[datensicherheit.de, 09.02.2021] Wie verschiedene Nachrichtendienste melden, wurde in den vergangenen Stunden eine potentiell hochgefährliche Cyberattacke auf die Wasserversorgung in Florida entdeckt. Angreifer verschafften sich hierbei Zugang zu einer internen ICS-Plattform (Industrial Control System) und versuchten chemischen Werte in der Wasseraufbereitungsanlage so zu verändern, dass das Wasser nicht mehr sicher zu konsumieren war. Solche Angriffe auf OT-Systeme (Operational Technology, Betriebstechnik) werden von Experten als zunehmend kritisch eingestuft.

Marty Edwards, Vice President of Operational Technology Security bei Tenable kommentiert:

„Der Angriff auf die Wasseraufbereitungsanlage der Stadt Oldsmar ist das, woraus OT-Albträume gemacht sind. Im Falle eines erfolgreichen Angriffs wären die Schäden katastrophal gewesen. Diese  Geschichte zeigt, wie schnell und verdeckt eine subtile und potenziell tödliche Veränderung vorgenommen werden kann. Genau aus diesem Grund warnt die Sicherheitscommunity seit mehr als zehn Jahren vor den steigenden Bedrohungen für OT.

Die Tage der isolierten OT-Netzwerke sind längst vorbei. An ihre Stelle ist eine hochdynamische und komplexe Umgebung aus intelligenter OT-Technologie, moderner IT und allem, was dazwischenliegt, getreten. Angreifer machen sich diese konvergenten Netzwerke zunutze, um sich seitlich von einem System zum anderen zu bewegen. Dies macht die Kompromittierung auch nur eines einzigen Geräts noch gefährlicher.

Glücklicherweise waren die Anlagenbetreiber in der Lage, die unbefugten Änderungen an den Natriumhydroxid-Werten sofort zu erkennen. Hätten sie nicht schnell gehandelt, hätte diese Geschichte ganz anders ausgehen können.

Alle Betreiber kritischer Infrastrukturen – wie die Wasserversorgung – müssen in die Menschen, Prozesse und Technologien investieren, die erforderlich sind, um diese Systeme sicher zu halten. Dies war nicht der erste Angriff dieser Art und es wird sicher nicht der letzte sein.“

Zugleich ist am heutigen Dienstag der internationale „Safer Internet Day“. Dazu bemerkt Adam Palmer, Chief Cybersecurity Strategist bei Tenable:

„Der Safer Internet Day ist dieses Jahr vielleicht wichtiger denn je. In den letzten zwölf Monaten hat sich die Art und Weise, wie wir arbeiten oder auf Bildung zugreifen, bis zur Unkenntlichkeit verändert. Unternehmen haben ihre Netzwerke geöffnet, damit Mitarbeiter aus der Ferne arbeiten können. Studenten nutzen Anwendungen und Dienste, die normalerweise der Unternehmenswelt vorbehalten sind, um an virtuellen Kursen teilzunehmen. Auf viele dieser cloudbasierten Tools und Dienste greifen Benutzer mit persönlichen Geräten zu, die ungeschützt sind oder außerhalb des Zuständigkeitsbereichs des IT- oder Sicherheitsteams liegen. Die durch diese Dienste erweiterte Angriffsfläche stellt ein attraktives Ziel für Angreifer dar. Diese nehmen häufig persönliche Geräte ins Visier, um nicht nur Daten auf dem Gerät selbst zu stehlen, sondern sie versuchen auch, sich seitlich durch Netzwerke zu bewegen und weiteren Schaden anzurichten.

Das Security Response Team von Tenable hat im Rahmen einer Studie die Details von 730 öffentlich bekannt gewordenen Datenschutzverletzungen im Jahr 2020 unter die Lupe genommen. Dabei stellte sich heraus, dass Bedrohungsakteure bei ihren Angriffen auf ungepatchte Sicherheitslücken setzen. Diese ‚Broken Windows‘ dienen in erster Linie dazu, sich einen ersten Zugang in ein Zielnetzwerk zu verschaffen. Von dort aus nutzen die Angreifer schwerwiegende Schwachstellen wie Zerologon aus, um ihre Privilegien zu erhöhen und sich so Zugriff auf Domain-Controller im Netzwerk zu verschaffen.

Die meisten dieser Angriffe sind mit grundlegenden Sicherheitsmaßnahmen vermeidbar. Ein gutes Sicherheitsbewusstsein und grundlegende Cyberhygiene verhindern Fehler, die ernsthaften Schaden anrichten können. Gleichzeitig ist es wichtig, dass die Benutzer die Verantwortung für die Aktualisierung und den Schutz ihrer Geräte übernehmen, um diese Lücken zu schließen. Da Technologie heute ein integraler Bestandteil des modernen Lebens ist, müssen wir alle eine Rolle dabei spielen, die von uns verwendeten Geräte zu schützen.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.04.2020
Wasserversorgung: Cyberangriff auf kritische Infrastruktur in Israel

Vermutlich keine hohen Strafen trotz 9 Millionen betroffener Kundendaten

[datensicherheit.de, 19.05.2020] Die britische Fluglinie EasyJet ist Opfer eines Cyberangriffs geworden. Betroffen sind angeblich E-Mail-Adressen und Reisedaten von rund neun Millionen Kunden. Außerdem fielen den Angreifern mehr als 2.000 Kreditkartendaten in die Hände.

Andreas Müller, Director DACH bei Vectra AI, Foto: Vectra

Andreas Müller, Director DACH bei Vectra AI kommentiert den jüngsten Cyberangriff auf ein wichtiges europäisches Unternehmen:

„Der Transportbereich als Teil einer kritischen nationalen Infrastruktur ist ein verlockendes Ziel für nationalstaatliche Hacker und Cyberkriminelle. Während EasyJet diesen Angriff als „aus einer hoch entwickelten Quelle“ stammend charakterisiert, müssen wir noch Details abwarten, um die Raffinesse oder die Identifikation von Angreifern zu bestätigen.

Es kann durchaus vorkommen, dass hier wie beim vergangenen Angriff auf British Airways, eine Webanwendung kompromittiert wurde, mit der unbefugter Zugriff erlangt wurde.

Da auf 9 Millionen Kundendaten zugegriffen wurde, handelt es sich um einen erheblichen Verstoß. Selbst wenn EasyJet vom ICO als maßgeblich rechenschaftspflichtig eingestuft würde, bezweifle ich, dass es großen Appetit auf eine hohe Geldstrafe im Rahmen der DSGVO geben würde, da die Branche bereits auf den Knien liegt und einige Fluggesellschaften kurz vor dem Zusammenbruch stehen.“

Weitere Informationen zum Thema:

cnn.com
EasyJet hackers stole data on 9 million customers and thousands of credit card numbers

datensicherheit.de, 17.05.2020
Untersuchung der ISACA – Unsichere Sicherheitsexperten

datensicherheit.de, 15.05.2020
Internationaler Cyberangriff auf Supercomputer

Kombination aus Altsystemen, wachsender Konnektivität und föderalistischem Management erfordert hohe Priorität der Cybersicherheit

[datensicherheit.de, 28.04.2020] Israel scheint einen groß angelegten Versuch eines Cyberangriffs auf die kritische Infrastruktur seiner nationalen Wasserversorgung vereitelt zu haben. Aus einem internen Bericht der israelischen Wasserbehörde geht hervor, dass sich der Vorfall zwischen Freitag, den 24. April, und Samstag, den 25. April, ereignete. Laut einer Erklärung des israelischen Nationalen Cyber-Direktorats zielte der versuchte Angriff auf die Kommando- und Kontrollsysteme der Kläranlagen der Wasserbehörde, die Pumpstationen und die Abwasserinfrastruktur ab. In einer weiteren Erklärung der Wasserbehörde und des Nationalen Cyber-Direktorats wurde berichtet, dass der Vorfall anscheinend koordiniert worden, jedoch kein Schaden entstanden sei.

Anweisung zu Passwortänderung der OT-Systeme

Die betroffenen Stellen wurden angewiesen, die Passwörter für alle Betriebstechniksysteme (OT-Systeme) der Anlage, insbesondere diejenigen, die mit der Chlorkontrolle zusammenhängen, sofort zurückzusetzen und sicherzustellen, dass die gesamte Kontrollsoftware auf dem neuesten Stand ist. Für den Fall, dass es nicht möglich ist, die Passwörter für bestimmte Systeme zu ändern, wurde dem Personal geraten, die entsprechenden Systeme vollständig vom Internet zu trennen.

Bild: Claroty

Dazu der Kommentar von Dave Weinstein, Chief Security Officer von Claroty

„Dieser Angriffsversuch macht deutlich, dass sich die Wasserinfrastruktur zwar häufig der Aufmerksamkeit der Öffentlichkeit als eine der Hauptquellen von Cyberrisiken entzieht, dass sie jedoch durchaus sowohl für gezielte als auch für nicht gezielte Bedrohungen anfällig ist. Eine Kombination aus Altsystemen, wachsender Konnektivität und einem föderalistischen Management (die meisten Wasserversorgungsunternehmen befinden sich in lokalem Besitz und werden auf lokaler Ebene betrieben) erfordert eine hohe Priorität der Cybersicherheit für den Wasser- und Abwassersektor weltweit.

Wie die meisten OT-Systeme erfordert unsere Wasserinfrastruktur ein hohes Maß an Transparenz und Einblick, um nicht nur latente Bedrohungen im Netzwerk zu erkennen, sondern auch Anomalien, die auf eine Bedrohung hindeuten oder das Netzwerk sogar für unerfahrene Hacker zugänglich machen könnten. Fehlkonfigurationen und bekannte Schwachstellen senken zudem die Barrieren für Angreifer und erhöhen das Risiko für Angriffe. Durch die zunehmende Konvergenz von IT- und OT-Netzwerken müssen Betreiber von Wasserversorgungsanlagen (wie auch von jeder anderen kritischen Infrastruktur) stets wachsam gegenüber möglichen Kompromittierungen von Nutzerkonten sein, die Angreifern einen Zugang zu industriellen Kontrollsystemen gewähren könnten. Hierzu gehören auch Mitarbeiter und Drittanbieter, die aus der Ferne auf die Infrastruktur zugreifen. Gerade in der gegenwärtigen Situation einer weltweiten Pandemie sind die Sicherheit und die Zuverlässigkeit kritischer Infrastrukturen wie Wasser, Strom und Telekommunikation wichtiger denn je.“

Weitere Informationen zum Thema:

datensicherheit.de, 13.01.2020
IT-Sicherheit: Angriffe auf Kritische Infrastrukturen mehren sich

datensicherheit.de, 23.07.2019
Cyber-Resilienz in der Energiewirtschaft

datensicherheit.de, 15.07.2019
Kritische Infrastrukturen: 5 Faktoren die das Cyberrisiko erhöhen

Laut TechCrunch wurde im März 2018 illegal auf eines seiner Rechenzentren in Finnland zugegriffen 

Ein Kommentar von Kevin Bocek, VP Threat Intelligence und Security Strategy bei Venafi

[datensicherheit.de, 22.10.2019] NordVPN, ein Anbieter von Virtual Private Networks aus Panama, hat zugegeben, Opfer eines Hackerangriffs geworden zu sein. Das Unternehmen verfolgt nach eigener Aussage eine „Zero-Logs“-Richtlinie. Hacker haben aber möglicherweise doch auf einige Benutzerdaten zugegriffen. Laut TechCrunch wurde im März 2018 illegal auf eines seiner Rechenzentren in Finnland zugegriffen. Der Angreifer erhielt Zugriff auf den Server – der etwa einen Monat lang aktiv war – durch die Ausnutzung eines unsicheren Remote Control-Systems, dass der Rechenzentrumsprovider zugelassen hatte, NordVPN gab jedoch an, es sei ihm nicht bekannt, dass ein solches System existierte.

Foto: Venafi

Kevin Bocek, „Vice President, Threat Intelligence and Security Strategy“ bei Venafi

Angeblich keine Benutzeraktivitätsprotokoll

Der Server selbst enthielt angeblich keine Benutzeraktivitätsprotokolle; keine der Anwendungen sendete benutzerdefinierte Anmeldeinformationen zur Authentifizierung, so dass Benutzernamen und Passwörter auch nicht abgefangen werden konnten. Dies scheint aber der einzig mögliche Weg, den Website-Verkehr zu missbrauchen gewesen zu sein: Ein personalisierter und komplizierter Man-in-the-Middle-Angriff. Mit dieser Technik kann eine einzelne Verbindung, die versuchte, Zugriff zu erhalten, abgefangen werden. Nach Angaben eines Unternehmenssprechers konnte der abgelaufene private Schlüssel nicht zur Entschlüsselung des VPN-Verkehrs auf einem anderen Server verwendet werden.

Rasantes Wachstum bei VPN-Providerm

VPN-Provider sind aufgrund des wachsenden Bedarfs an Privatsphäre rasant gewachsen. VPN-Cloud-Anbieter benötigen TLS-Zertifikate, die als Maschinenidentitäten fungieren, um die Verbindung, Verschlüsselung und das Vertrauen zwischen den Maschinen zu autorisieren.

Maschinenidentitäten sind äußerst wertvolle Ziele für Cyberkriminelle, und große Unternehmen haben oft Zehntausende von Maschinenidentitäten, die sie schützen müssen.

Automatisierung notwendig

Diese Verstöße werden in Zukunft immer häufiger auftreten. Es ist unerlässlich, dass Unternehmen die Flexibilität haben, automatisch alle Schlüssel und Zertifikate zu ersetzen, die bei Verstößen aufgedeckt wurden. Der schnelle Austausch von Maschinenidentitäten ist der zuverlässige Weg, um Privatsphäre und Sicherheit in einer Welt zu gewährleisten, in der Unternehmen ihre Geschäfte führen und auf die Cloud angewiesen sind.

Diese Fähigkeit ist besonders kritisch in großen Unternehmen, die über Zehntausende von Rechneridentitäten verfügen, die vor Angreifern geschützt werden müssen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2019
Next-Gen Code Signing: Lösung zum Schutz von Maschinenidentitäten

datensicherheit.de, 05.09.2019
Venafi-Umfrage: 82% misstrauen gewählten Regierungsvertretern

datensicherheit.de, 22.08.2019
Hintertüren: Venafi warnt vor Gefahr für unabhängige Wahlen

datensicherheit.de, 26.07.2019
Code Signing: Überprüfung der Integrität von Software

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

datensicherheit.de, 04.07.2019
Smart Home-Systeme gefährdet durch Schwachstellen bei SSH-Maschinenidentitäten

Standortübergreifender Produktionsausfall bei Porsche, Cyberangriff auf Pilz

Ein Kommentar von Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

[datensicherheit.de, 17.10.2019] Die Vorfälle bei Porsche und bei Pilz sorgen für Schlagzeilen. Der Supergau eines jeden Betriebsleiters ist eingetroffen: Die Produktion steht still, die Server sind down und die Belegschaft muss informiert werden, dass erstmal nichts mehr geht. Pilz geht von einem gezielten Cyberangriff aus, Porsche nennt Hardwareprobleme als Grund.

Keine Einzelfälle

Die Vorkommnisse bei Pilz und Porsche sind keine Einzelfälle. Im digitalen Zeitalter ist es normal, dass Organisationen ins Visier von Cyberkriminellen geraten. Neben immer potenterer Malware und neuen Techniken der Angreifer, öffnen sich außerdem neue Vektoren für Attacken. Zudem sind IT-Umgebungen komplex und IT-Infrastrukturen lassen sich so dynamisch wie noch nie aufbauen. Sicherheitsbeauftragten und Compliance-Managern fällt es daher schwer, den Schutz von Geschäftsprozessen zu gewährleisten.

Gerade Porsche gilt in der Automobilbranche als Innovator, der bei Technologie und Präzision Standards setzt. Es ist unwahrscheinlich, dass man ausgerechnet im Stammwerk in Stuttgart beim Schutz der Fertigungsstraßen etwas dem Zufall überlässt. Stattdessen kann man davon ausgehen, dass es trotz großer Sorgfalt zum Stillstand kam. Laut den Berichten war eine Software implementiert, die den Ausfall hätte erkennen sollen – leider funktionierte diese nicht.

Bild: ThreatQuotient

Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient

IT-Werkzeuge müssen aufeinander abgestimmt sein

IT-Berater und Sicherheitsunternehmen empfehlen Tools, die auf einzelne Herausforderungen eine Lösung bieten. Allerdings fügen sich immer mehr Security-Tools nicht von selbst zu einem stimmigen Bild zusammen. Genau wie die laufende Produktion ist die Sicherheit von Systemen immer ein laufender Prozess. Eine IT-Sicherheitslösung kann aber nur einen Bereich absichern und nicht den kompletten Vorgang. Dies führt dazu, dass die einzelnen Technologien Datensilos erzeugen, welche, wenn überhaupt, nur mit großem manuellem Aufwand zu einem ganzheitlichen Bild zusammengefügt werden können.

Qualifizierte Prozesse notwendig

Es ist legitim und natürlich wichtig, neue Werkzeuge zu nutzen, vor allem um dem Stand der Technik zu entsprechen. Leider vergessen Unternehmen oft die Prozesse welche notwendig sind, um aus den Daten der Tools auch Handlungen abzuleiten. Viele von ihnen erzeugen Daten und Alarmmeldungen, welche oftmals Falschmeldungen sind und zum sog. “Rauschen“ führen. Bei Security-Teams stellt sich dadurch manchmal eine „Alarmmüdigkeit“ ein. Jedes IT-Team hat eigentlich schon genug Werkzeuge, um Problemen auf den Grund zu gehen. Wichtig ist, die vorhandenen Ressourcen zu nutzen und die richtigen Konsequenzen zu ziehen. Oftmals fehlt es an den geeigneten Prozessen, die Übersicht zu gewinnen, um  sich auf die wichtigsten Gegenmaßnahmen zu fokussieren

Priorisierung erfoderlich

Findet man keine Priorisierung statt, muss jeder Vorfall wie ein Notfall behandelt werden – auch, wenn man vielleicht nicht mal bedroht ist. Führungsetagen müssen ihre IT-Teams entlasten. Um die Masse an Informationen und Vorfällen zu verarbeiten und Security Prozesse zu optimieren, bieten lokale Threat Intelligence Plattformen an, die ständig neuen Informationen automatisch aufzuarbeiten und diese auch mit bereits vorhandenen Daten abzugleichen. Zusätzlich ist es wichtig, Threat Intelligence Daten zu priorisieren, um „Rauschen“ zu entfernen und die begrenzten Ressourcen auf für das eigene Unternehmen relevante und kritische Bedrohungen zu konzentrieren. Dadurch wird die Erkennung von und Reaktion auf Vorfälle wesentlich beschleunigt. Denn wenn wir eines im Bereich Cyber Defense nicht haben, dann ist es Zeit!

Weitere Informationen zum Thema:

datensicherheit.de, 18.01.2019
Cybersicherheit – Bestehende Möglichkeiten müssen genutzt werden

Zugang zu Daten von ca. 100 Millionen Kunden

Ein Kommentar von Ross Brewer, VP & MD EMEA bei LogRhythm

[datensicherheit.de, 31.07.2019] Immer mehr Unternehmen investieren in die eigene Security, lassen jedoch noch oft die Bedeutung der Erkennungszeit eines Cyberangriffs außer Acht. Aktuell wurde die Bank Capital One Opfer eines Angriffs, der über ein Cloud-System stattfand und Zugriff auf Daten von rund 100 Millionen Kunden ermöglichte. Nach derzeitigem Informationsstand war die Großbank mindestens seit März von dem Angriff betroffen.

Ross Brewer, VP & MD EMEA bei LogRhythm kommentiert:

„Details zu diesem Fall sind noch nicht bekannt, aber es ist ein weiteres Beispiel dafür, wie einzelne Cyberkriminelle das Netzwerk großer multinationaler Unternehmen erfolgreich infiltrieren können. Hier geht es darum, dass das Unternehmen trotz korrekter Sicherheitsreports erst nach einem Hinweis per E-Mail feststellte, dass ein Problem vorliegt. Angesichts der Tatsache, dass insbesondere Banken und Finanzunternehmen kritische Ziele für Cyberkriminelle sind, ist es entscheidend, dass Unternehmen wie Capital One über Tools verfügen, mit denen anomale Aktivitäten und Exploits bereits beim ersten Auftreten erkannt werden. Der Erfolg der Sicherheitssysteme lässt sich dabei mithilfe von Metriken wie der mittleren Erkennungszeit (MTTD) und der mittleren Antwortzeit (MTTR) effizient messen und evaluieren.

Wie nicht anders zu erwarten, wird eine der Schlüsselfragen sein, ob auf europäische – und damit DSGVO-geschützte – Kundendaten zugegriffen wurde. Wir wissen derzeit, dass mehr als 100 Millionen Amerikaner und 6 Millionen Kanadier betroffen sind. Wenn wir uns an die Geldbuße in Höhe von knapp 205 Millionen Euro für laxe Sicherheit von British Airways vor ein paar Wochen zurückerinnern, muss das Sicherheitsteam von Capital One sofort loslegen, um zusätzliche Kunden außerhalb Nordamerikas zu identifizieren, die betroffen sein könnten. Die europäischen Aufsichtsbehörden haben gezeigt, dass sie nicht so zahnlos sind wie bisher angenommen und Capital One könnte weit oben auf ihrer Liste der nächsten Bußgeld-Kandidaten landen.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.07.2019
Leak von Kundendaten: Geldbuße für British Airways

datensicherheit.de, 18.09.2018
Nach British Airways-Hack drohen der Fluggesellschaft DSGVO-Sanktionen

datensicherheit.de, 24.06.2018
Überlebensfrage: Abwehr von Cyber-Attacken auf kritische Infrastruktur

Hinweise zu Schutzmaßnahmen

Ein Kommentar von Marc Schieder, CIO von DRACOON

[datensicherheit.de, 11.03.2019] Wie am vergangenen Wochenende bekannt wurde, ist das US-amerikanische Softwareunternehmen Citrix Opfer eines verheerenden Cyberangriffs geworden. Citrix ist unter anderem für die Abwicklung sensibler IT-Projekte für die Kommunikationsagentur des Weißen Hauses, das US-Militär, das FBI und viele amerikanische Unternehmen verantwortlich. Laut einem Blogeintrag des Security-Providers gelang es den Kriminellen offenbar, sich Zugriff auf das interne Netzwerk zu verschaffen und somit Zugang zu Geschäftsdokumenten zu erlangen. Dem Konzern selbst sei der Angriff zunächst nicht aufgefallen, sondern das FBI hatte in diesem Falle Alarm geschlagen.

Cyberkriminellen nutzten wahrscheinlich dem „Passwort Spraying“

Nach aktuellem Kenntnisstand ist der IT-Sicherheitsanbieter zweimal innerhalb der letzten Monate angegriffen worden: einmal im Dezember und erneut einmal am letzten Montag – so berichtete es die Firma Resecurity. Zu den Tätern gibt es bereits erste Informationen: Der Angriff sei wahrscheinlich von der iranischen Hackergruppe Iridium durchgeführt worden, die auch hinter einer Welle jüngster Cyberangriffe gegen zahlreiche Regierungsbehörden, Öl- und Gasunternehmen und andere Ziele stand. Bezüglich der Methodik bedienten sich die Cyberkriminellen wahrscheinlich dem „Passwort Spraying“. Bei dieser Vorgehensweise handelt es sich nicht um einen klassischen Brute-Force-Angriff, sondern es werden typische, weitverbreitete Passwörter ausprobiert, bis man schließlich auf den richtigen Code stößt und Zugang erhält. Häufig werden hier besonders naheliegende und unsichere Zugangsinformationen durchprobiert, wie etwa „Password.“ Auf diese Weise konnten die Angreifer wohl mehrere Mitarbeiter-Accounts kompromittieren und somit in das Netzwerk eindringen. Insgesamt wurden vermutlich zwischen sechs und zehn Terabyte Daten entwendet. Wie Citrix in seinem Blogpost zum Vorfall betont, gebe es derzeit keine Hinweise darauf, dass der Angriff Einfluss auf die Sicherheit der Produkte oder Dienste der Firma hat. Allerdings bestehe laut NBC News aufgrund der besonderen Datensensibilität der Citrix-Kunden das potenzielle Risiko, dass Hacker schließlich ihren Weg in US-Regierungsnetzwerke finden könnten, so die Meinung von Experten.

Bild: DRACOON

Marc Schieder, CIO von DRACOON

Kein Unternehmen sicher vor Cyberangriffen

Der Hackerangriff auf Citrix zeigt, dass auch Unternehmen aus dem Bereich IT-Sicherheit nicht vor dem Umstand geschützt sind, dass betriebsintern unsichere und extrem leicht zu ermittelnde Passwörter genutzt werden. Und genau das kann zu einer Kompromittierung einer großen Menge an kritischer Geschäftsdaten führen. Dies birgt eine Gefahr für den Betrieb selbst, aber auch für seine Kunden. Gerade jetzt müssen Unternehmen, völlig unabhängig, in welcher Branche sie tätig sind, verstärkt darauf achten, dass sie die Schulung ihrer Mitarbeiter und die hohen Sicherheitsstandards bezüglich der Zugangsinformationen auf keinen Fall vernachlässigen. Ich empfehle außerdem auch die Einführung einer Zweifaktor-Authentifizierung für das Login, so wird der Zugriff auf die Accounts um eine zusätzliche „Hürde“ erweitert.

Risiken für die IT-Sicherheit nicht vernachlässigen

Kein Unternehmen, egal ob Weltkonzern oder mittelständischer Betrieb, darf die Risiken für die IT-Sicherheit vernachlässigen – eine gute Absicherung ist keine einmalige Angelegenheit, sondern bedarf dem konstanten Monitoring der aktuellen Gefahren und Schulungen der Mitarbeiter über den Umgang damit. Abgesehen von internen Maßnahmen zum sicheren Passwortmanagement und anderen Sicherheitsstrategien können auch Softwarelösungen dabei helfen, das Security-Niveau zu erhöhen, beziehungsweise auf einem hohen Niveau zu halten. Bei der Implementierung einer neuen Lösung, etwa einer Lösung zum Dateiaustausch – aber auch anderen Arten von Software – sollte darauf geachtet werden, dass diese bereits mit besonders datenschutzfreundlichen Voreinstellungen versehen sind und die Themen Datensicherheit und -Schutz in die Entwicklung miteingeflossen sind. Die Konzepte „Privacy by design“ und „Privacy by default“ gehören seit einiger Zeit zu den am häufigsten diskutierten Themen, wenn es um den Schutz von Informationen geht. Sie bedeuten konkret nichts anderes als „Datenschutz durch Technikgestaltung“ sowie „Datenschutz durch datenschutzfreundliche Voreinstellungen.“ Spätestens seit diese Grundsätze sogar in der EU-DSGVO verankert wurden (Artikel 25), sind die Begriffe zurecht in aller Munde und bei der Wahl der richtigen Softwarelösungen sollten, beziehungsweise müssen, diese Kriterien unbedingt berücksichtigt werden.

Schutzniveau amheben

Insgesamt sorgen also sowohl organisatorische Maßnahmen, etwa zum sicheren Umgang mit Passwörtern, als auch ein besonderes Augenmerk auf Datensicherheit und -Schutz bei der Wahl von verwendeten Softwarelösungen dafür, das Schutzniveau im Unternehmen auf ein Maximum zu heben. Dabei ist es egal, ob es sich um einen Betrieb aus dem Bereich IT-Sicherheit handelt oder einer anderen Branche. Unterschätzen sollten Firmen die Gefahr auf ihre IT-Infrastruktur in keinem Fall.

Weitere Informationen zum Thema:

datensicherheit.de, 24.01.2019
Doxing: Einschätzung der Situation und Konsequenzen

datensicherheit.de, 08.09.2018
Datensicherheit: Filesharing mit Virenschutz

[datensicherheit.de, 27.09.2018] ESET-Forscher haben einen Cyberangriff entdeckt, bei dem erstmals ein sogenanntes UEFI-Rootkit erfolgreich eingesetzt wurde. Die von ESET Lojax getaufte Malware nutzt eine Schwachstelle in der UEFI des Mainboards aus und nistete sich in dessen Speicher ein. Dies ist extrem gefährlich, denn Lojax übernimmt von dort die Kontrolle des gesamten Rechners und kann nicht ohne weiteres gelöscht werden. Klassische Gegenmittel wie Virenprogramme oder gar der Festplattentausch sind wirkungslos. Als Drahtzieher der Kampagne wird die Sednit-Gruppe (auch APT28 oder FancyBear genannt) vermutet, die durch ihre Angriffe auf hochrangige Regierungsziele auf sich aufmerksam gemacht hat.

UEFI-Rootkis: gestern noch Theorie, heute schon Wirklichkeit

„Obwohl uns bislang theoretisch bekannt war, dass UEFI-Rootkits existieren, bestätigt unsere Entdeckung nun, dass sie längst verwendet werden. Sie sind daher nicht mehr nur ein interessantes Thema auf Fachkonferenzen, sondern stellen eine reale Bedrohung dar“, sagt Jean-Ian Boutin, Senior Security Researcher bei ESET, der für die Forschung zu LoJax und der Sednit-Kampagne verantwortlich zeichnet.

UEFI-Rootkits sind extrem gefährliche und mächtige Werkzeuge für Cyberangriffe. Sie garantieren den Zugriff auf den gesamten Computer und können mit Zusatz-Malware beispielsweise auch den Datenverkehr mitschneiden oder umlenken. Besonders prekär ist: Schädlinge wie Lojax sind schwer zu erkennen und können Cybersicherheitsmaßnahmen wie etwa eine Neuinstallation des Betriebssystems oder sogar einen Festplattenaustausch überstehen. Zudem erfordert das Bereinigen eines infizierten Systems Kenntnisse, die weit über diejenigen eines durchschnittlichen Benutzers hinausgehen, wie zum Beispiel das Flashen von Firmware.

Hohes Gefahrenpotenzial

ESET stuft das Gefährdungspotential als extrem hoch ein und befürchtet Angriffe auf Top-Ziele wie Regierungsnetzwerke, Großunternehmen, Rüstungskonzerne oder auch NGOs. Die Bedrohung wird von ESET als  besonders groß eingestuft, da es generell kaum Updates für BIOS bzw. UEFI gibt. Zudem sind Administratoren und Anwender kaum über UEFI-Updates  informiert, da es hier bisher keine Angriffe gab.

Es ist nicht auszuschließen, dass Cyberkriminelle und Cyberspionage-Gruppen UEFI zukünftig als  neue Angriffsfläche nutzen. Die Opfersysteme sind immens verwundbar und technologisch kaum abzusichern.

Die Entdeckung des weltweit ersten UEFI-Rootkits ist ein Weckruf für Unternehmen und User, welche die mit Firmware-Änderungen verbundenen Risiken oftmals ignorieren. Spätestens jetzt gibt es keine Entschuldigungen mehr dafür, die Firmware vom regulären Scannen auszuschließen. „Ja, UEFI-basierte Angriffe sind extrem selten und waren bisher meist auf physische Manipulationen am Zielcomputer beschränkt. Man muss aber bedenken, dass ein solcher Angriff, wenn er erfolgreich ist, zur fast vollständigen Kontrolle über einen Computer führt“, kommentiert Jean-Ian Boutin.

ESET ist der einzige große Anbieter von Endpoint-Security-Lösungen, der mit dem ESET UEFI-Scanner einen speziellen Schutz anbietet, um schädliche Komponenten in der PC-Firmware zu erkennen.

Sednit als potenzieller Drahtzieher

Sednit, auch bekannt unter den Namen APT28, STRONTIUM, Sofacy oder Fancy Bear, ist eine der aktivsten APT-Gruppen und seit mindestens 2004 tätig. Angeblich war Sednit unter anderem für den «Democratic National Committee Hack», der die US-Wahlen im Jahr 2016 beeinflusst hat, den Angriff auf das globale TV-Netzwerk TV5Monde und den E-Mail-Leak der «World Anti-Doping Agency» verantwortlich. Diese Gruppierung soll nach internationalen Erkenntissen auch hinter den Angriffen auf mehrere europäischen Verteidigungsministerien und das deutsche Regierungsnetz gesteckt haben. Die Hacker-Gruppe Sednit verfügt über ein breit gefächertes Arsenal an Malware-Tools. ESET-Forscher haben einige dieser Tools in einem Whitepaper und in zahlreichen Blog-Posts auf WeLiveSecurity dokumentiert.

UEFI (Unified Extensible Firmware Interface)

UEFI ist eine Standardspezifikation der Softwareschnittstelle zwischen Betriebssystem und Firmware eines Geräts. Es ist der Nachfolger des Mitte der 1970er Jahre eingeführten Basic Input/Output Systems (BIOS). Dank des gut dokumentierten Aufbaus kann UEFI leichter analysiert und aufgegliedert werden, sodass Entwickler Erweiterungen für die Firmware erstellen können. Allerdings bedeutet das zugleich, dass es auch Malware-Autoren und Angreifer leichter haben, die Schnittstelle mit ihren schädlichen Modulen zu infizieren.

Weitere Informationen zum Thema:

WeLiveSecurity
LOJAX: First UEFI rootkit found in the wild, courtesy of the Sednit group

WeLiveSecurity
LoJax: Erstes UEFI-Rootkit von Sednit-Hackern

datensicherheit.de, 21.09.2018
Banktrojaner DanaBot mit modularer Architektur in Europa aktiv

datensicherheit.de, 26.01.2018
FinFisher: ESET-Whitepaper bietet neue Einblicke in Spyware-Kampagne

78 Prozent der Sicherheitsexperten halten ein entsprechendes Szenario für denkbar / 88 Prozent sagen, dass die Regierung nicht genug unternimmt, um Hacker vor Eingriffen in zukünftige Wahlen abzuschrecken

[datensicherheit.de, 21.09.2017] Venafi® veröffentlicht die Ergebnisse einer Umfrage unter 296 IT-Sicherheitsfachkräften zu Cyberangriffen auf elektronische Wahlprozesse. Die Untersuchung wurde unter Besuchern der Black Hat-Konferenz durchgeführt, die vom 22. – 27. Juli 2017 in Las Vegas stattfand.

Laut ihren Antworten glauben IT-Sicherheitsfachkräfte, dass die Auswirkungen von Cyberangriffen auf Wahlen darüber hinaus das Vertrauen in demokratische Prozesse schwächen. 78 Prozent der Befragten gaben an, dass sie es als einen Cyberkriegsakt betrachten würden, wenn ein Staat die Wahl eines anderen Staats hackt oder versuchen würde, diese zu hacken.

Nachrichtendienste haben herausgefunden, dass Nationalstaaten bereits weltweit Wahlprozesse im Visier haben, unter anderem in den USA. Ein Bericht der National Security Agency (NSA) zeigte kürzlich, dass Russland bereits vor den Präsidentschaftswahlen 2016 VR Systems angegriffen hat, einem Anbieter für Wahlmaschinen in der USA.

Bild: Venafi

Jeff Hudson, CEO von Venafi

„Eine Kriegshandlung ist als eine Handlung eines Landes gegen ein anderes Land definiert, die den Frieden unmittelbar gefährdet“, sagt Jeff Hudson, CEO von Venafi. „Der Versuch, eine Wahl zu hacken, kann daher leicht als Cyber-Kriegshandlung verstanden werden. Die Absicht dahinter ist es, die Grundlage der Regierung zu destabilisieren, die für den Schutz des Landes verantwortlich ist. Wahlen sind bereits das Ziel von Cyberangriffen und die potentiellen Auswirkungen eines Wahlhacks dürfen nicht unterschätzt werden. Böswillige Akteure haben die notwendigen Fähigkeiten, um Wahldatenbanken zu verändern, Stimmauszählungen zu verzögern und das Vertrauen in den Wahlprozess zu untergraben.“

Weitere Ergebnisse der Umfrage von Venafi sind:

88 Prozent sagen, dass die Regierung nicht genug unternimmt, um Hacker vor Eingriffen in zukünftige Wahlen abzuschrecken.
60 Prozent sind besorgt, dass Cyberangriffe die Wahlergebnisse verändern können.
Über ein Viertel (27 %) glaubt, dass über solche Angriffe bereits Wahlergebnisse manipuliert wurden.
Wahlmaschinen sind lukrative Ziele für Cyberkriminelle und staatliche Angreifer. Unglücklicherweise haben viele von ihnen Schwachstellen, die leicht ausgenutzt werden können. So konnten zum Beispiel die Teilnehmer der DEF CON 2017 innerhalb von 24 Stunden Schwachstellen in fünf unterschiedlichen Wahlmaschinen-Typen finden und ausnutzen.

Weitere Informationen zum Thema:

Venafi Blog, 08.08.2017
Voting Machine Hacks: Attacks on SSL and Certificate Trust May Break Elections

Von unserem Gastautor Dominique Meurisse, COO bei WALLIX

[datensicherheit.de, 08.12.2016] Viele Organisationen schlagen sich mit der riesigen Menge an IT-Securitylösungen herum – Anbieter, Berater und Analysten liefern eine Vielzahl von Ideen. Insbesondere kleine und mittelständische Unternehmen (KMU) haben oftmals nicht die Zeit und die Ressourcen, eine Vielzahl von Produkten und Werkzeugen (Tools) zu prüfen und zu bewerten.

Einerseits haben Organisationen nur begrenzte Planungszeit und bereits vorhandene Sicherheitstechnologie, die beim Einkauf neuer Lösungen bedacht werden muss. Auf der anderen Seite erzeugt die neue Bedrohungslandschaft einen gewissen Veränderungsdruck – passen sich Unternehmen nicht an, laufen sie Gefahr, Opfer eines Cyberangriffs zu werden, denn die in Organisationen vorhandenen klassischen Systeme haben sich als unzureichend erwiesen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt drei grundsätzliche Wege für den Aufbau einer Sicherheitsarchitektur:

• Grundlegende Sicherheitsmechanismen für alle Geschäftsprozesse und Unternehmensressourcen in einer Institution, um so die größten Risiken zu minimieren. Detailliertere Schritte können später folgen – der Fokus liegt auf der Einbindung aller Bereiche in ein breitgefächertes Sicherheitskonzept
• Wichtigste Sicherheits- und Schutzfunktionen, Ausgangspunkte sind hier die kritischsten Assets. Verglichen mit dem ersten Punkt liegt hier der Fokus mehr auf der Tiefe als auf der Breite der Schutzmaßnahmen. Nicht alle Prozesse sein gleich wichtig und deshalb sollten flexible Sicherheitsmaßnahmen in Erwägung gezogen werden. Hochkritische Bereiche wie beispielsweise Adminzugänge werden strenger geschützt als ausrangierte IT, die demnächst verschrottet werden soll
• Für einige Branchen gibt der „BSI-Grundschutz“ präzisere Empfehlungen mit Standardmaßnahmen. Der aktuelle BSI-Standard 100-2 enthält jetzt Details zum Schutz industrieller Steuerungssysteme (Industrial Control Systems, ICS).

Das Thema IT-Sicherheit ist nicht neu – hat sich aber stark verändert

In vielen Organisationen wurden bereits grundlegende Sicherheitsmechanismen eingeführt. Auch ist das Bewusstsein von CISOs und ISOS in Hinblick auf die Frage, welches die kritischsten Assets in einer Organisation sind, sehr hoch; das Hauptproblem ist das praktische Management der Sicherheitsverfahren – IT-Strategien mussten so oft angepasst werden oder sind so kompliziert geworden, dass sie nicht mehr effizient sind. Beispielsweise ist nicht sicher, wer eigentlich Zugriff auf kritische Daten hat – oftmals sind Nutzerkonten einfach verloren gegangen oder in Vergessenheit geraten.

Malware und Cyberbedrohungen sind intelligenter geworden, und in Reaktion darauf schuf der Markt mehr Sicherheitsinstrumente für unterschiedliche Szenarien. Gleichzeitig steigt die Anzahl an Geräten, die auch noch heterogener werden. Durch BYOD, IoT, Cloud-Migration und andere Innovationen wurden neue Angriffsvektoren erschlossen – was wiederum dediziertere Einzellösungen in den Firmen zur Folge hat.

Das führte zu einer noch größeren Bedrohung – nämlich zu überlasteten IT-Administratoren. Die Anzahl an Angriffen, Bedrohungen und Sicherheitstools steigt, doch die Arbeitsstunden, die in IT-Abteilungen in Sicherheitsmaßnahmen investiert werden, folgen diesem Anstieg nicht – oder einfach gesagt: IT-Abteilungen verwenden immer mehr Zeit auf die Einführung und Anpassung von Sicherheitsinstrumenten und haben weniger Zeit für die eigentlichen Management-Aufgaben.

Jede neue Lösung zieht voraussichtlich Sicherheitswarnungen und Nutzerbeschwerden nach sich. Ein strategisches Konzept muss also das richtige Schutzniveau mit einer nutzerfreundlichen Anwendung kombinieren. Gleichzeitig muss es in die Alltagsroutine von IT-Verantwortlichen passen und die Erfüllung von Normen und Vorschriften gewährleisten. Es sollte Mitarbeitern die effizienteste Technik für ihre Aufgaben bieten und gleichzeitig die Gefahr von Datenlecks, Cyber-Angriffen und Compliance-Verstößen verringern.

Die Toleranz von Mitarbeitern ist begrenzt: Eine Befragung von 400 IT-Administratoren zeigt, dass 74 Prozent des Personals in IT-Abteilungen durchaus in der Lage sind, Sicherheitsmaßnahmen ganz leicht zu umgehen. Erscheint eines der vielen Sicherheitsinstrumente lästig, wird es wahrscheinlich nicht eingesetzt. Nicht nur die Angestellten einer Organisation könnten zu einem Sicherheitsrisiko führe, auch externe Mitarbeiterinnen und Mitarbeiter sollten in ein Schutzkonzept miteinbezogen werden.

Nach einer von PWC durchgeführten Studie setzen 82 Prozent der Unternehmen eine Form von externen Anbietern ein und lagern Geschäftsaufgaben aus – so auch den Zugriff auf ihre Netzwerke. 90 Prozent aller Organisationen geben auch zu, im letzten Jahr irgendeine Art von Vorfall erlitten zu haben. Überraschend ist die Tatsache, dass 48 Prozent der Verstöße auf menschliches Versagen zurückzuführen sind und 17 Prozent durch absichtlichen Systemmissbrauch durch Menschen verursacht werden.

Privileged Access Management zur Verbesserung und Sicherung von IT-Umgebungen

Fehlverhalten und Fehler im Umgang mit privilegierten Konten können Organisationen schweren Schaden zufügen. IT-Abteilungen haben jedoch nicht die Personalressourcen, alle Aktionen zu verwalten, insbesondere, wenn sie von Dritten eingesetzt werden.

Das Mikromanagement eines jeden einzelnen Nutzers ist zeitaufwendig und unwirtschaftlich.Privileged Access Management (PAM) ist ein eleganter Weg, allen drei BSI-Empfehlungen zu folgen. Detaillierte Maßnahmen für alle Nutzerkonten gewährleisten eine Sicherheitsgrundlage und umfassen Onboarding von Anwendungen, Wartung und Offboarding von Accounts.

Um den gesamten Lebenszyklus abzudecken, muss mit der Erstintegration in das System begonnen werden, alle Änderungen während der Nutzungsdauer mit aufgenommen und das System zum Schluss nach seiner Stilllegung entfernt werden.

Darüber hinaus kann PAM die Workflows der Nutzer einzeln prüfen und sehen, ob ihre Aktionen legitim sind. Zugriffsrechte sollten in Zeit und Tiefe beschränkt sein, so dass Administratoren bestimmte Aktionen innerhalb eines zeitlich festgelegten Zugriffsfensters planen können. Das ermöglicht die Planung von Aktivitäten und die gleichzeitige Sicherstellung des Schutzes.

Für äußerst kritische Accounts mit Zugriff auf wichtige Assets kann ein höheres Schutzniveau eingestellt werden. Wenn solche Accounts geteilt werden, kann Live-Überwachung oder die Zwei-Mann-Regel verbindlich vorgeschrieben werden. Moderne PAM-Lösungen funktionieren agentenlos und sind dabei leicht umzusetzen. IT-Abteilungen können sich so auf die wesentlichen Fragen fokussieren und die wichtigsten Accounts mit erweiterten Zugriffsrechten ermitteln.

Zurzeit sind einige wenige PAM-Lösungen erhältlich, die für den europäischen Markt entwickelt wurden und an künftige Richtlinien angepasst werden können. Allgemeine Standards, wie ISO 27001 oder der BSI-Grundschutz, sind aktuelle Beispiele, aber sie sind nur eine Orientierung und höchstwahrscheinlich werden neue Vorschriften folgen. In jedem Fall bieten PAM-Lösungen einen einzigartigen Weg zu effizienter IT-Sicherheit und Compliance.

Fazit

Das BSI liefert zwar strategische Empfehlungen für die IT-Sicherheit, Organisationen müssen jedoch noch ihre eigenen Best Practices definieren, um die Sicherheit und Effizienz in ihren IT-Abteilungen zu steigern. Viele Anbieter haben ihre Büros außerhalb Europas und entwickeln ihre Produkte für ein spezielles Top-Thema. Die Produkte sind innovativ, passen aber nicht in die Sicherheitsarchitektur – was auch für das Personal gilt, das die Tools nutzt und integriert.

Das führt zu Sicherheitsrisiken, denn IT-Administratoren haben mit zu vielen Sicherheitstools zu kämpfen. Sicherheit ist zu einer zeitaufwendigen Angelegenheit geworden, die immer weniger Zeit für tatsächliche Administrationsaufgaben lässt. Insbesondere KMUs brauchen bisweilen passende Basistools, um die Effizienz und Sicherheit zu verbessern, und keine teuren Threat Intelligence der nächsten Generation, die dazu führt, dass Nutzer zu Umgehungslösungen greifen. Größere Sicherheitsbudgets sind nicht erforderlich, doch die zur Verfügung stehenden Budgets sollten sinnvoll eingesetzt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2016
Komplexität von IT-Infrastrukturen