[datensicherheit.de, 10.05.2022] „Es kann jeden treffen – sogar die versierten Techniker des renommierten Fraunhofer-Institutes“, kommentiert Guido Grillenmeier, „Chief Technologist EMEA“ bei Semperis, den Cyber-Angriff auf das Fraunhofer-Institut in Halle. Cyber-Kriminelle schreckten vor keinem Ziel zurück, egal in welcher Industrie.

Foto: Semperis

Guido Grillenmeier rät, den Schutz der eigenen IT-Kernsysteme zu erhöhen

Cyber-Angriff Mitte April 2022

Das Fraunhofer-Institut in Halle sei indes bei diesem Cyber-Angriff Mitte April 2022 „vermutlich mit dem Schrecken“ davongekommen: Es seien „nur“ Daten gestohlen aber keine Systeme verschlüsselt worden.

Grillenmeier: „Entweder waren die Angreifer zu gierig und wollten noch mehr Daten abgreifen, bevor sie klassischerweise mit der Verschlüsselung der Umgebung beginnen um entsprechende Lösegeldforderungen für den ,Key‘ zur Datenentschlüsselung einzufordern. Dabei wurde das Datenleck dann jedoch entdeckt und betroffene Systeme durch schnelles und kompetentes Handeln des Institutes vom Netz genommen und somit der Angriff im Keim erstickt. Oder es handelte sich um pure Industriespionage, bei der meist eine Zerstörung der Umgebung gar nicht das Ziel ist.“

Cyber-Angreifer kompromittierten möglicherweise das Active Directory

Auch wenn bis dato noch keine technischen Details dieses Angriffs bekannt gemacht worden seien: Es sei höchstwahrscheinlich, dass die Angreifer, auch das „Active Directory“ des Institutes kompromittiert hätten, um den Zugriff auf die gewünschten Forschungsdaten zu erhalten. „Der initiale Zugang wurde entweder durch Schwachstellen von internet-angebundenen Systemen oder einem Fehlverhalten eines Mitarbeiters durch Klicken von Links in einer Phishing-Email oder ähnlichen Links auf maliziösen Webseiten ergattert“, erläutert Grillenmeier. Ab dann gelte es als Angreifer Ruhe zu bewahren und das interne Netz zunächst genauer auf Schwachstellen zu untersuchen.

Bei gut 90 Prozent aller Angriffe hätten die Cyber-Kriminellen dann das „Active Directory“ im Visier, da dessen Eroberung den Zugang zu fast allen Ressourcen im Firmennetz ermögliche. „Ist der Zugang geschafft, werden möglichst viele sensible Firmendaten extrahiert – und hiernach nicht selten schnellstmöglich so viele Server- und Client-Systeme wie möglich verschlüsselt.“ Dieser letzte Schritt sei dem Institut erspart geblieben.

Erfolgreiche Cyber-Angriffe auf Firmen tägliche Normalität

In jedem Fall habe das Fraunhofer Institut vorbildlich gehandelt: „Es ist auf die Lösegeld-Forderungen der Cyber-Kriminellen zum Kauf der gestohlenen Daten, welche derzeit im Darknet angeboten werden, nicht eingegangen.“ Eine Finanzierung der Organisierten Kriminalität habe das Institut nicht unterstützen wollen – „richtig so!“

In einer Zeit, in der erfolgreiche Cyber-Angriffe auf Firmen zur täglichen Normalität geworden seien, lohne es sich, den Schutz der eigenen IT-Kernsysteme zu erhöhen. „Ihr Active Directory ist ein solches IT-Kernsystem. Vernachlässigen sie es nicht und finden sie selbst heraus, welche Schwachstellen ihr AD hat!“, rät Grillenmeier abschließend.

Weitere Informationen zum Thema:

mdr, 06.05.2022
Datendiebstahl / Fraunhofer-Institut in Halle Ziel von Hackerangriff

heise online, 04.05.2022
Nach Cyberangriff auf Fraunhofer-Institut in Halle Daten im Darknet angeboten

[datensicherheit.de, 01.02.2022] Unlängst soll es laut Medienberichten zu einem Hacker-Angriff gekommen sein, in dessen Folge große Tanklager in Deutschland lahmgelegt wurden. Nachfolgend geben drei IT-Sicherheitsexperten ihre erste Einschätzung wider:

Foto: Absolute Software

Torsten George warnt: Hacker verlagern Fokus auf das schwächste Glied!

Oiltanking und Mabanaft ob zentraler logistischer Bedeutung ideale Ziele für cyber-kriminelle Angriffe

„Oiltanking und Mabanaft mögen zwar keine bekannten Marken sein, aber ihre Dienste werden von vielen führenden Unternehmen wie Shell genutzt, was sie zu einem idealen Ziel für Kriminelle macht, die ihren Aktionsradius erweitern und ihren Einfluss bei der möglichen Forderung von Lösegeld erhöhen wollen“, erklärt Torsten George vom IT-Security-Anbieter Absolute Software.

Während Unternehmen ihre Verteidigung gegen direkte Netzwerkangriffe verbesserten, verlagerten Hacker ihren Fokus auf das schwächste Glied, indem sie die Lieferkette ausnutzten, um sich entweder über „Backdoors“ Zugang zu IT-Systemen zu verschaffen, Malware zu verbreiten oder einfach nur Unterbrechungen in der Lieferkette selbst zu verursachen. Laut dem „Cyber Report 2021“ von Allianz Global Corporate & Speciality würden Angriffe auf die „Supply Chain“ in Zukunft voraussichtlich eine der größten Bedrohungen für Unternehmen darstellen.

George führt weiter aus: „Um das Risiko, Opfer dieser Art von Angriffen zu werden, zu minimieren, empfehlen Branchenexperten die Einführung grundlegender ,Best Practices‘ für die Cyber-Hygiene.“ Unternehmen sollten Mitarbeiter in Sicherheitsfragen schulen, die Multi-Faktor-Authentifizierung verstärken, häufig Patches installieren und ihre Umgebung härten. „Letzteres gilt insbesondere für die Endpunkte, die oft als Ausgangspunkt für diese Angriffe genutzt werden“, so George.

Foto: Vectra AI

Andreas Riepen: Beeinträchtigung der Versorgungskette für Brenn-, Heiz- und Treibstoffe im Winter gefährdet Menschen…

Solche Angriffen unterstreichen sehr ernste Risiken für grundlegende Teile lebenswichtiger Dienste und Infrastrukturen

Andreas Riepen vom IT-Sicherheitsunternehmen Vectra AI ergänzt: „Die Beeinträchtigung von Elementen der Versorgungskette für Brenn-, Heiz- und Treibstoffe während der Wintersaison gefährdet potenziell die Sicherheit und das Wohlergehen der Menschen.“

Diese Art von Angriffen unterstreiche die sehr ernsten Risiken, welche von Kriminellen für grundlegende Teile lebenswichtiger Dienste und Infrastrukturen ausgingen.

„Wir hoffen inständig, dass es nur zu minimalen Störungen kommt. Zugleich hoffen wir, dass Unternehmen in die Resilienz investieren, die notwendig ist, um gegen solche Bedrohungen zu widerstandsfähig zu sein und sich davon schnell zu erholen“, sagt Riepen.

Foto: SEMPERIS

Guido Grillenmeier: Aktueller Vorfall klarer Warnschuss für Tanklogistiker und viele weitere Unternehmen!

Cyber-Angriff auf Tanklogistiker Oiltanking erinnert an Colonial-Pipeline-Debakel vom Mai 2021

„Der Cyber-Angriff auf den Tanklogistiker Oiltanking erinnert an das Colonial-Pipeline-Debakel aus letztem Jahr – konkret im Mai 2021 –, welches die Sprit-Versorgung an der Ostküste der USA in Gefahr gebracht hat“, kommentiert Guido Grillenmeier, „Chief Technologist“ beim IT-Sicherheitsexperten SEMPERIS.

Während die Sprit-Versorgung in Deutschland durch ein Netz von mehreren Tanklager-Anbietern gesichert zu sein scheine, sei dieser Angriff ein „klarer Warnschuss für jeden einzelnen Tanklogistiker und viele weitere Unternehmen“ – die Frage dürfe nicht allein sein, wie man verhindert Opfer eines Cyber-Angriffs zu werden. Stattdessen müssten die Notfallpläne davon ausgehen, „dass es irgendwann passiert“! Somit stehe die schnelle und unkomplizierte Wiederherstellung der eigenen IT-Infrastruktur im Vordergrund, von der alle Geschäftsprozesse mittlerweile abhängig seien.

Grillenmeier gibt zu bedenken: „In diesem Zusammenhang wirkt oft das gute alte ,Microsoft Active Directory‘ (AD) wie die Achillesferse für das IT-Team, da fast alle anderen Systeme im Unternehmen von der Verfügbarkeit des ADs abhängig sind. Gleichzeitig ist die malwarefreie Wiederherstellung des AD ein kompliziertes Unterfangen, welches – ohne geeignete Automatisierung – mehrere Tage in Anspruch nimmt.“ Viel zu viele Unternehmen seien sich der Herausforderung gar nicht bewusst und merkten es erst zu spät.

Weitere Informationen zum Thema:

Handelsblatt, Claudia Scholz, 01.02.2022
Energieversorgung / Cyberangriff legt Oiltanking-Tanklager deutschlandweit vollständig lahm – Tankwagen-Beladung außer Betrieb

Allianz, 2021
Cyber Report: Ransomware ist zur digitalen Pandemie geworden

datensicherheit.de, 26.07.2021
Ransomware-Attacken: Lehren aus dem Vorfall bei Colonial Pipeline / Cyber-Kriminelle wollen möglichst schnell und einfach möglichst viel Gewinn erzielen – Ransomware-Angriffe zumeist opportunistisch

[datensicherheit.de, 06.10.2021] Der jüngste, massive Systemausfall bei „facebook“ ist wohl – nahezu – niemandem verborgen geblieben. Die Bewertungen der Folgen dieses Vorfalls gingen weit auseinander und reichten von „ist mir egal“ bis zu „Schäden von bis zu einer Milliarde Dollar binnen weniger Stunden“. Guido Grillenmeier, „Chief Technologist“ bei Semperis, geht in seiner Stellungnahme auf die oft unterschätzte Bedeutung des Schutzes und des Managements Digitaler Identitäten ein.

Foto: Semperis

Guido Grillenmeier: Web-Apps, welche Anmelde-Option via facebook nutzen, betroffen gewesen…

facebook-Ausfall für Unternehmen weltweit spürbar gewesen

Losgelöst von den oben beispielhaft genannten Betrachtungsweisen rücke der Ausfall bei „facebook“ (und mehreren damit verknüpften Diensten) einen anderen, perspektivisch weitaus wichtigeren Aspekt in den Fokus: Die Bedeutung Digitaler Identitäten und die möglichen Folgen, wenn diese eine Zeit lang nicht genutzt werden können.
Grillenmeier warnt: „Wo dies im Zusammenhang mit ,Social Media‘ noch einige Menschen kaltlassen mag, so ist dies eine weitaus ernstere Problematik, wenn Digitale Identitäten ausfallen, die für die Nutzung von Anwendungen im beruflichen Umfeld (,Windows‘, ,Microsoft365‘, ,Azure‘, …) unverzichtbar sind.“ Die Tatsache, dass „facebook“ nicht erreichbar war und damit auch die zugehörige „Messenger“-App ebenso wie „WhatsApp“ und „Instagram“, sei weltweit spürbar gewesen – für Nutzer jeden Alters.

Unternehmen verlassen sich auf Digitale Identitäten via facebook

Da „facebook“ jedoch auch als Identity-Anbieter für andere Apps fungiere, habe dieser Ausfall weitreichende Folgen über die eigenen Dienste hinaus gehabt: Jede andere Anwendung, typischerweise Web-Apps, welche die Option „Anmelden mit Facebook“ nutzten, sei betroffen gewesen – und damit auch die Unternehmen, die sich auf diese Digitalen Identitäten verlassen.
Grillenmeier führt aus: „Bald wurde klar, dass der gesamte Ausfall schlicht mit dem Prozess der Auflösung des lesbaren Teils der Website-URLs, d.h. ihres Domainnamens und der zugehörigen Servernamen, in ihre jeweiligen IP-Adressen zusammenhing. Letztere sind erforderlich, damit die verschiedenen Rechner miteinander kommunizieren können.“ Während Menschen Namen verwendeten, nutzten Computer und Anwendungen ihre IP-Adressen, um miteinander in Verbindung zu treten. „Wenn aber das erforderliche System, um diese Namen in IPs aufzulösen, d.h. das ,Domain Naming System‘, kurz DNS, nicht funktioniert, gibt es ein Problem.“

Viele Unternehmen nutzen bereits WhatsApp und Instagram, um mit Kunden zu interagieren

„Als das IT-Team von ,facebook‘ einige Updates vornahm, führte ein Konfigurationsfehler dazu, dass die Systeme Routing-Updates an andere DNS-Server auf der ganzen Welt schickten. Die Routing-Updates teilten den DNS-Servern versehentlich mit, dass ,facebook.com‘ nicht mehr existiert. Dies bedeutet, dass es keine DNS-Server mehr gab, die alle Namen im Zusammenhang mit ,facebook.com‘ in eine IP-Adresse auflösen konnten“, erläutert Grillenmeier. Diese IP-Adresse wiederum sei erforderlich zur Verbindung der verschiedenen Systeme, welche die „facebook“-Dienste nutzen wollten.
Nicht alle Unternehmen seien direkt von diesem Ausfall betroffen gewesen. Aber: „Viele Unternehmen nutzen bereits ,WhatsApp‘ und ,Instagram‘, um mit ihren Kunden zu interagieren, beispielsweise, um technischen Support anzubieten. Andere Unternehmen sind stark davon abhängig, dass sich ihre Nutzer mit ihren ,facebook‘-Konten authentifizieren, das heißt, sie nutzen ,facebook‘ als Identity-Anbieter.“ Sobald „facebook.com“ nicht mehr erreichbar war, konnten demnach keine neuen Verbindungen mehr aufgebaut werden.

Ausfall eines Identitätssystems mit erheblichen Auswirkungen auf einzelne Unternehmen

Grillenmeier unterstreicht: „Das ist ein Horror-Szenario für jeden Anbieter Digitaler Identitäten. Man stelle sich vor, ,Azure AD‘ wäre nicht mehr im Web verfügbar – in diesem Fall könnte nur Microsoft das Problem beheben und nicht die User selbst.“ In kleinerem Maßstab sei jedes lokale „Active Directory“ genauso abhängig von einem korrekt konfigurierten DNS.
Egal, ob es sich um eine DNS-Fehlkonfiguration oder um einen direkten Cyber-Angriff gehandelt habe: „Wenn ein Identitätssystem ausfällt, hat das erhebliche Auswirkungen auf einzelne Unternehmen.“ Im Idealfall sollten Unternehmen daher ihre Backups validiert und ihren „Incident Response“-Plan parat haben, so Grillenmeier und rät abschließend: „Wäre es nicht nützlich, wenn das fb-Team eine ,Rückgängig-Taste‘ für alle Änderungen hätte, die es an seinem System vornimmt?“

Weitere Informationen zum Thema:

datensicherheit.de, 05.10.2021
Bitkom kommentiert Ausfall von Facebook, Whatsapp und Instagram / Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder nimmt Stellung und gibt Empfehlung