[datensicherheit.de, 13.07.2020] Das Bundeskriminalamt (BKA) meldet den Start eines Umfrage-Projektes, welche u.a. den Fragen „Wie sicher fühlen sich die Menschen in Deutschland?“, „Welches Kriminalitätsgeschehen empfinden sie als Bedrohung?“, „Wie wird die Arbeit der Polizei wahrgenommen?“ gewidmet sei. Antworten auf diese und weitere Fragen sollen demnach mit Hilfe einer bundesweiten Befragung der Bevölkerung zur „Sicherheit und Kriminalität in Deutschland“ (SKiD“ erhoben werden. Die Ergebnisse seien dann „ein wichtiger Baustein für die polizeiliche Präventionsarbeit“.

Abbildung: BKA

SkiD: Eine Bevölkerungsbefragung zu Opfererlebnissen, Kriminalitätsfurcht und Einstellungen zur Polizei

BKA erforscht Hell- und Dunkelfeld

Zum einen verfüge die Polizei mit der „Polizeilichen Kriminalstatistik“ (PKS) über wichtige Kennzahlen zum „Hellfeld“, also den bei der Polizei angezeigten oder durch Ermittlungen bekannt gewordenen Straftaten. Zum anderen bedürfe es Informationen zu den Straftaten, die der Polizei nicht bekannt geworden sind, dem sogenannten Dunkelfeld.
Ergebnisse aus dem „Hell- und Dunkelfeld“ bildeten zusammen die empirische Grundlage für rationale und wirksame Entscheidungen der Prävention und der Kriminalpolitik auf nationaler und europäischer Ebene.

Umfrage folgt 2019 veröffentlichter BKA-„Viktimisierungssurvey“

Mit der 2019 veröffentlichten deutschen „Viktimisierungssurvey“ seien wichtige Erkenntnisse gewonnen worden. Mit SKiD solle nun diese Art der Erhebung verstetigt und periodisch als bundesweit repräsentative Befragung etabliert werden. „Alle zwei Jahre soll es künftig eine neue SKiD-Befragung geben.“
Kofinanziert werde das Vorhaben aus Mitteln des Fonds für die Innere Sicherheit durch die Europäische Union (EU). Zur Umsetzung der Studie arbeitet das BKA nach eigenen Angaben mit den Polizeien aller Bundesländer zusammen und hat das Umfrageinstitut infas Institut für angewandte Sozialwissenschaft GmbH aus Bonn mit der Durchführung der Befragung beauftragt.

BKA beauftragt infas mit der Durchführung

Das Institut werde zufällig ausgewählte Bürger im Herbst 2020 um ihre Teilnahme an dieser Studie bitten. Um eine hohe Stichproben- und Datenqualität zu erhalten, könne der Fragebogen schriftlich-postalisch oder online ausgefüllt werden. „Die erhobenen Informationen werden anonymisiert und dann zur Analyse an das Bundeskriminalamt weitergegeben.“
Die Grundgesamtheit für die Befragung bildeten alle in der Bundesrepublik Deutschland in Privathaushalten lebenden Personen, die zum Erhebungszeitpunkt 16 Jahre oder älter sind. Daraus sei eine bundesweite, proportional zur Bevölkerung nach Bundesland geschichtete Basisstichprobe gebildet worden, „die 28.200 Personen umfasst“.

SkiD soll BKA genauere Einschätzung der Entwicklung der Kriminalität ermöglichen

Hinzu kämen rund 95.000 Personen mit denen die Bundesländer Hamburg, Nordrhein-Westfalen, Schleswig-Holstein und Thüringen die Stichprobenanteile erhöhten. Die SKiD-Befragung habe zum Ziel, langfristig über das Sicherheitsgefühl, die Kriminalitätsfurcht, das Anzeigeverhalten sowie die Einstellungen gegenüber der Polizei in der Bevölkerung Aufschluss zu geben und zu helfen, Opfererlebnisse besser zu erfassen.
„SKiD wird uns zukünftig eine genauere Einschätzung über die Entwicklung der Kriminalität ermöglichen. Dadurch können wir polizeiliche Handlungsfelder erkennen und Schwerpunkte bei der Bekämpfung der Kriminalität und der Prävention setzen“, erläutert BKA-Vizepräsident Michael Kretschmer. Mit ihrer Beteiligung an der SKiD-Befragung leisteten Bürger in Deutschland hierzu einen wichtigen Beitrag.

Weitere Informationen zum Thema:

Bundeskriminalamt
SKiD – Sicherheit und Kriminalität in Deutschland

Bundeskriminalamt
Kriminalstatistisch-kriminologische Analysen und Dunkelfeldforschung

datensicherheit.de, 01.04.2020
BKA: Bundeskriminalamt baut Cybercrimebekämpfung aus

[datensicherheit.de, 06.05.2019] In seinem aktuellen Kommentar geht Michael Kretschmer, „Managing Director DACH“ bei Clearswift, auf Medienberichte ein, wonach Mailprogramme wie „Mozilla Thunderbird“ oder „Apple Mail“ unter bestimmten Bedingungen falsche Mail-Signaturen als richtig darstellen. Möglich sei dies durch eine fehlende Definition in Bezug auf das Mailprogramm geworden, welche besagt, was zu tun ist, wenn in einer E-Mail die Signaturen sowohl in einem „eContent“- als auch „MIME“-Teil gespeichert sind.

Bild: Clearswift RUAG Cyber Security

Michael Kretschmer, „Managing Director DACH“ bei Clearswift

Missbrauch einer signierten E-Mail eines anderen Nutzers

Ein potenzieller Angreifer habe diese Lücke nun ausnutzen können. Hierfür habe er nur die bereits signierte E-Mail eines Nutzers im „CMS“-Paket seiner E-Mail speichern und seinen unsignierten Text im „MIME“-Teil anhängen müssen. Beide Nachrichten seien somit als signiert und scheinbar vertrauenswürdig angezeigt worden.
Bei dem anderen geläufigen E-Mail-Verschlüsselungsstandard „OpenPGP“ hätten auf ähnliche Weise unsignierte Mails als vertrauenswürdig ausgegeben werden können. E-Mail-Programme hätten hierbei Nachrichten als durchgehend signiert dargestellt, „obwohl nur Teile ihres Inhalts signiert waren“.
Die Folgen könnten besonders für Unternehmen fatal sein, wenn Mitarbeiter bei signierten E.Mails davon ausgehen, Nachricht und Absender wären bekannt bzw. vertrauenswürdig. Kretschmer warnt: „Ein Angreifer kann somit sein Opfer dazu bringen, einen schadhaften Anhang zu öffnen oder vertrauliche Daten preiszugeben.“

Potenziell gefährliche Inhalte aus E-Mails und deren Anhängen herausfiltern!

Um sich vor solchen Angriffen zu schützen, sollten Firmen das Bewusstsein für E-Mail-Betrug bei ihren Angestellten schärfen. Das heißt, dass jede E-Mail „ungeachtet einer vorhandenen Signatur kritisch betrachtet wird“. Aufforderungen, auf eine unbekannte Website zu gehen oder Inhalt herunterzuladen, müssten mit äußerster Vorsicht betrachtet werden. Makros sollten in Dokumenten standardmäßig deaktiviert und ihre Ausführung nur dann gestattet sein, wenn die Authentizität der Nachricht vollständig gewiss ist.
Doch es sei davon auszugehen, dass auch dem aufmerksamsten und vorsichtigsten Mitarbeiter gelegentlich ein Fehler unterlaufen und er auf eine Betrugsmasche hereinfallen könne. Unternehmen sollten deshalb in eine Lösung investieren, „die potenziell gefährliche Inhalte aus Mails und deren Anhängen herausfiltert“, empfiehlt Kretschmer. Dies geschehe automatisch und ohne dass der Mitarbeiter aktiv eingreifen müsse. Darüber hinaus sollte der Netzwerkverkehr durchgehend auf verdächtige Leistungsspitzen und Verbindungen hin untersucht werden.
„Vorfälle wie diese werden in Zukunft nicht weniger, im Gegenteil. Unternehmen, die über die richtige Strategie in puncto E-Mail-Sicherheit verfügen, sind gegen solche und ähnliche Angriffe allerdings bestmöglich gewappnet“, so Kretschmer.

Weitere Informationen zum Thema:

datensicherheit.de, 06.05.2019
Elektronische Signatur und Vertrauensdienste: Informationstag am 24. September 2019 in Berlin

datensicherheit.de, 16.04.2019
Phishing: Auch kleine Unternehmen sind Ziel

datensicherheit.de, 10.02.2019
Emotet: Erneute Verbreitung über gefälschte E-Mails

datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt

[datensicherheit.de, 10.02.2019] Ende Januar 2019 wurde bekannt, dass sich der Trojaner „Emotet“ erneut im Umlauf befindet – er versteckt sich laut Medienberichten derzeit unter anderem hinter gefälschten E-Mails von Amazon, Telekom oder Vodafone. Bei diesen E-Mails handelt es sich laut Michael Kretschmer, „VP EMEA“ von Clearswift RUAG Cyber Security, um „sehr professionell erstellte und dadurch täuschend echt aussehende Phishing-Nachrichten“, die den Leser dazu verleiten sollen, das Attachment zu öffnen. Der Grund für die hohe Glaubwürdigkeit der Nachrichten sei die Tatsache, dass die Angreifer sich Technologien wie „Machine Learning“ oder KI (Künstliche Intelligenz) bedienten, um diese E-Mails möglichst vertrauensvoll erscheinen zu lassen.

Gefälschte E-Mails mit unechter Rechnung als „Word“-Dokument im Anhang

Im Anhang der Nachricht finde sich in einem Großteil der Fälle eine unechte Rechnung als „Word“-Dokument mit eingebetteter Makrofunktion. Kretschmer: „Öffnet der Empfänger den schadhaften Anhang, ist der Rechner infiziert und der Trojaner befindet sich im System. Wird der Schadcode ausgeführt, verwendet dieser auch hier extrem fortgeschrittene Technologien und Exploits zur internen Weiterverarbeitung.“
So sei beispielsweise festgestellt worden, dass „Emotet“ den sogenannten „Eternal Blue Exploit“ verwendet – „jene Schwachstelle, die der US-Geheimdienst NSA jahrelang genutzt hat, bevor diese an Microsoft gemeldet wurde“. Zwar gebe es Patches für diesen Exploit, doch diese seien bisher unter Nutzern nicht sehr weit verbreitet. Der CERT-Bund des BSI, das „Computer Emergency Response Team“ für Bundesbehörden, habe Ende Januar 2019 ausdrücklich vor diesen gefälschten E-Mails gewarnt.

E-Mail-Sicherheit: Lösung mit „Spoof Detection“ empfohlen

Bezüglich der Schutzvorkehrungen im Hinblick auf „Emotet“ gebe es eine Reihe von Maßnahmen, die User und Unternehmen ergreifen könnten, um sich zu schützen:
Im Hinblick auf „Spoofing“ (Vortäuschung) sei es sinnvoll, auf eine Lösung zur E-Mail-Sicherheit zurückzugreifen, die über ein Feature zur „Spoof Detection“ verfügt, „welche sich idealerweise in den Regeln zur Spam-Filterung einstellen lässt“. Sinnvoll sei es auch, wenn Lösungen die Einrichtung und Verwendung von DMARC (Domain-based Message Authentication, Reporting and Conformance) unterstützten. „Das Besondere bei diesem DNS-basierten Verfahren ist, dass auch der ,From‘-Header einer Mail berücksichtigt und überprüft wird, so dass ,From‘-Spoofing dadurch verhindert werden kann.“

Ausführbare Dateien im Anhang grundsätzlich blocken!

Allerdings seien selbstverständlich nicht alle „Emotet“-Angriffe auf „Spoofing“ zurückzuführen. In manchen Fällen würden E-Mail-Adressen verwendet, „die legitim und nicht gefälscht sind, allerdings gehackt wurden“. Hierbei sei es sinnvoll, „wenn die eingesetzte Lösung zur E-Mail-Sicherheit Funktionen bietet, mit dessen Hilfe ausführbare Dateien von vornherein geblockt werden können“.
Auch ließen sich bei einigen Herstellern verschlüsselte Archive und „gefährliche“ Dateiendungen, oder sogar jegliche Dokumente mit aktiven Inhalten, blockieren. Um zusätzliche Sicherheit zu gewähren, sollte die Schutzlösung um Antivirussoftware erweitert werden – manche Hersteller böten die Möglichkeit der Erweiterung um bis zu drei Virenscanner. Dies sei als erweiterte Maßnahme „in jedem Falle sinnvoll“, da sich die Erkennungsrate der Scanner wesentlich erhöhe.

„Word“-Dokumente im Web: Eigenschaften können Angreifern Informationen liefern

Abgesehen von technischen Maßnahmen sollten Unternehmen unbedingt auf ihre ausgehenden Daten achten – „schließlich müssen die Angreifer ihre Informationen über den Betrieb irgendwo eingesehen haben“. Diese Unternehmensdaten könnten aus „Word“-Dokumenten stammen, die im Web verfügbar sind: Diese enthielten (Dokument)-Eigenschaften, und somit gleichzeitig Informationen über den Betrieb, welche die Angreifer zu ihrem Vorteil nutzen könnten.
„All diese Maßnahmen in Kombination führen dazu, dass Nutzer und Unternehmen gut gewappnet sind vor dem Kompromittieren ihrer Daten und dem damit einhergehenden finanziellen Schaden sowie dem oftmals nicht messbaren Reputationsverlust“, sagt Kretschmer.

Bild: Clearswift RUAG Cyber Security

Michael Kretschmer: Warnung vor Reputationsverlust

Weitere Informationen zum Thema:

datenscherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 09.04.2015
Emotet: Bank-Trojaner weiterhin im deutschsprachigen Raum aktiv

[datensicherheit.de, 01.03.2018] Michael Kretschmer, „VP EMEA“ von Clearswift RUAG Cyber Security, hat Stellung zum aktuellen Hacker-Angriff auf das Datennetzwerk des Bundes genommen. Ein Problem im Falle solcher Angriffe sei die Frage, ob dieser tatsächlich abgeschlossen ist. Wenn eine Infektion mit Malware auftritt, insbesondere wenn es sich um einen „Advanced Persistent Threat“ (APT) handelt, könne diese sich systemübergreifend replizieren und vor der Aktivierung einige Zeit lang verborgen bleiben. Während also die primäre Quelle entdeckt, entschärft und damit behoben worden sei, könnte es sekundäre Infektionen geben, die sich innerhalb des Netzwerks verstecken.

Alle Systeme und Anwendungen auf neueste Versionen patchen!

Es gebe zwei Möglichkeiten, das Ausmaß und den möglichen Schaden dieser Art von Hacks entscheidend zu lindern. Zum einen sollte sichergestellt sein, dass alle Systeme und Anwendungen auf die neuesten Versionen gepatcht wurden.
Durch diese Maßnahme werde sichergestellt, dass bekannte Schwachstellen geschlossen werden und externe Hacker daran gehindert werden, sich Zugang zu verschaffen. Dies alleine reiche allerdings nicht aus, um die Gefahr zu bannen.

Dokument als „Waffe“

Denn neben dem bewussten Ausnutzen von bekannten Schwachstellen gebe es eine weitaus geläufigere Angriffsmethode, nämlich die Verwendung eines Dokuments, das als „Waffe“ zum Angriff genutzt wird.
Hierbei handele es sich um Malware, die in ein harmloses Dokument eingebettet ist und beim Öffnen aktiviert wird. Diese Dokumente würden dann im Rahmen einer Phishing-Attacke verschickt. Die häufigsten Arten der Dokumente, die für diese Art von Attacken genutzt werden, seien Lebensläufe, welche an Personalabteilungen adressiert sind, sowie Rechnungen an die Finanzabteilung. Aber natürlich könnte auch jeder einzelne Mitarbeiter mit einem „potenziellen Stellenangebot“ angesprochen werden, welches daraufhin geöffnet wird und zur Aktivierung der Malware führt.

Adaptive „Data Loss Prevention“-Strategie

Diese Art von E-Mails würden oftmals an persönliche E-Mail-Adressen geschickt – mit dem Zweck, dass der Einzelne sie im Unternehmensnetzwerk öffnet und somit eine Infektion auslöst.
Bei diesem speziellen Angriffstyp, bei dem Dokumente mit eingebetteter Malware als Mittel genutzt werden, könne eine Technik Abhilfe schaffen, die als „Structural Sanitization“ bezeichnet wird.
Diese helfe dabei die Bedrohung entscheidend abzuschwächen und sei Teil einer adaptiven „Data Loss Prevention“-Strategie. Die Funktion entferne gezielt alle aktiven Inhalte aus eingehenden E-Mails und Dokumenten; der Rest des Inhalts bleibe allerdings unberührt.

Ganzheitlicher Ansatz erforderlich!

Hierbei stelle einzig ein ganzheitlicher Ansatz sicher, dass keine Malware in das Unternehmen gelangen kann. Nur so sei der Schutz auch gewährleistet, wenn Mitarbeiter beispielsweise auf ihre privaten E-Mails zugreifen.
Zusammenfassend gesagt, könne ein effektives Patch-Management einen Teil dazu beitragen, Malware-Angriffe per E-Mail zu verhindern. Doch effektiven Schutz böte lediglich eine Lösung zur E-Mail-Sicherheit, die gezielt alle aktiven Inhalte entfernt und somit die eingebettete Malware unschädlich macht.

Weitere Informationen  zum Thema:

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

datensicherheit.de, 01.03.2018
Ohne automatisierte Netzwerk-Dauerüberwachung zu leichtes Spiel für Angreifer