[datensicherheit.de, 21.06.2023] Auch F-Secure warnt zum Sommerbeginn 2023 und zur bevorstehenden Urlaubszeit vor den häufig unterschätzen Gefahrenquellen wie Gratis-Wi-Fi, öffentlichen Netzwerken und automatischen Log-in Funktionen und rät zum Schutz vor sogenanntem Identitätsdiebstahl. „Auch in den schönsten Wochen des Jahres sind Smartphone und Co. täglich im Einsatz für Nachrichten an die Familie, die Erstellung von Reiseschnappschüssen oder das Online-Banking. Besondere Vorsicht ist dabei in unbekannten Umgebungen geboten, denn Datenverlust, Identitätsdiebstahl und Malware-Infektionen können Folge unvorsichtiger Nutzung öffentlicher Netzwerke sein.“ Aus diesem Grund gelte besonders im Urlaub, die eigenen Daten zu schützen und potenzielle Gefahrenquellen bereits vor Reiseantritt zu kennen.

Abbildung: F-Secure

F-Secure hilft zu prüfen, ob persönlichen Daten von einem bekannt gewordenen Datendiebstahl betroffen sind…

Gefahrenquellen im Urlaub: Gratis-Wi-Fi, automatische Log-in Prozesse und Juice Jacking

Bei Reisenden seien kostenlose Wi-Fi-Zugänge und öffentliche Netzwerke besonders beliebt. Diese könnten jedoch eine große Gefahr darstellen! „In den meisten Fällen verbinden sich Geräte nach dem ersten Mal automatisch mit vermeintlich vertrauten WLAN-Netzwerken. Dabei gleicht das eigene Gerät zur Verifizierung nur den Namen des Wi-Fis ab.“ Der Einsatz „böser“ Wi-Fi-Zwillinge mit demselben Namen ermögliche dann den Diebstahl von Daten wie Cookies. „Da die Sicherheitsmechanismen öffentlicher Netzwerke oft intransparent und unzureichend sind, egal ob im In- oder Ausland, heißt es besondere Vorsicht walten zu lassen und gezielte Maßnahmen zur Vorbeugung zu treffen.“

Ein weiterer Weg für unbefugten Zugriff sei die sogenannte „Remember Me“-Funktion: Log-ins, bei denen man seinen Benutzernamen und Passwort mit nur einem Klick speichern könne, seien zwar komfortabel, aber nicht unbedingt sicher. „Sie erkennen den Nutzer nur anhand seiner Cookies. Einmal gestohlen, können sie genutzt werden, um Log-ins ganz zu umgehen.“ Felix Blank, Sicherheitsexperte bei F-Secure, warnt daher: „Cookies sind die Generalschlüssel der digitalen Welt. Wer in einem Urlaubshotel ungeschützt ein Netzwerk nutzt, lässt diesen Schlüssel quasi am Hotelbüfett offen herumliegen.“

Vorsicht sei auch in Hinblick auf sogenanntes Juice Jacking geboten, bei dem ein Cyber-Angriff über den USB-Anschluss beim Aufladen eines mobilen Gerätes stattfinde: Öffentliche Ladestationen und USB-Anschlüsse in Hotelzimmern könnten mit Schadsoftware „verseucht“ sein und synchronisierte Daten abgreifen.

Lösungen für den Urlaub: VPN, USB-Datenblocker-Adapter und Identitätsdiebstahl-Checker

Um Diebstahl und Missbrauch von Daten bei der Nutzung öffentlicher WLAN-Hotspots entgegenzuwirken, biete sich ein persönliches VPN an: „Eine VPN-Verbindung weist der eigenen Internetverbindung einen sicheren Weg wie durch einen Tunnel. Das eigene Signal wird über verschlüsselte Server weitergeleitet, so dass die Daten für die Betrüger nicht erreichbar sind“, erläutert Blank. Der Verkehr von Daten werde dadurch zuverlässig geschützt – Online-Banking oder Online-Shopping seien dann kein Problem mehr.

Wenn unterwegs einmal der Akku-Stand sinkt und öffentliche Ladestationen genutzt werden, sei es sinnvoll, einen USB-Datenblocker-Adapter zu verwenden, um einen unbeabsichtigten Datentransfer zu verhindern. Unternehmen wie Apple und Google hätten die automatische Synchronisations-Funktion ihrer Geräte bereits deaktiviert. „Man kann aber immer noch einmal sichergehen und einen USB-Datenblocker-Adapter dazwischenschalten“, so Blank.

Mit diesen vorbeugenden Maßnahmen könne auch ein möglicher Identitätsdiebstahl verhindert werden. Hacker nutzten personenbezogene Daten oftmals nicht nur zu ihrem eigenen Vorteil, sondern verkauften sie auch im sogenannten Darknet weiter. Der „F-Secure Identitätsdiebstahl-Checker“ z.B. ermögliche auf einfache Weise eine Überprüfung, ob private Informationen bereits in „Leaks“ auftauchen. Sollte dies der Fall sein, sei eine sofortige Änderung der Passwörter dringend zu empfehlen.

Weitere Informationen zum Thema:

F-Secure
Prüfen Sie, ob Sie von einem Datendiebstahl betroffen sind

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

datensicherheit.de, 31.08.2021
4 McAfee-Tipps zum Schutz der Tablets und Smartphones im Familienurlaub / McAfee gibt Sicherheits-Tipps, da die Anzahl gezielter Angriffe auf Mobile Devices um mehr als hundert Prozent gestiegen ist

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen

[datensicherheit.de, 07.04.2019] Im Zuge der Weiterentwicklung von Bedrohungen wächst auch der Bedarf von Unternehmen, sich gegen die geschäftsschädigenden Auswirkungen von Cyber-Angriffen zu schützen. Angesichts dieses Trends fordert F-Secure, dass sowohl die ständige Bereitschaft zum Erkennen möglicher Sicherheitsverletzungen als auch die schnelle und effektive Eindämmung, „die das richtige Gleichgewicht von Mensch, Prozess und Technologie abdeckt“, stärker in den Vordergrund gestellt wird.

Cyber-Angriffe für viele Unternehmen inzwischen Selbstverständlichkeit

„Cyber-Angriffe sind für viele Unternehmen inzwischen eine Selbstverständlichkeit. Es geht nicht mehr darum, ob ein Unternehmen angegriffen wird, sondern um die Frage, wann es passiert.“ Dies erfordere eine Veränderung in der Art und Weise, wie Unternehmen mit vielen Sicherheitsaspekten umgehen, so Tim Orchard, „Managing Director“ von F-Secure Countercept.
Eine kürzlich durchgeführte Umfrage von MWR Infosecurity (2018 von F-Secure) hebe den Mangel an Investitionen in effektive Reaktionsstrategien auf derartige Vorfälle als aktuellen Schwachpunkt hervor. 44 Prozent der Teilnehmer hätten angegeben, dass sie weniger in die Reaktionsfähigkeit investierten, als beispielsweise in die Vorhersage, Prävention oder Erkennung von Bedrohungen. Nur zwölf Prozent gäben an, dass sie diese „Response“ gegenüber ihren anderen Sicherheitsaspekten priorisierten.

Geschulte Personen zur richtigen Zeit am richtigen Ort haben

Die sogenannte Continuous Response sei ein neu entstehendes Konzept der Cyber-Sicherheit, welches für die Steigerung der Reaktionsfähigkeit von zentraler Bedeutung sei: Dabei gehe es darum, geschulte Personen zur richtigen Zeit am richtigen Ort zu haben, welche die Kontrolle über die Situation übernehmen. Ziel sei es, Zusammenarbeit, Kontext und Kontrolle in einen flüssigen Prozess zusammenzuführen. In der Praxis könnte dies bedeuten, dass ein einziges Team von Cyber-Kriminologen, Ersthelfern, Administratoren und anderen Mitarbeitern zusammenarbeitet, um potenzielle Bedrohungen aktiv zu identifizieren und zu beseitigen, noch bevor sie eskalieren.
„Wenn Unternehmen über Werkzeuge und Techniken verfügen, um Angriffe schnell zu erkennen, einzudämmen und zu vereiteln, gewinnen sie Zeit und die Möglichkeit, eine genaue Vorstellung davon zu bekommen, wie Angreifer Schwachstellen ausnutzen und wie sie sich durch das Unternehmensnetzwerk bewegen. Diese Werkzeuge und Techniken müssen ausgereift genug sein, damit Angreifer nicht merken, dass man sie bereits aufgespürt hat, um sie dann mit einem einzigen konzertierten Stoß zu exmittieren“, erläutert Orchard. Es sei wichtig, diese Werkzeuge und Techniken in die Hände der richtigen Teams zu geben, damit sie auch funktionieren.

Rund um die Uhr Dienste zur Bedrohungsüberwachung, Erkennung und Reaktion

Laut dem Bericht „Answers to Questions About 3 Emerging Security Technologies for Midsize Enterprises“ von Gartner geht es bei MDR (Managed Detection and Response) darum, „geschultes Personal zu mieten“, um unentdeckte Vorfälle zu erkennen. Insbesondere dann, wenn Unternehmen das entsprechende Know-how nicht in eigenes Personal investieren könnten. Es gehe außerdem darum, genau die zehn Prozent der Vorfälle aufzuspüren, welche die traditionelle Firewall und den Endpoint-Schutz umgehen.
MDR-Lösungen böten in der Regel rund um die Uhr Dienste zur Bedrohungsüberwachung, Erkennung und Reaktion, die Analysen und Bedrohungsinformationen wirksam einsetzten, um Unternehmen zu schützen. Im Allgemeinen setzten MDR-Anbieter Sensoren (z.B. einen Endpoint-Agenten oder eine Netzwerksonde) ein, um Metadaten von den Systemen eines Kunden zu sammeln. Diese Metadaten würden dann auf Angriffsanzeichen hin analysiert und der Kunde werde benachrichtigt, sobald ein potenzieller Vorfall erkannt wird.

Den Gegner stoppen, eindämmen und ausschließen können

Nachdem ein Vorfall erkannt wurde, sollen Kunden entweder selbst reagieren oder externe Experten und Ansätze für „Incident Response“ einbringen. Das könne die Forensik an Ort und Stelle, Fernuntersuchungen sowie eine Beratung über eine mögliche, orchestrierte, technische Reaktion beinhalten.
Die „Reaktion“ als kontinuierliche Aktivität bedeutet demnach, dass Team-Mitglieder in ständiger Kommunikation und Zusammenarbeit miteinander stehen und in der Lage sind, verdächtige Ereignisse zu diskutieren, die überall in ihrer Infrastruktur geschehen. Effektive MDR-Lösungen könnten diesen Prozess erleichtern und den Verteidigern den Vorteil geben, dass sie einen Gegner stoppen, eindämmen und bestenfalls ausschließen könnten. „Unabhängig davon, ob es sich um eine Inhouse-Lösung oder ein Outsourcing handelt, ist eine ausgewogene MDR-Lösung entscheidend. Ich denke, dass unser Ansatz die Essenz einer kontinuierlichen Reaktion ist. Wir bereiten unsere Kunden darauf vor, dass Vorfälle bereits stattgefunden haben, und helfen ihnen dann, diese Bedrohungen zu finden“, erläutert Orchard. Gerade dies ermögliche es Verteidigern, Angreifer beim ersten Versuch schnell zu isolieren und „dementsprechend zu verhindern, dass diese Gegner ihren Angriff wiederholen“.

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2018
Studie: Einstellungen von Führungskräften zu den größten Cyberbedrohungen

datensicherheit.de, 19.10.2016
Berechtigungen: Interne Bedrohungen im Fokus

[datensicherheit.de, 13.09.2018] F-Secure hat nach eigenen Angaben eine Schwachstelle in modernen Computern entdeckt, die es Hackern ermöglichen kann, Verschlüsselungscodes und andere kritische Informationen zu stehlen. Forscher des Unternehmens warnen Hersteller und Nutzer von PCs, dass die gegenwärtigen Sicherheitsmaßnahmen nicht ausreichten, um Daten in verlorenen und gestohlenen Laptops zu schützen.

Unternehmen aktuell nicht vorbereitet oder aufmerksam gemacht

Hacker müssten physischen Zugriff auf den Computer haben, bevor sie dessen Schwachstelle ausnützen können. Der „F-Secure Principal Security Consultant“ Olle Segerdahl weist indes darauf hin, dass ein Dieb nur etwa fünf Minuten brauche, um den Angriff erfolgreich durchzuführen, wenn er sich das Gerät verschafft hat:
„Unternehmen sind normalerweise nicht darauf vorbereitet, sich vor Angreifern zu schützen, die sich den Computer eines Mitarbeiters physisch angeeignet haben. Wenn ein Sicherheitsproblem in Geräten größerer PC-Hersteller gefunden wird, wie die Schwachstelle, die wir aufgedeckt haben, muss davon ausgegangen werden, dass viele Firmen verwundbar sind. Unternehmen sind darauf aktuell nicht vorbereitet oder aufmerksam gemacht worden, dass es diese Verwundbarkeit gibt.“

Foto: F-Secure

Olle Segerdahl, F-Secure Principal Security Consultant

Hacker nutzen Angriffsmethode seit 2008

Die Schwachstelle erlaubt es Angreifern, die physischen Zugriff auf einen Computer haben, demnach eine sogenannte „Cold Boot“-Attacke auszuführen. Diese Angriffsmethode sei Hackern bereits seit 2008 bekannt. Bei „Cold Boot“-Attacken werde ein Computer neu gestartet, ohne im Vorfeld korrekt runtergefahren worden zu sein. Im Anschluss werde auf die kurzzeitig noch im RAM verfügbaren Daten zugegriffen.
Aktuelle Laptops überschrieben mittlerweile den Arbeitsspeicher (RAM), um genau diese Art der „Cold Boot“-Attacken für den Datendiebstahl zu verhindern. Allerdings hätten Segerdahl und sein Team eine Methode herausgefunden, wie sich der Überschreibprozess ausschalten lässt und die seit über zehn Jahren bekannte „Cold Boot“-Attacke wieder funktioniert.
„Gegenüber der klassischen ,Cold Boot‘-Attacke erfordert es einige Zusatzschritte, aber der Angriff ist effektiv gegen alle aktuellen Laptops, die wir getestet haben. Diese Bedrohungsart ist hauptsächlich in den Fällen relevant, in denen Geräte gestohlen oder sonst illegal angeeignet werden. Dann haben Angreifer viel Zeit, die Attacke auszuführen“, erläutert Segerdahl.

Aktuell kein Schutz gegen diesen Angriff verfügbar

Die Firmware-Einstellungen, die das Verhalten des Boot-Prozesses kontrollieren, seien nicht gegen Manipulation durch einen physischen Angreifer geschützt. Mit einem einfachen Hardware-Tool könne ein Angreifer den Speicherchip („Non-volatile Memory Chip“) überschreiben, der diese Firmware-Einstellungen enthält. Im Anschluss könne er den Speicher überschreiben und einen Boot-Vorgang von externen Geräten zulassen. Die eigentliche „Cold Boot“-Attacke könne mit einem speziellen Programm von einem USB-Stick aus durchgeführt werden.
„Diese Angriffsmethode funktioniert gegen sämtliche von uns getestete und handelsübliche Firmenlaptops. Deswegen können Unternehmen keineswegs sicher sein, ob ihre Daten noch sicher sind, wenn ein Computer vermisst wird. Auf 99 Prozent aller Firmenlaptops sind Zugangsdaten für Unternehmensnetzwerke. Dies gibt Angreifern eine beständige und zuverlässige Methode, um Unternehmensziele auszuspionieren oder zu schädigen“, erläutert Segerdahl.
Es gebe keinen einfachen Lösungsweg für dieses Problem. Es sei also ein Risiko, „mit dem Unternehmen aktuell selbst fertig werden müssen“. Segerdahl habe die Forschungsresultate seines Teams mit Intel, Microsoft und Apple geteilt, damit die PC-Branche die Sicherheit gegenwärtiger und künftiger Produkte verbessern kann.

Unternehmen sollten sich selbst auf solche Angriffe vorbereiten

Segerdahl geht nicht davon aus, dass sich kurzfristig eine Lösung finden lässt. Er rät Unternehmen dazu, sich selbst auf solche Angriffe vorzubereiten. Eine Methode könnte sein, Laptops so zu konfigurieren, dass sie sich automatisch ausschalten oder in den Schlafmodus gehen. Anwender müssten dann die Bitlocker-PIN jedes Mal eingeben, wenn „Windows“ hochfährt oder wiederhergestellt wird.
Angestellte, besonders Führungskräfte und Außendienstmitarbeiter sollten über „Cold Boot“-Attacken und ähnliche Bedrohungen mit besonderer Dringlichkeit informiert werden. Die IT-Abteilungen sollten einen Reaktionsplan griffbereit haben, um mit vermissten Laptops korrekt umzugehen:
„Eine schnelle Reaktion, die die Zugangsdaten sperrt, macht gestohlene Laptops weniger wertvoll für die Angreifer. Die zuständigen Personen für IT-Sicherheit und Notfallmanagement sollten sich auf ein solches Szenario vorbereiten und es trainieren. Die jeweiligen Mitarbeiter sollten dringend darauf hingewiesen werden, dass die IT-Abteilung sofort informiert werden muss, wenn ein Gerät verloren geht oder gestohlen wird“, rät Segerdahl.
Sich auf solche Fälle vorzubereiten, sei bessere Praxis als einfach anzunehmen, dass Geräte nicht physisch von Hackern manipuliert werden könnten, „weil das offensichtlich nicht der Fall ist“.

Weitere Informationen zum Thema:

F-Secure
Die erschreckende Wahrheit zu Cold Boot-Attacken

[datensicherheit.de, 14.04.2016] Eine nach eigenen Angaben von F-Secure im Frühjahr 2016 durchgeführte Untersuchung von Firmennetzwerken soll Tausende von schwerwiegenden Sicherheitslücken identifiziert haben, durch die sich Angreifer unbemerkt Zugang zu den Unternehmen hätten verschaffen können. Mit Hilfe von „F-Secure Radar“, einer „Vulnerability Scanning- und Managementlösung“ für Software-Schwachstellen, seien im Rahmen der Untersuchung Zehntausende Fälle von falsch konfigurierten Systemen, ungepatchter Software und anderen Anfälligkeiten aufgedeckt worden – für Sicherheitsexperten ein klarer Beweis, dass viele Unternehmen über keinen ausreichenden Überblick ihrer Netzwerke verfügten.

Schwerwiegende Sicherheitsschwächen im Prinzip einfach zu beheben

Das Ergebnis dieser Untersuchung sei besorgniserregend – die in deren Rahmen hundert häufigsten in Firmennetzwerken erkannten Schwachstellen seien insgesamt in fast 85.000 Fällen nachgewiesen worden.
In etwa sieben Prozent dieser Fälle sei die Sicherheitsschwäche – laut den Richtlinien der „National Vulnerability Database“ als „schwerwiegend“ einzustufen. Fast die Hälfte dieser schwerwiegenden Sicherheitslücken seien ausnutzbar gewesen und könnten es Angreifern erlauben, durch die Ausführung von Remote-Code die Kontrolle über infiltrierte Systeme zu erlangen. Dabei wären fast alle dieser ausnutzbaren Schwachstellen durch die richtigen Software-Patches oder ganz simple administrative Änderungen leicht zu beheben.

Unmenge von Angriffsmöglichkeiten

Sollten Angreifer eine dieser schwerwiegenden Schwachstellen ausfindig machen, verheiße das nichts Gutes für das Unternehmen, so Jarno Niemelä, „Lead Researcher“ bei F-Secure Labs. Die Tatsache, dass sie Tausende Probleme dieses Kalibers hätten entdecken können, deute bei den betroffenen Unternehmen auf einige gravierende Sicherheitsdefizite hin. Entweder würden dort keine Patch-Management-Programme verwendet oder Teile des Netzwerks bei der administrativen Wartung schlichtweg vergessen. „Die zugrunde liegenden Ursachen machen dabei aber keinen Unterschied, denn das Resultat ist und bleibt eine Unmenge von Angriffsmöglichkeiten, die nur darauf warten, von Hackern ausgenutzt zu werden“, warnt Niemelä.
Das Ergebnis unterstreiche dabei ein weiteres Mal die oft angemahnte Bedeutung grundlegender Sicherheitsmaßnahmen und deren gewissenhafte Umsetzung. Laut dem US-amerikanischen „Computer Emergency Readiness Team“ könnten mit einigen, unkomplizierten Schritten, wie dem Patchen anfälliger Software, bis zu 85 Prozent gezielter Cyberattacken verhindert werden.

Jede Sicherheitslücke als Paradies für Hacker

Während die Untersuchung Tausende von schwerwiegenden Schwachstellen habe ausfindig machen können, hätten sich falsch konfigurierte Systeme als weitaus häufigeres Problem herausgestellt. Die zehn meist erkannten Sicherheitsschwächen seien von niedriger oder mittlerer Schwere, machten aber 61 Prozent aller identifizierten Schwachstellen aus. Obwohl diese Probleme nicht dieselbe Gefahr wie Hochrisiko-Sicherheitslücken darstellten, ermutigten sie Hacker, das Netzwerk weiter zu testen und nach anderen Schwächen zu suchen.
An sich betrachtet, erschienen diese Probleme nicht besonders kritisch, aber Hacker sähen in jeder dieser kleineren Schwachstellen das Cyber-Security-Äquivalent einer Einladung zum Angriff, warnt Rüdiger Trost, Sicherheitsexperte bei F-Secure.
Über viele dieser Schwachstellen könne man einfach nur durch bloßes Surfen im Web stolpern – und selbst wenn ein Hacker keinen Angriff geplant hätte, sei die Versuchung, dieser „Einladung“ zu folgen und zu schauen, was passiert, groß. „Im besten Fall können sich Unternehmen über eine informative E-Mail freuen, die sie über das Problem unterrichtet, im schlimmsten Fall seien Cyberkriminelle bereits dabei, erste Aufklärungen in Vorbereitung eines gezielten Angriffs durchzuführen“, erläutert Trost.

[datensicherheit.de, 24.06.2014] Mitarbeiter des Unternehmens F-Secure haben die Angriffsmuster der Havex-Malware-Familie weitgehend enttarnt. Havex tritt immer wieder in gezielten Angriffen gegen industrielle Anwendungen in Erscheinung. Das Ziel der Angreifer ist Industriespionage, die mit einer cleveren Methode ausgeführt wird. Dabei werden Trojaner in Installationsprogrammen von ICS- und SCADA-Software, also industrieller Prozess-Steuerungssoftware (ICS – Industrial Control System; SCADA – Supervisory Control and Data Acquisition), untergebracht. Dies ist eine wirksame Methode, um sich Zugang zu entsprechenden Systemen und sogar kritischen Infrastrukturen zu verschaffen. Die Nutzung kompromittierter Command and Control (C&C)-Server ist typisch für diese Malware-Gruppe.

„Im Frühjahr 2014 haben wir festgestellt, dass Havex ein besonderes Interesse an Industrial-Control-Systemen hat. Die Gruppe, die dahintersteckt, verwendet einen innovativen Trojaner-Ansatz, um die Opfer zu kompromittieren“, erklärt Sean Sullivan vom F-Secure Lab.

Die Angreifer nutzen als Zwischenziel ICS-Hersteller-Websites mit Trojaner-infizierter Software, die zum Download bereitsteht. Damit sollen wiederum Computer infiziert werden, die an ICS-Umgebungen angebunden sind. Dies entspricht der „Watering-Hole“-Methode, bei der die Opfer an die „Wasserstelle“ gelockt werden, wo der Feind lauert. Die Angreifer missbrauchen dabei vermutlich Schwachstellen in der Software, mit der die Websites betrieben werden, um legitime Software-Installer, die zum Download zur Verfügung stehen, durch infizierte zu ersetzen.

Für die Angriffe sind zwei Hauptkomponenten nötig: ein Remote-Access-Trojaner (RAT) und ein Server mit der Skriptsprache PHP. Aus Mangel an Betriebserfahrung gelingt es ihnen jedoch nicht immer, die C&C-Server in einer professionellen Art und Weise zu steuern. Eine zusätzliche Komponente ist schädlicher Code, der es erlaubt Daten von infizierten Rechnern in industriellen Steuerungssystemen abzugreifen. Dies deutet darauf hin, dass die Cyber-Kriminellen daran interessiert sind, die vollständige Kontrolle über die industriellen Steuerungssysteme zu erlangen. F-Secure gelang es nun, aufgrund verdächtiger Aktivitäten infizierte Computer zu identifizieren, die mit diesen Servern in Verbindung treten. Dabei konnte F-Secure Angriffsziele in verschiedenen Branchen aufspüren.

„Unsere bisherige Analyse hat ergeben, dass Websites von drei Softwareanbietern auf diese Weise kompromittiert wurden. Wir vermuten aber, dass es noch weitere vergleichbare Fälle gibt, die noch nicht identifiziert worden sind. Alle drei Unternehmen beschäftigen sich mit der Entwicklung von Anwendungen und Hardware für den industriellen Einsatz. Die Unternehmen stammen aus Deutschland, der Schweiz und Belgien”, erläutert Sean Sullivan und fügt hinzu: „Die eigentlichen Opfer, auf die es die Malware-Akteure abgesehen haben, sind Unternehmen und Institutionen, die industrielle Anwendungen oder Maschinen entwickeln oder einsetzen. Die Mehrheit befindet sich in Europa, wobei wir zum bisherigen Zeitpunkt auch bei einem Unternehmen in Kalifornien beobachtet haben, dass Daten an einen C&C-Server gesendet werden. Von den in Europa ansässigen Organisationen handelt es sich um zwei wichtige Bildungseinrichtungen in Frankreich, zwei deutsche Hersteller von industriellen Anwendungen und Maschinen, einen französischen Maschinenhersteller und ein russisches Bauunternehmen.“

[datensicherheit.de, 13.03.2014] Die zunehmende Beliebtheit und Verbreitung öffentlicher Hotspots macht es für Betrüger und Datendiebe immer einfacher, schnell und problemlos sensible Daten unbedarfter Bürger abzufangen. Dies bestätigt aktuell Troels Oerting, Leiter des Cybercrime Centres von Europol. „Persönliche, sensible Daten sollten nur über wirklich sichere Verbindungen ausgetauscht werden“, mahnt der Experte.
Auch wenn die Bedrohung und Risiken durch öffentliche Internetzugänge nicht neu sind, so sind viele Verbraucher noch immer äußerst unvorsichtig und nutzen die kostenlosen Datenverbindungen auch häufig für Online-Banking, eCommerce und andere Anwendungen, bei denen sensible Daten preisgegeben werden. Immer mehr Unternehmen verpflichten deshalb ihre Mitarbeiter für Anwendungen wie E-Mail etc. nur sichere Verbindungen zu nutzen, wenn sie unterwegs mit Laptop und Smartphone arbeiten.

„Öffentliche Wi-Fi Hotspots sind an sich eine tolle Sache. Wenn man kurz die aktuellen Bundesligaergebnisse checken möchte oder den nächsten Taxistand sucht. Dann spricht nichts gegen die kurze Nutzung eines solchen Angebots“, erklärt Sean Sullivan, Security Advisor bei F-Secure Labs. „Wenn es aber um den Transfer privater oder geschäftlicher Informationen geht, dann wird es gefährlich, wenn man nicht explizit vorsorgt.“

Um Verbraucher bei der Nutzung von öffentlichen Wi-Fis zu schützen, rät F-Secure zur Nutzung sicherer VPN-Verbindungen. Diese können beispielsweise durch die Mobile App F-Secure Freedome schnell eingerichtet werden.

„Anstatt verschiedene Anforderungen für immer mehr Geräte und Services erfüllen zu müssen, sollten wir eher eine zentrale Sicherheitslösung wählen, die immer auf dem neuesten Stand und effektiv ist. So funktioniert F-Secure Freedome. Mit dieser Anwendung wird ein umfassendes Konzept für den Schutz von mobilen Geräten und Daten realisiert“, berichtet Sean Sullivan. „F-Secure Freedome bietet neben Malware-Schutz und Spyware-Schutz auch ein VPN zur Verschlüsselung von Verbindungen. Dadurch können Verbraucher den Gaunern in öffentlichen Hotspots die Türe vor der Nase zuschlagen.“

[datensicherheit.de, 11.10.2011] Im Gegensatz zur Frühphase der Computerviren agiere die heutige Malware eher unbemerkt im Hintergrund, überwiege nun die schädliche Intention, so Rüdiger Trost, „Presales Consultant“ der F-Secure GmbH auf der „it-sa 2011“ im „Forum Blau“:
In der Diskussion aktueller Malware-Attacken werde schnell auch der Begriff „Cyberwar“ in den Mund genommen. Dessen Begriffsklärung sei indes schwierig: Damit könnte ein Angriff per Malware von einem Land auf ein anderes gemeint sein – mit Schäden bei der Infrastruktur oder bei der Bevölkerung. Eine eindeutige Definition gebe es nicht.

Foto: Dirk Pinnow

Rüdiger Trost in seinem Vortrag „Cybercrime & Cyberwar“

Zur Erörterung der Gefahren durch Malware sei es besser, von zielgerichteten Angriffen mit speziell auf die Schwächen des Opfers zielender Schadsoftware („Trojaner“) auszugehen. Bevorzugte Ziele solcher Attacken seien derzeit 1. Bürgerrechtsinitiativen, 2. Regierungen und 3. militärnahe Unternehmen.
Die Angriffsplanung starte mit „Social Engineering“, d.h. mit Ausforschung der Aufbau- und Ablauforganisation und der eingesetzten IT. Dann werde nach einer Schwachstelle gesucht – in der Regel Software wie PDF-Reader, Office-Anwendungen oder Webbrowser. Schließlich werde „Designer-Malware“ erstellt, die zumeist per E-Mail mit Attachment vor einem scheinbar vertrauenswürdigen Hintergrund dem Opfer zugeleitet werde. Ein anderes Einfallstor seien gezielt platzierte, verseuchte USB-Sticks, die – versehen mit einer Neugier weckenden Aufschrift – vom Opfer garantiert verwendet würden.
Trost machte auch ein paar Ausführungen zur aktuellen Diskussion um den sogenannten „Bundestrojaner“. Dieser erlaube nicht nur die zur begründeten Kriminalitätsverfolgung zugelassenen Screenshots, VOIP-Aufnahmen sowie Chat-Protokolle, sondern u.a. auch die Nutzung als Keylogger; über ihn könnten ferner die Webcam und das Mikrofon zur Überwachung aktiviert werden, seien Lesen und Beschreiben der Festplatte möglich, könnten gar weitere Überwachungsmodule nachgeladen werden – oder auch kompromitierende Software als angebliche Beweise. Der „Bundestrojaner“ sei indes schlecht programmiert, d.h. seine unverschlüsselte Steuerbarkeit aus der Ferne könnte Kriminellen den Missbrauch ermöglichen. Schlussendlich sei auch die Kommunikation über einen Server in den USA bedenklich.
F-Secure biete Schutz auch gegen den „Bundestrojaner“.