[datensicherheit.de, 15.11.2021] Jeder Ransomware-Angriff bzw. jede Verletzung der Datensicherheit hat ein „Davor“, ein „Während“ und ein „Danach“ – um sich in jede dieser Phasen schützen zu können, gelte es auch zu wissen, wie ein Angriff abläuft, so Pure Storage – und gibt in einer aktuellen Stellungnahme eine Beschreibung sowie Hinweise zur Planung des Verhaltens im Notfall.

Notfallplan in die Tat umsetzen und Schritte zur Schadensminimierung vornehmen!

Ohne Prävention gehe es nicht, aber nur mit Prävention gehe es auf keinen Fall… So – oder so ähnlich – ließen sich die jüngsten Erfahrungen vieler Unternehmen mit der Bedrohung durch Ransomware-Attacken zusammenfassen.
Nachfolgend wird der Verlauf eines Angriffs erläutert und ausgeführt, welche kritischen Entscheidungen Unternehmen treffen müssten, an wen sie sich zuerst wenden und welche weiteren wichtigen Schritte sie bei der Reaktion tätigen sollten. Ziel sei es, den Notfallplan in die Tat umzusetzen und Schritte zur Schadensminimierung vorzunehmen.

Basis der Planung: Was genau während eines Cyber-Angriffs passiert

Pure Storage beschreibt, was genau in der Phase passiert, wenn die „Alarmglocken läuten“ und Unternehmen von einem Cyber-Angriff oder einer Sicherheitsverletzung betroffen sind:

Einnisten der Angreifer in der Zielumgebung
Nachdem sie eine Kampagne gestartet haben, nisteten sich die Angreifer in der Zielumgebung ein. Sie könnten sensible Dateien exfiltrieren, um sie in einem zweiten Angriff zu verwenden, wenn die Verschlüsselungskampagne nicht erfolgreich ist oder um mehr Geld zu fordern.

Einsatz von Exploit-Toolkits für erweiterten Zugriff
Angreifer könnten sogenannte Exploit-Toolkits verwenden, um sich erweiterten Zugriff (d.h. Administratorenzugriff) auf die Umgebung zu verschaffen.

Aufspüren der wichtigsten Systeme
Sobald sie in der Zielumgebung sind, würden sie wichtige Systeme identifizieren, darunter kritische Infrastrukturen wie „Active Directory“, DNS, Backup- und primäre Speichersysteme.

Änderung der Zugangsdaten
Angreifer könnten Zugangsdaten ändern, um legitime Benutzer von den Systemen auszuschließen.

Zerstörung der Backups
Ebenso könnten sie Backups löschen oder beschädigen. Sie könnten auch Front-End-Sicherungsserver verschlüsseln, um Kataloge unbrauchbar zu machen.

Verschlüsselung primärer Benutzerdatendateien
Anschließend könnten die Angreifer die primären Benutzerdatendateien auf den Host-Systemen angreifen und verschlüsseln.

Schlüsselaspekte des Plans: Reaktion und Wiederherstellung in den frühen Stadien eines Angriffs

Zu wissen, was Ransomware-Angreifer oder Hacker vorhaben, sei der erste Schritt. „Jetzt ist es an der Zeit, in Aktion zu treten. Der genaue Wiederherstellungsplan hängt vom Unternehmen und der Sicherheitsverletzung ab, aber dieser Leitfaden der FTC (FEDERAL TRADE COMMISSION) ist ein guter Anfang.“
Zudem gebe es nationale Gesetze zur Meldung von Sicherheitsverletzungen, die Unternehmen einhalten müssten. Der eigene Leitfaden von Pure Storage soll helfen, um einige wichtige Gespräche mit dem CISO zu führen.

Planungsschritte für Unternehmen während eines Angriffs

Pure Storage nennt Planungsschritte, die Unternehmen während eines Angriffs umsetzen sollten, um den Schaden zu minimieren und die Wiederherstellung zu beschleunigen.

1. Den Angriff begrenzen und die Umgebung abriegeln!
Bei den ersten Anzeichen eines Angriffs gelte es, die betroffenen Systemkomponenten im Netzwerk zu isolieren, „indem sie vollständig abgeschaltet oder in einer privaten Netzwerk-Enklave unter Quarantäne gestellt werden“. So lasse sich die Ausbreitung stoppen und der Schaden minimieren. Indes gelte es, IT-Systeme niemals ganz herunterzufahren oder die Stromversorgung auszuschalten – dadurch werde die Möglichkeit, diese Geräte später forensisch zu analysieren, stark eingeschränkt oder ganz unterbunden.
Dann folge das Aktualisieren der Zugangsdaten und Passwörter auf sauberen Rechnern. „Falls Informationen auf der Website veröffentlicht wurden, müssen Unternehmen diese entfernen und sich an Suchmaschinen wenden, um den Cache zu löschen.“

2. Ausführung des Backup-Kommunikationsplans, falls die E-Mail-Systeme ausfallen!
Unternehmen sollten bereits einen gut definierten Kommunikationsplan aufgestellt haben, und jetzt sei es an der Zeit, ihn anzuwenden.
„Jetzt gilt es, die Führungskräfte und interne Stakeholder über den Angriff zu informieren, sei es über ein Mobiltelefon oder eine alternative E-Mail-Adresse, und so schnell wie möglich IT- und Sicherheitsteams, leitende Angestellte und externe Sicherheitsberater einzuschalten.“

3. Mobilisierung des Notfallteams!
Das Notfallteam sollte sich aus einigen wichtigen Akteuren zusammensetzen. Je nach Unternehmen könnten dies Forensik-Experten, Rechtsberater, „InfoSec“, „IT“, „Investor Relations“, „Unternehmenskommunikation“ und Management umfassen.
Alle Mitglieder dieses Teams sollten klare Anweisungen erhalten, ebenso wie die an der Wiederherstellung beteiligten Personen. Im E-Book „Hacker’s Guide to Ransomware Mitigation and Recovery“ weise der ehemalige Hacker Hector Monsegur darauf hin, dass dies besonders wichtig sei: „Andernfalls sind Netzwerk- und Systemadministratoren auf ihr eigenes Urteilsvermögen angewiesen, um die Bedrohung zu neutralisieren, was meiner Erfahrung nach in der Regel ineffektiv oder sogar katastrophal ist.“

4. Aktivierung eines externen Kommunikationsplans!
Nun sei es an der Zeit, sich mit wichtigen Partnern und Behörden in Verbindung zu setzen. Unternehmen könnten externe technische Partner zur Unterstützung heranziehen, einschließlich ihres Speicheranbieters und anderer IT-Anbieter. „Wenn Geschäftsführer nach einem Angriff mit den Medien, Aufsichtsbehörden und der Rechtsabteilung zusammenarbeiten, ist es hilfreich, eine aktualisierte Liste mit Kontakten in den lokalen Büros der Strafverfolgungsbehörden zu führen.“ Der ebenfalls kontaktierte Cyber-Versicherungsanbieter könne die Deckungen und Einschränkungen erläutern.
Ebenso sei es ratsam, sich gegebenenfalls mit den örtlichen Behörden in Verbindung zu setzen, um etwaige Compliance-Verpflichtungen zu genügen und möglichen Bußen vorzubeugen.
Unternehmen sollten auch ihren Plan zur Benachrichtigung der betroffenen Kunden vorstellen. „Möglicherweise haben sie eine Mitteilung verfasst, um die Informationen zu teilen, zu deren Weitergabe sie verpflichtet sind“ – und Empfehlungen für die Betroffenen formuliert, um klar darzulegen, was als nächster Schritt folgen soll.

5. Start des forensischen Prozesses!
Monsegur: „Vorausgesetzt, Sie verfügen über alle geeigneten Netzwerküberwachungsinstrumente wie SIEMs und Protokolle, kann ein gut geschultes Personal, das nach Anomalien und Ereignissen sucht, einen Angriff in Aktion erkennen.“ Sicherheits- und Zugriffsprotokolle könnten helfen, die Quelle eines Angriffs schnell zu identifizieren. Diese Protokolle könnten auch als Nachweis für die Einhaltung gesetzlicher Vorschriften dienen. „Daher sollten Unternehmen sicherstellen, dass Daten angemessen geschützt sind, auch vor dem Löschen.“
Nun gelte es, die betroffenen Geräte für die forensische Überprüfung zu priorisieren. Das Sicherheitsteam sollte feststellen, „welche Art von Angriff gestartet wurde und in welchem Umfang die Umgebung davon betroffen ist“. Je eher dies geschieht, desto eher könne das Team Patches anwenden und auch ein sauberes Backup wiederherstellen. Danach könnten Unternehmen den Wiederherstellungsprozess in einer gestaffelten Umgebung beginnen.

Tipp: „Bereiten Sie Ihre Umgebung auf spätere Untersuchungen mit Ihren Anbietern oder den Strafverfolgungsbehörden vor“, rät Monsegur. Wenn ein Unternehmen mit der Durchführung einer Untersuchung beauftragt wurde, sei sicherzustellen, dass es eine Übergabe zwischen diesem Unternehmen und den Strafverfolgungsbehörden gebe.

6. Einsatz der gestaffelten Wiederherstellungsumgebung!
Nun sei es an der Zeit, mit der eigentlichen physischen Wiederherstellung zu beginnen. Im Rahmen des Wiederherstellungsplans für den Katastrophenfall sollten Unternehmen eine Wiederherstellungsumgebung einrichten, „die bereits getestet wurde und einsatzbereit ist, damit sie nach einem Ereignis sofort wieder online gehen können“. Dazu gehöre auch eine Sichtverbindung zu neuer Hardware und Systemen, da es keine Garantie dafür gebe, dass sie ihre vorhandene Ausrüstung oder Hardware weiterverwenden könnten. Diese könnte von Behörden oder Ermittlern als Beweismittel beschlagnahmt worden sein oder müsse unter Quarantäne gestellt werden.
Mit „SafeMode-Snapshots“ könnten Unternehmen außerdem sofort mit der Wiederherstellung von unveränderlichen Backups ihrer Daten beginnen. Während eines Schadens-Ereignisses sei diese Funktion besonders wichtig, damit Angreifer sie nicht daran hindern könnten, schnell wieder online zu gehen.

Gut geplant auf die Wiederherstellung vorbereitet sein

„Wenn Unternehmen wissen, mit welchen Herausforderungen sie zuerst konfrontiert werden und welche Sofortmaßnahmen sie in der Frühphase eines Angriffs ergreifen können, können sie Verluste, Kosten und Risiken minimieren.“
Eine entsprechende Plattform für „Storage“ und „Data Management“ könne helfen, in der „Während“-Phase schnell zu handeln. Dazu trage beispielsweise eine ständige Verschlüsselung der Daten im Ruhezustand bei, ohne Leistungseinbußen oder Verwaltungsaufwand. Da sich gesicherte Daten nicht ändern oder löschen ließen, „ist deren Wiederherstellbarkeit gewährleistet, worauf es letztlich ankommt“.

Weitere Informationen zum Thema:

FEDERAL TRADE COMMISSION
Data Breach Response: A Guide for Business

PURESTORAGE
10 Questions to Ask Your Security Team / Guidance for creating a better security strategy for your organization

PURESTORAGE
E-book / Hacker’s Guide to Ransomware Mitigation and Recovery

Ein Kommentar von Andreas Müller, Regional Director DACH bei Vectra

[datensicherheit.de, 16.09.2019] Vectra, Anbieter von IT-Sicherheitsplattformen auf Basis künstlicher Intelligenz und maschinellen Lernens, hat die aktuelle Berichterstattung ausgewertet. Stellvertretend für das Unternehmen kommentiert Andreas Müller, Regional Director DACH (Deutschland, Österreich & Schweiz) den aktuellen Vorfall:

 „Geschehnisse rund um die Daten der Bürger Ecuadors sind nur ein weiteres Beispiel dafür, wie schlecht konfigurierte AWS S3 Buckets zu einer großen Anzahl personenbezogener Daten führen können, was sie einem erheblichen Risiko durch Identitätsbetrug und Social Engineering aussetzt. Wir wissen, dass schlecht konfigurierte Server in AWS etwas sind, das viele Administratoren nur schwer verstehen können, einschließlich der Frage, wie sie den Zugriff auf die dort gespeicherten Daten richtig einschränken können. Dabei geht es nicht einmal um die Größe oder Reife des Unternehmens.

Während die sofortige Bereitstellung und Skalierung von Cloud-Computing attraktive Vorteile bietet, müssen Cloud-Administratoren wissen, was sie tun, und sicherstellen, dass geeignete Zugriffskontrollen zum Schutz ihrer Daten vorhanden sind. Kein System und kein Benutzer sind perfekt. Die Fähigkeit, unbefugten oder bösartigen Zugriff auf Plattform- oder Infrastruktur-Cloud-Services zu erkennen und darauf zu reagieren, ist daher entscheidend. Dies kann den Unterschied zwischen einem eingedämmten Sicherheitsvorfall und einer vollständigen Sicherheitsverletzung ausmachen – in einem Ausmaß, mit dem Bürger in Ecuador derzeit konfrontiert sind.

Die wichtigere Frage ist hierbei, warum personenbezogene Daten dieser Kategorie von einer Regierung an ein Marketinganalyse-Unternehmen weitergegeben werden? Welchem Zweck dient dies? Die oberste Regel des Datenschutzes ist es, bestimmte Daten gar nicht erst vorzuhalten. Dies gilt insbesondere dann, wenn es sich um private Daten handelt, die eine Regierung an ein privates Drittunternehmen weitergegeben hat. Das an sich ist schon etwas beängstigend.

Darüber hinaus unterscheidet sich die Offenlegung dieser Daten nicht wesentlich von dem, was von Equifax durchgesickert ist, was zeigt, dass wir nichts aus früheren Vorfällen gelernt haben, da diese Informationen alle in einer durchsuchbaren Online-Datenbank gespeichert waren, die jeder nutzen kann.

Elasticsearch-Datenbanken in AWS sind bekanntlich öffentlich zugänglich, und da dies ein gängiges Setup ist, ist es wichtig, dass Unternehmen mit ihren Partnern zusammenarbeiten, um die Sicherheit ihrer Daten zu gewährleisten.“

Weitere Informationen zum Thema:

datensicherheit.de, 23.08.2019
Priceless Specials: Daten aus Mastercard-Bonusprogramm abgegriffen

datensicherheit.de, 25.07.2019
Schadensersatz: Equifax zahlt 700 Millionen US-Dollar

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax

… und die Welt wartet auf einen Windows 0-Day-Patch

Von unserem Gastautor Juan C. Perez, Manager, Digital Marketing (Content) bei Qualys

[datensicherheit.de, 18.09.2018] Vertrauliche Daten von fast 400.000 British-Airways-Kunden werden gestohlen. Der Mac App Store zieht mehrere Apps aus dem Verkehr, nachdem Sicherheitsforscher festgestellt hatten, dass diese heimlich Daten auslesen und versenden. Bei einer chinesischen Hotelkette ereignet sich eine gigantische Datenpanne. Und eine ungepatchte Zero-Day-Lücke in Windows wird in-the-wild ausgenutzt. Das sind einige der Sicherheitsnachrichten, die uns in jüngster Zeit aufgefallen sind.

Könnte British Airways nach der Datenpanne in DSGVO-Turbulenzen geraten?

Vor kurzem drangen Hacker in die Website und die mobile App von British Airways ein und stahlen über einen Zeitraum von zwei Wochen personenbezogene Daten und Finanzinformationen von schätzungsweise 380.000 Kunden, darunter auch Zahlungskartendaten. Die Fluggesellschaft gab den Vorfall letzte Woche bekannt und erklärte, dass die Cyberkriminellen vom 21. August bis 5. September Zugang zu den kompromittierten Systemen hatten.

Die Kreditkartendaten umfassen auch die drei- oder vierstelligen Sicherheitscodes, die auf den Karten aufgedruckt sind. Außerdem fielen den Angreifern Namen, Rechnungsanschriften und E-Mail-Adressen in die Hände. Mit diesen Informationen könnten Kriminelle die betroffenen Kunden auf verschiedenste Weise betrügen, zum Beispiel durch unbefugte Nutzung ihrer Zahlungskarten oder durch Phishing-Angriffe via E-Mail.

Bild: Qualys

Juan C. Perez, Manager, Digital Marketing (Content) bei Qualys

Laut British Airways ist das Leck inzwischen geschlossen. Die Airline gab jedoch keine Einzelheiten zur Art des Angriffs bekannt, sondern bezeichnete diesen lediglich als „bösartig“ und „ausgeklügelt“. Experten spekulieren über die möglichen Angriffsvektoren.

„Es sieht so aus, als ob die Daten am Zugangspunkt abgegriffen wurden – jemand hat es geschafft, ein Skript auf die Website zu bekommen“, sagte Alan Woodward, Professor an der Universität von Surrey, zur BBC.

Der Sicherheitsberater Ben Oguntala, den British Airways dieses Jahr zur Verbesserung ihrer Zahlungssysteme engagiert hatte, erklärte unterdessen gegenüber der Times, dass die Panne eine „Katastrophe mit Ansage“ gewesen sei. Oguntala sagte, er habe den Dienst quittiert, nachdem er festgestellt hatte, dass die von der Fluggesellschaft implementierten Kontrollen schwach waren.

Nun wird bereits vermutet, dass der Vorfall British Airways Ärger aufgrund der EU-Datenschutz-Grundverordnung (DSGVO) einbringen könnte, die im Mai verbindlich geworden ist und potenziell massive Bußgelder vorsieht.

Ein ähnlicher Zwischenfall ereignete sich kürzlich übrigens bei Air Canada: Zwischen dem 22. und 24. August wurden personenbezogene Daten von rund 20.000 Benutzern der mobilen App gestohlen. Zu den betroffenen Kundendaten zählen nach Angaben der Fluggesellschaft Namen, E-Mail-Adressen, Telefonnummern, Reisepassdaten, Known Traveler Numbers und Geburtsdaten. Die Kreditkartennummern sind verschlüsselt.

Apple wirft Apps mit Spyware-Verhalten raus

Apple hat in den letzten Tagen eine Reihe beliebter Anwendungen aus dem Zero-Day-Lücke gelöscht. Damit reagierte das Unternehmen auf die Berichte mehrerer Sicherheitsforscher, wonach diese von Drittanbietern entwickelten Apps Benutzerdaten auslesen und versenden.

Die Löschwelle begann offenbar damit, dass der Sicherheitsforscher Patrick Wardle – auf einen Tipp des Twitter-Nutzers @Privacyis1st hin – die App Adware Doctor bezichtigte, heimlich die Browser-Historien der Nutzer zu sammeln und die Daten an einen Host in China zu schicken.

Wardle, Mitbegründer von Digita Security, beschrieb seine Erkenntnisse im Objective See Blog, einer Website, auf der er selbst entwickelte, kostenlose MacOS-Sicherheitstools bereitstellt. Kurz nach der Veröffentlichung seines Beitrags entfernte Apple die App.

Dann schaltete sich Thomas Reed ein, Director of Mac und Mobile bei Malwarebytes. Reed berichtete, es gäbe Anwendungen im Mac App Store, die er und andere Forscher in den letzten Monaten gemeldet hätten, weil sie Benutzerdaten auslesen und verschicken.

Laut Berichten im SC Magazine, 9to5Mac, PC Magazine, BleepingComputer und anderen Publikationen löschte Apple dann übers Wochenende und am Montag weitere Anwendungen, darunter auch diejenigen, die Reed erwähnt hatte.

Chinesische Hotelkette wird Opfer eines massiven Hackerangriffs

Bei der Huazhu Hotels Group, einer der größten Hotelketten Chinas, hat sich eine Datenpanne ereignet, die sage und schreibe 130 Millionen Kunden betrifft. Man geht davon aus, dass die Hacker personen- und finanzbezogene Informationen von 13 Hotels des Unternehmens gestohlen haben.

Zu den entwendeten Daten zählen Telefonnummern, E-Mail-Adressen, Bankkontonummern und Reservierungsinformationen. Berichten zufolge wurden die Daten im Dark Net entdeckt, wo sie für 8 Bitcoin – ca. 56.000 Dollar – zum Verkauf standen.

Huazhu hat keine Einzelheiten zu dem Angriff bekannt gegeben. Laut einer BBC-Meldung hat jedoch die Cybersicherheitsfirma Zibao einer lokalen Nachrichtenagentur mitgeteilt, dass ihrer Vermutung nach Softwareentwickler des Hotels versehentlich eine Datenbank auf GitHub hochgeladen haben.

Wenn das stimmt, so hätte es laut einer Notiz des SANS-Analysten Lee Neely eine bewährte Vorgehensweise gegeben, die solche Probleme vermeiden hilft. Dafür, so Neely, müsse man „einen Prozess etablieren, um GitHub und andere externe Code-Repositories darauf zu überwachen, ob absichtlich oder unabsichtlich ungeeignete Informationen eingefügt werden, wie etwa Datenbanken und private SSH-Schlüssel. Außerdem ist sicherzustellen, dass angemessene Zugriffskontrollen zum Schutz der Unternehmens-IP bestehen.“

Windows Zero-Day-Lücke wartet auf Patch und wird bereits von Hackern ausgenutzt

Nachdem ein Sicherheitsforscher auf Twitter eine Zero-Day-Schwachstelle in Windows 10 samt Proof-of-Concept-Exploit-Code veröffentlicht hatte, ließen Hacker nicht lange auf sich warten und begannen, die Lücke für reale Angriffe ausnutzen. Der Forscher räumte später ein, dass er vor der Veröffentlichung Microsoft benachrichtigen hätte sollen, um dem Unternehmen die Möglichkeit zu geben, einen Patch zu entwickeln.

Die Schwachstelle erlaubt eine Erweiterung der lokalen Rechte. Sie befindet sich in der ALPC-Schnittstelle (Advanced Local Procedure Call) des Windows Task Schedulers und kann es laut der CERT-Sicherheitsmeldung einem lokalen Benutzer ermöglichen, Systemrechte zu erhalten.

„Wir haben bestätigt, dass der Public Exploit-Code unter Windows 10 64 Bit und auf Windows Server 2016-Systemen funktioniert. Zudem haben wir die Kompatibilität mit Windows 10 32 Bit bei geringfügigen Änderungen am Public Exploit-Code bestätigt. Wenn weitere Modifikationen durchgeführt werden, ist auch eine Kompatibilität mit anderen Windows-Versionen möglich“, heißt es in der CERT-Meldung.

• Die Schwachstelle wurde am 27. August bekannt gegeben, und nur wenige Tage später begannen Angriffe, die sie ausnutzten.
• Microsoft arbeitet an einem Patch, der aber noch nicht veröffentlicht wurde. In einer Erklärung kündigte das Unternehmen an, den Fix am monatlichen Patchday bereitzustellen. Der nächste Patchday ist am 11. September.
• Auch Problemumgehungen und mindestens ein Drittanbieter-Patch sind angeboten worden, wurden aber von Microsoft nicht gebilligt.

Und noch weitere Sicherheitsnachrichten …

• Fiserv, ein großer Technologie-Dienstleister für Banken, hat einen gravierenden Fehler in seiner Web-Plattform behoben, der „persönliche und finanzbezogene Daten zahlloser Kunden auf Hunderten von Bank-Websites in Gefahr brachte“, so KrebsOnSecurity.
• Abbyy, ein russischer Hersteller von optischer Erkennungssoftware, hat eine MongoDB-Datenbank nicht abgesichert und öffentlich im Internet zugänglich gemacht, wodurch mehr als 200.000 Dateien mit sensiblen Kundendaten offengelegt wurden.
• Google hat ein zum internen Gebrauch entwickeltes Tool, mit dem sich schriftenbezogene Schwachstellen aufspüren lassen, als Open-Source-Anwendung freigegeben.
• Bei zwei separaten Sicherheitsvorfällen haben Unternehmen, die Tools zur geheimen Überwachung der Inhalte und Kommunikation mobiler Geräte herstellen – TheTruthSpy und mSpy – Daten von Kunden offengelegt. Viele dieser Kunden sind Eltern, die die Handynutzung ihrer Kinder verfolgen wollen.
• Die Browser-Erweiterung Mega.nz für Chrome ist von Hackern kompromittiert und missbraucht worden, um Informationen von Benutzern zu stehlen, darunter Passwörter und private Schlüssel für Kryptowährungskonten. Der Vorfall macht deutlich, welche Risiken von Browser-Erweiterungen und Add-ons ausgehen.
• Die kürzlich entdeckte Sicherheitslücke in Struts 2 wird bereits real ausgenutzt – ein weiterer Grund für Unternehmen, den Patch einzuspielen, den Apache herausgegeben hat.
• Ein Sicherheitsforscher entdeckte vor kurzem fast 400.000 Webseiten mit offenen .git-Verzeichnissen, die potenziell eine Fülle vertraulicher Informationen preisgeben, wie etwa Passwörter.

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2018
DSGVO: „Wird schon gutgehen“ ist definitiv die falsche Einstellung

datensicherheit.de, 13.08.2018
Tracker-Apps mit gefährlichen Sicherheitslücken

datensicherheit.de, 25.07.2018
Sicherheitslücken in Carsharing-Apps entdeckt

[datensicherheit.de, 14.09.2018] Laut einer aktuellen Studie von Kaspersky Lab und B2B International [1] hatten 42 Prozent aller Unternehmen weltweit im vergangenen Jahr eine Datenpanne zu beklagen. In zwei Fünfteln (41 Prozent bei KMUs, 40 Prozent bei größeren Firmen) der Fälle waren dabei persönliche Kundendaten betroffen. Die Studie zeigt zudem: In fast in einem Drittel (31 Prozent) der Datenschutzverletzungen folgten Mitarbeiterkündigungen. Ein fatales Signal für die IT-Sicherheit eines Unternehmens; denn das Niveau des Cybersecurity-Bewusstseins innerhalb einer Organisation entscheidet über ihre Abwehrstärke – egal ob Mittelstand oder Konzern.

Von Mitarbeitern verursachte Cybersicherheitsvorfälle sind eine der größten Cyberbedrohungen für Unternehmen und Organisationen. Umso wichtiger ist es deshalb, alle Betriebsangehörigen – vor allem Personal, das nicht jeden Tag mit technologischen Neuerungen und potenziellen Gefahren der Digitalisierung zu tun hat – regelmäßig zu schulen und über aktuelle Bedrohungen zu informieren. Darüber hinaus ist es wichtig, kein Klima der Angst zu schüren. Denn wenn selbst verursachte Fehler von Mitarbeitern aus Furcht, etwa vor einer Kündigung, verschwiegen werden, können Gegenmaßnahmen womöglich zu spät eingeleitet, beziehungsweise der Sicherheitsvorfall an sich gänzlich unentdeckt bleiben.

„Aus Perspektive der IT-Sicherheit entscheidend: Mitarbeiter sind nicht unfehlbar und Pannen können passieren. Sofortige Entlassungen, stets vorausgesetzt, dass es sich bei der Verfehlung nicht um mutwilliges oder extrem fahrlässiges Verhalten gehandelt hat, sind deshalb nicht zwangsläufig die Lösung des eigentlichen Problems“, sagt Dmitry Aleshin, VP für Produktmarketing bei Kaspersky Lab.

Gleichzeitiger Verlust von Geld und Manpower

Neben dem finanziellen Schaden durch Datenschutzfehler – 45 Prozent der KMUs und 47 Prozent der größeren Unternehmen mussten Entschädigungen an die betroffenen Kunden zahlen – schlägt auch der Verlust von Fachkräften und Talenten mittel- und langfristig nicht unerheblich zu Buche. Neben der Tatsache, dass mehr als ein Drittel (35 Prozent bzw. 38 Prozent) nach einem Sicherheitsvorfall Schwierigkeiten bei der Neukundenakquise hatten und über ein Viertel der KMUs (27 Prozent) und Unternehmen (31 Prozent) Strafen und Geldbußen zahlen mussten, ist auch die Nachrekrutierung nun fehlenden Personals teilweise mit hohen Kosten verbunden. Denn auch die obersten betrieblichen Hierarchiestufen bleiben hier nicht verschont.

„Während eine Datenpanne für ein Unternehmen als Ganzes verheerend ist, kann sie auch sehr persönliche Auswirkungen auf das Leben einzelner Menschen bedeuten. Seien es Kunden oder Mitarbeiter, die einen Fehler begangen und dadurch eine Datenschutzpanne verursacht haben. Sowohl für die Absicherung des eigenen Unternehmens als auch der Mitarbeiter müssen Datenschutzstrategien deshalb zukünftig noch breiter und ineinander greifender konzipiert und umgesetzt werden“, betont Aleshin.

Unkontrollierbare Daten erhöhen Schadensrisiko

In modernen Organisationen ist die Speicherung personenbezogener Daten praktisch unumgänglich. Wie der Bericht von Kaspersky Lab zeigt, sichern 88 Prozent der Unternehmen Kunden- und 86 Prozent Mitarbeiterinformationen. Darüber hinaus führen neue Vorschriften, wie die europäische Datenschutzgrundverordnung (DSGVO), in einem zunehmend komplexer werdenden Geschäftsumfeld dazu, dass die Speicherung personenbezogener Daten verstärkt mit Compliance-Risiken verbunden ist. Insbesondere wenn man bedenkt, dass sich etwa 20 Prozent der sensiblen Kunden- und Unternehmensdaten in Public Clouds, auf BYOD-Geräten (Bring-your-own-Device) und in SaaS-Anwendungen (Software-as-a-Service) befinden.

Kaspersky Lab: Technologie und Mensch müssen Hand in Hand arbeiten

Die Studie ergab darüber hinaus, dass 86 Prozent der Unternehmen zumindest offiziell über eine Datensicherheits- und Compliance-Richtlinie verfügen. Eine Datenschutzerklärung selbst ist jedoch keine Garantie dafür, dass sensible Informationen auch tatsächlich ordnungsgemäß verarbeitet werden. Neben der intensiven Einbeziehung und Schulung des Personals [2] besteht noch immer ein immenser Bedarf an Sicherheitslösungen [3], die Daten über die gesamte technologische Infrastruktur – einschließlich Cloud-Anwendungen, mobile Endgeräte, Applikationen und mehr – schützen können. Nur eine in sich greifende Kombination aus Cybersicherheitsbewusstsein und leistungsstarker Sicherheitstechnologie kann für einen umfassenden Schutz sorgen.

Kaspersky Lab bietet Lösungen für unterschiedliche Geschäftsanforderungen im Hinblick auf Endpoint Security [3], DDoS-Prävention, hybride Cloud-Sicherheit [4], erweiterte Abwehr von Bedrohungen und Cybersicherheitsdienste [5] an.

[1] Insgesamt wurden von März bis April 2018 5.878 Interviews bei Unternehmen verschiedener Größen (Kleinbetriebe mit 1-49, KMU mit 501-1.000 und Konzerne mit mehr als 1.000 Mitarbeitern) durchgeführt.
[2] https://www.kaspersky.de/enterprise-security/security-awareness
[3] https://www.kaspersky.de/enterprise-security
[4] https://www.kaspersky.de/enterprise-security/cloud-security
[5] https://www.kaspersky.de/enterprise-security/threat-intelligence

Weitere Informationen zum Thema:

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 30.03.2016
Hacks und Datenpannen sind Gefahren für alle Unternehmen

Persönliche sowie finanzielle Daten von rund 380.000 Kartenzahlungen sollen von der Datenpanne betroffen sein

Ein Kommentar von Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security

[datensicherheit.de, 07.09.2018] Wie heute morgen bekannt wurde, ist die Fluggesellschaft British Airways Opfer eines Hackerangriffs geworden. Persönliche sowie finanzielle Daten von rund 380.000 Kartenzahlungen sollen von der Datenpanne betroffen sein. Laut Unternehmensangaben seien die Betroffenen und die zuständigen Behörden umgehend informiert worden.

Alle Kriterien im Hinblick auf die Verletzung personenbezogener Daten erfüllt

Dieser jüngste Angriff auf eine der größten Fluggesellschaften wirft zunächst einige Fragen auf. Bezüglich der unmittelbaren Folgen wird in Zeiten der DSGVO wohl ein hohes Bußgeld auf das Unternehmen zukommen. Seit dem verbindlichen Inkrafttreten der Verordnung im Frühjahr haben sich zwar eine Reihe von Sicherheitsverletzungen ereignet, in diesem Fall hat das Unternehmen jedoch eingeräumt, was geschehen ist – und Fakt ist, dass alle Kriterien im Hinblick auf die Verletzung personenbezogener Daten erfüllt sind.

Bild: Clearswift RUAG Cyber Security

Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security

Positiv hervorzuheben ist, dass die Datenpanne zumindest relativ früh erkannt wurde und die British Airways über die nötigen Systeme verfügt, um eingrenzen zu können, was genau passiert ist und welche Kunden betroffen sind. Im Gegensatz zu dem Angriff auf TalkTalk, dem britischen Broadcast-Provider, bei dem sich die Zahl der Opfer laufend zu ändern schien, scheint British Airways alles Nötige getan zu haben, um schnell und effizient handeln zu können. Wie immer, wenn es um mobile Apps geht, wird man jetzt genau untersuchen müssen, wo und wie die Hacker eindringen konnten – über die App, über das Backend-System oder eventuell beides.

Eine weitere Frage wird sich British Airways zweifellos stellen, nämlich ob dies eventuell nur die Spitze des Eisbergs ist und weitere Angriffe laufen, die (noch) nicht entdeckt wurden. Handelt es sich möglicherweise um eine Attacke, die schon länger im Gang ist, aber – bisher – unter dem Radar flog? Falls ja, müsste in den kommenden Tagen, Wochen und Monaten mit weiteren Enthüllungen gerechnet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Hacker-Angriff auf Datennetzwerk des Bundes: Ganzheitliches Sicherheitsmanagement notwendig

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

datensicherheit.de, 01.03.2018
Ohne automatisierte Netzwerk-Dauerüberwachung zu leichtes Spiel für Angreifer

Ein Kommentar von Ross Brewer, Vice President und Managing Director EMEA bei LogRhythm

[datensicherheit.de, 02.08.2018] Cyberkriminelle konnten zwischen dem 14. und 18. Juni 2018 in die Systeme des Social-News-Aggregators Reddit eindringen und dabei Nutzerdaten entwenden. Der Vorfall war dem Unternehmen bereits am 19. Juni bekannt, die Datenpanne wurde jedoch erst jetzt gemeldet. Betroffene Nutzer sollen prüfen, ob sie das Passwort ihres Accounts auch für andere Seiten verwendet haben und ihre Daten von den Hackern missbraucht wurden.

Foto: LogRhythm

Ross Brewer, Vice President und Managing Director EMEA bei LogRhythm, kommentiert die Datenpanne folgendermaßen:

„Zwar geht die Offenlegung einer Datenverletzung oft einher mit der Aufdeckung des Ausmaßes sowie der Aufklärung von Betroffenen, jedoch hat sich Reddit gegen das alles entschieden. Stattdessen rät er seinen Nutzern, das ganze selbst in die Hand zu nehmen und die eigenen Posteingänge nach ungewöhnlichen Aktivitäten zwischen dem 3. und 17. Juni zu überprüfen – also dem Zeitraum, in dem der Cyberangriff stattfand. Diese Reaktion ist unpässlich. Denn das Unternehmen hat seine Kunden durch offensichtlich fehlende Sicherheitsmaßnahmen verletzlich gemacht und lässt sie nun mit diesem Problem alleine. Damit verstößt es gegen die Datenschutz-Grundverordnung (DSGVO), sollten europäische Bürger betroffen sein.

Cyberkriminelle konnten Zugang zu Datenbanken erhalten, indem sie Textnachrichten abfingen, die im Rahmen von Reddits Zwei-Faktor-Authentifizierungsmaßnahmen gesendet wurden. So erhielten sie die Zugangsdaten der Mitarbeiter, die dann wiederum für den Zugriff auf Datenbanken mit Benutzerdaten verwendet wurden. Dabei konnten die Angreifer auch Benutzernamen und E-Mail-Adressen identifizieren, die für die E-Mail-Funktion des Unternehmens verwendet wurden.

Der Verstoß bekräftigt, dass Firmen mehr unternehmen müssen, um ihre sensiblen Daten zu schützen. Dabei kann die Zwei-Faktor-Authentifizierung nicht die einzige Maßnahme sein, sondern muss lediglich Bestandteil eines größeren Sicherheits-Setups sein. Dies bedeutet eine automatische Erkennung durch Tools wie NextGen SIEM und User and Entity Behaviour Analytics (UEBA), mit denen anomale Aktivitäten schnell erkannt werden können, sodass potenzielle Bedrohungen von vornherein ausgeschaltet werden.“

 Weitere Informationen zum Thema:

datensicherheit.de, 24.06.2018
Überlebensfrage: Abwehr von Cyber-Attacken auf kritische Infrastruktur

datensicherheit.de, 05.07.2017
Datendiebstahl: Britischer Versicherer ließ Kunden über Vorfall im Dunklen

[datensicherheit.de, 02.09.2011] Zum zweijährigen Bestehen der Informationspflicht bei Datenschutzpannen zeigt sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar zufrieden mit der neuen Regelung, fordert aber deren Erstreckung auf staatliche Stellen:
Die Schaffung einer Informationspflicht bei Datenschutzpannen sei richtiger Schritt. Die Publizitätspflicht motiviere die verantwortlichen Stellen, mehr für die Datensicherheit und den Datenschutz zu tun, und versetze die Betroffenen in die Lage, negative Konsequenzen rechtzeitig abzuwenden sowie Sicherheitsmaßnahmen zu ergreifen. Leider sei der Gesetzgeber auf halber Strecke stehen geblieben, indem er staatliche Stellen von der allgemeinen Informationspflicht bei Datenschutzpannen ausgenommen habe, so Schaar.
Es sei nicht nachvollziehbar, warum das Gesetz bei Datenschutzverstößen öffentlicher und privater Stellen unterschiedliche Maßstäbe anlege. Dabei bestehe weiterer Nachbesserungsbedarf. Nach einer bundesweiten Erhebung seien den Datenschutzaufsichtsbehörden des Bundes und der Länder in den ersten 18 Monaten nach Inkrafttreten der Informationspflichten fast 90 Fälle gemeldet worden. In der überwiegenden Zahl habe es sich um den Diebstahl oder Verlust von mobilen Datenträgern, wie Notebooks und USB-Sticks, oder um Fehlversendungen von E-Mails und Briefen gehandelt. Daneben habe es Fälle des Ausspähens von Bankdaten (Skimming) und Datenverluste durch Hacking gegeben. Betroffen gewesen seien in aller Regel Bankverbindungs- und Kreditkartendaten, zum Teil aber auch besonders sensible Daten, wie Gesundheitsdaten.
Die Anzahl der bundesweit gemeldeten Fälle belege laut Schaar, dass die Informationspflicht bei Datenschutzpannen von den verantwortlichen Stellen ernst genommen werde. Dennoch gehe er von einer hohen Dunkelziffer nicht gemeldeter Vorfälle aus. Häufig sei auch die Kommunikation der verantwortlichen Stellen gegenüber der Öffentlichkeit und den Datenschutzbehörden noch stark verbesserungsbedürftig.
Seit dem 1. September 2009 müssen nicht-öffentliche Stellen und ihnen gleich gestellte öffentlich-rechtliche Wettbewerbsunternehmen gravierende Datenschutzpannen der zuständigen Aufsichtsbehörde anzeigen sowie die Betroffenen informieren und ihnen Handlungsempfehlungen unterbreiten. § 42a des Bundesdatenschutzgesetzes sieht eine solche Informationspflicht vor, wenn sensible personenbezogene Daten unrechtmäßig in die Hände Dritter gelangt sind und schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Bei einem Verstoß gegen § 42a des Bundesdatenschutzgesetzes droht ein Bußgeld von bis zu dreihunderttausend Euro oder sogar mehr.

Weitere Informationen zum Thema:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Datenschutz / Informationsfreiheit / Datenschutzforum