[datensicherheit.de, 15.04.2019] Privilegierte Konten, d.h. Unternehmens-Accounts, die über weitreichende Rechte verfügen und Zugriffe auf sensible Daten ermöglichen, sind nach wie vor eine der größten Schwachstelle innerhalb der Unternehmenssicherheit. Der aktuelle Hackerangriff auf Microsofts E-Mail-Dienst Outlook.com hat dies wieder einmal bestätigt.

Sensible Informationen waren monatelang einsehbar

Denn wie der Software-Riese nun eingestehen musste, konnten sich Hacker in einem Zeitraum von immerhin rund drei Monaten unbefugten Datenzugriff auf Outlook.com verschaffen und auf diese Weise sensible Informationen wie E-Mail-Adressen, Betreffzeilen von Mails oder Ordner-Namen einsehen. Dass vertrauliche Informationen abgegriffen wurden, ist nicht auszuschließen, auch wenn E-Mail-Inhalte oder Passwörter laut Microsoft wohl nicht ausspioniert werden konnten. Einstiegspunkt der Hacker war dabei ein offensichtlich schlecht überwachter privilegierter Account eines Support-Mitarbeiters, dessen sensible Zugangsdaten in die Hände der Angreifer gelingen konnten. Wie dies geschah, konnte Microsoft indes nicht erklären.

Bild: Thycotic

Markus Kahmen, Regional Director CE, Thycotic

Privilegierte Konten werden schlecht verwaltet und geschützt

Der Vorfall zeigt einmal mehr, wie schlecht privilegierte Konten nach wie vor verwaltet und geschützt werden, obwohl sie für Cyberkriminelle der beliebteste Angriffspunkt überhaupt darstellen. Wie der aktuelle State of PAM Maturity Report 2019 von Thycotic jüngst gezeigt hat, haben die meisten IT-Abteilungen die Bedeutung von Privileged Access Management (PAM) für die Unternehmenssicherheit zwar längst erkannt, hinken bei der Umsetzung entsprechender PAM-Maßnahmen aber weit hinterher. So sind viele Unternehmen nicht in der Lage, privilegierte Accounts zu identifizieren oder verpassen es, privilegierte Passwörter sicher zu speichern oder die Konten regelmäßig auf ihre Gültigkeit hin zu überprüfen.

Anstatt mit großem Aufwand immer weiter in Perimeter-Schutz zu investieren, müssen IT-Abteilungen endlich anfangen, PAM-Technologien zu fokussieren, die es ihnen ermöglichen, privilegierte Konten effektiv zu identifizieren, entsprechende Sitzungen und Zugriffe im Blick zu haben und zu analysieren, und sie bei der Umsetzung einer effektiven Least Privilege-Strategie unterstützen.

Da es eine hundertprozentige Sicherheit niemals gegeben sein kann, egal wie ausgefeilt die eigene Sicherheitsstrategie auch ist, und Hacker immer Mittel und Wege finden werden, in die Systeme einzudringen – sei es über Social Engineering oder Schwachstellen in Programmen – ist dies umso wichtiger. Denn bei der Identifizierung und Abwehr von Cyberangriffen zählt heute vor allem Zeit, wenn man den Schaden so gering wie möglich halten möchte.

Weitere Informationen zum Thema:

datensicherheit.de, 03.03.2019
Cybersicherheit: Vom Kostenfaktor zum Erfolgsfaktor

datensicherheit.de, 12.07.2013
Acht Prämissen für die effiziente Verwaltung privilegierter Accounts

[datensicherheit.de, 24.01.2019] Gleich zu Beginn des Jahres berichteten zahlreiche Medien von einem weitreichenden Hackerangriff auf Politiker und Prominente, bei dem eine große Menge an Daten komprimiert wurde. Durch „Doxing“ wurden private Daten von 994 Personen im Internet veröffentlicht und waren zeitweise auf Twitter frei zugänglich – es gibt  unterschiedliche Einschätzungen, ob es sich um einen Einzeltäter oder mehrere Beteiligte handelt.

Marc Schieder, CIO vom Regensburger Unternehmen DRACOON nimmt in folgendem Video-Statement Stellung zum Thema:

Weitere Informationen zum Thema:

datensicherheit.de, 18.01.2019
Cybersicherheit – Bestehende Möglichkeiten müssen genutzt werden

datensicherheit.de, 09.01.2019
orbit-Datenleak kein Einzelfall: Politik muss folgerichtig handeln

datensicherheit.de, 08.01.2019
Der Fall orbit: FireEye liefert erste Erkenntnisse

datensicherheit.de, 08.01.2019
20-jähriger Tatverdächtiger im orbit-Fall

[datensicherheit.de, 18.01.2019] Aufgrund des neuesten Hackerangriffs auf hunderte Politiker des Bundestags und prominente Personen hat das Thema Cybersecurity und der Bedarf daran wieder einmal einen Höhepunkt erreicht. Kreditkarteninformationen, private Chatverläufe und andere persönliche Daten, die sich der Angreifer beschafft hat, wurden über Twitter veröffentlicht.

Politiker fordern nun das Cyberabwehrzentrum Plus – zusätzlich zum Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI soll außerdem noch ein neues Frühwarnsystem aufbauen um Angriffe, wie dem Politiker-Hack vorzubeugen. Sind Personen des öffentlichen Lebens betroffen, werden solche Vorfälle schnell aufgegriffen, aufgekocht und ebenso schnell wieder vergessen. Es erweckt den Anschein, als seien solche Angriffe die Ausnahme, denen man künftig entgegentreten muss.

Hackerangriffe sind alltäglich

Angriffe dieser Art gibt es jedoch bereits seit Jahren, tagtäglich, im hohen sechsstelligen Bereich und betroffen sind nicht nur Privatpersonen oder VIPs. Auch Unternehmen und Organisationen müssen sich mit Cyberangriffen auseinandersetzen, diese abwehren und ihre entsprechende Infrastruktur und Daten schützen. Informationen zu potenziellen Angriffen und Schwachstellen, die genutzt werden können, beziehungsweise eine Basis für die Abwehr bilden gibt es bereits – auch vom BSI.

Bild: Threat Quotient

Markus Auer, Regional Manager Central Europe bei Threat Quotient

Die sogenannten Indicators of Compromise (IoCs), Bedrohungsinformationen zu Cyberangriffen, werden in einem Bericht vom BSI und auch von weiteren externen Quellen wie Open Source, kommerzielle Anbieter oder Sharing Plattformen wie MISP, zur Verfügung gestellt. Diese Informationen können Unternehmen wiederum nutzen und in ihre Security-Struktur integrieren. Das Problem an der Sache ist allerdings, dass in den meisten Fällen, jede Information manuell eingegeben werden müsste, da alle verfügbaren Daten in unterschiedlichen Formaten zur Verfügung gestellt werden. Viele Security-Teams resignieren genau an diesem Punkt. Es ist unmöglich, zeitnah alles einzupflegen und so für das eigene System nutzbar zu machen.

Notwendig ist eine Datenbibliothek, die alle Informationen, unabhängig vom Format aufnehmen, vereinheitlichen und für das Unternehmen nutzbar machen kann. Über eine sogenannte Threat Library – eine lokale Bedrohungsdatenbank – ist es möglich Daten von externen Quellen zu nutzen und mit den Internen, generiert aus den eigenen Securitytools wie SIEM, Firewalls oder Vulnerability Assessments – nur um einige Beispiele zu nennen – zentral zu speichern. Wichtig ist dabei, dass mehrere Quellen gleichzeitig genutzt werden, denn keine deckt jeden Angriff ab.

Relevanz von Bedrohungsinformationen zu Cyberangriffen

Ein weiterer wichtiger Punkt ist die Relevanz der erfassten IoCs – nicht für jede Organisation sind die gleichen Bedrohungsinformationen auch gleich wichtig. Aufgrund der Vielzahl von Informationen ist das Finden von relevanten Bedrohungen wie das Suchen nach der Nadel im Heuhaufen. Über eine Threat Library ist es möglich die Informationen abzugleichen und entsprechend des Unternehmenskontextes automatisch zu priorisieren und bereitzustellen.

Das Sammeln von Bedrohungsinformationen, die Priorisierung, das Bereitstellen und Verteilen, die Sicherheitstools und Security Teams ermöglicht, dass alle benötigten Informationen zur richtigen Zeit am richtigen Ort sind, um schnell eine passende Entscheidung zu treffen. Es bestehen also schon heute Möglichkeiten, sich umfassend gegen Cyberangriffe zu schützen und bei einem Angriff nicht mehr nur zu reagieren, sondern es überhaupt nicht mehr so weit kommen zu lassen. Die zur Verfügung stehenden Ressourcen müssen lediglich genutzt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 09.01.2019
Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen

datensicherheit.de, 08.01.2019
orbit-Angriff deckt mangelndes Risiko-Bewusstsein auf

datensicherheit.de, 08.01.2019
Der Fall orbit: FireEye liefert erste Erkenntnisse

datensicherheit.de, 08.01.2019
Fall Orbit: eco warnt vor gesetzgeberischen Schnellschüssen

datensicherheit.de, 07.01.2019
Nutzung moderner Kommunikationsmittel erfordert Aufmerksamkeit

datensicherheit.de, 04.01.2019
BSI kommentiert unbefugte Veröffentlichung gestohlener Daten und Dokumente

datensicherheit.de, 04.01.2019
Datendiebstahl: Warnung vor eiligen Schuldzuweisungen

[datensicherheit.de, 20.12.2018] Laut einer Meldung im „Boston Globe“ soll die weltweit operierende Hilfsorganisation Save The Children im Jahr 2017 von einem Hacker angegriffen worden sein. Der Angreifer hat demnach rund eine Million US-Dollar unter dem Vorwand ergaunert, von dem Geld Solaranlagen für ein Gesundheitszentrum in Pakistan zu kaufen. Der Angriff sei über ein im Mai 2017 kompromittiertes E-Mail-Konto eines Mitarbeiters durchgeführt worden. Von dem gehackten Konto hätten die Cyber-Kriminellen gezielt gefälschte Rechnungen und andere Dokumente mit Zahlungsanweisungen an andere Angestellte verschickt.

Offensichtlich ein „Spear Phishing“-Angriff

„Der Vorfall bei Save The Children lässt sich deutlich als ,Spear Phishing,-Angriff kategorisieren. ,Spear Phishing‘ ist eine besonders zielgerichtete Form des Phishings. Die Cyber-Kriminellen haben dazu entweder gezielt über eine Person Nachforschungen angestellt oder Daten von Social-Media-Seiten über sie gesammelt“, erläutert Detlev Weise, „Managing Director“ bei KnowBe4.
Die E-Mail gehe in der Regel an eine Person oder eine kleine Gruppe von Personen, die diese Dienstleistung nutzen. Solche E-Mails seien in der Regel besonders personalisiert.

Bild: KnowBe4

Detlev Weise, „Managing Director“ bei KnowBe4

„Security Awareness“-Trainings für Mitarbeiter empfohlen

„Wir leben in einer Ära des ,Social Engineering‘. Wir können uns nicht vollständig auf Antiviren-Programme verlassen, um alle Systeme sicher zu halten. Wenn technische Vorkehrungen versagen, sind Mitarbeiter die letzte Verteidigungslinie jeder Organisation und müssen entsprechend geschult werden“, betont Weise.
„Security Awareness“-Trainings böten hierfür Lösungen, die den Mitarbeitern dabei helfen könnten, wachsam zu bleiben und Phishing-Angriffe rechtzeitig zu erkennen. Dadurch seien sie weniger gefährdet, auf betrügerische Angriffe hereinzufallen. Laut Weise wurde z.B. das „New School Security Awareness-Training“ entwickelt, um Benutzern mit Hilfe von praxisnahen Simulationen per E-Mail, Telefon und SMS aufzuzeigen, wie sie sogenannte „Red Flags“, also Hinweise auf Phishing-, Smishing- und Vishing-Versuche erkennen können. Sie seien dann deutlich besser auf Gefahren vorbereitet.

Weitere Informationen zum Thema:

golem.de, 14.12.2018
Save The Children verliert 1 Million US-Dollar an Betrüger

The Bosotn Globe, 13.12.2018
Hackers fooled Save the Children into sending $1 million to a phony account

datensicherheit.de, 06.12.2018
Quora: 100 Millionen Nutzer von Hacker-Angriff betroffen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

Ein Kommentar von Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security

[datensicherheit.de, 07.09.2018] Wie heute morgen bekannt wurde, ist die Fluggesellschaft British Airways Opfer eines Hackerangriffs geworden. Persönliche sowie finanzielle Daten von rund 380.000 Kartenzahlungen sollen von der Datenpanne betroffen sein. Laut Unternehmensangaben seien die Betroffenen und die zuständigen Behörden umgehend informiert worden.

Alle Kriterien im Hinblick auf die Verletzung personenbezogener Daten erfüllt

Dieser jüngste Angriff auf eine der größten Fluggesellschaften wirft zunächst einige Fragen auf. Bezüglich der unmittelbaren Folgen wird in Zeiten der DSGVO wohl ein hohes Bußgeld auf das Unternehmen zukommen. Seit dem verbindlichen Inkrafttreten der Verordnung im Frühjahr haben sich zwar eine Reihe von Sicherheitsverletzungen ereignet, in diesem Fall hat das Unternehmen jedoch eingeräumt, was geschehen ist – und Fakt ist, dass alle Kriterien im Hinblick auf die Verletzung personenbezogener Daten erfüllt sind.

Bild: Clearswift RUAG Cyber Security

Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security

Positiv hervorzuheben ist, dass die Datenpanne zumindest relativ früh erkannt wurde und die British Airways über die nötigen Systeme verfügt, um eingrenzen zu können, was genau passiert ist und welche Kunden betroffen sind. Im Gegensatz zu dem Angriff auf TalkTalk, dem britischen Broadcast-Provider, bei dem sich die Zahl der Opfer laufend zu ändern schien, scheint British Airways alles Nötige getan zu haben, um schnell und effizient handeln zu können. Wie immer, wenn es um mobile Apps geht, wird man jetzt genau untersuchen müssen, wo und wie die Hacker eindringen konnten – über die App, über das Backend-System oder eventuell beides.

Eine weitere Frage wird sich British Airways zweifellos stellen, nämlich ob dies eventuell nur die Spitze des Eisbergs ist und weitere Angriffe laufen, die (noch) nicht entdeckt wurden. Handelt es sich möglicherweise um eine Attacke, die schon länger im Gang ist, aber – bisher – unter dem Radar flog? Falls ja, müsste in den kommenden Tagen, Wochen und Monaten mit weiteren Enthüllungen gerechnet werden.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Hacker-Angriff auf Datennetzwerk des Bundes: Ganzheitliches Sicherheitsmanagement notwendig

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

datensicherheit.de, 01.03.2018
Ohne automatisierte Netzwerk-Dauerüberwachung zu leichtes Spiel für Angreifer

[datensicherheit.de, 11.01.2018] Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg seit Herbst 2017 bis Anfang des Jahres 2018 Opfer einer Hackerattacke geworden. Bei dem Angriff zielten die Kriminellen nicht auf Daten ab, sondern auf die Rechenleistung der Server.

Die bislang unbekannten Angreifer sind mehrmals erfolgreich in das Computersystem eingestiegen, um so Krypto-Währungen wie Monero zu schürfen. Das heimliche Schürfen von Krypto-Währungen auf Computern von Unbeteiligten ist aufgrund explodierender Kurse von Bitcoin & Co. derzeit ein wichtiger Trend in der Malware-Szene.

Karl Altmann, Area Vice President EMEA-DACH von Imperva

Diese Entwicklung hat Imperva, Spezialist für den Schutz geschäftskritischer Daten und Anwendungen in der Cloud und in On-Premises-Systemen, in seinem Trendreport 2018 identifiziert und eine Zunahme von Cryptocurrency-Mining-Angriffen prognostiziert. Bei den Angriffen nutzen die Cyberkriminellen Endpunkt-Ressourcen (CPU/GPU), um Cryptocurrency entweder durch Cross-Site-Scripting (XSS) oder durch Malware abzubauen.

Einsatz von IoT-Geräten wahrscheinlich

Es ist immer wahrscheinlicher, dass ferngesteuerte und leicht zu hackende IoT-Geräte auch als Mining-Force eingesetzt werden. Illegale Mining-Aktivitäten von Insidern, die nur schwer zu erkennen sind, werden immer häufiger von Mitarbeitern mit hochrangigen Netzwerkprivilegien und technischen Fähigkeiten durchgeführt. Sie nutzen die Recheninfrastruktur von Unternehmen für das Mining von Kryptowährungen ohne das Wissen des betroffenen Unternehmens.

Diese Angriffe werden aufgrund ihres lukrativen Charakters schnell an Popularität gewinnen. Solange ein potenzieller Zufall vorliegt, dürften solche Insider-Jobs weiterhin ganz oben auf der Liste der Cybersicherheitsherausforderungen stehen, mit denen Unternehmen konfrontiert sind.

Obwohl Angriffe, die versuchen, Krypto-Mining-Malware einzubetten, derzeit noch nicht ausgereift sind, erwarten wir, dass die Komplexität der Angriffe zunehmen wird. Wir gehen davon aus, dass diese Angriffe auch auf Webseiten mit höherem Besucheraufkommen abzielen, da das Gewinnpotenzial mit der zunehmenden Anzahl gleichzeitiger Webseiten-Besucher stark zunimmt.

Weitere Informationen zum Thema:Imperva
Trendreport 2018

datensicherheit.de, 11.08.2018
Die dunklen Seiten der betrieblichen Schatten-IT