 aufmerksam beobachten, ob sich die in dieser Analyse festgestellten Trends langfristig bestätigen.

Weitere Informationen zum Thema:

OVH
Anti-DDoS

datensicherheit.de, 21.02.2018
DDoS-Bedrohung wächst: Defizite beim Schutz erleichtert Attacken

[datensicherheit.de, 31.01.2018] Nach aktuellen Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind knapp 70 Prozent der Unternehmen bzw. Institutionen in Deutschland in den Jahren 2016 und 2017 Opfer von Cyber-Angriffen geworden. In knapp der Hälfte der Fälle seien die Angreifer erfolgreich gewesen und hätten sich zum Beispiel Zugang zu IT-Systemen verschaffen, die Funktionsweise von IT-Systemen beeinflussen oder Internet-Auftritte von Firmen manipulieren können. Jeder zweite erfolgreiche Angriff habe dabei zu Produktions- bzw. Betriebsausfällen geführt. Hinzu seien häufig noch Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme sowie Reputationsschäden gekommen. Diese Ergebnisse entstammen demnach der „Cyber-Sicherheits-Umfrage 2017“, welche das BSI nach eigenen Angeben im Rahmen der „Allianz für Cyber-Sicherheit“ mit rund 900 Unternehmen bzw. Institutionen durchgeführt hat.

Cyber-Angriffe bedrohen Erfolg der Digitalisierung

„Die Ergebnisse der Umfrage machen deutlich, dass Cyber-Angriffe als eine der größten Bedrohungen für den Erfolg der Digitalisierung wahrgenommen werden. Es zeigt sich, dass die umfangreichen Sensibilisierungsmaßnahmen des BSI als nationale Cyber-Sicherheitsbehörde Früchte tragen. Wir sind mit unseren Angeboten an die Wirtschaft wie der ,Allianz für Cyber-Sicherheit‘ oder dem modernisierten, praxisorientierten IT-Grundschutz auf dem richtigen Weg, die Herausforderungen der Digitalisierung zu meistern und den Erfolg des Wirtschaftsstandorts Deutschland zu sichern“, sagt BSI-Präsident Arne Schönbohm.

Nur 42 Prozent der Opfer könnten Betrieb aufrechterhalten

Das Bewusstsein für die Gefahren, welche den Betrieben aus dem Cyber-Raum drohen, sei hoch – rund 92 Prozent der Befragten schätzten die Gefahren aus dem Cyber-Raum als „kritisch für die Betriebsfähigkeit ihrer Institution“ ein. Nur knapp 42 Prozent gingen davon aus, dass der Betrieb im Fall eines Cyber-Angriffs durch Ersatzmaßnahmen aufrechterhalten werden könnte. Als besonders gefährdet betrachteten sich Konzerne.
Darüber hinaus gingen zwei von drei befragten Unternehmen davon aus, dass die Risiken durch Cyber-Angriffe zunehmen. Dabei falle auf, dass kleine und mittlere Unternehmen (KMU) die Lage weniger kritisch beurteilten als Großkonzerne: Während fast 74 Prozent der Großkonzerne damit rechneten, dass die Gefahren aus dem Cyber-Raum zunehmen, treffe dies nur auf gut 62 Prozent der KMU zu.

Faktor Mensch bei Cyber-Sicherheitsmaßnahmen berücksichtigen!

Entsprechend ihres Gefahrenbewusstseins hätten viele Betriebe bereits Cyber-Sicherheitsmaßnahmen eingeleitet. So gaben laut BSI 89 Prozent an, dass Maßnahmen wie Segmentierung oder die Minimierung von Netzübergängen ergriffen wurden, um die Netze abzusichern. Auch Maßnahmen zur Abwehr von Schadprogrammen fänden häufig Anwendung (86 Prozent). Dabei kämen sowohl Maßnahmen zur zentralen Detektion, wie etwa Scans am Sicherheitsgateway oder Mailservern, als auch dezentrale Maßnahmen wie Scans auf Client-/Server-Systemen zum Einsatz.
Über die bereits umgesetzten Maßnahmen hinaus sind in vielen Betrieben (71 Prozent) weitere Verbesserungen der Cyber-Sicherheit geplant. Ein Teil der Unternehmen habe erkannt, das für eine ganzheitliche Informationssicherheit auch der „Faktor Mensch“ von Bedeutung ist. So führten mehr als die Hälfte der Unternehmen regelmäßige Schulungen ihrer Beschäftigten zu Fragen der Cyber-Sicherheit durch. Weitere knapp 20 Prozent der befragten Unternehmen planten entsprechende Maßnahmen.

Weitere Informationen zum Thema:

datensicherheit.de, 11.10.2017
BSI: IT-Grundschutz-Modernisierung erfolgreich abgeschlossen

Bundesamt für Sicherheit in der Informationstechnik / Allianz für Cyber-Sicherheit
Cyber-Sicherheits-Umfrage 2017 / Cyber-Risiken, Meinungen und Maßnahmen

Bundesamt für Sicherheit in der Informationstechnik / Allianz für Cyber-Sicherheit
Cyber-Angriffe haben erhebliche Konsequenzen für die Wirtschaft

[datensicherheit.de, 31.01.2018] Nach Erkenntnissen des foodwatch e.V. ist die Zahl der öffentlichen Lebensmittelwarnungen weiter gestiegen: Im Jahr 2017 hätten die Behörden in Deutschland auf dem staatlichen Internetportal „lebensmittelwarnung.de“ 161-mal vor Lebensmitteln gewarnt – mithin noch einmal rund zehn Prozent häufiger als im Jahr 2016 mit 147 Einträgen. Vor fünf Jahren sei die Zahl der Meldungen gerade einmal halb so hoch gewesen (2012: 83 Einträge). Allerdings veröffentlichten die Behörden nicht alle Produktrückrufe auf diesem Portal. Foodwatch kritisiert, dass die meisten Produktrückrufe die Menschen nicht erreichten.

Produktwarnungen: E-Mail-Newsletterservice bis heute nicht eingerichtet

Die Verbraucher würden nach wie vor „nicht umfassend und schnell genug vor gesundheitsgefährdenden Lebensmitteln gewarnt, weil die Behörden Rückrufe oft nur verspätet online stellen“.
Ein bereits 2011 zwischen Bund und Ländern fest vereinbarter E-Mail-Newsletterservice zu Produktwarnungen sei bis heute nicht eingerichtet worden. Auch Supermärkte informierten ihre Kunden „häufig unzureichend“, so foodwatch.

foodwatch sieht den Handel in der Pflicht

„In Deutschland werden jede Woche im Schnitt etwa drei Lebensmittel zurückgerufen – doch die Verbraucherinnen und Verbraucher erfahren häufig nichts davon“, moniert Lena Blanken von foodwatch.
Neben einer Verbesserung des Portals „lebensmittelwarnung.de“ sieht die Verbraucherorganisation nach eigenen Angaben „vor allem den Handel in der Pflicht“. Supermärkte seien bisher aber nicht dazu verpflichtet, die Kunden schnell und umfassend an zentraler Stelle über alle Rückrufaktionen aus ihrem Sortiment zu informieren – dies müsse sich dringend ändern, fordert foodwatch:
„Die Supermärkte haben direkten Kontakt zu den Verbraucherinnen und Verbrauchern, informieren aber viel zu oft entweder gar nicht oder nur unzureichend über Rückrufe. Rewe, Aldi, Edeka und Co. müssen per Aushang in den Filialen, über Newsletter, Pressemitteilung und auch über die Sozialen Medien die Kundinnen und Kunden vor gesundheitsgefährdenden Produkten warnen.“
Über eine E-Mail-Protestaktion von foodwatch können nun Verbraucher diese Forderung an die Handelsketten unterstützen.

„lebensmittelwarnung.de“ in der Kritik

Bund und Länder haben laut foodwatch die Website „lebensmittelwarnung.de“ im Jahr 2011 gestartet, um Rückrufe auf einer zentralen Plattform zu verbreiten. Nach eigenen Angaben hat foodwatch alle Meldungen des Portals der vergangenen Jahre ausgewertet:

• 2017 stellten die Behörden 161 Rückrufe online – aus den unterschiedlichsten Gründen, von Glasscherben im Brot bis Salmonellen im Ei…
• Damit gab es, seit das Portal Ende 2011 online ging, nahezu konstant einen Anstieg der gemeldeten Rückrufe: 2012 waren es 83 Meldungen, 2013: 75, 2014: 107, 2015: 100, 2016: 147.

Als zentrale Informationsplattform für Verbraucher sei „lebensmittelwarnung.de“ aus Sicht von foodwatch aber „gescheitert“:
Das Webportal sei „unübersichtlich“ und liefere „Rückrufhinweise nur lückenhaft und oft verzögert“ – jede zweite Warnung erscheine deutlich verspätet, wie ein Test von foodwatch 2017 gezeigt habe. Ohnehin befänden sich auf der Website in der Regel nur solche Meldungen, die auch die betroffenen Unternehmen schon veröffentlicht haben.
Eine Einschätzung, warum es zu mehr Rückrufen kam, sei jedoch schwierig, so Blanken: „Ob es zu mehr Vorfällen kam oder ob die Unternehmen mittlerweile einfach eher einen Rückruf starten, lässt sich aus den Zahlen nicht ablesen. Fakt ist: Wenn es zu einem Rückruf kommt, wird nicht alles dafür getan, die betroffenen Menschen zu warnen.“

Betroffene Unternehmen im Interessenkonflikt

Das deutsche und europäische Lebensmittelrecht lasse bisher viele Spielräume, wann ein Rückruf erforderlich ist. Ob und in welcher Form vor unsicheren Lebensmitteln gewarnt wird, hänge in erster Linie vom Willen und der Kompetenz der Unternehmen ab. Denn sowohl die Beurteilung des gesundheitlichen Risikos als auch die öffentliche Warnung sei in erster Linie Aufgabe der Unternehmen – dann indes vor dem Interessenkonflikt zwischen einem Rückruf und möglichen negativen Folgen für das Unternehmen stehend.
Den Behörden fehle oftmals die Rechtssicherheit. Foodwatchs Report „Um Rückruf wird gebeten“ von 2017 zeige die Schwachstellen des Systems der Lebensmittelrückrufe auf: Wichtige Lebensmittelwarnungen kämen bei den Verbrauchern oft nicht an. In etlichen Fällen entschieden sich Unternehmen und Behörden zu spät, manchmal auch gar nicht für eine erforderliche Rückrufaktion und die Information der Öffentlichkeit. Zudem würden dabei die gesundheitlichen Risiken der Lebensmittel, die zum Beispiel mit Bakterien belastet sind oder Fremdkörper enthalten, immer wieder verharmlost.

Weitere Informationen zum Thema:

Bundesamt für Verbraucherschutz und Lebensmittelsicherheit
lebensmittelwarnung.de / Das Portal der Bundesländer und des BVL

foodwatch, 24.08.2017
E-MAIL-AKTION / Wir wollen gewarnt werden!

foodwatch, Report 2017
UM RÜCKRUF WIRD GEBETEN / Warum Lebensmittelwarnungen oft zu spät oder gar nicht kommen

Rückruf-Portal für Deutschland
Wissenswerte Informationen rund um Rückrufaktionen, Produktwarnungen, Sicherheitshinweise & mehr

datensicherheit.de, 28.04.2016
Verbraucherzentrale kritisiert unvollständige und verharmlosende Lebensmittelwarnungen

[datensicherheit.de, 04.01.2018] Die Verbraucherzentrale Hamburg (vzhh) sucht die „Mogelpackung des Jahres 2017“: Verbraucher können demnach vom bis zum 22. Januar 2018, 18.00 Uhr, online abstimmen. Laut vzhh stehen fünf Kandidaten zur Wahl, bei denen „besonders dreist und raffiniert versteckte Preiserhöhungen durchgesetzt“ worden seien.

Bis zu 43 Prozent verschleierte Preiserhöhung

Bei allen fünf nominierten Produkten bekämen Verbraucher „deutlich weniger Inhalt zum gleichen Preis“. Um bis zu 43 Prozent hätten sich die Lebensmittel durch eine versteckte Preiserhöhung verteuert.
„Konkrete Hinweise auf die Schrumpfung des Inhalts fehlen oft, ja die Hersteller versuchen manchmal sogar, die geringere Menge durch quasi identische Packungen zu kaschieren“, erläutert Armin Valet von der vzhh.
Teilweise seien auch die Rezepturen schlechter geworden, ohne dass Verbraucher dies bemerkten. „Wer hat schon eine alte Packung zur Hand, um die Zutaten zu vergleichen?“, so Valet.

Trotz zahlreicher Proteste keine Einsicht gezeigt

Da die Anbieter trotz zahlreicher Proteste keine Einsicht zeigten, wird die vzhh nun bereits zum vierten Mal die „Mogelpackung des Jahres“ küren. Wer den Negativpreis erhält, soll laut vzhh am 23. Januar 2018 bekanntgegeben werden.
Unzählige Beschwerden über „Mogelpackungen“ gingen Jahr für Jahr bei ihr ein. Die Verbraucherschützer veröffentlichen nach eigenen Angaben regelmäßig Hinweise auf solche „Mogelpackungen“, um die Tricksereien der Hersteller aufzudecken.
Aus den verschiedenen Meldungen der zurückliegenden zwölf Monate habe die vzhh eine Shortlist von fünf Kandidaten für die Wahl zur „Mogelpackung des Jahres 2017“ bestimmt.

Weitere Informationen zum Thema:

verbraucherzentrale Hamburg
Mogelpackung des Jahres 2017

datensicherheit.de, 15.12.2014
Vorgetäuschte Preisstabilität: Mogelpackung des Jahres 2014 gesucht

[datensicherheit.de, 07.12.2017] Insbesondere kleine und mittlere Unternehmen (KMU) würden durch die strikten Vorgaben der Datenschutzgrundverordnung (DSGVO) gegenüber größeren Firmen benachteiligt – das sei zumindest die Meinung von 94 Prozent der Besucher der IT-Security-Messe „it-sa 2017“ in Nürnberg. Im Rahmen der Umfrage „Datensicherheit in der Cloud“ seien diese im Auftrag der TeamDrive Systems GmbH um ihre Meinung gebeten worden.

Flexibilität und Effizienz durch Vorschriften stark beeinträchtigt

„Kleinere Unternehmen mussten sich bisher kaum mit dem Thema Datensicherheit in seiner ganzen Tiefe auseinandersetzen. Bei wenigen Mitarbeitern wird oft noch nicht einmal ein Datenschutzbeauftragter eingesetzt. Mit der DSGVO und den hohen Strafsummen bei festgestelltem Vergehen ändert sich dieser Status quo gravierend – und kostet junge Firmen eventuell sogar ihre Existenz“, erläutert Volker Oboda, Geschäftsführer von TeamDrive.
Die Umfrage „Datensicherheit in der Cloud“ zeige deutlich die Befürchtung, dass die strikten Richtlinien dieser Datenschutzgrundverordnung die Unternehmensentwicklung stark ausbremsen könnten:

• 78 Prozent vermuteten, dass die wirtschaftliche Wachstumskurve in Zukunft deutlich langsamer ansteigen werde.
• 77 Prozent gingen davon aus, dass Flexibilität und Effizienz in Unternehmen durch die große Menge an Vorschriften stark reduziert würden.

„Firmen müssen im Hinblick auf die Datensicherheit vieles berücksichtigen. Damit diese Themen auf die Arbeitskraft keinen Einfluss haben, tun Unternehmen gut daran, das Thema Datensicherheit einem externen Dienstleister zu überlassen. Nur so können Ruhe und Sicherheit wieder in das Tagesgeschäft einkehren“, so Oboda.

[teamdrive-umfrage_it-sa-2017_eu-dsgvo_kmu.jpeg]

Abbildung: TeamDrive Systems GmbH

Ergebnisse der Umfrage zur EU-DSGVO auf der „it-sa 2017“

Ambivalente Abschreckung – Empfehlung zur Prävention

„Vor allem die enorm hohen finanziellen Strafen, die durch die DSGVO möglich werden, sind bei den Befragten Thema.“ Dabei lobten 79 Prozent die „frappierend hohen Geldstrafen“, die mit einem Verstoß gegen die DSGVO anfallen könnten. Sie gingen davon aus, dass viele Firmen nur durch diese Abschreckung den sicheren Umgang mit personenbezogenen Daten ernstnehmen würden. Trotz dieses Zugewinns an Aufmerksamkeit gebe es aber auch Zweifel: So sähen 63 Prozent die möglichen Höhen der Strafsummen als überzogen an. 26 Prozent stimmten dieser Annahme immer noch teilweise zu.
Konzentrierte Beratungsgespräche können wichtige Informationen dazu geben, wie Strafzahlungen vermieden und Richtlinien der DSGVO verlässlich eingehalten werden können, empfiehlt Oboda den KMU.

Weitere Informationen zum Thema:

datensicherheit.de, 06.12.2017
EU-DSGVO: Größere Unternehmen in Deutschland bereiten sich vor

datensicherheit.de, 19.11.2017
Viele offene Fragen und wenige Antworten: EU-DSGVO und Cyber-Versicherung

datensicherheit.de, 13.08.2017
EU-Datenschutz-Grundverordnung: Tenable Inc. stellt drei essentielle Schritte vor

datensicherheit.de, 13.06.2017
Spiel mit dem Feuer: Nichtbeachtung der EU-Datenschutz-Grundverordnung

datensicherheit.de, 30.05.2017
Höhere Anforderungen an Datenschutz: Im Mai 2018 tritt die EU-DSGVO in Kraft

datensicherheit.de, 30.05.2017
EU-DSGVO-Studie: Vier von fünf deutschen Unternehmen liegen noch zurück

datensicherheit.de, 03.04.2017
EU-DSGVO: Geschäftsführern und Mitarbeitern drohen Bußgelder in Millionenhöhe

[datensicherheit.de, 06.12.2017] Datenrettung ist immer extrem spannend, denn kein Fall gleicht dem Anderen. Die unterschiedlichen Datenträger und Fehlerbilder machen den Beruf des Datenretters so herausfordernd. Manchmal sind es aber auch Rahmenbedingungen oder Vorgeschichten eines Datenträgers, die einen Datenrettungsfall außergewöhnlich machen. Attingo Datenrettung hat die zehn kuriosesten Fälle aus dem Jahr 2017 für Sie zusammengetragen:

1. Die Ameisenstraße
   Viele kennen das Phänomen: im Frühjahr versuchen Ameisen in Häusern, Wohnungen und auch Büros einzuziehen. Dies ist auch bei den meisten Menschen ohne Myrmecophobie unerwünscht. Dass Ameisen jedoch auch zu Datenverlust führen können, war selbst für uns neu. Wobei die kleinen fleißigen Tierchen in diesem speziellen Fall nicht einmal direkt die Schuld trifft: Ein Steuerberater stellte am Montagmorgen entsetzt fest, dass übers Wochenende Ameisen in seinen Laptop eingezogen waren – eine Ameisenstraße führte aus den seitlichen Lüftungsschlitzen quer über den Schreibtisch. Wutentbrannt griff er nach einem Buch und schlug mehrmals auf die Eindringlinge ein, dummerweise traf er dabei auch seinen Laptop mit voller Wucht, was einen Headcrash zur Folge hatte. Als die geretteten Daten am nächsten Morgen ausgeliefert wurden, hatte sich der Kunde zum Glück schon wieder beruhigt und nahm sich vor in Zukunft etwas liebevoller mit seiner Umwelt umzugehen.
2. Datenverlust nach Katzen-Frust
   Haustiere haben bekanntlich ihren eigenen Kopf und geben uns auch ganz ohne menschliches Sprachvermögen genau zu verstehen, was ihnen passt oder eben auch nicht. Besonders Katzen können schon mal ihren Unmut kundtun, wenn Frauchen oder Herrchen sich nicht wunschgemäß verhalten. So fand einer unserer Kunden nach der Rückkehr von einer einwöchigen Dienstreise seine Wohnung in einem unschönen Zustand vor: seine Katze hatte gegen seine Abwesenheit und die Fütterungsvertretung protestiert, indem sie ihr Geschäft überall verrichtet hatte – nur nicht im Katzenklo. Dieser Protestaktion fiel auch das MacBook zum Opfer, was der Kunde allerdings erst bemerkte als er dieses einschalten wollte und der Katzenurin unglücklicherweise gerade bei der Festplatte zu einem Kurzschluss führte. Er hatte jedoch Glück im Unglück, denn seine Daten waren mit geringem Aufwand rettbar!
3. Der Zahnarzt als Festplattenchirurg
   Attingo erhält jedes Jahr viele Festplatten, an denen sich die Betroffenen selbst oder auch Gurus im Bekanntenkreis bereits zu schaffen gemacht haben: Siegel werden gebrochen, Torx-Schrauben mit einem Kreuzschraubenzieher gelöst oder mit Zangen Deckel abgehoben, da nicht alle Schrauben gefunden werden.
   Ein besonders kurioser Fall erreichte uns vor Kurzem: Ein Zahnarzt hat in seiner Ordination ein NAS-System mit zwei gespiegelten Festplatten im Einsatz – an sich vorbildhaft. Zusätzlich werden die Daten in der Nacht auf eine USB-Festplatte gesichert, welche direkt an das NAS angeschlossen ist – das ist schon deutlich riskanter, wie wir gleich sehen werden: Der Versuch den Tisch zu tauschen, auf dem das im Betrieb befindliche NAS und die externe Festplatte standen, endete leider fatal. Sowohl NAS als auch die externe Sicherungs-Platte fielen auf den Boden. Bis dato wäre eine Datenrettung immer noch problemlos möglich. Jedoch versuchte der Arzt selbst Hand anzulegen und öffnete eine Festplatte nach der anderen und werkte im Inneren des Datenträgers herum. Es konnte zwar noch den größten Teil der Daten rekonstruiert werden, allerdings war der Aufwand dem Vernehmen nach enorm.
4. Der schmale Grat zwischen Vorsicht und Paranoia
   Sensible Daten sollten immer verschlüsselt werden, um unbefugten Zugriff möglichst zu verhindern. Die Geschäftsführerin eines Unternehmens für Steuerprüfung hat es aber dann doch etwas übertrieben: Sie verwendete insgesamt vier (!) ineinander verschachtelte, unterschiedliche Verschlüsselungssysteme auf Ihrem Laptop: Die integrierte Festplattenverschlüsselung, eine Full-Disc-Encryption per Software, die Verzeichnisverschlüsselung des Betriebssystems sowie eine Container-Verschlüsselung. Erst dort lagen die sensiblen Dokumente. Jedoch kam es unerwartet zu einem Hardwareschaden mit massiven Oberflächenschäden auf der Laptopfestplatte. Leider wurden von der Kundin die Sicherungskopien der Verschlüsselungs-Keys nicht gesichert – ohne diese in Kombination mit den Kennwörtern ist eine Entschlüsselung nicht mehr möglich. Es sei jedoch gelungen alle Sektoren mit den notwendigen Master-Keys sowie in weiterer Folge die Daten zu rekonstruieren.
5. Einmal Festplatte Capricciosa zum Mitnehmen!
   Auf der Attingo-Homepage finden sich detaillierte und sogar anschaulich illustrierte Anleitungen zum Verpacken eines defekten Datenträgers. Es ist natürlich verständlich, dass nicht jeder immer sofort die passenden Materialien zur Hand hat, um diese Anweisungen hundertprozentig zu befolgen. Was sich der Kunde in diesem Fall ausgedacht hat, fällt jedoch nicht einmal mehr unter „behelfsmäßig“: neben normalen Paketen hatte der Paketzusteller eines Tages auch einen Pizzakarton in der Hand. Die Freude der hungrigen Mitarbeiter über diesen unverhofften Snack war jedoch von kurzer Dauer. Der Karton war sorgfältig zugeklebt und frankiert worden. Im Inneren befand sich eine defekte externe Festplatte, die nur mit losen Papierhandtüchern „gesichert“ worden war. Der Kunde hatte jedoch Glück im Unglück – die Platte hatte trotz der unsachgemäßen Verpackung keine weiteren Schäden erlitten und die Daten konnten gerettet werden!
6. Verdrehter Sabotageakt
   Ein Kunde kam mit seinem defekten Datenträger ins Datenrettungs-Labor, nachdem er ihn zuvor zu einem Mitbewerber gebracht hatte. Dieser hatte im Erstgespräch am Telefon eine Preisspanne von 200 bis 400 Euro für die Datenrettung genannt, stellte dem Kunden jedoch dann ein Angebot von satten 2.700 Euro aus. Als der Datenträger im geöffnet wurde, konnten zunächst keine sichtbaren Schäden auf den Magnetscheiben festgestellt werden und auch die Schreib-Lese-Köpfe funktionierten in einem Cross-Check einwandfrei. Nach einem längeren Diagnoseverfahren konnte der Techniker dann herausfinden, dass der Mitbewerber nach Ablehnen des Angebots durch den Kunden die Magnetscheiben wohl vorsätzlich kopfüber eingebaut hatte, um eine spätere Datenrettung erheblich zu erschweren. Das wirklich Kuriose an dem Fall: eigentlich war nur die Elektronik-Platine der Festplatte defekt! Die Daten konnten schließlich gerettet werden – und zwar nicht um den unrealistischen Lockpreis des Konkurrenten, sondern zu einem dem ursprünglichen Schadensbild entsprechenden, fairen Preis von 900 Euro.
7. Der verwirrte Wissenschaftler
   Das Klischee des konfusen Wissenschaftlers im Labormantel und mit zerzaustem Haar dürfte wohl jedem bekannt sein. Sichtlich verwirrt war auch der wissenschaftliche Mitarbeiter eines Geologie-Instituts, der Attingo wegen einer defekten SSD kontaktierte. Er versprach, den Datenträger zur Untersuchung ins Labor zu senden und tatsächlich traf am nächsten Tag per Botendienst ein Päckchen vom Institut ein. Beim Öffnen fiel sofort die vorschriftsmäßige Verpackung auf und auch das ausgefüllte Diagnoseformular war vorhanden. Umso erstaunter war der Techniker, der die SSD unter die Lupe nehmen sollte, als er die Luftpolsterfolie entfernte und statt eines Datenträgers ein paar Gesteinsproben vorfand. Wie sich herausstellte, wusste auch der Geologenkollege des Kunden in Berlin, der die Proben ursprünglich erhalten sollte, mit der defekten SSD nichts anzufangen.
8. Die Steinzeit-Festplatte
   Mit einem langwierigen und sehr außergewöhnlichen Fall sahen sich die Techniker im Sommer konfrontiert: sie erhielten eine Festplatte des Herstellers Tandon mit einer ST506-Schnittstelle. Hierbei handelt es sich um ein echtes Festplatten-Urgestein aus einem Atari. Neben Hardwareschäden an den Magnetscheiben war zusätzlich noch Flüssigkeit aus dem Lager ausgetreten. Der Kunde benötigte vor etwa 30 Jahren geschriebene Dokumente und Quell-Codes von Programmen. Die große Herausforderung bestand nun darin, die Daten auf eine moderne PC-Technik zu übertragen, da die MFM-Festplatte eine uralte und kaum verbreitete spezielle Übertragungstechnik verwendete. Insgesamt dauerte es neun Monate, alle nötigen Hardwarekomponenten über Tauschplattformen zusammenzukaufen, da die Teile weltweit kaum mehr erhältlich waren. Zusätzlich mussten Prozessoren und elektronische Komponenten dazugelötet werden. Schließlich konnten die Dateien im Umfang von 21MB ausgelesen und an den Kunden ausgeliefert werden.
9. Die versteckte Nachricht
   Leider kommt es immer wieder vor, dass Kunden ihre defekten Datenträger zunächst zu unseriösen Anbietern bringen, da diese mit Schnäppchenpreisen locken. Leider ist die Qualität der Dienstleistung dann aber auch dementsprechend schlecht und so erreichen uns diese Festplatten und SSDs oft in einem noch schlechteren Zustand aufgrund der bisher gescheiterten Rettungsversuche. Dass sich diese Hobbydatenretter ihrer „Schandtaten“ scheinbar sogar bewusst sind, zeigt dieser Fall: als einer unserer Techniker eine Kundenplatte im Reinraumlabor öffnete, staunte er nicht schlecht – es fiel ihm sofort ein kleines Post-It mit der Aufschrift „Sorry!“ entgegen. Wir können uns zwar bis heute nicht erklären welchen Zweck das Post-It haben sollte, aber beim zweiten Blick fiel uns auf: offensichtlich war der vorhergehende Bearbeiter der Platte mit dem Schraubenzieher abgerutscht und hatte einen massiven Kratzer auf der Magnetscheibe hinterlassen. Anstatt den Kunden zu informieren, hatte er einfach den Zettel hineingeklebt, die Platte verschlossen und dem Kunden mit der Diagnose „Daten unrettbar“ zurückgegeben. Dass dies diesmal leider stimmte, mussten die Attingo-Techniker im Zuge der Diagnose feststellen!
10. NAS(s) am Boden
    Im Zuge seines Wohnungsumbaus integrierte ein Kunde ein Gästezimmer inklusive Badezimmer in seinen Keller, der unter Kanalniveau lag. Für die Dusche und das WC ließ er eine Hebeanlage für das Abwasser installieren. Da die Strategie für die Heim-Netzwerkinfrastruktur zu diesem Zeitpunkt noch nicht ausgereift war, blieb das als kleiner Homeserver genutzte NAS vorerst ebenfalls im Kellergeschoss am Boden stehen. Wie sich sehr bald herausstellte, war dies keine gute Idee, da der Installateur leider gepfuscht hatte und die Hebeanlage ihren Dienst nicht ordnungsgemäß verrichten konnte. Kurze Zeit später war plötzlich kein Zugriff mehr auf das private Film- und Fotoarchiv auf dem NAS möglich. Am Weg zur NAS war bereits ein strenger Geruch zu vernehmen und der Kunde musste feststellen dass diese bereits in Fäkalien ertrank. Wie man sich vielleicht vorstellen kann, riss sich keiner der Mitarbeiter darum, diesen übelriechenden „Patienten“ im Labor zu behandeln. Trotz allem konnten alle Erinnerungen erfolgreich rekonstruiert und geruchlos ausgeliefert werden.

Über Attingo Datenrettung

Attingo Datenrettung ist ein europäisches Spezialunternehmen für Datenrettung. Die Datenrettung befasst sich mit der Rekonstruktion von Daten, die durch Löschung, Formatierung, technischen Defekt, Manipulation, Sabotage oder mechanische Einflüsse wie Wasser oder Feuer beeinträchtigt wurden. Attingo rettet diese Daten. Das Unternehmen betreibt dazu modernste Reinraumlabors in Wien, Hamburg und Amsterdam und verfügt über Experten mit jahrelanger Erfahrung. Attingo ist in Notfällen für seine Kunden 24 Stunden an 7 Tagen die Woche zu erreichen.

Webseite: https://www.attingo.com

Weitere Informationen zum Thema:

datensicherheit.de, 01.10.2011
Datenretter Attingo findet Patientendaten auf gebrauchten Festplatten

[datensicherheit.de, 05.12.2017] Mit dem Beginn der Adventszeit hat auch das große Weihnachtsgeschenke-„Shopping“ begonnen. Auch 2017 stehen elektronische Geräte offensichtlich auf vielen Wunschlisten ganz oben. Vor diesem Hintergrund veröffentlicht McAfee bereits zum dritten Mal den jährlichen „Most Hackable Gifts“–Report. Er soll aufzeigen, welche vernetzten Geräte am leichtesten gehackt werden können. Im Auftrag von McAfee habe MSI-ACI im September und Oktober 2017 1.206 Erwachsene im Alter von 18 bis 55 befragt, knapp 400 davon in Deutschland. Zusätzlich sei eine Umfrage spezifisch zum Thema Kinder und vernetzte Technikgeräte durchgeführt worden.

Diskrepanz zwischen Bewusstsein und Bereitschaft zum Handeln

Bereits zum dritten Mal veröffentlicht McAfee pünktlich zur Vorweihnachtszeit die Ergebnisse des „Most Hackable Holiday Gifts”-Reports. Wie im Vorjahr soll diese Studie aufzeigen, welche als Geschenk beliebte Technikprodukte sich am leichtesten hacken lassen, und gibt Einblick in Verbraucherumfragewerte rund um das Thema vernetzte Technikgeschenke und Cyber-Sicherheit.
Am gefährdetsten seien nach wie vor „Laptop & Co.“, wobei es auch Drohnen und vernetztes Kinderspielzeug auf die Liste geschafft hätten. Beunruhigend dabei sei, dass vernetzte Spielzeuge auf 90 Prozent der Weihnachtswunschlisten von Kindern stehe, die nötigen Sicherheitsmaßnahmen jedoch nicht so hoch auf der Prioritätenliste stünden.
„Mehr denn je sind sich Verbraucher bewusst, dass vernetzte Geräte wie Laptops, Smartphones und Tablets einem hohen Sicherheitsrisiko ausgesetzt sind und entsprechende Sicherheitsmaßnahmen vorgenommen werden müssen, um die eigenen Daten erfolgreich zu schützen“, kommentiert Alexander Salvador, „Director Retail EMEA“ bei McAfee. „Gleichzeitig besteht jedoch weiterhin eine Diskrepanz zwischen dem Bewusstsein der Verbraucher und der Bereitschaft, tatsächlich die erforderlichen Schritte vorzunehmen, um potenzielle Sicherheitsrisiken zu minimieren. Dieser Trend kann gravierende Folgen haben, besonders wenn es sich dabei um vernetztes Kinderspielzeug handelt.“

Vernetztes Kinderspielzeug auf Platz 4 der „Most Hackable Gifts“

Vernetztes Kinderspielzeug habe es 2017 auf Platz 4 der „Most Hackable Gifts“ geschafft – und gleichzeitig ganz weit oben auf die Wunschliste der Kinder. Ganze 89 Prozent aller in Deutschland befragten Eltern gäben an, dass ihr Kind sich schon mal ein „Connected Device” als Spielzeug gewünscht habe.
In der Altersgruppe 31 bis 40 hätten dementsprechend 20 Prozent aller Befragten angegeben, dieses Jahr ein solches Gerät als Weihnachtsgeschenk kaufen zu wollen. Trotzdem wüssten rund 35 Prozent der befragten Eltern nicht, was ein „Connected Device“ überhaupt ist.
Die meisten Kinder bekämen bereits schon im Alter von sieben bis neun Jahren ihr erstes digital vernetztes Technikgerät – ein Alter, in dem viele von ihnen noch zu jung seien, um verantwortlich mit den eigenen generierten Daten umzugehen. Knapp 70 Prozent aller Eltern informierten sich auch umfangreich über die Gefahren der gekauften Geräte und 75 Prozent klärten Kinder im Gespräch darüber auf. Jedoch installierten lediglich 29 Prozent der Befragten entsprechende Security-Apps um sicherzustellen, dass das Spielzeug ausreichend geschützt ist.

Altersgruppe 21 bis 30 Jahre zu arglos

Dieses Phänomen gebe es indes nicht nur bei den Eltern: Insgesamt seien 72 Prozent aller deutschen Befragten der Überzeugung, dass Smartphones, Tablets und Laptops nur dann gefahrlos benutzt werden können, nachdem die erforderlichen Sicherheitsmaßnahmen durchgeführt wurden. Auch bei Smart-TV-Geräten (47 Prozent aller Befragten) und vernetzten Heimgeräten wie z.B. Bluetooth-Lautsprechern (55 Prozent aller Befragten) erkennen Verbraucher demnach größtenteils das Risiko, gehackt zu werden.
Trotz alledem ergebe sich aus der Studie, dass nur 51 Prozent aller Befragten die erforderlichen Sicherheitsmaßnahmen wirklich durchführten, bevor sie mit einem neuen Gerät online gehen. Hierbei gebe es zwischen den einzelnen Altersstufen überraschende Unterschiede:
Während 61 Prozent aller Befragten der Altersgruppe 51 bis 55 Jahre angäben, die nötigen Sicherheitsapplikationen zu installieren, seien es nur 41 Prozent der Altersgruppe 21 bis 30 Jahre. Die ältere Generation, die nicht mit dem Internet groß geworden ist, sei also viel vorsichtiger als diejenigen, die ein Leben ohne das WorldWideWeb kaum noch kennen.

Liste der „Top-5“ der „Most-Hackable-Gifts” 2017:

1. Laptops/Smartphones/Tablets
   Wie 2016 Jahr stünden auch 2017 wieder die klassischen Geräte an der Spitze der Liste. Besonders anfällig seien „Laptop & Co.“ für Malware und Ransomware.
2. Drohnen
   Auf Platz 2 hätten es 2017 Drohnen geschafft. Diese könnten nicht nur während dem Fliegen gehackt werden, sondern auch benutzt werden, um persönliche Daten zu stehlen.
3. Digitale Assistenten
   Digitale Assistenten seien die „Must-Have“-Geräte des Jahres 2017. Sie seien besonders anfällig für Cyber-Angriffe, da sie noch relativ neu auf dem Markt seien noch über keine ausgereifte Sicherheitsstruktur verfügten. Hacker wüssten dies auszunutzen.
4. Vernetzte Kinderspielzeuge
   Wie wichtig Cyber-Sicherheit ist, sei oft noch nicht ganz bei den Herstellern vernetzter Kinderspielzeuge angekommen. Von daher sei es besonders ratsam, hier selbstständig die erforderlichen Sicherheits-Maßnahmen durchzuführen.
5. Vernetzte Haushaltsgeräte
   Vernetzte Haushaltsgeräte seien zwar nicht das interessanteste Ziel von Hackern, aber sie speicherten persönliche Details über das eigene Heim und stellten dadurch durchaus ein potenzielles Angriffsziel dar.

[datensicherheit.de, 27.11.2017] Das SANS Institute bietet vom 04. bis 09. Dezember 2017 wieder Trainingskurse in München an, in denen IT- und IT-Sicherheitsspezialisten ihr Wissen und ihre Kenntnisse erweitern können. Dabei steht vor allen Dingen das technische Knowhow im Mittelpunkt, um in der Praxis das eigene Unternehmen abzusichern. Jeder Kurs bietet außerdem die Möglichkeit, um sich als Informationssicherheitsspezialist zertifizieren zu lassen und deckt dabei vier interessante Bereiche von Basis- bis zum Spezialwissen ab.

Die Basis für Einsteiger im Bootcamp

Der Kurs SEC401: Security Essentials Bootcamp Style richtet sich an jene, die bereits technisches Knowhow aus der IT mitbringen und sich essenzielle Sicherheitsfertigkeiten und -Technologien aneignen möchten. Dabei vermittelt der Kurs ein Verständnis dafür, warum einige Unternehmen kompromittiert werden und andere nicht. Auch die Identifikation von gefährdeten Systemen, die Effektivität der einzelnen Sicherheitsmaßnahmen und die richtigen Metriken für die Informationssicherheit werden besprochen.

Dazu wird in diesem Kurs gezeigt, wie man effektive Sicherheitsmetriken entwickelt, die eigene Unternehmensumgebung analysiert und bewerten. Dazu gibt es praktische Tipps und Tricks, um sich auf Sicherheitsprobleme mit hoher Priorität zu konzentrieren. Mit dem Wissen können die Teilnehmer nach ihrer Rückkehr dank der praxisnahen Lehreinheiten anfangen, die Informationssicherheit, den Schutz und die Sicherheit kritischer Datenbestände und Geschäftssysteme in die Hand zu nehmen.

Intrusion Detection und Netzwerkforensik für Fortgeschrittene

Die Kurse SEC503: Intrusion Detection In-Depth und FOR572: Advanced Network Forensics and Analysis richten sich an IT-Sicherheitsfachkräfte, die bereits ein breites Grundwissen und technische Vorkenntnisse mitbringen. Der SEC503-Kurs vermittelt zunächst das Kernwissen, die Werkzeuge und Techniken, um das eigene Netzwerk zu überwachen. Dabei sollen die Unternehmensanaltytiker gerüstet werden, um Alarme zu untersuchen und in den richtigen Kontext einzuordnen, zu bewerten und überlegt darauf zu reagieren.

Der Kurs FOR572 richtet sich an die Forensiker und vermittelt ihnen die Fähigkeit, Netzwerkdaten auszuwerten, um einen detaillierten Überblick über die Sicherheitsvorfälle zu gewinnen. So können Beweise gewonnen werden, die notwendig sind, um einen Vorsatz nachzuweisen, Angreifer zu identifizieren und Straftaten nachzuweisen. Die notwendigen Werkzeuge, Technologien und Prozesse werden praxisnah ausprobiert und trainiert. Weil kaum eine Forensik ohne Netzwerke auskommt, gehört dieses Wissen zum Knowhow guter Forensiker.

Automatisierte Auswertungen für Spezialisten

Alle Sicherheitsexperten von Penetrationstestern über Sicherheitsadministratoren bis hin zu Forensikern müssen sich mit den ständigen Veränderungen in der IT beschäftigen. Ein Problem ist dabei beispielsweise oft, dass neue Funktionen in einem Betriebssystem interessante forensische Artefakte erzeugen. Allerdings fehlen meist die Tools, um diese Daten sinnvoll auszuwerten. Der Trainingskurs SEC573: Automating Information Security with Python wurde entwickelt, um die Spezialisten auf solche Situationen vorzubereiten.

Wenn es zur Auswertung eines Sicherheitsvorfalls noch nicht die richtigen Tools gibt, bleibt oftmals nur eine zeitraubende, manuelle Auswertung. Auf das richtige Tool zu warten, würde in der Regel viel zu lang dauern, falls überhaupt eines entwickelt wird. Deshalb bereitet der Kurs auf die Alternative vor, eigene Werkzeuge zu schreiben, die solche Informationen aus dem System extrahieren und helfen, die Vorfälle aufklären und Datenlecks identifizieren.

Weitere Informationen zu diesem Event finden Sie unter: https://www.sans.org/event/munich-december-2017