[datensicherheit.de, 16.10.2024] Die NIS-2-Richtlinie der EU bringe nicht nur einen breiteren Anwendungsbereich und strengere Sicherheitsanforderungen mit sich, sondern zeuge auch von der Einführung einer neuen Denkweise in der Cyber-Sicherheit. „Während die NIS einen reaktiven Ansatz verfolgte, bei dem Unternehmen nach einem Sicherheitsvorfall bestraft wurden, geht die NIS-2 zu einem proaktiven Ansatz über“, erläutert Andy Norton, „European Cyber Risk Officer“ bei Armis, in seiner aktuellen Stellungnahme. Er unterstreicht: „Unternehmen werden für unzureichende Sicherheit bestraft, bevor es zu einer Sicherheitsverletzung kommt.“

Foto: Armis

Andy Norton gibt angesichts der NIS-2-Einführung zu bedenken: KRITIS-Betreiber können nicht absichern, was sie nicht sehen…

NIS-2 sollte eben nicht zum reinen Abhaken von Checklisten verkommen

Die technischen Anforderungen der NIS-2-Richtlinie seien alles Andere als eine leichte Übung zum Abhaken, aber sie müssten für KRITIS-Betreiber umsetzbar sein. Es gebe jedoch eine große Herausforderung, der sich die Unternehmen bewusst sein müssten – die Sichtbarkeit.

Es gebe nun eine Fülle von Ratschlägen für die Implementierung von NIS-2 und zahllose Anbieter, welche dabei helfen könnten. „Die Wahrheit ist jedoch, dass KRITIS-Betreiber nicht absichern können, was sie nicht sehen“, betont Norton. Unternehmen müssten daher über einen umfassenden Überblick über ihre Assets verfügen. Norton warnt: „Sonst verkommt NIS-2 zu einem reinen Abhaken von Checklisten!“

NIS-2 zwingt Unternehmen fortschrittliche Lösungen einzusetzen

Um sich auf NIS-2 vorzubereiten, müssten Unternehmen daher fortschrittliche Lösungen einsetzen, „welche ,Asset Intelligence’ in Echtzeit, Schwachstellen-Analysen, KI-gestützte Bedrohungserkennung und -behebung sowie kontextbezogene Informationen zu Vorfällen bieten“. Sicherheitsteams könnten dann fundierte Entscheidungen zum Risikomanagement treffen und zu einer vorwärts gerichteten Cyber-Sicherheit übergehen.

Norton führt abschließend aus: „Auf diese Weise können Unternehmen sicher sein, dass sie in Bezug auf die Einhaltung gesetzlicher Vorschriften oder Bedrohungsakteure nicht hinterherhinken, sondern die Problemstellen ausfindig machen und proaktiv beheben. Und zwar bevor es zu einem Vorfall kommt.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

datensicherheit.de, 26.09.2024
NIS-2-Richtlinie macht Druck: Veraltete Software auf Geräten erhöht Cyber-Risiko / Lückenlose, aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien – von NIS-2 bis CRA

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

[datensicherheit.de, 08.12.2022] Andy Norton, „European Cyber Risk Officer“ bei Armis, geht in seiner aktuellen Stellungnahme auf die neuen EU-weiten Vorschriften zur Stärkung der Cyber-Sicherheit und Widerstandsfähigkeit ein: Die überarbeitete „Richtlinie zur Sicherheit von Netz- und Informationssystemen“ (NIS2) dient demnach als Basis für Risikomanagement und Meldepflichten für die Cyber-Sicherheit in vielen Bereichen, wie etwa digitale Infrastruktur, Verkehr, Energie und Gesundheit.

Foto: Armis

Andy Norton: Gemeinsame Mindestanforderungen und Maßnahmen zur Stärkung der Cyber-Sicherheit sind notwendig

Sicherheitskritische Netz- und Informationssysteme besser vor Cyber-Angriffen schützen

Mitte November 2022 wurde laut Norton durch das Europäische Parlament ein Abkommen beschlossen, welches die sicherheitskritischen Netz- und Informationssysteme besser vor Cyber-Angriffen schützen soll.

„Die neue Richtlinie soll dabei helfen, den rechtlichen Rahmen in allen EU-Staaten zu nivellieren. Dafür sind gemeinsame Mindestanforderungen und Maßnahmen zur Stärkung der Cyber-Sicherheit notwendig.“

Die neuen Rechtsvorschriften stellten nicht einfach nur weitere Punkte auf einer Liste mit Compliance-Regeln dar, die man abhaken könnt. Norton erläutert: „So sehen bereits die bestehenden NIS-Vorschriften vor, dass angemessene und verhältnismäßige Kontrollen unter Verwendung modernster Technologien durchgeführt werden müssen.“

Eine Mindestanforderung: Durchführung einer angemessenen Cyber-Risikoanalyse

Mit NIS2, der jüngsten Überarbeitung der bestehenden Gesetzgebung, werde ein höheres Straf- und Bußgeldniveau eingeführt. „Bisher basierten die Bußgelder auf Verstößen gegen die Cyber-Sicherheit, doch im Entwurf des NIS2-Gesetzes wird in Artikel 18 ein Mindestmaß an konformen Funktionen vorgeschrieben, die eine wesentliche oder wichtige Einrichtung einführen muss“, berichtet Norton. Bei Nichteinführung dieser Mindestanforderungen drohten der Organisation nun empfindliche Bußgelder in Höhe von bis zu zehn Millionen Euro oder zwei Prozent der weltweiten Einnahmen gemäß Artikel 31.

Die erste der Mindestanforderungen sei die Durchführung einer angemessenen Risikoanalyse. Norton kommentiert: „Dies allein bedeutet für die meisten sicherheitsrelevanten Unternehmen und Einrichtungen ein großes Problem.“ Denn die Risikoanalyse basiere auf dem Verständnis der kritischen „Assets“ (Geräte im Unternehmen), wobei für die meisten Organisationen ein aktuelles und genaues Verzeichnis dieser Anlagen entweder nicht vorhanden, veraltet oder bestenfalls unvollständig sei.

Abschließend betont Norton: „Von großer Bedeutung ist hierbei, dass Organisationen die Stabilität ihrer IT-Sicherheitsarchitektur nachweisen können.“ Dafür benötigten sie eine adäquate und umfassende Risikoanalyse – entsprechend den NIS2-Vorschriften.

[datensicherheit.de, 10.08.2022] Mit dem standardmäßig auf modernen „Windows“-Rechnern vorinstallierten Virenschutz „Windows Defender“ haben die kriminellen Akteure hinter „LockBit“ derzeit offenbar einen häufig ausnutzbaren Angriffsvektor im Visier: Sicherheitsforscher von SentinelOne haben hierzu kürzlich die Ergebnisse einer Analyse zur Schadsoftware „LockBit 3.0“ veröffentlicht. Es handelt sich demnach bei der Ransomware „LockBit 3.0“ um eine neuere Version einer weit verbreiteten RaaS-Familie (Ransomware-as-a-Service), deren Ursprung bei „BlackMatter“ und ähnlicher Malware liege.

Foto: Armis

Andy Norton: Frameworks für Cyber-Risiken sehen viele verschiedene Anforderungen vor, die umgesetzt werden müssen!

Ransomware-Warnsignal: Auffälliges Geräteverhalten

Dem Forschungsbericht zufolge nutzten die Hacker für ihren Angriff das „Windows Defender“-Befehlszeilentool zum Entschlüsseln und Laden von „Cobalt Strike“-Nutzdaten. „Sobald der erste Zugriff erfolgt war, führten die Akteure eine Reihe von Enumerationsbefehlen aus und versuchten, mehrere Post-Exploitation-Tools auszuführen, darunter Meterpreter, PowerShell Empire und eine neue Methode, um nebenbei ,Cobalt Strike‘ zu laden.“

Wenn ein „Asset“ durch diese Schwachstelle infiziert ist, dann mache sich dies laut Andy Norton, „European Cyber Risk Officer“ bei Armis, sofort bemerkbar: „Die für die Sicherheitslücke verwendeten Tools sind zwar neu, jedoch sind der anschließende Verlauf und die Verhaltensänderungen nach wie vor eindeutige Indikatoren für eine schadhafte Infektion. Aus diesem Grund ist eine tiefgreifende Verteidigung wichtig. Die Frameworks für Cyber-Risiken sehen viele verschiedene Anforderungen vor, die umgesetzt werden müssen.“

Verändertes Geräte-Verhalten mit der Norm vergleichen, um Ransomware-Befall zu erkennen

Es gebe über das Geräteverhalten eindeutige Hinweise auf eine Infektion. „Zum einen ist bekannt, dass das Kontaktieren von Raw-IP-Adressen schadhaftes Verhalten darstellt“, so Norton. „Zum anderen fällt es auf, wenn sich ein ,Asset‘ anders verhält als sonst und wenn sich dieses Verhalten von dem anderer ,Assets‘ unterscheidet.“

Mit dem Wissen darüber, wie sich bestimmte Geräte normalerweise verhalten, werde es möglich, das veränderte Verhalten eines Geräts mit der Norm zu vergleichen. Dadurch könne nicht nur das veränderte Verhalten des Geräts mit sich selbst, sondern auch im Vergleich mit dem anderer Geräte abgeglichen werden. Norton erklärt abschließend: „Wenn das Verhalten des Geräts anschließend als verdächtig eingestuft wird, dann können Unternehmen die nötigen Schritte unternehmen, um das vom Gerät ausgehende Risiko einzudämmen.“

Weitere Informationen zum Thema:

The Hacker News, Ravie Lakshmanan, 02.08.2022
LockBit Ransomware Abuses Windows Defender to Deploy Cobalt Strike Payload

SentinelOne blog, Julio Dantas & James Haughom & Julien Reisdorffer, 28.07.2022
Living Off Windows Defender | LockBit Ransomware Sideloads Cobalt Strike Through Microsoft Security Tool

SentinelLABS, Jim Walter, 21.07.2022
Crimeware / LockBit 3.0 Update | Unpicking the Ransomware’s Latest Anti-Analysis and Evasion Techniques

[datensicherheit.de, 19.08.2021] In Folge eines Hacker-Angriffs wurden offenbar der Telekom-Tochter T-Mobile US persönliche Nutzerdaten von Kunden entwendet. Dem Unternehmen zufolge seien zwar keine personenbezogenen Daten betroffen gewesen – bisher sei das genaue Ausmaß dieses Datendiebstahls jedoch noch unklar.

Foto: Armis

Andy Norton: Bereits der dritte Angriff in diesem Jahr, den T-Mobile öffentlich macht

Krimineller Hacker Subvirt machte seinen Angriff publik

„Bereits am Wochenende wurde ersten Berichten von ,Vice Motherboard‘ nach bekannt, dass bei dem Angriff rund 100 Millionen Daten entwendet wurden.“ Publik gemacht habe der kriminelle Hacker namens „Subvirt“ seinen Angriff über einen Post in einem Forum.
Wie „Bleeping Computer“ berichtet, habe es sich wohl um persönliche Daten von über 30 Millionen Menschen gehandelt, die nun auf Darknet-Foren zum Verkauf angeboten würden.

Angriff auf T-Mobile: Zahl betroffener Nutzer bei korrigiert 30 Millionen

„Es sieht so aus, als ob der mutmaßliche Hacker ,Subvirt‘ eine Erfolgsbilanz bei der Weitergabe von Daten von Telefongesellschaften hat und bereits Anfang dieses Jahres chinesische Handynummern zum Kauf anbot“, berichtet Andy Norton, „European Cyber Risk Officer“ bei Armis, in seiner aktuellen Stellungnahme.
In Bezug auf diesen Angriff auf T-Mobile sei wenig bekannt – die Zahl der betroffenen Nutzer sei jedoch auf 30 Millionen gesunken, nachdem der Hacker die redundanten Daten aussortiert habe.

Nach Angaben von T-Mobile Einfallstor mittlerweile geschlossen

Norton führt aus: „Der Angreifer hatte ursprünglich am 11. August eine Anzeige geschaltet, diese dann aber entfernt und durch die aktuelle Anzeige ersetzt.“ Darüber hinaus scheine der Angreifer „Subvirt“ den Preis der Daten von sechs „Bitcoin“ auf 200 US-Dollar reduziert zu haben – „das stellt die Legitimität der Daten in Frage“.
T-Mobile zufolge sei das Einfallstor für den Angriff mittlerweile geschlossen worden. „Bei dem aktuellen Angriff handelt es sich in diesem Jahr bereits um den dritten Angriff, den T-Mobile öffentlich macht.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.08.2021
Vectra kommentiert massiven Hacker-Angriff auf T-Mobile-Kundendaten / Stellungnahme von Vectra zu den Folgen zwischenstaatlicher Cyber-Konflikte auf die Privatwirtschaft

VICE, Joseph Cox, 15.08.2021
T-Mobile Investigating Claims of Massive Customer Data Breach / Hackers selling the data are claiming it affects 100 million users

BLEEPINGCOMPUTER, Lawrence Abrams, 15.08.2021
Hacker claims to steal data of 100 million T-mobile customers