PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt

[datensicherheit.de, 30.11.2020] Laut einer aktuellen Stellungnahme der PSW GROUP sei es um Krankenhäuser, Kliniken und Arztpraxen „nicht gut bestellt – zumindest in Hinblick auf IT-Sicherheit und Datenschutz“. So tauchten in jüngerer Zeit wieder vermehrt Meldungen zu IT-Vorfällen im Gesundheitswesen auf: Erst im September 2020 sei das Uniklinikum der Universität Düsseldorf Opfer eines Ransomware-Angriffs geworden, „der zum Tod einer Patientin beigetragen haben könnte“. Da dieser Cyber-Angriff massiv die hauseigenen Systeme gestört habe, „konnte eine Frau, die dringend auf medizinische Hilfe angewiesen war, nicht aufgenommen werden und musste nach Wuppertal ausweichen. Ein Umweg von 30 Minuten, der sie vermutlich das Leben kostete“.

Patrycja Tulinska: Cyber-Sicherheit in den meisten Kliniken und Praxen mehr als mangelhaft…

Digitalisierung im Gesundheitswesen sinnvoll

Patrycja Tulinska, Geschäftsführerin der PSW GROUP, betont indes: „Dabei ist die Digitalisierung im Gesundheitswesen sinnvoll, denn die Wege für erkrankte Personen werden kürzer. Zudem können sich die Menschen über den digitalen Weg in die Praxis vor Ansteckungen schützen und die elektronischen Patientenakte kann Informationen schneller verfügbar machen.“

Doch abgesehen von der technischen Ausrüstung sei auch die Cyber-Sicherheit in den meisten Kliniken und Praxen „mehr als mangelhaft“. Wohl auch aus diesem Grund habe die Bundesregierung im September 2020 das „Krankenhauszukunftsgesetzes“ (KHZG) verabschiedet. Demnach wird der Bund ab Januar 2021 drei Milliarden Euro bereitstellen, um Krankenhäuser zukunftsfähig zu machen: Diese sollten die Möglichkeit haben, in moderne Notfallkapazitäten zu investieren, aber auch in die Digitalisierung im Gesundheitswesen sowie in ihre IT-Sicherheit. Auch die Länder seien gefragt – diese sollten 1,3 Milliarden Euro an Investitionsmitteln aufbringen.

Absicherung der IT-Systeme: Gesundheitswesen vor großen Herausforderungen

Tatsächlich stünden Krankenhäuser und Arztpraxen vor großen Herausforderungen in Hinblick auf die Absicherung von IT-Systemen, -Komponenten sowie -Prozessen. Der Großteil der Einrichtungen falle unter die Anforderungen aus dem BSI-Gesetz, aber auch unter die Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV).

Doch auch Krankenhäuser und Kliniken, die unterhalb des Schwellenwerts der BSI-KritisV liegen, müssten sich mit Datenschutz und IT-Sicherheit beschäftigen, denn die Digitalisierung im Gesundheitswesen schreite voran. Gleichzeitig sei das Gesundheitswesen mit all seinen Akteuren in einer schwierigen Lage: Personelle und finanzielle Engpässe machten nicht nur die Digitalisierung, sondern auch die dafür zwingend notwendige IT-Sicherheit schwer.

Handlungsempfehlungen der PSW GROUP für das Gesundheitswesen

IT-Sicherheitsexperten der PSW GROUP haben nach eigenen Angaben folgende Handlungsempfehlungen zusammengestellt, welche jedes Krankenhaus und jede Arztpraxis umsetzen könne, um die IT-Sicherheit effizient zu erhöhen:

• Web-Anwendungen schützen!
  Plattformunabhängige, browser-basierte Anwendungen erleichterten die Zusammenarbeit zwar immens, denn Portale und Apps erlaubten es, medizinische Unterlagen und Berichte vom Rechner, Tablet, Smartphone oder anderen vernetzten Geräten aus einzusehen. „Web-Aanwendungen sind aber ein leichtes Spiel für Hacker, wenn sie nicht mittels Verschlüsselung entsprechend geschützt werden. Ein anderer Weg ist die sogenannte ,Web Application Firewall‘, die den Datenaustausch zwischen Clients und Webservern analysiert. Werden Inhalte als verdächtig eingestuft, lässt sich der Zugriff verhindern“, erläutert Tulinska.
• Internetzugänge sowie Übertragungswege sichern!
  „Emotet“- und andere Ransomware-Angriffe seien besonders schwerwiegend für Krankenhäuser, wie der Fall der Uniklinik Düsseldorf auf tragische Weise gezeigt habe. Einen effizienten Schutz vor Ransomware bringe das Absichern von Internetzugang und Übertragungswegen. Ersteres lasse sich mit einem virtuellen Browser umsetzen: Nutzer arbeiteten mit einer vom Betriebssystem separierten Maschine. Eine komplett virtuelle Surf-Umgebung sei hierfür entscheidend, denn so gelinge die konsequente Netzwerktrennung. „Die Absicherung der Übertragungswege sollte sowohl Wege zwischen dem Krankenhaus und seinem Rechenzentrum als auch Wege zwischen Geräten im Krankenhaus und dem Hausarzt eines Patienten einbeziehen. Moderne Verschlüsselungslösungen bieten einen hohen Schutz, ohne die Performance der Übertragung negativ zu beeinflussen“, rät Tulinska.
• Backups als Ransomware-Schutz erstellen!
  Ransomware-Attacken ließen sich verhältnismäßig einfach und kostengünstig mit Backups begegnen: Die Sicherungen aller Daten sei die effizienteste und wichtigste Verteidigungsstrategie gegen Ransomware. Dennoch rät Tulinska zu Vorsicht: „Cyber-Kriminelle wachsen mit ihren Herausforderungen und zielen immer häufiger auch auf Backups ab. Deshalb rate ich, diese verschlüsselt aufzubewahren und sie nicht in Lese-/Schreibformat verfügbar zu machen. Findet dann doch ein Ransomware-Angriff statt, durch den die Systeminhalte verschlüsselt werden, lässt sich das geschützte Backup einspielen und der ,saubere‘ Zustand wiederherstellen.“
• Awareness: Mitarbeiter schulen!
  Ein Krankenhaus könne das beste Sicherheitskonzept haben – und doch blieben die Anwender der Systeme die größte Schwachstelle. Arglos würden Phishing-Mails geöffnet, Anhänge heruntergeladen, Sicherheits-Updates vergessen oder Passwörter unbedarft an die vermeintliche Mitarbeiterin der IT-Abteilung ausgegeben. „Technik allein ist eben nicht alles. Sie muss auch angewandt werden können. Deshalb ist die Sensibilisierung der Belegschaft eine wichtige Maßnahme, um die IT-Sicherheit zu steigern“, unterstreicht Tulinska.
• Risikomanagement mit Notfallplänen vorhalten!
  Unabhängig davon, ob ein IT-Vorfall durch eine Sicherheitsverletzung durch Mitarbeiter verursacht wurde oder durch einen Cyber-Angriff: Wenn alle Beteiligten wissen, was wann durch wen zu tun ist, lasse sich wertvolle Zeit bei der Systemwiederherstellung gewinnen: „Ich rate zur Erstellung verschiedener Pläne für unterschiedliche Szenarien, beispielsweise Datenschutzverletzungen, Cyber-Angriffe mit Ransomware oder auch Phishing. Mitarbeiterschulungen sorgen dann im Anschluss dafür, dass auch alle mit den konkreten Schritten vertraut sind.“

Weitere Informationen zum Thema:

PSW GROUP, 04.11.2020
Digitalisierung im Gesundheitswesen: IT-Sicherheit hinkt nach wie vor hinterher

datensicherheit.de, 04.11.2020
Deutschlands Gesundheitswesen nicht ausreichend gegen DDoS geschützt / 2020: Bereits mehr als 2.000 DDoS-Angriffe gemeldet

datensicherheit.de, 28.10.2020
Cyber-Attacken: Gesundheitsorganisationen laut Forescout-Studie weiter anfällig / „Connected Medical Device Security Report“ von Forescout basiert auf Analyse von drei Millionen Geräten

Patrycja Tulinska rät zu Awareness und technischen Maßnahmen gegen wachsende Bedrohung durch Botnetze

[datensicherheit.de, 28.09.2020] Im Kampf gegen Cyber-Kriminalität sei es sowohl für Unternehmen als auch für private Anwender sinnvoll, sich mit deren „Maschen“ auszukennen, empfiehlt die PSW GROUP. Dazu gehöre auch, zu wissen, was sogenannte Botnetze sind – denn „FritzFrog“, „Vollgar“, „B3astMode“, „Bins“ und „Dota“ seien weder Rapper noch Gaming-Helden. „Es handelt sich um aktuelle Botnetze, die Datenverbindungen belauschen, Fernzugriffstools und Kryptominer auf infizierten Rechnern installieren oder DDoS-Attacken gegen Unternehmen fahren und damit gewaltigen Schaden anrichten können“, warnt Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Tulinska empfiehlt die Botnetz-Enzyklopädie von Guardicore

Botnetze bestehen aus Netzen gekaperter Rechner, deren Besitzer in der Regel nichts davon ahnen

„Ein Botnetz besteht aus einem Netz gekaperter Rechner, deren Besitzer in der Regel nichts davon ahnen. Zunächst wird der Zielrechner, der in das Botnetz eingebunden werden soll, mit Malware infiziert. Mit dieser Schadsoftware kann der Angreifer die Kontrolle über das System übernehmen“, erläutert Tulinska.
Gekaperte Rechner ließen sich über sogenannte Command-and-Control-Server (C&C-Server) steuern und würden für unterschiedliche Aktivitäten verwendet: Spamming, für die Speicherung illegaler Dateien, das Verteilen von Schadsoftware oder auch für DDoS-Attacken.

Auch IoT-Geräte können Teile von Botnetzen werden

Tulinska verweist auch auf IoT-Geräte: „Es sind aber nicht nur Rechner gefährdet, Teil von Botnetzen zu werden, sondern jedes vernetzte Gerät mit einem Zugang zum Internet. Häufig sind IoT-Geräte, insbesondere im privaten Umfeld, sehr weit vom Schutzniveau gängiger Computer entfernt sind. Aber auch Mobilgeräte wie Smartphones oder Tablets können gekapert und Botnets hinzugefügt werden.“
Zwar sei es mit einigem Aufwand verbunden, Botnetze zu erstellen, deren Vielseitigkeit sei es jedoch, was ihre Attraktivität ausmache. Denn moderne Bots seien multifunktional: Sie könnten nach der Infektion eine Zeitlang schlummern und erst später aktiv werden, sie könnten sofort Daten ausspähen oder aber als Erpressungstrojaner Einsatz finden.

Botnetze versenden auch Spam- oder Phishing-Mails

Über Botnetze würden auch Spam- oder Phishing-Mails versendet. So könne es dem Botnetz auch gelingen, sich selbstständig zu vergrößern: Die hauseigene Schadsoftware werde auf immer mehr Rechnern implementiert und so vergrößere sich das Netzwerk. Auch der Einsatz von Ransomware über Botnetze sei äußerst beliebt – „ein negativer Trend, der leider anhält“.
Eine insbesondere von Unternehmen gefürchtete Angriffsart seien DDoS-Angriffe: „Das Botnetz bombardiert das Opfer-System mit der gebündelten Rechnerleistung sowie Netzwerk-Bandbreite all der angeschlossenen Geräte solange, bis das Zielsystem unter dieser Last in die Knie geht und nicht mehr erreichbar ist“, so Tulinska und ergänzt: „Indem Botnetze Sniffer oder Passwort-Grabber nachladen, können sie ebenfalls gewaltigen Schaden anrichten. Es lassen sich nämlich private Daten einschließlich Web-Formulare, womöglich auch Bank-Zugangsdaten, auslesen, so dass diese Daten an die Hintermänner weitergeleitet und zu Barem gemacht werden können.“

Übernahme in Botnetze ist auch Resultat schlecht gesicherter Computer

Aufgrund der immensen und immer weiter steigenden Verbreitung vernetzter Geräte müsse man davon ausgehen, dass auch die Verbreitung von Botnetzen steigen werde, mahnt Tulinska und betont: „Mit einer Kombination aus Awareness sowie technischen Maßnahmen können Anwender das Risiko aber senken, ungewollt zum Teil eines Botnetzes zu werden. Denn die Übernahme eines Rechners zu einem Botnetz ist auch Resultat eines schlecht gesicherten Computers, denn der Angreifer kann dann die Rolle des Administrators übernehmen.“
Daten ließen sich dann einsehen, missbrauchen und manipulieren, außerdem könne der Rechner mit allen seiner Funktionen und Leistungen zu kriminellen Zwecken missbraucht werden. „Somit werden die Anwender gekaperter Rechner ungewollt zu einem Teil dieser kriminellen Aktivitäten.“

Anzeichen für Kaperung durch Botnetze regelmäßig überwachen!

Das zeitnahe oder automatisierte Einspielen von Updates auf allen Geräten zum Schutz gegen offene Sicherheitslücken in Software oder Betriebssystem, eine Firewall zum Schutz eines Netzwerks vor unerwünschten Zugriffen von außen und eine aktuelle Antiviren-Software – idealerweise mit zusätzlicher signatur- und verhaltensbasierter Schadsoftware-Erkennung – seien obligatorische technische Schutzmaßnahmen.
Zudem decke eine regelmäßige Überprüfung von Systemen und Netzwerkverkehr mögliche Infektionen schneller auf. „Ungewöhnlich hohe Internet- und Netzwerkbelastungen, extrem hohe Aufkommen ausgehender E-Mails, ein deutlich verzögerter E-Mail Versand verbunden mit verzögerter Rechenleistung sowie massives Scannen eines oder mehrerer Ports von außen können Anzeichen dafür sein, dass das Gerät zu einem Botnetz gehört.“

Abwehr von Botnetzen: Schadsoftware erkennen, bevor sie auf dem Gerät ankommt!

Es sei für Unternehmen sinnvoll, sich grundsätzlich gegen DDoS-Attacken und Spamming zu schützen und, das gelte auch für Privatpersonen, die eingesetzten IoT-Geräte unter die Lupe zu nehmen. „Anti-Malware-Lösungen, die lokal auf dem jeweiligen IoT-Gerät gespeichert werden, existieren kaum. Also muss dafür eine Lösung her, die in der Lage ist, Schadsoftware zu erkennen, bevor sie auf dem Gerät ankommen kann, und die darüber hinaus Schwachstellen von außen abschirmt. Hier bietet sich beispielsweise Virtual Patching an“, rät Tulinska.
Mittels „Web Application Firewall“ (WAF) lasse sich regeln, wer wie auf die entsprechende Applikation zugreifen darf – oder anders gesagt: „Die zu schützenden Applikationen werden gegen ungewollte oder bösartige Zugriffe abgeschirmt. Grundsätzlich ist jedoch Patching, also das Flicken von Schwachstellen, besser als Virtual Patching, bei dem unbefugte Dritte lediglich ausgesperrt werden.“

Aufklärung und Awareness wichtige Bausteine im Kampf gegen Cyber-Kriminelle im Allgemeinen und Botnetze im Besonderen

Aufklärung und Awareness seien wichtige Bausteine im Kampf gegen Cyber-Kriminelle im Allgemeinen und Botnetze im Besonderen. So habe zum Beispiel das israelische Unternehmen Guardicore nun eine Botnetz-Enzyklopädie gestartet. Die Informationen dieser Wissensdatenbank sollten fortlaufend aktualisiert werden, so dass aktuelle und vergangene Botnetz-Kampagnen bestens dokumentiert würden.
„Die Botnetz-Enzyklopädie kann von IT-Abteilungen, Sicherheitsteams, Forschern oder der Cybersecurity-Community zum besseren Verständnis und Schutz vor Bedrohungen genutzt werden. Interessierte können Botnetze per Freitextsuche finden oder die Einträge über Kompromittierungs-Indikatoren durchsuchen, beispielsweise nach IP-Adresse, Dateiname oder Service-Bezeichnung“, empfiehlt Tulinska abschließend.

Weitere Informationen zum Thema:

PSW GROUP, News, Bianca Wellbrock, 01.09.2020
Frei verfügbare Botnetz-Enzyklopädie

Guardicore
Botnet Encyclopedia

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

Patrycja Tulinska: Einheitlicher Datenschutz wäre eine bessere Orientierung für Unternehmen, Privatpersonen und Behörden

[datensicherheit.de, 15.09.2020] „18 Datenschutzbehörden für ein Land: Die Kontrolle des Datenschutzes in der Wirtschaft übernehmen in Deutschland die Länder. Hinzu kommt eine Bundesbehörde.“ Patrycja Tulinska, Geschäftsführerin der PSW GROUP Consulting, sieht das kritisch: „Gleiche Sachverhalte unterliegen dadurch unterschiedlicher Bewertung.“ Sie wünscht sich einen ernsthaften Diskurs und eine andere Lösung: „Eine Möglichkeit wäre, eine einheitliche Regelung auf Bundesebene zu schaffen. Alternativ könnten Datenschutzverfahren aber auch gleich auf EU-Ebene ausgelagert werden, denn immerhin sollte die EU-Datenschutzgrundverordnung Europas Datenschutz vereinheitlichen.“ So ganz geglückt sei gerade Letzteres aber nicht: „Es gibt 27 EU-Mitgliedsstaaten und 69 Öffnungsklauseln in der EU-Datenschutz-Grundverordnung, die ein Nationalstaat individuell ausfüllen kann.“

Foto: PSW GROUP

Patrycja Tulinska warnt: Gleiche Sachverhalte unterliegen derzeit unterschiedlicher Bewertung

Datenschutz-Aufsicht: Gemengelage in Deutschland

Hierzulande regele das Bundesdatenschutzgesetz (BDSG) auf Bundesebene den Datenschutz – sowohl für die Bundesbehörden als auch für den privaten Bereich einschließlich privatwirtschaftlicher Unternehmen, Vereine und Institutionen. Die Datenschutzgesetze der Länder sollten den Datenschutz auf Landes- und Kommunalebene regeln.
Dabei habe jedes Bundesland eine Datenschutzbehörde – Bayern verfüge sogar über zwei. Sie stünden den öffentlichen Stellen der Bundesländer bei datenschutzrechtlichen Fragestellungen beratend und kontrollierend zur Seite und fungierten als Aufsichtsbehörde für nicht öffentliche Stellen – also privatwirtschaftliche Unternehmen. „Zudem stehen sie Privatpersonen zur Seite und klären etwaige datenschutzrechtliche Fragen.“

Tulinska sieht Vorteile in der Vereinheitlichung beim Datenschutz

Tulinska wirft die Frage auf, ob eine Vereinheitlichung beim Datenschutz auf Bundesebene etwas bewirken würde, wenn doch der Datenschutz so viele bereichsspezifische Regelungen enthalte: „Zweifelsfrei gäbe es eine bessere allgemeine Orientierung, insbesondere für privatwirtschaftliche Unternehmen, die sich zum Beginn der DSGVO sehr orientierungslos inmitten vieler Fragen und weniger Antworten wiederfanden.“
Sie nennt Vorteile einer Vereinheitlichung: „Durch klar strukturierte Richtlinien wüssten alle Organisationen, was gefordert, was erlaubt und was verboten ist. Zudem würde eine Vereinheitlichung des Datenschutzes die Bearbeitung länderübergreifender Fälle wesentlich vereinfachen. Da dann alle Unternehmen dieselben datenschutzrechtlichen Ziele verfolgen würden, wäre die Beratung von Unternehmen nicht nur einfacher, sondern auch gezielter möglich.“

Indes Zeitbedarf für Datenschutz-Vereinheitlichung

Insgesamt führe also eine Vereinheitlichung des Datenschutzes „zu einer flächendeckenderen und damit besseren Umsetzung von Datenschutz“. Allerdings sei genau das nicht so ganz einfach und Tulinska hält demnach eine Umstellung von jetzt auf gleich für undenkbar: „Wir sprechen von derzeit 18 Datenschutzbehörden allein in der Bundesrepublik – es handelt sich also um einen langwierigen Prozess mit vielen potenziell Beteiligten und vielen Ansichten und Meinungen.“
Es bräuchte Beratungen, Entwicklungen, Einigungen – und das brauche Zeit. Hinzu komme, dass die Zusammenarbeit mit Experten aus verschiedenen Fachrichtungen unabdingbar wäre: Juristen, Datenschutz-, IT-Sicherheits- und weitere Experten müssten an einem Runden Tisch zusammenfinden, um Grundsätzliches zu klären. „Insgesamt also kein leichtes Unterfangen.“

Datenschutz ein Grundrecht – Bewahrung kein leichtes Unterfangen

Tulinska betont indes: „Datenschutz ist ein Grundrecht. Es zu wahren, ist kein leichtes Unterfangen. Es wird jedoch noch weitaus schwieriger, wenn es keine Einheitlichkeit gibt, nach der sich Unternehmen, Privatpersonen und Behörden richten können.“
Das Ziel bei der Neu- oder Weiterentwicklung entsprechender Gesetzestexte müsse deshalb sein, den Datenschutz auf die nächste Stufe zu heben, ihn weiter zu optimieren. „Die Vereinheitlichung des Datenschutzes kann definitiv dazu beitragen“, sagt Tulinska.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG, 07.08.2020
Datenschutz: Standardisierung auf Bundesebene möglich?

datensicherheit.de, 17.08.2020
Wie Phoenix aus der Asche: Schadsoftware Emotet zurück

Der Trojaner wurde modifiziert und kann nun E-Mail-Inhalte von infizieren Rechnern auslesen

[datensicherheit.de, 17.08.2020] Auch die PSW GROUP meldet, dass Emotet zurück sei – wie „Phoenix aus der Asche“ sei dieser Trojaner nach knapp fünfmonatiger Pause wieder zurückgekehrt. Wieder habe es eine Welle an Spam-Mails und „Emotet“-Aktivitäten gegeben, so deren IT-Sicherheitsexperten. Man müsse davon ausgehen, auch in Zukunft immer wieder von „Emotet“ in neuen Varianten zu hören – dieser Trojaner zeige, dass das Wettrennen zwischen der IT-Sicherheitsbranche und Cyber-Kriminellen Realität sei und bleiben werde.

Foto: PSW GROUP

Patrycja Tulinska: „Deshalb kann ich nur jedem dringend ans Herz legen, sich und seine IT-Infrastruktur zu schützen!“

Emotet seit Mitte Juli 2020 wieder im Netz

„Seit Mitte Juli gehen vom Botnetz ,Emotet‘ nach gut fünfmonatiger Pause Angriffswellen aus. Die Ziele lagen bislang vorwiegend in den USA sowie im Vereinigten Königreich. Die Opfer des Trojaners erhalten eine E-Mail mit Links oder Word-Dokumenten sowie der Bitte, diese zu öffnen. Erlaubt der Rechner des Opfers Makros, so aktiviert dies die in den Dokumenten enthaltenen Makros, deren Ausführung für die Installation von ,Emotet‘ sorgt“, berichtet Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

Täuschung der Opfer: Emotet kann nun Inhalte von Nachrichten auslesen

Um die Opfer zu verführen, Links und Anhänge anzuklicken, müssten die E-Mails entsprechend echt aussehen – und genau hierbei habe „Emotet“ stark „dazugelernt“: Der Trojaner habe nun die Fähigkeit, aus den E-Mail-Programmen infizierter Rechner neben Kontaktinformationen sowie -beziehungen auch Inhalte von Nachrichten auszulesen. In der Folge seien die Angreifer in der Lage, täuschend echt wirkende Antworten auf Nachrichten zu geben, welche die Nutzer tatsächlich versendet hätten. „Den E-Mail-Empfänger zur Aktivierung von Makros zu bewegen ist da nur noch ein kleiner Schritt.“

Vorschnelles Anklicken kann Emotet Tür und Tor öffnen…

In der Vergangenheit habe „Emotet“ Daten verschlüsselt. Bislang sei unklar, welche Schadsoftware durch ihn nun im Rahmen der neuen Welle konkret auf infizierten Rechnern installiert würden. „In den E-Mails angehängten Dokumenten befinden sich offenbar neue URLs. Diese verweisen auf gehackte ,WordPress‘-Sites. Auf solchen Zielseiten werden verschiedene Informationen angezeigt, etwa, dass es nicht möglich sei, das Dokument ordnungsgemäß zu öffnen. Klicken Nutzer auf derartige Nachrichten, könnte das Tür und Tor für den Trojaner öffnen“, erklärt Tulinska.

Emotet verbündet sich mit anderer Malware

Ist „Emotet“ erst einmal auf einem System, würden Schadprogramme wie „Trickbot“ nachgeladen. Mithilfe dieser können Passwörter, aber auch SSH-Keys oder Cookies gestohlen werden. Hinzu komme die Tatsache, dass sich „Emotet“ im Netzwerk immer weiter verbreitet. Die Sicherheitsforscher von Malwarebytes hätten „Emotet“ vor allem dann Gefährlichkeit attestiert, „wenn er sich mit anderen Schädlingen verbündet, um etwa Ransomware auf die Systeme zu schleusen“.

Emotet wird wohl auch zukünftig ein Wiedergänger in neuen Varianten sein

„Wir müssen davon ausgehen, auch in Zukunft immer wieder von ,Emotet‘ in neuen Varianten zu hören“, warnt Tulinska und betont: „Der Trojaner zeigt, dass das Wettrennen zwischen der IT-Sicherheitsbranche und Cyber-Kriminellen Realität ist und bleiben wird. Deshalb kann ich nur jedem dringend ans Herz legen, sich und seine IT-Infrastruktur zu schützen.“ Zu den wichtigsten Maßnahmen zählten dabei unter anderem

• Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme zügig zu installieren,
• eine im Unternehmen zentral administrierte Anti-Viren Software einzusetzen,
• eine regelmäßige mehrstufige Datensicherung durchzuführen,
• auf ein automatisiertes Monitoring inklusive Alarm bei Anomalien zu setzen und
• ein Berechtigungsmanagement einzuführen, bei dem Angestellte nur Zugang zu Anwendungen oder Konten bekommen, die zu ihrer Aufgabenerfüllung wirklich notwendig sind, und nicht benötige Zugänge oder Software zu deinstallieren.

Eine Verschlüsselung der E-Mail-Kommunikation verhindere zudem das Ausspähen der E-Mail-Inhalte. „Wer durchgängig auf digitale Signaturen setzt, dem gelingt die Validierung bekannter E-Mail-Absender.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 04.08.2020
Emotet: Trojaner kehrt zurück

datensicherheit.de, 10.08.2020
Emotet nach Comeback auf Platz 1 / Check Point veröffentlicht „Global Threat Index“ für Juli 2020 und sieht Emotet, AgentTesla und Dridex auf Spitzenplätzen

datensicherheit.de, 02.08.2020
Emotet: Insbesondere USA und GB im Visier / Offensichtlich ist Emotet nach fünfmonatiger Pause zurück

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

Überwachung von Internet- und Mobilfunkanbietern sowie kommerziellen WLAN-Betreibern soll ausgeweitet werden

[datensicherheit.de, 01.08.2020] Die PSW GROUP kritisiert in einer aktuellen Stellungnahme, dass Verschlüsselung Strafverfolgungs- und anderen Behörden offensichtlich ein „Dorn im Auge“ ist und verweist auf den Umstand, dass US-Senatoren nun einen Gesetzentwurf gegen Verschlüsselung vorgelegt hätten. Aber auch hierzulande sollen demnach Behörden mit dem sogenannten Staatstrojaner erweiterte Befugnisse erhalten: Deutschen Geheimdiensten solle es künftig möglich sein, Internet- sowie Mobilfunkanbieter und kommerzielle WLAN-Betreiber verpflichten zu können, Überwachungssoftware direkt auf den Geräten von verdächtigen Personen zu installieren.

Foto: PSW GROUP

Patrycja Tulinska: Realität der Überwachung in Deutschland nähert sich jener in den USA an…

Überwachung in den USA: Aus der Ende-zu-Ende-Verschlüsselung droht

„Der neue US-Gesetzesentwurf zum ,Zugriff von Strafverfolgern auf verschlüsselte Daten‘ käme einem Aus der Ende-zu-Ende-Verschlüsselung gleich. Die Gesetzesvorlage würde die ,warrant-proof‘-Verschlüsselung in Geräten, Plattformen und Systemen beenden. So sollen verschlüsselte Inhalte, beispielsweise von Chats oder auch Datensicherungen, der breiten Öffentlichkeit nur dann zur Verfügung stehen, wenn der jeweilige Provider einen Nachschlüssel besitzt“, warnt Patrycja Tulinska.

Backdoor-Mandat zur Überwachung ante portas

Die Geschäftsführerin der PSW GROUP erläutert: „Unter ,warrant-proof‘ versteht man eine starke Verschlüsselung. Ausschließlich der Gerätebesitzer kann mithilfe seines privaten Schlüssels die Daten entsperren. Würde das Gesetz verabschiedet werden, entstünde ein ,Backdoor-Mandat‘, das Hard- und Software-Hersteller zum Einbauen einer Hintertür zwingt.“ Strafverfolger könnten so auf sämtliche Inhalte zugreifen – aber eben auch Cyber-Kriminelle dieselben Hintertüren für ihre Attacken ausnutzen.

In Deutschland womöglich Software zur Überwachung über Downloads von Apps, Besuche von Websites oder Updates

Allerdings suchten nicht nur die USA nach Mitteln und Wegen, Überwachungsmöglichkeiten möglichst breit zu fächern. Auch in Deutschland gebe es entsprechende Pläne: „Deutsche Geheimdienste sollen die Befugnis erhalten, Geräte mit ,Staatstrojanern‘ zu hacken, um so die Kommunikation abhören zu können. Die Überwachungsprogramme können beispielsweise über Downloads von Apps, Besuche von Websites oder Updates auf den Zielgeräten installiert werden.“

Gesetz zur Anpassung des Verfassungsschutzrechts soll Überwachung ermöglichen

Diskutiert werde der Entwurf eines Gesetzes zur Anpassung des Verfassungsschutzrechts. Das Innenministerium arbeite bereits seit 2019 an diesem Gesetzentwurf, nach dem der Verfassungsschutz einen „Staatstrojaner“ erhalten solle. Am 15. Juli 2020 habe die Bundesregierung den Gesetzentwurf in der Kabinettsitzung beschlossen. Damit steht laut Tulinska fest: „Das Verfassungsschutzrecht zur Bekämpfung von Rechtsterrorismus und Extremismus soll geändert werden. Nun muss der Bundestag den Gesetzentwurf weiter diskutieren.“

Ferner sechs Gesetze sowie eine Verordnung zur Überwachung vor Umgestaltung

„Mit dem Gesetzentwurf wird nicht nur an einem Gesetz für den Bundesverfassungsschutz gearbeitet, sondern sechs Gesetze sowie eine Verordnung umgestaltet. Das Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses erlaubt den 16 Inlandsgeheimdiensten der Bundesländer, dem Auslandsgeheimdienst BND und dem Militärgeheimdienst MAD den ,Staatstrojaner‘ einzusetzen“, führt Tulinska aus.

Installation von Hardware bei Providern zur Einschleusung von Software zur Überwachung

Das bedeute im Klartext: Deutsche Geheimdienste bekämen die Befugnis, Geräte von Verdächtigen mit der staatlichen Spionagesoftware zu hacken und die Kommunikation abzuhören. Tulinskas Kritik: „Damit ist die Realität hierzulande nicht sehr weit von den US-Plänen entfernt. In Deutschland lassen die Geheimdienste lediglich Hardware bei den Telekommunikationsanbietern installieren, um so die Überwachungssoftware in den Datenverkehr einzuschleusen.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 14.07.2020
Staatstrojaner und Crypto Wars: Behörden versus Verschlüsselung

datensicherheit.de, 07.08.2018
Staatstrojaner: Digitalcourage hat Verfassungsbeschwerde eingereicht / Beschwerdeführer sehen unverhältnismäßige Tiefe des Eingriffs in das IT-Grundrecht und das Fernmeldegeheimnis

PSW GROUP gibt Tipps zu sinnvollem Schutz vor Spionage-Software

[datensicherheit.de, 09.07.2020] Die Verwendung von Spyware gewinnt an Bedeutung – um an Daten und Informationen von Unternehmen zu gelangen, wenden Cyber-Kriminelle offensichtlich nicht nur reines Hacking an, sondern betreiben auch Cyber-Spionage. Das gelingt laut der PSW GROUP „recht simpel durch sogenannte Spyware, die auf dem Rechner installiert wird“. Wer ungewöhnliche Nachrichten, beispielsweise über Soziale Netzwerke, per E-Mail, Messenger oder per SMS erhält, könnte schon Opfer einer Spyware geworden sein.

Foto: PSW GROUP

Patrycja Tulinska: In aller Regel bleibt Spyware verborgen

Spyware oder Stalkerware kommt zunehmend im Privatbereich zum Einsatz

„Tatsächlich existieren sogenannte legale Spyware-Apps, auch als Stalker- oder Spouseware bezeichnet, die installiert werden können, um andere auszuspionieren. In aller Regel bleiben spionierende Apps und Software verborgen. Der cyber-kriminelle Täter wird mit Informationen sowie Daten, beispielsweise Standortdaten, Browserverlauf, SMS oder Social-Media-Chats, versorgt“, so Patrycja Tulinska, Geschäftsführerin der PSW GROUP.
Der IT-Sicherheitsexpertin bereitet die steigende Beliebtheit von Spionage und Überwachung, sowohl im Unternehmens- als auch im Privaten Bereich, Sorge: „Spy- oder Stalkerware findet zunehmend im Privatbereich Einsatz – jedoch darf man hier durchaus von technologischem Missbrauch sprechen, der ethisch mehr als bedenklich erscheint.“

Auch Unternehmen sehen sich vielfach Spyware ausgesetzt

Die Sicherheitsrisiken, die solche Stalkerware mit sich bringt, sollte nicht nur die Opfer, sondern auch die Täter sehr beunruhigen, könnten solche Apps doch die Daten der Opfer gefährden und den Geräteschutz aushebeln. Tulinska: „Letzteres würde Tür und Tor auch für andere Schadsoftware öffnen.“ Apps dieser Art würden oft recht schamlos als Geheimwaffe für besorgte Eltern beworben, die die Aktivitäten ihrer Kinder zu ihrem eigenen Schutz überwachen sollten. Dass solche Apps oft missbraucht werden, sei eine wenig überraschende Erkenntnis: Stalkerware befasse sich schließlich mit dem Digitalleben seiner Opfer.
„Eine unschöne Entwicklung des gesellschaftlichen Miteinanders, jedoch ist der Privatbereich nur einer, den es treffen kann. Denn auch Unternehmen sehen sich vielfach Spyware ausgesetzt, die dafür genutzt wird, Unternehmensgeheimnisse preiszugeben oder sonstige Informationen für eigene Zwecke zu missbrauchen.“ Industriespionage und Erpressung seien reale Gefahren, die jedes Unternehmen treffen könnten. Tatsächlich seien sogar Klein- und Mittelständische Unternehmen (KMU) häufige Opfer: „Sie denken zum einen nicht daran, dass sie überhaupt Opfer werden könnten. Zum anderen sind die Möglichkeiten solcher Unternehmen in finanzieller oder personeller Hinsicht begrenzt, so dass IT-Sicherheit zuweilen eher halbherzig angegangen wird“, berichtet Tulinska.

Nicht immer lässt sich ein Angriff mit Spyware zweifelsfrei feststellen

Wie groß die Gefahr tatsächlich ist, Spyware zum Opfer zu fallen, habe der Branchenverband Bitkom im Jahr 2019 durch eine anonyme und bundesweit durchgeführte Umfrage herausgefunden: „Der Studienbericht ,Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt‘ zeigt deutlich, dass 75 Prozent der Unternehmen in den vergangenen zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen waren. Weitere 13 Prozent waren vermutlich betroffen – denn nicht immer lässt sich ein Angriff zweifelsfrei feststellen.“ Somit sei fast die gesamte Industrie von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen oder vermutlich betroffen – mit hoher Wahrscheinlichkeit lägen die tatsächlichen Zahlen noch höher, denn nicht jeder Cyber-Angriff werde auch bemerkt.
Spyware könne es auf PCs, Server oder Notebooks absehen, oder in die Lage versetzen, Video- und Sprachaufnahmen aufzuzeichnen. Aber auch auf Mobilgeräte wie Smartphones und Tablets. Spyware sei keine Malware im eigentlichen Sinne und sie versuche auch nicht, sich selbst zu verbreiten, wie es Viren täten. Jedoch könnten Viren eingesetzt werden, um die Spyware auf das Zielsystem zu bringen. „Leider gibt es keinen absolut wirksamen und 100-prozentigen Schutz gegen Spy- und Stalkerware. Wer jedoch ein paar Tipps beherzigt, kann sich recht gut schützen“, betont Tulinska.

Getarnte Spyware: Werbeanzeigen oder Links nur mit Bedacht anklicken!

„Die Antiviren-Software auf jedem Endgerät sollte immer aktuell sein und regelmäßige Scans schaffen eine gute Basis, dass Spy- oder Stalkerware auch aufgespürt werden. E-Mail-Anhänge oder Datei-Downloads sollten zudem nur aus bekannten und vertrauenswürdigen Quellen geöffnet werden.“ Gleiches gelte im Übrigen auch für kostenfreie Software: „Vor Installation kann ich nur dringend empfehlen, Herkunft und Funktion zu prüfen.“ Wer im Web surft, sollte Werbeanzeigen oder Links nur mit Bedacht anklicken – „Finger weg, sobald etwas fragwürdig erscheint“.
Wer vermutet, dass sein Smartphone kompromittiert sein könnte, sollte dringend den PIN und die Passwörter für alle möglichen Online-Accounts, einschließlich E-Mail und Soziale Netzwerke ändern, rät Tulinska. Updates und Patches sollten bei Verdachtsfällen dann stets von sicheren Geräten ausgeführt werden, niemals von Geräten, die verdächtig erscheinen. Ein Hinweis einer Kompromittierung könne es sein, wenn sich die Geräteeinstellungen ohne Zutun des Eigentümers ändern. Vorsicht sei auch geboten, wenn das Smartphone vorher verlorenging. Wurden Anwendungen aus anderen Quellen als den offiziellen App-Stores von Google und Apple geladen, könne dies ein Hinweis auf unerwünschte Stalkerware sein.

Spyware kann von Hackern auch in Bildern eingeschleust werden

„Für Unternehmen gilt, dass strengere Zugriffskontrollen auf unternehmenseigenen Geräten, aber auch Richtlinien zum Verwenden von Endbenutzergeräten implementiert werden müssen. Gerootete Geräte und jene mit ,Jailbreak‘ sollten aus dem unternehmenseigenen Netzwerk ausgeschlossen werden. Stalkerware könnte nämlich dafür sorgen, dass die sensiblen Unternehmensdaten in die falschen Hände geraten“, unterstreicht Tulinska.
Umso wichtiger sei Aufklärung: Ist der Ursprung einer Nachricht unbekannt, sollten weder Links angeklickt, noch Anhänge geöffnet werden. Oft handele es sich um Phishing-Versuche, die darauf abzielten, an Informationen zu kommen. Spyware könne von Hackern auch in Bildern oder GIFs eingeschleust werden. Gerne würden süße Bildchen oder lustige Memos verschickt – „der Virus befindet sich dann als verschlüsselter Code in der Datei“. Öffnet der Empfänger den Anhang, werde die Spyware installiert und setze sich auf dem Gerät fest, warnt Tulinska.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 23.06.2020
Bedrohungslage / Cyberspionage: Gefahren durch Spionage-Software

bitkom
Studie / Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt

datensicherheit.de, 05.05.2019
Scranos: Spyware wird zum Global Player / Unternehmen müssen ihr Sicherheitsniveau verbessern, um der Gefahr ausgeklügelter APTs zu begegnen (Gastautor Liviu Arsene, Bitdefender)

PSW GROUP warnt vor veraltetem Betriebssystem

[datensicherheit.de, 12.12.2019] Obwohl Microsoft das Support-Ende für das Betriebssystem „Windows 7“ seit Längerem bekanntgegeben hat, wird es offensichtlich noch immer auf vielen Rechnern in Unternehmen, Privathaushalten, Schulen und Behörden nach wie vor genutzt. Darauf machen IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen in diesem Zusammenhang auf eine aktuelle Untersuchung des Sicherheitsspezialisten kaspersky. Demnach verwenden noch immer 41 Prozent ein nicht unterstütztes oder bald auslaufendes Desktop-Betriebssystem wie „Windows XP“ oder „Windows 7“.

Patrycja Tulinska: Veraltetes Betriebssystem schadet nicht nur betroffenem Rechner, sondern allen im Netzwerk angeschlossenen Systemen.

47 Prozent der Mittelstands- und Großunternehmen nutzen immer noch Windows 7

„Laut kaspersky nutzen 38 Prozent der Kleinstunternehmen, 47 Prozent der Mittelstands- und Großunternehmen sowie 38 Prozent der Privatanwender ,Windows 7‘, obwohl der Support Anfang 2020 eingestellt wird“, erläutert Patrycja Tulinska, Geschäftsführerin der PSW GROUP, und macht auf die Folgen aufmerksam:
„Das ist ärgerlich, denn ein veraltetes Betriebssystem schadet nicht nur dem betroffenen Rechner, sondern allen im Netzwerk angeschlossenen Systemen.“

Auch Support für Windows Server 2008 sowie 2008 R2 endet

Wie sicher die verwendeten Computer sowie deren Netzwerk sind, hänge stark vom eingesetzten Betriebssystem ab. In aller Regel bedeute ein Support-Ende bei Betriebssystemen, dass diese nicht mehr durch (Sicherheits-)Updates vom Hersteller versorgt würden. So könnten neuentdeckte Sicherheitslücken nicht geschlossen und damit bequem von Cyber-Kriminellen ausgenutzt werden.
„Das Aus von ,Windows 7‘ Anfang 2020 bedeutet gleichwohl das Ende der Unterstützung für die Serversysteme dieser OS-Generation. Das heißt für Nutzer, dass mit dem 14. Januar 2020 auch der Support für ,Windows Server 2008‘ sowie ,2008 R2‘ endet. Es gibt ab diesem Zeitpunkt keine Updates mehr, es werden keine Sicherheitslücken geschlossen“, unterstreicht Tulinska den Ernst der Lage.

Weiterer Einsatz mit immensen Sicherheitsrisiken und möglichen Compliance-Richtlinien-Verletzungen verbunden

Damit seien nicht nur Rechner, sondern auch Server dringend durch ein Update auf die nächste Generation zu bringen, um IT-Sicherheit zu gewährleisten. Zwar stellten die End-of-Support (EoS)-Server ihren Betrieb nicht ein, jedoch sei jeder weitere Einsatz mit immensen Sicherheitsrisiken und mit möglichen Compliance-Richtlinien-Verletzungen verbunden.
„Diese Risiken gehen über einzelne Plattformen deutlich hinaus. Ist ein Server kompromittiert, wird oft das Gesamtnetzwerk für Hacker-Attacken anfällig. Neben Datenverlusten können Crypto-Mining-Attacken oder auch durch Ransomware verschlüsselte Daten die Folgen sein“, so Tulinska.

57.000 Berliner Verwaltungsrechner warten auf Upgrade

Eine Vorbildfunktion könnten Behörden, Schulen und andere öffentliche Einrichtungen einnehmen, jedoch hinkten diese in Sachen Umstellung auf die aktuelle Betriebssystem-Version mindestens genauso hinterher wie Unternehmen und Privatanwender – und gefährdeten damit den von der DSGVO mittlerweile vorgegebenen Datenschutz. Ein Blick in die Berliner Verwaltung beispielsweise offenbare das Desaster. Knappe 57.000 Verwaltungsrechner warteten in der Hauptstadt auf ihr Upgrade. Auch Schulen stünden vor dieser Problematik: Um den Betrieb an einer Schule am Laufen zu halten, müssten zahlreiche unterschiedliche Daten tagtäglich verarbeitet werden.
Darunter befänden sich viele personenbezogene Daten, wie Stammdaten der Schüler, der Eltern, aber auch der Lehrkräfte und etwaiger Gastdozenten. Neben den Schulcomputern müssten zudem sämtliche Rechner im gesamten Schulsystem auf „Windows 10“ umgestellt werden. „Idealerweise kümmern sich betroffene Schulen und Behörden ja spätestens in den Weihnachtsferien 2019 um den Umstieg auf ,Windows 10‘, um das neue Jahr sicher zu starten“, hofft und mahnt Tulinska abschließend.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 03.12.2019
IT-Security / Veraltetes Betriebssystem – ein Sicherheitsrisiko

kaspersky daily, 27.08.2019
Warum viele Unternehmen eine tickende Cyber-Zeitbombe bei sich im Haus haben / Sicherheitsrisiko Betriebssystem: 5 Prozent sind veraltet und erhalten keine Sicherheitsupdates mehr

kaspersky, 26.08.2019
Sicherheitsrisiko Betriebssystem: 10 Prozent sind veraltet und erhalten keine Sicherheitsupdates mehr / Kaspersky warnt vor einer unterschätzten Gefahr

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 25.06.2019
PSW GROUP warnt vor versteckter Malware

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

Cyber-Kriminelle greifen laut PSW GROUP derzeit gezielt Personalabteilungen an

[datensicherheit.de, 26.10.2019] IT-Sicherheitsexperten der PSW GROUP mahnen Personalabteilungen von Unternehmen zur Vorsicht: „Cyber-Kriminelle greifen derzeit gezielt Personalabteilungen an, indem diese E-Mails mit angeblichen Bewerbungen versenden. Auf diese Weise wollen Angreifer die ,Sodinokibi‘-Ransomware verbreiten, die auch unter den Namen ,Sodin‘ oder ,REvil‘ bekannt ist. Wer den Anhang, also die vermeintliche Bewerbung öffnet, aktiviert sofort die Ransomware, die sämtliche Funktionen auf dem betroffenen Rechner verschlüsselt“, warnt Patrycja Tulinska, Geschäftsführerin der PSW GROUP.

1.180 Euro in Bitcoin als Lösegeld

Für eine Entschlüsselung fordern die Erpresser laut Tulinska einen Betrag von 0,16 Bitcoin – das sind umgerechnet etwa 1.180 Euro. „Zahlt das Opfer nicht binnen einer Woche, so verdoppelt sich dieser Betrag.“
Als Absender seien neben „Sandra Schneider“ bereits „Martina Peters“ oder „Sabine Lerche“ im Umlauf. „Es ist anzunehmen, dass sich die Cyber-Kriminellen nach und nach neue Namen überlegen, um den Erfolg der Angriffe mit der ,Sodinokibi‘-Ransomware hoch zu halten“, so die IT-Sicherheitsexpertin.

Foto: PSW GROUP

Patrycja Tulinska rät zu Datensicherung auf externem Speichermedium

Selbe Infrastruktur wie beim Verschlüsselungstrojaner GandCrab

Die erst seit Kurzem aktive „Sodinokibi“-Ransomware arbeitet demnach offenbar mit derselben Infrastruktur, welche die Macher des Verschlüsselungstrojaners „GandCrab“ nutzen. Nachdem sie mit „GandCrab“ rund 150 Millionen US-Dollar erbeutet hätten, wollten sich die Kriminellen mit den erwarteten Einnahmen aus „Sodinokibi“ in den Ruhestand verabschieden.
Hinweise auf eine Verbindung zwischen den beiden Verschlüsselungstrojanern habe der Security-Blogger Brian Krebs dargelegt. So berichtet er laut Tulinska unter anderem, dass ein Cyber-Krimineller Anfang Mai 2019 in einschlägigen Untergrundforen weitere Kriminelle für ein neues Ransomware-Projekt habe rekrutieren wollen.

Sodinokibi-Ransomware aka REvil aka Sodin auch bereits über gefälschte E-Mails des BSI verteilt

„Die ,Sodinokibi‘-Ransomware aka ,REvil‘ aka ,Sodin‘ wurde darüber hinaus bereits über gefälschte E-Mails des Bundesamtes für Sicherheit in der Informationstechnik verteilt. In den Spam-Mails mit dem Trojaner an Bord wurde ein Datenmissbrauch vorgetäuscht und auf den Anhang verwiesen. Im anhängenden Zip-Archiv befand sich dann ein Downloader für die ,Sodinokibi‘-Ransomware“, erläutert Tulinska.
Dass Ransomware weiter auf dem Vormarsch sei, beweise ein alter Bekannter: „Emotet“, der im ersten Quartal dieses Jahres bereits sein Unwesen getrieben habe, sei zurück. Erst kürzlich habe das BSI eine Meldung mit dem Titel „Zunahme von erfolgreichen Cyber-Angriffen mit Emotet“ herausgegeben. Der Angriff über E-Mail sei derart ausgeklügelt gewesen, dass sich nicht einmal ausgezeichnet informierte Unternehmen hätten schützen können.

Sodinokibi-Ransomware nutzt jede mögliche Angriffsmöglichkeit

„,Emotet‘ und die ,Sodinokibi‘-Ransomware verteilen sich allerdings unterschiedlich. Die Cyber-Kriminellen hinter ,Emotet‘ nutzen vorrangig das sogenannte Dynamit-Phishing, bei dem sich der Trojaner zwar automatisch, jedoch angepasst an seine ,Zielumgebung‘, beispielsweise ein bestimmtes Unternehmen, verbreitet. Die ,Sodinokibi‘-Ransomware hingegen nutzt jeden Angriff, der möglich ist: Wurden zuerst Sicherheitslücken in Server-Software ausgenutzt, phisht ,Sodin‘ mittlerweile auch über groß angelegte Spam-Kampagnen, etwa per Mailvertising“, erklärt Tulinska.
Die IT-Sicherheitsexpertin rät deshalb einmal mehr zu äußerster Vorsicht in der E-Mail-Kommunikation: „Das eigene Personal muss unbedingt entsprechend geschult werden und bestimmte Verhaltensweisen beherzigen. Dazu gehört, auf das Nachladen von HTML-Inhalten zu verzichten und Nachrichten ausschließlich im Rein-Text anzeigen zu lassen. Das gilt auch für digital signierte E-Mails. Wenngleich Links und Befehle so zwar nicht automatisiert ausgeführt werden, ist das sicherer.“

Grundsätzlich Anhänge in E-Mails mit Skepsis begegnen!

Grundsätzlich sollten Anhänge mit Skepsis betrachtet und nur geöffnet werden, „wenn sichergestellt ist, dass sie auch von diesem Absender stammen und er vertrauenswürdig ist – im Zweifelsfalle hilft eine Rückversicherung per Telefon“. Zudem sollte nicht nur eine gute Anti-Viren-Software installiert sein, sondern diese auch durch regelmäßige Updates auf aktuellem Stand sein. Das Gleiche gelte auch für Clients, Plugins und sonstige Software.
„Eine zusätzliche Datensicherung auf einem externen, verschlüsselten Speichermedium garantiert im Fall einer erfolgreichen Cyber-Attacke, dass die Daten nicht gänzlich verloren sind und wieder aufgespielt werden können“, empfiehlt Tulinska im Hinblick auf regelmäßige Daten-Backups.

Weitere Informationen zum Thema:

PSW GROUP, 02.10.2019
Verschlüsselung / Sodinokibi-Ransomware: Bewerbung mit Folgen

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 25.06.2019
PSW GROUP warnt vor versteckter Malware

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

Neue Zahlungsrichtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

[datensicherheit.de, 27.09.2019] IT-Sicherheitsexperten der PSW GROUP machend darauf aufmerksam, dass seit dem 14. September 2019 die Zahlungsrichtlinie PSD2 verpflichtend ist. Diese zweite „Payment Service Directive“ geht demnach mit Veränderung für Banken, Zahlungsdienstleister und Kunden einher, beschere ihnen aber auch einen Vorteil: Die Richtlinie werde dem Online-Banking zu gesteigerter Sicherheit verhelfen.

Patrycja Tulinska: „Richtlinie wird Online-Banking zu gesteigerter Sicherheit verhelfen“

Von der Europäischen Kommission im Zahlungsdiensterecht beschlossene EU-Richtlinie

Die neue Vorschrift PSD2 ist laut PSW GROUP eine EU-Richtlinie, welche von der Europäischen Kommission im Zahlungsdiensterecht beschlossen wurde. Sie solle Zahlungsdiensten und Zahlungsdienstleistern in Europa zu einem gerechten Wettbewerb verhelfen. „Hierfür werden Banken verpflichtet, ihre zuvor gesammelten Kundendaten zu veröffentlichen und verlieren gegenüber Nicht-Banken damit einen klaren Vorteil. Dies erfordert natürlich die Zustimmung des Kunden und bietet diesem die Chance, weitere Angebote zu Finanzprodukten von anderen Mitbewerbern zu erhalten und direkt zu vergleichen“, erläutert Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Weiterhin sei auf Kundenseite mit sinkenden Bankgebühren aufgrund des steigenden Wettbewerbs zu rechnen.

Erwerb einer BaFin-Lizenz an langwierigen Prüfprozess des Finanzdienstleisters gekoppelt

Die Umsetzung von PSD2 sei an verschiedene technische Voraussetzungen gekoppelt, um weiterhin sowohl Sicherheit wie auch Transparenz zu garantieren. Tulinska: „Für die Offenlegung von Kundendaten an Nicht-Banken werden Banken zur Nutzung einer sicheren Schnittstelle verpflichtet. Abgesichert werden diese mit qualifizierten Website-Zertifikaten, kurz QWACs genannt. Auch Zahlungsdienstleister, die anschließend Zugriff auf die hinterlegten Kundendaten erhalten möchten, benötigen hierzu diese QWACs respektive qualifizierte Siegel. Weiterhin benötigen Nicht-Banken eine Lizenz der Bundesanstalt für Finanzdienstleitungsaufsicht oder einer anderen nationalen Aufsichtsbehörde.“ Diese Lizenz bestätige, „dass der Finanzdienstleister dazu berechtigt ist, Zugriff auf Kundendaten zu erhalten“. Zudem lege sie den Umfang fest, zu dem der Finanzdienstleister Zugriff auf Informationen erhalten dürfe. Der Erwerb einer BaFin-Lizenz sei an einen langwierigen Prüfprozess des Finanzdienstleisters gekoppelt und könne bis zu drei Monate dauern.

Qualifizierte Website-Zertifikate entsprechend dem eiDAS-Standard

Qualifizierte Website-Zertifikate entsprächen dem „eiDAS“-Standard und würden ausschließlich von qualifizierten „Trust Service“-Providern ausgegeben. Daher gälten sie besonders in der EU als angesehen und vertrauenserweckend: „QWACs belegen die Identität des Zahlungsdienstleisters und erfüllen gleichzeitig die Funktion gewöhnlicher SSL-Zertifikate. Sie verschlüsseln also die Datenübertragung über die Website“, ergänzt Tulinska. PDS2-konforme Zertifikate könnten auch über die PSW GROUP bezogen werden. „Da es sich um eine kompliziertere Beratung handelt, sind diese Zertifikate vorerst nur auf Anfrage erhältlich.“

Weitere Informationen zum Thema:

PSW GROUP, 13.09.2019
Verschlüsselung / PSD2 – Neue Richtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 20.07.2019
Neue Zahlungsrichtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

Angriffe dauern länger und werden raffinierter, warnt die PSW GROUP

[datensicherheit.de, 14.09.2019] In einer Stellungnahme der PSW GROUP wird unter Berufung auf den „Lagebericht zur IT-Sicherheit 2018“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) darauf aufmerksam gemacht, dass DDoS-Attacken hinsichtlich Anzahl und Dauer deutlich zunehmen, zudem komplexer und raffinierter werden. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen.

Durchschnittlich 175 Angriffe pro Tag

Im dritten Quartal 2018 habe sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffe pro Tag seien zwischen Juli und September 2018 gestartet worden.
Die Opfer seien vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz gewesen: „87 Prozent aller Provider wurden 2018 angegriffen.“ Für das 1. Quartal 2019 habe Link11 schon 11.177 DDoS-Angriffe registriert.

Foto: PSW GROUP

Patrycja Tulinska: DDoS-Angriffe nehmen komplette Websites zeitweise aus dem World Wide Web

Komplexe Multi-Vektor-Angriffe auf Anwendungen, Infrastruktur und Breitband

DDoS-Angriffe machten es möglich, eine komplette Website zeitweise aus dem „World Wide Web“ zu verbannen, so dass diese nicht mehr aufgerufen werden könne. „Für einen derartigen Angriff bündeln Cyber-Kriminelle verschiedene, zuvor gekaperte Computer zu einem Verbund“, erläutert Patrycja Tulinska, Geschäftsführerin der PSW GROUP.
Daraus entstehe dann ein sogenanntes Botnetz, „welches Webserver mit derartig vielen Anfragen überflutet, dass diese der Last nicht mehr standhalten“. Immer häufiger setzten die cyber-kriminellen Täter dabei auf komplexe Multi-Vektor-Angriffe auf Anwendungen, Infrastruktur und Breitband.

DDoS as a Service: Professionelles Angebot etabliert

„Werden DDoS-Angriffe komplexer, ist die logische Schlussfolgerung, dass sie auch länger andauern. Das zeigen auch die Zahlen, denn im 1. Quartal 2018 dauerten sie im Schnitt 95 Minuten, im letzten bereits 218 Minuten“, so Tulinska. Die IT-Sicherheitsexpertin macht zudem auf eine erschreckende Marktentwicklung bei DDoS-Angriffen aufmerksam: „Es hat sich ein richtiges ,DDoS as a Service‘-Angebot etabliert, bei dem Hacker im öffentlichen Web mit gewaltigen Bandbreiten von 500 Gbps sowie 20.000 Bots für Angriffe locken.“
Auf der Plattform „0x-booter“ beispielsweise könnten sich Interessierte anmelden und eine Attacke von beispielsweise 15 Minuten für 20 US-Dollar buchen. Die rege Nachfrage zeige, „dass sich das Problem DDoS für Unternehmen und Behörden künftig wohl noch komplizierter wird“.

Durch Tarnung legitime User-Anfragen vorgetäuscht

DDoS-Multivektor-Angriffe sowie DDoS-Services zeigten, dass die Angriffe nicht nur in Anzahl und Dauer zunähmen, sondern auch komplexer und raffinierter würden. Aber damit sei noch längst nicht das Ende der Fahnenstange erreicht. Mit einer neuen, sehr perfiden Angriffsmethode gelinge es Cyber-Kriminellen inzwischen durch Tarnung eine legitime User-Anfrage vorzutäuschen.
Dabei gehe es dann nicht darum, die Anbindung zu überlasten, sondern die Server-Ressourcen durch das Ver- und Entschlüsseln von SSL-Verbindungen auszureizen. „HTTPS-Angriffe dieser Art sind nur schwer zu erkennen. Denn ohne Inspektion der Pakete lässt sich der manipulierte Traffic kaum von normalen Anfragen unterscheiden. Ein granularer Einblick in den per TLS verschlüsselten Traffic ist Bedingung zum Erkennen solcher Angriffe“, informiert Tulinska.

Angreifer profitieren von Cloud-Wachstum und Breitbandanbindungen

Tulinska geht davon aus, dass die Verwendung von Bots für DDoS-Angriffe zunehmen wird. Bots seien vielseitig einsetzbar, beispielsweise für den Versand von Spam, für Krypto-Mining oder eben für DDoS-Attacken.
„Praktisch für Angreifer ist die Tatsache, dass speziell Server-basierte Botnetze durch den Ausbau der globalen IT-Infrastruktur exponentiell mitwachsen. Angreifer profitieren vom rasanten Cloud-Wachstum und steigenden Breitbandanbindungen.“

Einsatz Künstlicher Intelligenz könnte DDoS-Attacken künftig kontern

Es lohne sich also, in den Schutz vor DDoS-Angriffe zu investieren. Denn die Kosten, die ein Schaden im Nachhinein verursacht, seien um ein Vielfaches höher als ein effizienter Schutz. „Und aufgrund der bestehenden kriminellen Infrastruktur wird es höchstwahrscheinlich auch weiterhin zielgerichtete Angriffe, beispielsweise auf Webanwendungen, geben.“
Immerhin könne der Einsatz Künstlicher Intelligenz (KI) den DDoS-Attacken künftig kontern. „Verteidigungsstrategien sollten deshalb Künstliche Intelligenz und das maschinelle Lernen inkludieren. So lassen sich große Datenströme in Echtzeit verarbeiten und adaptive Maßnahmen können entwickelt werden“, rät Tulinska. Ein weiterer Baustein zur effektiven Verteidigung sei und bleibe die Schulung von Mitarbeitern, um sie für die Gefahr zu sensibilisieren. „Außerdem müssen Websites sowie Webanwendungen auf den Umgang mit sehr hohem Datenverkehr vorbereitet werden“, betont Tulinska.

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 27.08.2019
Verschlüsselung / DDoS-Angriffe nehmen weiter Fahrt auf

Bundesamt für Sicherheit in der Informationstechnik
Publikationen / Die Lage der IT-Sicherheit in Deutschland

datensicherheit.de, 05.08.2019
DDoS-Angriffe: Neuer kaspersky-Bericht erschienen

datensicherheit.de, 22.07.2019
20 Jahre DDoS: Ein Jahrestag zum Aufrütteln

datensicherheit.de, 10.07.2019
DDoS-Abwehr ohne Ende: Marc Wilczek im ds-Hintergrundgespräch / ds-Herausgeber Dirk Pinnow traf den Link11-COO am Rande einer Tagung in Berlin

datensicherheit.de, 05.07.2019
DDoS-Angriff auf die ÖBB – Kritische Infrastrukturen zunehmend gefährdet

datensicherheit.de, 24.04.2019
Imperva deckt auf: DDoS-Angriff mit Ping-Befehl

datensicherheit.de, 07.09.2018
Cyberstudie: Fast jeder Service Provider wird zum Ziel von DDoS-Attacken

datensicherheit.de, 29.08.2018
DDoS-Angreifer nutzen verstärkt Cloud-Dienste