[datensicherheit.de, 18.06.2025] „Im Kampf gegen Cyberkriminelle können es sich Unternehmen nicht leisten, auf der Stelle zu treten!“, betont Andreas Müller, „Vice President Enterprise Sales CE“ bei Delinea, in seiner aktuellen Stellungnahme und führt aus, „warum sie insbesondere ihre Ransomware-Abwehr überdenken müssen und was es für den Schutz gegen die Cybererpresser braucht“.

Foto: Delinea

Andreas Müller prognostiziert: Das Thema „Agentic AI“ im Security-Bereich wird zunehmend an Bedeutung gewinnen

Betrüger veräußern Anmeldedaten im DarkWeb und treiben so das Wachstum des Ransomware-Marktes

Die Anzahl erfolgreicher Cyberangriffe gehe erneut durch die Decke, so der Bitkom. Demnach ist der Anteil der betroffenen Unternehmen im Jahr 2024 von 72 auf 81 Prozent gestiegen. Bei etwa einem Drittel (31%) davon habe Ransomware den größten Schaden angerichtet (2023: 23%).

• Müller erörtert, was den Erfolg von Ransomware-Angriffen begünstigt: „Wer über die Anmeldedaten von Personen aus einem Unternehmen verfügt, kann sich in der Regel ganz einfach im System anmelden und sich frei bewegen – sofern keine zusätzlichen Sicherheitsmechanismen wie Multifaktor-Authentifizierung oder eingeschränkte Zugriffsprivilegien aktiv sind.“

Für ein zusätzliches „Taschengeld“ verkauften viele Betrüger die Anmeldedaten im sogenannten DarkWeb, was zum Wachstum des Ransomware-Marktes beitrage (Initial Access Broker).

„Ransomware-as-a-Service“ als erfolgreiches Geschäftsmodell

Bekannt als „Ransomware-as-a-Service“-Modell böten kriminelle Gruppen und Einzelgänger darüber hinaus sowohl ihre Dienste als auch ihre „Tools“ gegen Zahlung im DarkWeb an. Damit könnten sogar Cybercrime-Laien ohne nennenswerte Hacking-Skills Unternehmen erpressen.

• „Ein weiteres rentables Geschäftsmodell bildet ,Double Extortion’ – also die doppelte Erpressung: zunächst durch Datenverschlüsselung und anschließend durch Veröffentlichung oder Verkauf der Daten an Höchstbietende.“

„And last, but not least“, so Müller: Cyberkriminellen stehe – wie allen anderen auch – die Welt zu neuen Technologien offen. Mithilfe von KI steigerten sie zum Beispiel die Erfolgsrate ihrer Phishing-Kampagnen, „indem sie damit unter anderem die Inhalte glaubwürdiger gestalten“.

Schwachstellen in IT-Abteilungen begünstigen Ransomware-Angriffe

Es gebe verschiedene Faktoren, welche es Cyberkriminellen unter günstigen Umständen besonders leicht machten, Unternehmen „Ransomware unterzujubeln und sich dadurch sensible Daten unter den Nagel zu reißen“. Diese Schwachstellen erklärten, „wieso Angriffe so häufig und erfolgreich sind und warum Unternehmen lange unter den Folgen von Ransomware-Attacken leiden müssen“.

1. Schwachstelle: Die Bereitschaft, nachzugeben
   Über die Hälfte der Unternehmen hätten sich laut einer aktuellen Studie gegen die allgemein bekannten Handlungsempfehlungen entschieden und das verlangte Lösegeld mit der Aussicht gezahlt, den Wiederherstellungsprozess zu beschleunigen.
   „Allerdings haben sie es mit Kriminellen zu tun, die nicht immer ihr Wort halten. 26 Prozent, die sich auf die Forderungen eingelassen haben, erhielten ihre Daten nicht zurück.“
   Somit gebe es keine Garantie, dass Angreifer die verschlüsselten Systeme und Daten wieder freigeben, geschweige denn darauf verzichten, ihre Ausbeute im DarkWeb zu Geld zu machen.
2. Schwachstelle: Alleiniges Vertrauen in die Basics
   Wenn es um Cybersicherheit geht, setzten sehr viele Unternehmen auf diese vier Top-Maßnahmen: regelmäßige Updates, Backups sensibler Daten, vorgeschriebene Passworthygiene sowie Anwendungskontrollen.
   „Robustere Mechanismen wie Identity- und Access-Management sucht man hier vergeblich.“
   So hilfreich die aufgezählten Maßnahmen auch seien – die steigende Anzahl von Ransomware-Opfern beweise, dass sie allein nicht ausreichten, um sich wirksam gegen Phishing-Angriffe und Datendiebstahl zu schützen.
3. Schwachstelle: Verschobener Fokus
   Auch wenn es in vielen Unternehmen an fortschrittlicheren Sicherheitsmaßnahmen fehle, seien die meisten von ihnen (90%) zumindest teilweise auf den Ernstfall vorbereitet.
   Dieser Anteil verfüge nach eigenen Aussagen nämlich über Incident-Response- und Backup-Pläne. Allerdings zeigten die Umfrageergebnisse auch hierbei, dass die Konzepte mit hoher Wahrscheinlichkeit ihre Lücken hätten.
   „Denn 75 Prozent der Unternehmen benötigten im Schnitt zwei Wochen, um sich von einem Ransomware-Angriff zu erholen und ihre Ressourcen wiederherzustellen. Lediglich 18 Prozent schafften das innerhalb von 24 Stunden.“
4. Schwachstelle: Reaktion statt Prävention
   „So lange es Sicherheitslücken gibt und Opfer bereitwillig das Lösegeld zahlen, bleibt die Bedrohung bestehen.“
   Gleichzeitig vergrößere sich aufgrund technologischer Innovationen die Angriffsfläche in Unternehmen, „was Cyberkriminellen in die Karten spielt und den Schutz vor Datendiebstahl verkompliziert“.
   Dies mache eine präventive, proaktive und mehrschichtige Abwehrstrategie unerlässlich, welche grundlegende und fortschrittliche Sicherheitsmaßnahmen sowie Incident-Response- und Recovery-Pläne miteinander verbindet.

Wissen erforderlich, welche Mitarbeiter und Geräte sich aktuell im Netzwerk befinden

„Dazu gehören zum einen die wichtigen Basics wie risikobasiertes Patching, regelmäßige Backups, Anwendungskontrollen, aber auch Security-Awareness-Schulungen für alle Mitarbeitenden.“

• Zum anderen spiele das Thema Access- und Identity-Management eine essenzielle Rolle. In diesem Kontext bildeten „Privileged Access Management“, „Least Privilege“, „Governance“ und „Zero Trust“ den Hauptbestandteil einer robusten Sicherheitsstrategie.

Denn nur wer ganz genau weiß, welche Mitarbeiter und Geräte sich im Netzwerk befinden und ihnen nur ein Mindestmaß an Privilegien zuschreibt, könne das Risiko durch ungewollte Dritte minimieren.

Einsatz von KI-Technologien zur zusätzlichen Stärkung der Ransomware-Abwehr

Der Einsatz von KI-Technologien könne die Ransomware-Abwehr zusätzlich stärken. Dabei gehe es vor allem darum, potenzielle Bedrohungen und aktive Angriffe so schnell wie möglich aufzudecken. „Dafür eignet sich ein KI-gestütztes Sicherheitssystem besonders gut, da es Unmengen an Daten durchgehend analysieren und Ausschau nach verdächtigen Mustern und Abweichungen halten kann (Indicators of Compromise).“

• Neben Bedrohungsdaten könne es auch nach Verhaltensauffälligkeiten, unerwartet überprivilegierten Identitäten und nach verdächtigen Inhalten in E-Mails – sowohl im Text als auch im Anhang – suchen.

Künftig werde zudem das Thema „Agentic AI“ im Security-Bereich zunehmend an Bedeutung gewinnen, „da ein solches System autonom Aufgaben wie ,Threat Hunting’ und ,Intelligent Policy Authorization’ übernehmen kann und somit bereits stark unterbesetzte und unterbudgetierte IT-Teams noch mehr entlastet“.

Weitere Informationen zum Thema:

DELINEA, 2025
REPORT: 2025 State of Ransomware Report / Adapting with agility to a fast-changing threat landscape

bitkom, 28.08.2024
Wirtschaftsschutz 2024 / Dr. Ralf Wintergerst, Bitkom-Präsident

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

[datensicherheit.de, 23.05.2025] Mittels Generativer Künstlicher Intelligenz (GenAI) erhalten Unternehmen die Möglichkeit, sich deutlich effizienter als bisher aufzustellen – doch neben möglichen Effizienzgewinnen birgt deren kontinuierliche und rasante Weiterentwicklung auch Sicherheitsrisiken. Deshalb sollten Unternehmen einen ganzheitlichen Ansatz verfolgen, um bereits im Vorfeld Gefahren durch sogenannte Schatten-KI oder Sicherheitslücken zu vermeiden. Andreas Müller, „Vice President Enterprise Sales Central and Eastern Europe“ bei Delinea, erläutert in seiner aktuellen Stellungnahme, welche drei Maßnahmen Unternehmen für eine zukunftsfähige und sichere GenAI-Integration ergreifen sollten.

Foto: Delinea

Andreas Müller: Mit einem ganzheitlichen Sicherheitsansatz, der „Governance“, technische Kontrollen und Datenmanagement zusammenführt, können Unternehmen ihre Risiken deutlich minimieren

Unternehmen benötigen ganzheitlichen Ansatz, um „Governance“, Technologie und adaptive Sicherheitslösungen zu vereinen

„Die Geschwindigkeit, mit der sich GenAI heute entwickelt, birgt großes Potenzial für Unternehmen – aber auch Risiken. Wer Sicherheitslücken, Datenschutzverstöße und Schatten-IT vermeiden will, braucht einen ganzheitlichen Ansatz.“

• Müller gibt zu bedenken: „Die rasante Entwicklung von ,Generative AI’ (GenAI) verändert Branchen und Geschäftsprozesse tiefgreifend. Das Innovationspotenzial ist enorm – doch die schnelle Entwicklung birgt auch Risiken. Sicherheits- und Datenschutzverletzungen oder ,Compliance’-Verstöße können schnell entstehen, wenn die Technologie unkontrolliert eingesetzt wird.“

Um das volle Potenzial sicher, verantwortungsvoll und ethisch auszuschöpfen, brauchten Unternehmen einen ganzheitlichen Ansatz, welcher „Governance“, Technologie und adaptive Sicherheitslösungen vereint. Nachfolgend benennt Müller die drei erforderlichen Schritte:

1. Schritt für Unternehmen: „Governance – klare Regeln und Verantwortung!“

Ein verantwortungsvoller Einsatz von GenAI beginne mit klaren Strukturen und Zuständigkeiten. Unternehmen sollten hierfür ein bereichsübergreifendes Team zusammenstellen, um Sicherheits-, Rechts-, „Compliance“- und IT-Perspektiven zu verbinden. Müller erklärt: „Dieses Team sollte die Verantwortung für den Einsatz von GenAI-Lösungen im Unternehmen sowie die Einhaltung globaler Richtlinien – wie etwa der ,EU AI Act’ oder die OECD-Leitlinien – tragen.“

• Ebenso wichtig sei ein klar definiertes ethisches Leitbild: „Entscheidungen, die mithilfe von Künstlicher Intelligenz (KI) getroffen werden, müssen nachvollziehbar sein und stets überprüft werden. Das ist wichtig, um zum Beispiel algorithmischen ,Bias’ zu erkennen – insbesondere in Bereichen wie ,Recruiting’, Finanzen oder im Gesundheitswesen. Zudem sollten Unternehmen regelmäßig prüfen, wie sich der eigene KI-Einsatz auf die Organisation, die Wirtschaft und Gesellschaft auswirkt.“

Entscheidend sei zudem, dass auch Mitarbeiter kontinuierlich und auf allen Ebenen im Umgang mit KI geschult werden. „So müssen Entwickler verstehen, wie sie KI-Systeme sicher und fair gestalten, während Anwender lernen müssen, kritisch mit Ergebnissen umzugehen.“

2. Schritt für Unternehmen: „Technologiekontrollen – Modelle, Daten und Systeme gezielt absichern!“

Um GenAI-Systeme wirksam zu schützen, müssten Unternehmen von Anfang an geeignete Sicherheitsmaßnahmen implementieren. „Sie sollten alle Interaktionen mit KI sowie ihre Ergebnisse genau protokollieren, um verdächtiges Verhalten schnell zu erkennen und im Ernstfall gezielt eingreifen zu können.“

• Lösungen wie z.B. „Identity Threat Detection and Response“ (ITDR) könnten dabei helfen, Angriffsversuche in Echtzeit aufzudecken. Gleichzeitig gelte es, Zugriffe auf Modelle und Trainingsdaten konsequent zu beschränken. „Durch regelmäßige Audits, den Einsatz von Hashing-Verfahren und klar geregelte Zugriffsrechte behalten Unternehmen Kontrolle über die Integrität ihrer Daten.“

Auch sogenannte Schatten-IT, also unautorisierte KI-Anwendungen im Unternehmen, erfordere aktives Handeln. Mit gezielten Endpoint- und Browser-Kontrollen sowie automatischer Tool-Erkennung könnten IT-Teams solche Anwendungen aufspüren und zentral kontrollieren, bevor Risiken entstehen.

3. Schritt für Unternehmen: „Datenzugang und Datenkontrolle stärken!“

GenAI sei nur so sicher wie die Daten, mit denen sie arbeitet. „Unternehmen sollten den Zugang daher konsequent absichern!“ Hierfür eigneten sich beispielsweise zeitlich begrenzte Zugriffsrechte (Just-in-time) nach dem Least-Privilege-Prinzip, Privileged-Access-Management-Lösungen (PAM) zur Kontrolle besonders sensibler Berechtigungen und Multi-Faktor-Authentifizierung (MFA) – sowohl für menschliche als auch maschinelle Identitäten.

• Trainingsdaten müssten besonders geschützt werden: „Vertrauliche oder persönliche Informationen sollten entfernt oder pseudonymisiert werden. Mit einer einheitlichen Klassifizierung lassen sich Zugriffsrechte besser steuern.“ Verschlüsselung schütze die Daten zusätzlich beim Speichern oder Übertragen vor unbefugtem Zugriff.

Zudem sollten Unternehmen auch die Ein- und Ausgabedaten von GenAI-Systemen kontrollieren. Mithilfe von Echtzeitüberwachung ließen sich kritische oder regelwidrige Inhalte frühzeitig erkennen – zum Beispiel im Hinblick auf Datenschutz oder ethische Vorgaben. Gleichzeitig müssten auch die von der KI erzeugten Inhalte verschlüsselt, kategorisiert und nachvollziehbar dokumentiert werden.

Unternehmen müssen sicherstellen, GenAI kontrolliert und verantwortungsvoll einzusetzen

Müllers Fazit: „GenAI bietet heute enormes Potenzial – aber Unternehmen müssen sicherstellen, dass sie die Technologie kontrolliert und verantwortungsvoll einsetzen!“

• Mit einem ganzheitlichen Sicherheitsansatz, der „Governance“, technische Kontrollen und Datenmanagement zusammenführt, ließen sich Risiken deutlich minimieren.

So schafften Unternehmen die nötige Vertrauensbasis, um ihren Umgang mit GenAI sicher, regelkonform und ethisch zu gestalten.

Weitere Informationen zum Thema:

datensicherheit.de, 03.07.2024
Generative KI gewinnt im Alltag an Bedeutung und definiert Prinzipien der Datensicherheit neu / Joseph Regensburger kommentiert private und berufliche Herausforderungen der KI-Fortentwicklung hinsichtlich der Datensicherheit

datensicherheit.de, 25.04.2024
Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024 / CPR hat Wahlen welweit beobachtet, um den Einsatz generativer Künstlicher Intelligenz (KI) zu analysieren

[datensicherheit.de, 27.08.2020] Laut einer aktuellen Stellungnahme von VECTRA gilt das „Asset Management“ als eine der schwierigsten Herausforderungen, denen sich IT-Abteilungen stellen müssen: „Dank Cloud, IoT und BYOD steigen die Komplexität und die damit verbundenen Sicherheitsherausforderungen stetig.“ In vielen Fällen würden bei der Reaktion auf Vorfälle kompromittierte Assets identifiziert, welche in den Inventaren der Anlagenverwaltung als vor Jahren stillgelegt aufgeführt seien. „Niemand hat den Server jedoch abgeschaltet, er war immer noch eingeschaltet und angeschlossen, wurde nicht gewartet und wurde schließlich vom Angreifer erfolgreich ausgenutzt“, berichtet VECTRA.

Foto: VECTRA

Andreas Müller: Cloud, IoT und BYOD steigernn die Komplexität und damit verbundene Sicherheitsherausforderungen

VECTRA hinterfragt, was genau mit „kritisch“ gemeint ist

Selbst wenn Unternehmen über ein perfektes Inventar all ihrer Systeme verfügten, sei es unwahrscheinlich, dass sie genau wüssten, „welche dieser unzähligen Assets wirklich ,kritisch‘ sind“. Wenn Unternehmen Schwierigkeiten hätten, zu verstehen, welche Systeme im Einsatz sind, wie könne man dann erwarten, „dass sie angeben, welche davon explizit kritisch sind?“
VECTRA wirft die Frage auf, was genau in diesem Zusammenhang mit „kritisch“ gemeint sei: „Handelt es sich um etwas, dessen Daten für Ihr Unternehmen wichtig sind? Diese Definition würde auf so gut wie jedes System in ihrer Umgebung zutreffen.“
Andreas Müller, „Director DACH“ bei VECTRA AI, führt aus: „Betrachten Sie einmal sämtliche Datenlecks, die im Laufe der Jahre allein durch den Verlust von Laptops entstanden sind!“ Sodann hinterfragt er: „Wurden diese Systeme als ,kritisch‘ eingestuft? Oder war das ,nur ein weiterer Laptop‘, den jemand mit nach Hause nahm, um nach dem Ende einer langen Woche seine Arbeit fertigzustellen? Was passiert, wenn ein Entwicklungssystem zur Validierung der Datenverarbeitung aufgestellt, mit sensiblen Daten geladen und dann im Netzwerk gelassen und vergessen wird?“

VECTRA empfiehlt Fokus auf Bandbreite an IoT-Geräten, welche „APT28“ nutzen, um Angriffe durchzuführen

Wenn Unternehmen dächten, „dass ihre Kernnetzwerk-Infrastruktur einen Großteil der kritischen Geräte unterstützt, dann ist der Bericht von FireEye vom März 2020 über APT41 eine Pflichtlektüre“. Dieser Bericht zeige auf, wie „APT41“ die Cisco-Routing-Infrastruktur eines Unternehmens aktiv ausnutze. Wenn Unternehmen das Routing des Datenverkehrs kontrollieren könnten, seien sie in der Lage, Zugriff auf alle ein Gerät durchlaufenden Daten zu erhalten, ohne den kritischen Endpunkt zu gefährden.
IoT- und nicht-kritische Assets würden immer wieder von „APTs“ (Advanced Persistent Threats), also fortgeschrittenen, hartnäckigen Bedrohungen ausgenutzt. Das beste Beispiel hierfür sei „APT28“, auch bekannt als „Fancy Bear“ oder „Strontium“. „Verschiedene Artikel beschreiben ausführlich einen von Microsoft veröffentlichten Bericht hierzu“, berichtet Müller.
Eine wichtige Sache, auf die man sich nach Meinung von VECTRA AI konzentrieren sollte, sei die Bandbreite an IoT-Geräten, welche „APT28“ nutzt, um den Angriff durchzuführen. Hierzu zählten VoIP-Telefone, Drucker und Videodecoder. Dies offenbare den Wunsch Cyber-Krimineller, IoT-Geräte in einem organisierten Angriff auf breiterer Basis einzusetzen. Es zeige, dass sich die Angreifer wenig darum kümmerten, was nach Definition des Unternehmens „kritisch“ sei, sondern sich stattdessen darauf konzentrierten, „alles zu nutzen, was es ihnen ermöglicht, ihre Ziele zu erreichen“.

VECTRA ruft dazu auf, nicht nur ausgewählte Endpunkte zu schützen, sondern ganzheitliche Ansätze zu verfolgen

Der letzte Punkt ist laut Müller folgender: Netzwerkverteidiger sollten nicht gezwungen sein, willkürliche Entscheidungen auf der Grundlage unvollkommener Informationen darüber zu treffen, welche Assets sie mit den verfügbaren Sicherheitskapazitäten verteidigen würden und welche nicht.
„Sicherheitslösungen sollten Sicherheitsteam in die Lage versetzen, Bedrohungen ohne willkürliche Zwänge und mit hoher Zuversicht frühzeitig zu erkennen, unabhängig davon, wo die Angreifer operieren wollen.“
Schließlich gehe es darum, „Ihre gesamte Umgebung zu überwachen und zu schützen, nicht nur einige ausgewählte Endpunkte“. Müller empfiehlt abschließend: „Sie sollten eine Lösung haben, die dieses Ziel unterstützt.“

Weitere Informationen unter vectra.ai

datensicherheit.de, 13.05.2020
Covid-19: Cyberangriffe auf kritische Dienste während der Pandemie / Entscheider müssen das Schutzniveau an die deutlich verschärfte Gefahrenlage anpassen

datensicherheit.de, 12.05.2020
Neue Angriffsmethoden auf kritische Industrie-4.0-Umgebungen / Forschungsbericht skizziert fortgeschrittene Angriffsszenarien und gibt Empfehlungen für OT-Betreiber

datensicherheit.de, 13.01.2020
IT-Sicherheit: Angriffe auf Kritische Infrastrukturen mehren sich / Mangelhafte Kommunikatiion im Unternehmen problematisch

[datensicherheit.de, 14.07.2020] Die Multi-Faktor-Authentifizierung (MFA) sei eine gängige Maßnahme, aber es gebe immer Wege, um präventive Kontrollen zu umgehen. Eine der bekannten MFA-Umgehungstechniken ist demnach die Installation von schädlichen „Azure/O365-OAuth“-Applikationen. Vectra AI sieht nach eigenen Angaben in den jüngsten Cyber-Angriffen auf die australische Regierung und Unternehmen ein „deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa“. Die staatlich unterstützten Cyber-Kriminellen, welche für die Angriffe in Australien verantwortlich gewesen seien, hätten „OAuth“ eingesetzt, eine Standardtechnik, welche für die Zugriffsdelegation in Applikationen verwendet werde, um unbefugten Zugang zu Cloud-Konten wie „Microsoft Office 365“ zu erhalten.

Andreas Müller, „Director DACH“, Foto: Vectra

Andreas Müller: Ein deutliches Warnsignal für Unternehmen und öffentliche Einrichtungen auch in Europa

Angreifer schufen schädliche Office 365-Anwendung

Den Berichten zufolge hätten die Angreifer eine schädliche „Office 365“-Anwendung geschaffen, welche als Teil eines Speer-Phishing-Links an Zielnutzer hätten gesendet werden sollen. Diese Anwendung werde als legitim dargestellt; in diesem Fall sei die Anwendung ähnlich benannt wie eine bekannte E-Mail-Filterlösung, welche in der australischen Regierung weit verbreitet sei.
Beim Empfang überzeuge die schädliche Anwendung das Opfer davon, die Erlaubnis zum Zugriff auf Daten im Konto des Benutzers zu erteilen. Dabei gehe es vor allem um Dinge wie Offline-Zugriff, Benutzerprofilinformationen und die Möglichkeit, E-Mails zu lesen, zu verschieben und zu löschen.

Bei Erfolg hat der Angreifer direkten Zugriff auf ein internes Office 365-Konto

„Bei Erfolg hat dann der Angreifer direkten Zugriff auf ein internes ,Office 365‘-Konto. Dies ist eine perfekte Plattform zum Phishing anderer interner Ziele oder zum Ausführen schädlicher Aktionen innerhalb von ,Office 365, im Zusammenhang mit ,SharePoint‘, ,OneDrive‘, ,Exchange‘ und ,Teams‘“, erläutert Andreas Müller, „Director DACH“ bei Vectra AI.
Bei dieser Art von Angriff werde auf dem Endpunkt kein Schadcode ausgeführt, so dass kein Signal für die Erkennung durch Endpunkt-Sicherheitssoftware entstehe. Eine legitim konstruierte „Office 365“-Anwendung, welche für solche böswilligen Absichten verwendet werde, biete dem Angreifer auch dauerhaften Zugriff auf ein Benutzerkonto, unabhängig davon, ob der Benutzer sein Kennwort ändert oder MFA nutzt. Die meisten Benutzer inventarisierten ihre „Office 365“-Anwendungen nicht in einem regelmäßigen Rhythmus, so dass es für längere Zeit unwahrscheinlich sei, dass sie etwas bemerken würden.

Office 365 ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren

Müller: „Wir erwarten, dass diese Art von Angriffen in Zukunft häufiger vorkommen wird. ,Office 365‘ ermöglicht es Endbenutzern, Anwendungen ohne Zustimmung der Administratoren zu installieren. Ein effektiver Ansatz ist die Implementierung von Detection-basierten Lösungen.“
Durch die Analyse und Korrelation von Ereignissen, wie verdächtige Anmeldungen, schädlicher Anwendungsinstallationen, Regeln für die E-Mail-Weiterleitung oder Missbrauch nativer „Office 365“-Tools, sei es möglich, Sicherheitsteams zu alarmieren, bevor Schaden entsteht. Mittlerweile gebe es aber Anwendungen in Security-Plattformen, die auf künstlicher Intelligenz (KI) basierten, und die explizit zur Erkennung solcher Verhaltensweisen in „Office 365“ entwickelt worden seien.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet

[datensicherheit.de, 04.12.2019] Vectra meldet, dass als Ergebnis einer internationalen Ermittlung gegen Verkäufer und Benutzer von „Imminent Monitor Remote Access Trojan“ (IM-RAT) das Hosting dieses Hacking-Tools nun abgeschaltet worden sei. Das RAT-Tool habe Cyber-Kriminellen die vollständige Fernsteuerung des Computers eines Opfers ermöglicht.

IM-RAT kann von Käufern nicht mehr verwendet werden

An der von der australischen Bundespolizei (AFP) geleiteten Operation, deren internationale Aktivitäten von Europol und Eurojust demnach koordiniert wurden, waren laut Vectra „zahlreiche Justiz- und Strafverfolgungsbehörden in Europa, Kolumbien und Australien beteiligt“.
Im Zuge der Ermittlungen sei die Verfügbarkeit dieses Instruments beendet worden, „das zuvor bereits in 124 Ländern eingesetzt und an mehr als 14.500 Käufer verkauft worden war“. IM-RAT könne damit von den Käufern nicht mehr verwendet werden.

Netzwerke von 90 Prozent befragter Unternehmen weisen Form bösartigen RDP-Verhaltens auf

„Remote Access Trojaner (RATs) zählen zu einer Reihe von Angriffstools, die in fremde Systeme, Daten und Privatsphären eindringen. Angesichts eines regen legitimen Fernzugriffs über Netzwerke und Hosts hinweg gibt es für RATs viele Möglichkeiten, unentdeckt zu operieren, da sie sich gut verstecken können“, erläutert Andreas Müller, „Director DACH“ bei Vectra.
Es sei zwar erfreulich, dass die Strafverfolgungsbehörden den Verkauf und die Nutzung von RATs durch Kriminelle stoppten, „wobei die Wege und Dienste, die RATs nutzen, für viele Unternehmen offenbleiben und schwer zu überwachen sind“. Es gebe Signaturen für die gängigsten RATs, aber erfahrene Angreifer könnten RATs leicht anpassen oder ihre eigenen RATs mit gängigen Remote-Desktop-Tools wie RDP erstellen. „Dies wurde durch eine kürzlich durchgeführte Analyse von Live-Unternehmensnetzwerken bestätigt, die ergab, dass die Netzwerke von 90 Prozent der befragten Unternehmen eine Form von bösartigem RDP-Verhalten aufweisen“, so Müller.

Modelle des Maschinellen Lernens zum Einsatz gekommen

Bei den Ermittlungen seien Modelle des Maschinellen Lernens zum Einsatz gekommen, „die entwickelt wurden, um das einzigartige Verhalten von RATs zu identifizieren“. Diese Art der Verhaltenserkennung sei effektiver, anstatt zu versuchen, die Signatur jeder RATs perfekt mit dem Fingerabdruck zu erfassen.
Durch die Analyse einer großen Anzahl von RATs könne ein überwachtes Maschinelles Lernmodell eben lernen, „wie sich der Verkehr dieser Tools vom normalen legitimen Fernzugriffsverkehr unterscheidet“. Müller erläutert: „Auf diese Weise lässt sich RAT-typisches Verhalten ohne vorherige Kenntnis des Angriffs oder des individuellen RAT-Codes erkennen.“

Weitere Informationen zum Thema:

VECTRA
INDUSTRY RESEARCH / 2019 Spotlight Report on RDP

datensicherheit.de, 20.04.2017
Cardinal RAT: Aktive Malware zwei Jahre unentdeckt

datensicherheit.de, 16.08.2016
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

[datensicherheit.de, 18.09.2019] Der am 17. September 2019 bekanntgewordene Fall der freien Verfügbarkeit von möglicherweise Millionen von Patientendaten im Internet hat offensichtlich für erhebliches Aufsehen gesorgt. Dabei ist laut einer Stellungnahme von Vectra „in diesem Fall nicht einmal davon auszugehen, dass Kriminelle beteiligt waren, sondern dass es hier in erster Linie um Pannen und unklare Zuständigkeiten geht“. Der Anbieter von IT-Sicherheitsplattformen auf Basis Künstlicher Intelligenz (KI) und Maschinellen Lernens hat nach eigenen Angaben in der Vergangenheit „schon mehrfach die IT-Sicherheitsvorkehrungen im Healthcare-Bereich analysiert“.

Foto: Vectra

Andreas Müller: Proaktiv nach Schatten-IT-Systemen suchen!

Seit Langem beobachteter unseliger Trend

„Und täglich grüßt das Murmeltier. Schon wieder wurden Daten von Systemen verfügbar gemacht, weil sie nicht ordnungsgemäß gesichert wurden. Es ist ein unseliger Trend, den wir schon lange beobachten – mal mit großen, mal mit kleinen Auswirkungen“, kommentiert Andreas Müller, „Regional Director DACH“ bei Vectra.

Unsichere oder schlecht konfigurierte Cloud-Systeme

Die Anzahl der Datenpannen und unbeabsichtigten Veröffentlichungen, die sich daraus ergeben, dass Daten von unsicheren oder schlecht konfigurierten Cloud-Systemen öffentlich verfügbar sind, steigt laut Müller kontinuierlich an – und dabei seien nicht einmal die bösen Absichten von Hackern der Hintergrund. Beteiligt seien meist nur Leute, die im Internet stöberten – „um zu sehen, was offen verfügbar ist“.

Große Lücke bei Verantwortung für Sicherheit der Patientendaten

Gesundheitsdienstleister und das große Netzwerk der Dienstleister, auf welche sie sich verließen, hätten „eine große Lücke in der Verantwortung für die Sicherheit der Patienteninformationen geschaffen“. Die Software der Anbieter werde mit der Annahme erstellt, dass der Gesundheitsdienstleister sein Netzwerk sichern werde, und der Gesundheitsdienstleister erwerbe Software und Services mit der Annahme, dass der Software-Anbieter bzw. der Service-Anbieter sichere Software und Dienste bereitstellten. „Wie sich immer wieder herausstellt, scheint beides nicht zu stimmen“, so Müller.

Systeme ohne den Rat des IT-Sicherheitsteams eingeführt

Nicht selten würden Systeme von medizinischem Personal mit einer bestimmten Anforderung ohne den Rat des IT-Sicherheitsteams eingeführt. Es sei ein kompliziertes Netzwerk, das die IT-Sicherheit dazu zwinge, proaktiv nach Schatten-IT-Systemen zu suchen, welche Daten genau so verfügbar machten, „wie es im aktuellen Fall wohl leider geschehen ist“.