Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

[datensicherheit.de, 19.09.2023] Sogenannte Deepfakes – d.h. verblüffend authentisch wirkende Videos (und andere Medien), welche Menschen oder Szenen mittels Technologie imitieren – existieren bereits seit Jahren und werden zunehmend für diverse Anwendungszwecke eingesetzt. „So können z.B. mithilfe der Technik bereits verstorbene Künstler wie Salvador Dalí als Teil von interaktiven Ausstellungen wieder zum Leben erweckt werden“, berichtet Morgan Wright, „Chief Security Advisor“ bei SentinelOne. Eine proaktive Zusammenarbeit zwischen Technologieunternehmen, Regulierungsbehörden und der Gesellschaft sei unabdingbar, um dem Anstieg betrügerischer „Deepfakes“ begegnen zu können.

Foto: SentinelOne

Morgan Wright: Gesellschaft muss digitaler Bildung Vorrang einräumen!

Deepfake-Möglichkeiten der Bedrohungsakteure massiv zugenommen

„In der heutigen Zeit, wo viele Nationen mit globalen Unwägbarkeiten und politischer Instabilität zu kämpfen haben, geht es für Regierungen aber nicht um den Einsatz von KI zur Erzeugung von Spezialeffekten, futuristischer Kulissen oder dystopischen Zukunftsszenarien“, führt Wright aus.

Vielmehr bedeuteten die außergewöhnlichen Fortschritte in der Künstlichen Intelligenz (KI), dass die Möglichkeiten und Werkzeuge der Bedrohungsakteure nun massiv gewachsen seien.

Sie könnten beispielsweise Wahlwerbespots mit computergenerierten Fake-Bildern von Kandidaten produzieren, „die lebensecht erscheinen, um inkriminierende Fehldarstellungen dieser Kandidaten darzustellen“.

Auswirkungen von Deepfakes auf politische Prozesse

Eine Erzählung brauche ein fesselndes Element, um sie im Gedächtnis der Zielgruppe zu verankern. Bei Filmen gehe es um Unterhaltung und die Flucht vor der Realität – oft sei das in der Politik nicht viel anders.

Das fesselnde Element könne ein Bild, ein Audio-Clip oder ein Video sein. Die Fortschritte im Bereich KI hätten sowohl in der Unterhaltungsbranche als auch als Werkzeug für Täuschung ganz neue Möglichkeiten eröffnet. KI benötige große Datenmengen, um effektiv trainiert werden zu können und verlässliche sowie hochwertige Antworten zu liefern.

Wright erläutert: „Je mehr Inhalt, desto besser kann KI die angestrebten Ergebnisse erzielen. Für Bedrohungsakteure deren Ziel die Manipulation menschlichen Verhaltens und die Veränderung zuvor gesicherter Überzeugungen ist, stellt die Fülle von Audio-, Video- und Bilddateien in der politischen Sphäre einen erstklassigen Trainingsplatz dar.“

Falschinformationen: Deepfakes als sehr gefährliche und wirksame politische Waffe

„Die Geschichte hat uns gelehrt, dass Lügen oftmals leichter verbreitet werden als die Wahrheit und sehr schwer zu korrigieren sind“, warnt Wright. In unseren Köpfen gebe es eine direkte Verbindung der eigenen Wahrnehmung hin zu unserem Verständnis von Realität, und es falle uns sehr schwer, dieses anfänglich erzeugte Bild der Realität kritisch zu hinterfragen.

Dieses Phänomen habe ein erhebliches rechtliches und technisches Dilemma geschaffen: „Wie können wir sicher sein, dass ein Video kein ,Deepfake’ ist? Wie beweist man, dass etwas nicht passiert ist?“ Und die größere Frage, welche sich uns stelle: „Wie können wir definitiv beweisen, dass etwas gefälscht ist?“

Im Jahr 2023 habe KI sich in vielen Bereichen bereits weit über die grundlegende menschliche Fähigkeit hinaus entwickelt: Sie ermögliche es, täuschend echte Aufnahmen – ein Bild, ein Video oder eine Stimme – sehr schnell und unkompliziert zu fälschen. Es würden Situationen geschaffen, in denen die Wahrnehmung in den Köpfen der Menschen beeinflusst werden könne – durch gezielte Falschinformationen, „was eine sehr gefährliche und wirksame politische Waffe darstellt“.

Täuschung der Massen mit Deepfakes

„Deepfakes“ seien dadurch eine neue Art der „Weapons of Mass Deception“, also Waffen der Massentäuschung, geworden. Die größte Auswirkung von „Deepfake“-Videos sei nicht die Tatsache, „dass sie gefälscht sind“. Es seien die Nachwirkungen der Täuschung, welche auch lange nach der Entdeckung der Wahrheit in den Köpfen der Menschen bestehen blieben – ein äußerst mächtiges Werkzeug in den Händen von Bedrohungsakteuren.

Diese Art von Szenario und seine potenziellen Folgen habe bereits 1710 Jonathan Swift, der Autor von „Gullivers Reisen“, beleuchtet. In einem Artikel für „The Examiner“ bemerkte er demnach: „Wenn eine Lüge nur eine Stunde lang geglaubt wird, hat sie ihre Arbeit getan, und es besteht keine weitere Notwendigkeit dafür. Die Falschheit fliegt, und die Wahrheit kommt hinkend nach, so dass, wenn die Menschen wieder aufgeklärt werden, es zu spät ist; der Witz ist vorbei, und die Geschichte hat ihre Wirkung entfaltet.“

Eine große Chance für Sicherheitsteams in der Bekämpfung von durch KI optimierten „Deepfakes“, bestehe nun darin, selbst KI einzusetzen, „die darauf trainiert wurde, ,Deepfakes’ zu erkennen“. Aber auch andere Prozesse seien vonnöten: „Angesichts der Bedrohung durch ,Deepfakes’ muss die Gesellschaft der digitalen Bildung Vorrang einräumen, den Einzelnen in die Lage versetzen, zwischen echten und manipulierten Medien zu unterscheiden, in Technologien zur Erkennung von ,Deepfakes’ investieren und rechtliche Rahmenbedingungen schaffen, um böswillige Nutzung zu verhindern.“

Weitere Informationen zum Thema:

The Dalí Museum, 08.05.2019
Behind the Scenes: Dalí Lives

IT-Strukturen in Schwerin und im Landkreis Ludwigslust-Parchim wurden mit Ransomware attackiert

[datensicherheit.de, 02.12.2021] Der massive Cyber-Angriff Mitte Oktober 2021 in Schwerin zeige deutlich „die Schwere der aktuellen Bedrohungslage in Deutschland“. Die kommunalen IT-Strukturen in Schwerin und auch im Landkreis Ludwigslust-Parchim wurden demnach bei diesem Vorfall Opfer der Schadsoftware „DeepBlueMagic“. Matan Rudis, „Head of Threat Intelligence bei SentinelOne“, geht in seiner aktuellen Stellungnahme auf diesen Angriff ein und erläutert: „Es handelt sich aber nicht um einen Einzelfall, denn bereits bei anderen vergleichbaren Vorfällen in Deutschland verwendeten Bedrohungsakteure diese Schadsoftware, wie ein Sprecher der für die Ermittlungen zuständigen Staatsanwaltschaft Rostock mitteilte.“

Foto: SentinelOne

Matan Rudis: Massiver Cyber-Angriff Mitte Oktober 2021 in Schwerin zeigt deutlich Schwere der aktuellen Bedrohungslage in Deutschland

Alle von der Ransomware befallenen Systeme wurden daraufhin zur Sicherheit heruntergefahren

Laut dpa-Berichten hätten die Opfer der Angriffe zunächst E-Mails mit der Mitteilung erhalten, dass ihre Daten verschlüsselt worden seien. „Um sie wiederzubekommen, müssten sie per E-Mail Kontakt mit den Angreifern aufnehmen.“ Die Betroffenen seien den Forderungen aber nicht nachgekommen, so der Sprecher der Staatsanwaltschaft.
Bei diesem Cyber-Angriff seien Server der Schweriner IT- und Servicegesellschaft und des Kommunalservice Mecklenburg durch die Schadsoftware teilweise verschlüsselt worden. „Alle Systeme wurden daraufhin zur Sicherheit heruntergefahren, was den Großteil der Bürgerservices in der Landeshauptstadt und dem angrenzenden Landkreis Ludwigslust-Parchim lahmlegte.“ Der Betrieb sei noch immer beeinträchtigt.

DeepBlueMagic-Ransomware verschlüsselt Dateien mit Verschlüsselungstools wie Bitlocker und BestCrypt

„,DeepBlueMagic‘ stammt offenbar aus China. Wie mehrere Ransomware-Stämme in der Vergangenheit verschlüsselt er Dateien mit gängigen Verschlüsselungstools wie ,Bitlocker‘ und ,BestCrypt‘, denen die Benutzer oft vertrauen und die sie selbst zur Verschlüsselung verwenden. Aus diesem Grund ist es schwierig, ihn anhand der statischen Signatur zu erkennen“, erläutert Rudis.
Die spezifische Funktionsweise dieser Ransomware – die Verschlüsselung mehrerer Laufwerke in kurzer Zeit und die Ausführung dieser Verschlüsselungssoftware mit ungewöhnlichen Registrierungsschlüsseln – biete trotzdem Möglichkeiten für eine intelligente Verhaltenserkennung. Jedoch sei über die Angriffsmechanismen und die Art und Weise wie sich der Virus im Netzwerk verbreitet noch nicht viel bekannt. Rudis führt abschließend aus: „Die Angreifer scheinen die Möglichkeit zu haben, die Dateien gegen Bezahlung wiederherzustellen, jedoch ist nicht sicher, ob diese Malware-Variante vor der Verschlüsselung, auch Daten aus dem Netzwerk stiehlt.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.12.2021
Ransomware-Angriffe zu Weihnachten: BKA und BSI geben gemeinsame Warnung heraus / Bevorstehende Feiertage bergen erhöhtes Risiko von Ransomware-Angriffen auf Unternehmen und Organisationen

ZEIT ONLINE, 05.11.2021
Cyberangriff: Schwerin hofft auf Rückkehr an Dienstrechner

datensicherheit.de, 05.08.2021
Cyber-Attacke auf KRITIS im Landkreis Anhalt-Bitterfeld zeigt: Kommunen sollten sich besser schützen / Kommunale Verwaltungen gehören zur Kritis – sie sichern die Versorgung der Bevölkerung mit essenziellen Gütern und somit gesellschaftliches Wohlergehen

datensicherheit.de, 13.07.2021
Landkreis Anhalt-Bitterfeld: Katastrophenfall nach Cyber-Angriff ausgerufen / Katastrophenfall betrifft Verwaltung des Landkreises mit seinen rund 157.000 Einwohnern

[datensicherheit.de, 04.08.2021] Sicherheitsforscher des Sentinel Labs haben nach eigenen Angaben „in den neuesten Versionen des ,Cobalt Strike‘-Servers, des beliebten Hacker-Tools, mehrere Denial-of-Service-Schwachstellen (CVE-2021-36798) gefunden“. Diese Schwachstellen könnten dazu führen, dass bestehende „Beacons“ nicht mehr mit dem „C2“-Server kommunizieren, neue „Beacons“ nicht mehr installiert und laufende Operationen gestört werden könnten. Die Forscher haben demnach eine neue „Python“-Bibliothek veröffentlicht, um die „Beacon“-Kommunikation allgemein zu analysieren und die „Security Community“ zu unterstützen. Die Schwachstelle sei an die Betreiberfirma Helpsystems gemeldet und inzwischen gepatcht worden.

Red Teams, aber auch Cyber-Kriminelle nutzen Cobalt Strike

„Cobalt Strike“ sei eines, wenn nicht sogar das beliebteste Angriffs-Framework, welches für „Red Team Operations“ entwickelt worden sei. Einerseits verwendeten viele sogenannte Red Teams „Cobalt Strike“, aber andererseits nutzten es auch viele Cyber-Kriminelle.
Bereits zuvor habe es eine bekannte Schwachstelle in „Cobalt Strike“ gegeben. Für ein tieferes Verständnis der Kommunikationsinterna von „Beacon“ lohne es sich, den Bericht der nccgroup zu lesen. In der Praxis diese Schwachstelle, welche den Namen „Hotcobalt“ erhalten habe, die Remote-Code-Ausführung auf dem Server ermöglicht.

Per gefälschtem Beacon mit Cobalt Strike-Server kommuniziert und diesen überlastet

„Die Forscher konnten in einem Test die Größe eines Screenshots verändern und mit einem gefälschten ,Beacon‘ mit dem ,Cobalt Strike‘-Server kommunizieren und ihn mit einem speziellen ,POC Python‘-Skript überlasten.“ Dieses Skript analysiere die Konfiguration des „Beacons“ und verwende die darin gespeicherten Informationen, um einen neuen zufälligen „Beacon“ auf dem Server zu registrieren.
„Nach der Registrierung des ,Beacon‘ wird das oben gefundene Primitiv verwendet, um iterativ gefälschte Aufgabenantworten zu senden, die jedes bisschen verfügbaren Speicher aus dem Webserver-Thread des C2 ausnutzen.“ Dies führe zum Absturz des „Web-Threads“ des Servers, welcher den HTTP-Stager und „Beacon“-Kommunikation verarbeite.

Rechner mit Cobalt Strike-Server könnte lahmgelegt werden

Auf diese Weise könne ein böswilliger Akteur auf dem Rechner, auf dem der „Cobalt“-Server läuft, die Speicherkapazität erschöpfen, „so dass der Server nicht mehr reagiert, bis er neu gestartet wird“. Dies bedeute, dass „Live-Beacon“ nicht mit ihrem „C2“ kommunizieren könnten, bis die Betreiber den Server neu starteten. Ein Neustart reiche jedoch nicht aus, um sich gegen diese Schwachstelle zu schützen, da es möglich sei, den Server wiederholt anzugreifen, bis er gepatcht oder die Konfiguration des Beacons geändert wird.
In beiden Fällen würden die vorhandenen „Live-Beacons“ obsolet werden, da sie nicht mehr mit dem Server kommunizieren könnten, bis sie mit der neuen Konfiguration aktualisiert werden. Daher könne diese Schwachstelle den laufenden Betrieb erheblich beeinträchtigen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.02.2020
SentinelLabs: Hacker-Gruppe Gamaredon verstärkt Angriffe auf ukrainische Behörden

SentinelLABS, 04.08.2021
Security Research / Hotcobalt – New Cobalt Strike DoS Vulnerability That Lets You Halt Operations

Sentinel-One / CobaltStrikeParser
communication_poc.py

nccgroup, Exploit Development Group, 15.06.2020
Striking Back at Retired Cobalt Strike: A look at a legacy vulnerability

Matthias Canisius fordert „Sicherheitskultur des Misstrauens und der Wachsamkeit“ angesichts wachsender Bedrohungen durch Cyber-Angriffe

[datensicherheit.de, 07.09.2020] Die gegenwärtige „Pandemie“-Situation hat die Digitalisierung – oder zumindest erste Schritte dorthin – auch in die Schulen getragen. Neue Technologien und Programme mussten eingeführt werden, um den Fernunterricht zu gewährleisten, und Lehrer damit beginnen, eine Reihe von Videokommunikationsmitteln wie „Zoom“ und „Microsoft Teams“ einzusetzen. Zwar sei Deutschland 2019 in einem Ranking des Center for European Policy Studies im Bereich „E-Learning“ als „unterdurchschnittlich“ eingestuft worden, aber hierbei bewege sich nun etwas, meint Matthias Canisius, „Regional Director CE & EE“ bei SentinelOne.

Foto: SentinelOne 2020

Matthias Canisius: Bedeutung des Schutzes unseres Bildungssystems vor Cyber-Bedrohungen kann nicht hoch genug eingeschätzt werden!

Zahlreiche Bedrohungen: DDoS-Attacken, Phishing, Ransomware, Trolle…

Mit der zunehmenden Abhängigkeit der Schulen von solchen Online-Anwendungen und Tablets habe auch die Zahl der Cyber-Bedrohungen zugenommen. Infolgedessen bestehe ein höheres Risiko, „dass sich Cyber-Kriminelle als Schüler oder Lehrer ausgeben“. Betrüger nutzten dies aus, „indem sie Phishing-E-Mails mit Spendenaufforderungen und Hilfsangeboten verschicken, die aus legitimen Quellen zu stammen scheinen“.
Darüber hinaus sei es in einigen Ländern bei Video-Telekonferenz-Plattformen bereits zu Vorfällen mit „Online-Trollen“ gekommen, welche den Online-Unterricht mit anstößigen Inhalten über die Bildschirmfreigabefunktionen der Plattformen gestört hätten. Cyber-Kriminelle setzten ebenso DDoS-Angriffe ein. „Ein Beispiel dafür ist die bayerische Lernplattform ,MEBIS‘, die gleich zu Beginn der Krise mit einem DDoS-Angriff außer Gefecht gesetzt wurde.“

Bildungseinrichtungen mit großer Angriffsfläche – Bedrohungen überfordern IT-Laien

Schulen speicherten persönliche Daten von Schülern sowie Lehrern und stünden in Verbindung mit vielen externen Stellen und Anbietern sowie natürlich mit den Eltern, die hauptsächlich per E-Mail mit der Schule kommunizierten. Canisius: „Dies bedeutet, dass Schulen eine sehr große Angriffsfläche haben. Zumal die IT oft Aufgabe einzelner Lehrer und nicht wirklicher IT-Experten und schon gar nicht IT-Sicherheitsexperten ist.“
Schüler und deren Eltern würden leicht zu Opfern von Phishing-Betrügereien. Die mangelnde Erfahrung in Verbindung mit der Tendenz, einfache Passwörter über mehrere Plattformen hinweg zu verwenden, mache sie anfällig für „Credential Harvesting“ – das Entwenden und Sammeln von Anmeldeinformationen. Darüber hinaus sei das Bewusstsein von Eltern, Lehrern und Dozenten in Bezug auf Cyber-Risiken im Bildungswesen oft viel geringer als in anderen Bereichen.

Wege zur Begegnung der Cyber-Bedrohungen in Schulen

„Ein Programm zur Aus- und Fortbildung des Personals in den Schulen ist wichtig, um eine Sicherheitskultur des Misstrauens und der Wachsamkeit zu schaffen“, betont Canisius: Es müssten Beispiele aus der realen Welt mit den Nutzergruppen geteilt und diese regelmäßig getestet werden. Das Risiko könne durch Sicherheitstrainings verringert, aber nicht beseitigt werden. Im Zusammenspiel mit Technologien zur Erhöhung der E-Mail-Sicherheit sehe das aber schon anders aus.
Folgendes sollte beachtet werden, um die Sicherheit der Netzwerke zu gewährleisten und sich gegen Cyberbedrohungen zu schützen:

• URL-Scannen eingehender oder archivierter E-Mails, so dass ein Klick auf Zielseiten erst dann zugelassen wird, wenn die Seite auf Malware überprüft werden kann.
• Erkennung von gefährlichen Anhängen in der Mailbox und Umleitung in eine Sandbox vor der Zustellung.
• Schutz vor Identitätswechsel und „Social Engineering“.

Privilegien der IT-Nutzung an Bedrohungen anpassen

Ransomware habe nur dann die Möglichkeit, Dateien zu ändern und zu verschlüsseln, „wenn der infizierte Benutzer dies tut“. Die Kontrolle des Benutzerzugriffs auf kritische Netzwerkressourcen sei notwendig, „um die Gefährdung zu begrenzen und sicherzustellen, dass eine seitliche (laterale) Bewegung erschwert wird“.
Daher sei es entscheidend, sicherzustellen, „dass die Privilegien aktuell und auf dem neuesten Stand sind und dass Benutzer nur auf geeignete Dateien und Netzwerkstandorte zugreifen können, die sie für ihre Aufgaben benötigen“.

Traditionelle Endpunktsicherheit unzureichend zur Abwehr von Bedrohungen

Fast alle Organisationen verfügten über Endpunktsicherheit, um das Eindringen von Ransomware zu verhindern – indes reichten statische Erkennung und Virenschutz nicht mehr aus. Es werde immer wichtiger, über fortschrittliche Funktionen für den Endpunktschutz und die Möglichkeit zu verfügen, die Endpunktverwaltung und -hygiene von einem zentralen Verwaltungssystem aus durchzuführen.
„Eine gute Endpunktsicherheit sollte mehrere statische und verhaltensbasierte Module umfassen, die Maschinelles Lernen und KI zur Beschleunigung der Erkennung und Analyse einsetzen.“ Wichtig seien auch der Schutz vor „Exploits“, die Geräte- und Zugriffskontrolle sowie die Schwachstellen- und Anwendungskontrolle. Das Hinzufügen von Endpunkterkennung und -reaktion (EDR – Endpoint Detection and Response) zur forensischen Analyse und Feststellung der Grundursache sowie sofortiger Reaktionsmaßnahmen wie Isolierung, Übertragung in die „Sandbox“ und „Rollback“-Funktionen zur Automatisierung von Abhilfemaßnahmen, seien wichtige Überlegungen. Mit diesen Funktionen auf einer Plattform und einem Agenten, „der in der Lage ist, alle Geräte und Server zu schützen“, werde eine zentralisierte Sichtbarkeit und Kontrolle für das Cyber-Sicherheitsteam über den gesamten Endgerätebestand hinweg gewährleistet.

Entscheidungsträger sollten sich dringend mit den aus Mängeln resultierenden Bedrohungen befassen

Schulen und Hochschulen würden von Cyber-Kriminellen bedroht und das werde auch in absehbarer Zukunft so bleiben. „Die Bedeutung des Schutzes unseres Bildungssystems vor Cyber-Bedrohungen kann nicht hoch genug eingeschätzt werden. Schulen, Hochschulen und Universitäten bieten nicht nur lebenswichtige Dienste für unsere Gesellschaft und Wirtschaft, sie verfügen auch über zahlreiche sensible Daten.“
Von persönlichen Informationen wie Geburtsurkunden, Schüler- und Lehrerakten, Sozialversicherungsnummern und Finanzdaten bis hin zu Geistigem Eigentum und Spitzenforschung gehörten die Daten dieser Organisationen zu den nützlichsten für Cyber-Kriminelle, erläutert Canisius. Daher sei es unbedingt erforderlich, dass sich die Verantwortlichen und politischen Entscheidungsträger „dringend mit diesen Mängeln befassen“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2020
Jahresauftakt 2020: Abermals sensible Daten in falschen Händen / Kommentar zum „Europäischen Datenschutztag“ von Matthias Canisius

datensicherheit.de, 21.10.2019
IT-Sicherheit in Deutschland: Ernste, aber beherrschbare Lage / Matthias Canisius kommentiert aktuellen BSI-Lagebericht 2019

Kommentar zum „Europäischen Datenschutztag“ von Matthias Canisius

[datensicherheit.de, 22.01.2020] Die aktuellen Schlagzeilen rund um ein „Leak“, bei ein Hacker 515.000 Zugangsdaten für Router, Server und Smart-Home-Geräte ausgespäht und in einem Forum für Cyber-Kriminelle veröffentlicht haben soll, hat laut Matthias Canisius, „Director Central & Eastern Europe“ bei SentinelOne, „uns gleich zu Beginn des Jahres wieder einmal gezeigt, wie schnell sensible Daten in die falschen Hände geraten können“. Da passe es, dass in wenigen Tagen, am 28. Januar 2020, der „Europäische Datenschutztag“ (auf Initiative des Europarats) begangen werde „und das Thema Datensicherheit wieder einmal in den Vordergrund rückt“.

Foto: SentinelOne

Matthias Canisius: Wirksamer Datenschutz kein Hexenwerk!

Hinterfragen bisheriger Datenschutzstrategien unausweichlich

„Auch wenn sich in den letzten Jahren – der DSGVO und verstärkter Aufklärung sei Dank – viel getan hat in Sachen Datensicherheit, sowohl in Europa als auch weltweit, ist die Dringlichkeit bei vielen Unternehmen nach wie vor nicht angekommen.“
Daran hätten auch Bußgelder – man denke an die der Fluggesellschaft British Airways im Sommer 2019 auferlegte 205-Millionen-Euro-Strafe – nichts ändern können.
Tatsache ist laut Canisius: „Unternehmen müssen sich endlich eingestehen, dass sie unsere Daten mit herkömmlichen Sicherheitstechnologien nicht mehr ausreichend schützen können.“ Der Blick über den Tellerrand und das Hinterfragen bisheriger Datenschutzstrategien ist also unausweichlich.

Opfer profitieren nicht von DSGVO-Bußgeldern

Zahlreiche Ransomware-Attacken und insbesondere die enorme Durchschlagwirkung des E-Mail-Trojaners „Emotet“ im Jahr 2019 zeigten, wie schwer es Unternehmen und Behörden immer noch falle, sowohl Sicherheitslücken in ihrer Verteidigung als auch aggressive Malware wirksam zu identifizieren und zu stoppen.
Canisius: „Der Vorfall der 30.000 geleakten Patientendaten, die aufgrund einer Fehlkonfiguration in einem Telekom-Router im letzten Herbst für jedermann im Internet frei zugänglich waren, sind ein ideales Beispiel.“
Zwar drohten den betroffenen Unternehmen wegen Verstößen gegen die DSGVO eventuell „saftige Bußgelder“, die Opfer profitierten davon aber nicht.

An jedem Endpunkt für Transparenz sorgen!

IT-Abteilungen müssten endlich anfangen, aktiv nach potenziellen Schwachstellen und Sicherheitslücken zu suchen und gleichzeitig an jedem Endpunkt für Transparenz zu sorgen, „die es erlaubt, schädliches Verhalten und Manipulationen in Echtzeit und unabhängig von Signaturen zu identifizieren und zu isolieren“.
Wirksamer Datenschutz sei nämlich letztlich „kein Hexenwerk“, sondern könne mit dem konsequenten Einsatz der richtigen Sicherheitstechnologien problemlos umgesetzt werden. „Alles, was man dafür tun muss, ist traditionelle überholte IT-Sicherheit durch neue, erfolgversprechende Techniken zu ersetzen.“ Ein Beispiel hierfür seien KI-basierte Endpunkt-Services, „die in der Lage sind, personenbezogene Daten (PII) selbstständig zu identifizieren und einen potenziell fehlerhaften Umgang damit zu unterbinden“.
Fortschrittliche Lösungen böten den IT-Abteilungen dabei sogar kontextbezogene Einblicke in die Datenzugriffsaktivitäten, um unbefugte Zugriffe oder Datenleaks rechtzeitig zu stoppen.

Weitere Informationen zum Thema:

ZDNet, Catalin Cimpanu for Zero Day, 19.01.2020
Hacker leaks passwords for more than 500,000 servers, routers, and IoT devices / The list was shared by the operator of a DDoS booter service

c‘t, Ronald Eikenberg, 25/2019, S. 16
Dr. Datenleck / Warum eine komplette Arztpraxis offen im Netz stand

datensicherheit.de, 20.12.2019
14. Europäischer Datenschutztag am 28. Januar 2020

[datensicherheit.de, 07.01.2020] Laut einer aktuellen Stellungnahme von Jim Walter, SentinelOne, ist Ransomware-as-a-Service (RaaS) „ein lukratives Geschäftsmodell und erfreut sich in Hackerkreisen zunehmend großer Beliebtheit“. Egal ob „TOX“, „SATAN“ oder „Petya“ – Dienste, bei denen man mit wenigen Mausklicks seinen eigenen maßgeschneiderten Krypto-Trojaner generieren könne – boomten. Der Vorteil solcher Services liegt laut Walter auf der Hand: Angreifer brauchten keine tiefere Programmier- und Entwicklungserfahrung mehr, um eigene Ransomware-Angriffe durchzuführen. Walter: „So werben die drei neuen RaaS-Dienste ,Recoil‘, ,Cryptonite‘ und ,Ghostly Locker‘ auch explizit mit Benutzerfreundlichkeit und höchster Effektivität.“ Dies sei Grund genug, diese einmal nachfolgend genauer unter die Lupe zu nehmen.

Recoil: Auch Offline-Verschlüsselung möglich

Erste Werbeanzeigen für „Recoil“ sind demnach Anfang November 2019 in verschiedenen Foren erschienen. Der Funktionsumfang von „Recoil“ sei typisch für einen modernen RaaS-Service und nicht weiter ungewöhnlich. Auch wenn die Entwickler behaupteten, ihre Ransomware sei „Fully Undetectable“ (FUD), d.h. für Sicherheitslösungen nicht identifizierbar und damit ein sicheres Tool für eine erfolgreiche Verschlüsselung, sei dies nur die halbe Wahrheit.
Zwar könnten die Entwickler dem Käufer einen einzigartig kompilierten „Stub“ [lokaler Anknüpfungspunkt für Software] zur Verfügung stellen, der noch nicht von öffentlichen Teststellen wie „VirusTotal“ analysiert worden sei, „was bedeutet, dass ältere signaturbasierte AV-Lösungen in der Tat leicht umgangen werden können“. Dies mache ihre Ransomware jedoch noch lange nicht einer zu FUD-Malware. Vielmehr seien „Sicherheitslösungen, die eine erweiterte verhaltensbasierte Erkennung anwenden, durchaus in der Lage, auch diese Schadsoftware zu identifizieren“.
Das Außergewöhnliche an „Recoil“ ist laut Walter, „dass es die Möglichkeit bietet, auch offline zu verschlüsseln, was den Service für Kriminelle sehr attraktiv macht“: Einerseits sorge die Offline-Funktion dafür, dass die Payload weniger „laut“ agiere. „Wenn es jedoch keinen anomalen Traffic gibt, der mit offensichtlich verdächtigen ,.onion‘-Sites Kontakt aufnimmt, werden einfache Sicherheitskontrollen, die genau auf solche Anomalitäten ansprechen (man denke etwa an IPS, IDS oder Firewalls), auch keine Warnungen erzeugen“. Andererseits optimiere das „Offline-Bleiben“ die Geschwindigkeit, weil Netzwerkstatusprüfungen oder andere Verzögerungen, die bei der Kontaktaufnahme mit dem Server des Angreifers entstünden, hier wegfielen.
Problematisch sei zudem, dass „Recoil“ in der Lage sei, „Shadow Copies“, d.h. Schattenkopien, zu löschen. „Konnten die Systeme des Opfers die Ransomware nicht frühzeitig identifizieren und die Verschlüsselung stoppen bzw. sind keine anderen Backups vorhanden, dürften dies größere Ausfälle und Schäden für das Opfer nach sich ziehen“, warnt Walter.
Untersuchungen zeigten, dass „Recoil“ sowohl „Windows“ (x86 / x64) als auch „Android“ unterstütze. Die Kosten lägen bei 500 US-Dollar pro Bestellung und für beide Plattformen.

Cryptonite speziell für Laien und Personen ohne jegliche Programmierkenntnisse

„Cryptonite“ sei erstmals Anfang Dezember 2019 in einschlägigen Foren aufgetaucht. Auch dieser Service zeichne sich durch solide RaaS-Funktionen aus und biete darüber hinaus eine umfangreiche Vorschau auf das System und einzelne Funktionen, „bevor man ein zahlungspflichtiges Abonnement abschließt“. Zudem werben die Entwickler laut Walter mit speziellen Sonderangeboten und Rabatten für die ersten eintausend Kunden.
„Cryptonite“ fokussiere gezielt Laien und Personen ohne jegliche Programmierkenntnisse. „Dies heben die Verantwortlichen des Services immer wieder hervor.“ Die Eintrittsbarriere in die Welt der Cyber-Kriminalität sei bei „Cryptonite“ fast null, „was bedeutet, dass jeder, der in der Lage ist, Dateien herunterzuladen und so den ,infektiösen Ball‘ ins Rollen bringt, in kürzester Zeit (teils wenigen Minuten) großen Schaden anrichten kann“. Dies mache „Cryptonite“ besonders gefährlich.
Das Kostenmodell von „Cryptonite“ unterscheide sich von dem vieler anderer RaaS-Dienste. Anstatt von jedem erhaltenen Lösegeld einen Anteil zu verlangen oder eine „Eintrittsgebühr“ zu erheben, verkauften die Macher Pakete mit so genannten „Infektionskrediten“. Jedes infizierte Opfer entspreche demnach einem Kredit.
Die Preise für „Cryptonit“ lägen derzeit zwischen 195 und 895 US-Dollar und setzten eine Grenze für die Höhe des Lösegeldes pro Opfer von 150 bis 250 US-Dollar. Dafür könnten potenzielle Kriminelle zwischen 50 und 200 Opfer infizieren und entsprechend zwischen 7.500 und 50.000 Dollar insgesamt verdienen. Unterstützt werde ausschließlich „Windows“ (x86/x64).

Ghostly Locker bietet vollwertiges RaaS-Angebot

Die „Ghostly Locker“-Ransomware sei erstmals Mitte November 2019 als Service angeboten worden und biete den Kunden ein vollwertiges RaaS-Angebot. Dazu zählten unter anderem eine „leise“ Multi-Thread-Verschlüsselung, eine Automatisierung von Kundenzahlungen und eine „TOR“-Portal-basierte Infektionsverfolgung.
Die Kunden des RaaS-Dienstes könnten zwischen einer vollständigen (Full Disk Encryption) oder teilweisen (Partial Enryption) Festplattenverschlüsselung wählen. Die vollständige Verschlüsselung sei dabei langsamer und sollte nach Angaben der Entwickler dann verwendet werden, „wenn man sicherstellen will, dass die betroffenen Dateien nie wiederhergestellt werden können“. Dabei brauche „Ghostly Locker“ für die „Full Disk Encryption“ im Durchschnitt nur eine Minute.
Dies macht laut Walter deutlich, „wie wenig Zeit Sicherheitstechnologien heute haben, um Infektionen abzuwehren“. Habe das Opfer etwa eine auf Cloud-Lookups basierende EDR-Lösung im Einsatz, um schlechtes Verhalten zu beurteilen, könne das sehr schnell zu einem großen Problem werden.
„Ghostly Locker“ unterstütze lediglich „Windows“ (x86/x64). Das Kostenmodell sei traditionell und umfasse eine Vorauszahlung sowie zusätzliche Kosten für jede weitere Funktion, die der Käufer wünscht.

Fast ein Kinderspiel, Malware-Dateien zu erstellen und Lösegeld-Prozesse zu initiieren

Dank RaaS-Diensten wie „Recoil“, „Cryptonite“ oder „Ghostly Locker“ könnten auch Laien ohne tiefe IT-Kenntnisse ihren Anteil am Milliardengeschäft Cyber-Erpressung abbekommen.
Die nutzerfreundlichen und teils selbsterklärenden Services machten es fast für jedermann zum Kinderspiel, Malware-Dateien zu erstellen und Lösegeld-Prozesse zu initiieren.
„Umso wichtiger ist es, dass sich vor allem Unternehmen stets über die neuesten Arten von Malware und Ransomware-Diensten sowie deren Wirksamkeit und Vorgehensweise auf dem Laufenden halten und die entsprechenden Schutzmaßnahmen zu ergreifen“, betont Walter.

Weitere Informationen zum Thema:

datensicherheit.de, 11.08.2019
Unternehmen: Ransomware-Angriffe um 365 Prozent angestiegen

Matthias Canisius kommentiert aktuellen BSI-Lagebericht 2019

[datensicherheit.de, 21.10.2019] Der Grundtenor des aktuellen BSI-Lageberichts ähnele dem des letzten Jahres: So sei die Qualität der Cyber-Angriffe weiter gestiegen und die Bedrohungslage in Deutschland anhaltend hoch. 300.000 bis 400.000 neue Schadprogramme täglich und die Tatsache, dass Cyber-Kriminelle immer häufiger Techniken nutzten, welche bisher nur von staatlichen Geheimdiensten und bei „Advanced Persistent Threats“ (APTs) eingesetzt worden seien, verlangten den Sicherheitsverantwortlichen viel ab.

Foto: SentinelOne

Matthias Canisius: „IT-Abteilungen brauchen absolute Transparenz am Endpunkt“

IT-Sicherheit: Maßnahmen müssen konsequent umgesetzt werden

„Auch wenn der Sturm noch so wüten mag, so muss man sich immer wieder bewusst machen, dass der Kampf gegen Cyber-Kriminalität kein aussichtsloser ist“, ist Matthias Canisius, „Regional Director CEE“ bei SentinelOne, überzeugt:
Denn, wie BSI-Präsident Arne Schönbaum richtig gesagt habe, könnten auch hochentwickelte „Cyber-Angriffe erfolgreich abgewehrt werden, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden“.
Canisius: „Und hier kommen wir zum Punkt: CIOs und CISOs müssen sich endlich eingestehen, dass sie mit herkömmlichen Sicherheitstechnologien nicht mehr weit kommen.“ Der „Blick über den Tellerrand“ und das Hinterfragen bisheriger Paradigmen sei dabei unausweichlich.

Manuelles Eingreifen kann IT-Sicherheit nicht länger garantieren

Insbesondere die enorme Durchschlagwirkung des E-Mail-Trojaners „Emotet“ – laut Schönbaum der momentane „König der Schadsoftwaren“ – zeige, wie schwer es Unternehmen und Behörden immer noch falle, Malware zu identifizieren und vor allem zu stoppen.
Dass eine große Behörde wie das Berliner Kammergericht mit 150 Richtern und 370 Justizbediensteten nach einem „Emotet“-Befall seit nunmehr drei Wochen nur im Notbetrieb arbeiten könne, sei nur die „Spitze des Eisbergs“ und hätte mit den richtigen Maßnahmen verhindert werden können.
„Was IT-Abteilungen brauchen, ist absolute Transparenz am Endpunkt, die es erlaubt, schädliches Verhalten in Echtzeit und unabhängig von Signaturen wirksam zu identifizieren, und betroffene Systeme sofort und automatisch zu isolieren.“ Um Künstliche Intelligenz (KI) und Automation werde man dabei zukünftig nicht mehr herumkommen, „da die Aggressivität der Angreifer und der Fachkräftemangel im Cyber-Umfeld Technologien erfordern, die manuelles Eingreifen und ein Auswerten der Bedrohungen weitgehend hinfällig machen“, erläutert Canisius.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Publikationen / Die Lage der IT-Sicherheit in Deutschland

datensicherheit.de, 19.10.2019
BSI: Lagebericht zur IT-Sicherheit 2019 vorgestellt / Cyber-Bedrohungslage anhaltend hoch

datensicherheit.de, 19.10.2019
KI, Robotik & Co.: Kampf gegen Cyberbedrohungen

datensicherheit.de, 27.06.2018]
Studie: WannaCry ließ Bewusstsein für Cyber-Risiken wachsen

Angst vor finanziellen Schäden durch Ransomware bewirkt Budgeterhöhungen und Zunahme an Mitarbeiterschulungen

[datensicherheit.de, 27.06.2018] Das Bewusstsein von Unternehmen für Cyber-Risiken und die notwendige Implementierung von Schutzmaßnahmen sei nach der großangelegten „WannaCry“-Attacke 2017 gewachsen – so das Ergebnis einer von SentinelOne in Auftrag gegebenen Studie: 34 Prozent der befragten IT-Experten aus Deutschland hätten angegeben, dass das Cybersecurity-Budget ihres Unternehmens in Folge von „WannaCry“ erhöht worden sei. In mehr als der Hälfte der Unternehmen (55%) habe zudem die Bedeutung von Mitarbeiterschulungen und Sensibilisierungs-Programmen zugenommen. Dass diese Ransomware-Attacke dabei nicht nur in den IT-Abteilungen ihre Spuren hinterlassen, sondern auch die Geschäftsführungs- und Vorstandsebene zum Umdenken gebracht habe, liege vor allem am Bekanntwerden der hohen finanziellen Verluste, wie z.B. bei der Reederei Maersk.

Abbildung: SentinelOne

Auswirkungen von „WannaCry“ auf deutsche Unternehmen

Veränderte Angriffsmethoden

Ein entscheidender Grund, warum die Abwehr von Ransomware für Unternehmen immer mehr zu einer Herausforderung wird, sind demnach veränderte Angriffsmethoden der Cyber-Kriminellen:
Rund vier von zehn (39%) der befragten Sicherheitsexperten in Deutschland hätten etwa von einer höheren Infektionsgeschwindigkeit berichtet. Ebenso viele beklagten ein größeres Ausmaß an Infektionen (laterale Bewegungen der Malware im Netzwerk), gezieltere Hacks sowie vermehrte dateilose Angriffe.

Traditionelle Lösungen hinter sich lassen!

In Bezug auf Sicherheitstechnologien und Verteidigungsmaßnahmen habe die Mehrheit der Unternehmen die Notwendigkeit, neue Wege zu gehen und traditionelle Lösungen hinter sich zu lassen, immerhin erkannt:
Acht von zehn deutschen Befragten seien der Meinung, dass eine neue Lösung zum Schutz von Unternehmen vor Ransomware erforderlich sei, und 79 Prozent seien überzeugt, nur mittels verhaltensbasierter Analysen komplexere Angriffe mit Verschlüsselungs-Malware zu verhindern.

Unterstützung durch Politik und Regierung gefordert

Aber auch von Seiten der Politik und Regierung wünschten sich die befragten IT-Manager aus Deutschland Unterstützung im Kampf gegen Cyber-Kriminalität:
So forderten 59 Prozent mehr Mittel für die Strafverfolgungsbehörden, um Cyber-Kriminelle aufzuspüren, 57 Prozent erhofften sich eine stärkere internationale Zusammenarbeit zwischen den Ländern und 48 Prozent forderten eine Überarbeitung von Gesetzen, um härtere Strafen gegen Hacker verhängen zu können.

Hohe Dunkelziffer bei Ransomware-Angriffen

Eine gezieltere Strafverfolgung der Täter dürfte jedoch insofern schwierig sein, als viele Unternehmen Ransomware-Angriffe immer öfter verschwiegen:
Hätten im „SentinelOne Ransomware-Report 2016“ noch 59 Prozent der deutschen Sicherheitsverantwortlichen angegeben, nach einer Ransomware-Attacke die Polizei informiert zu haben, liege der Anteil im aktuellen Report nur noch bei 44 Prozent. Diese Verschwiegenheit könne Unternehmen jedoch vor allem hinsichtlich der strengen Meldepflichten der neuen EU-DSGVO teuer zu stehen kommen.

„WannaCry“ führte zu konkreten Maßnahmen und Aktionen

„Der großangelegte WannaCry-Angriff im letzten Jahr hat hohe Schäden verursacht und nachhaltig für Verunsicherung gesorgt. Eine positive Auswirkung ist jedoch, dass Geschäftsführern und Vorständen so die verheerenden Folgen vor Augen geführt wurden, die mit solch einer Attacke verbunden sein können“, sagt Matthias Canisius, „Regional Director DACH“ bei SentinelOne.
Es sei ermutigend zu sehen, dass sich dies in konkreten Maßnahmen und Aktionen niederschlage, wie z.B. Budgeterhöhungen oder Mitarbeiterschulungen. Canisius: „Wir können es uns nicht leisten, selbstgefällig zu sein, denn Ransomware-Angriffe verbreiten sich immer schneller und werden immer zerstörerischer und raffinierter.“ Unternehmen müssten hierbei Schritt halten und Techniken einsetzen, die selbst hochverschleierte Schadsoftware erkennen können.

500 IT-Sicherheitsentscheider zum Thema „Ransomware“ befragt

Nach eigenen Angaben hat SentinelOne das unabhängige Marktforschungsunternehmen Vanson Bourne beauftragt, im Februar 2018 insgesamt 500 IT-Sicherheitsentscheider aus Unternehmen mit mehr als 1.000 Mitarbeitern zum Thema „Ransomware“ zu befragen.
Diese Stichprobe sei branchenübergreifend und umfasse 200 Unternehmen aus den USA sowie jeweils 100 Unternehmen aus Deutschland, Frankreich und Großbritannien. Die Interviews seien online in einem strengen mehrstufigen Screening-Verfahren durchgeführt worden, um sicherzustellen, dass nur geeignete Kandidaten die Möglichkeit zur Teilnahme hatten.

Weitere Informationen zum Thema:

SentinelOne
SENTINELONE 2018 GLOBAL RANSOMWARE RESEARCH REVEALS MOUNTING GLOBAL COST OF RANSOMWARE

datensicherheit.de, 29.06.2017
Petya: Bedeutung größer als nur die von einer Art WannaCry 2.0

datensicherheit.de, 18.05.2017
WannaCry: Cyber-Attacke sollte Initialzündung für Taten sein

[datensicherheit.de, 25.10.2017] „Der jüngste Ransomware-Ausbruch bestätigt wieder einmal, dass Angreifer alten Schadcode so lange wiederverwenden, wie sie damit erfolgreich sind“, kommentiert Tony Rowan, „Chief Security Consultant“ bei SentinelOne, die aktuelle Ransomware-Attacke mit „Bad Rabbit“.

Neue Ransomware nutzt wieder den „EternalBlue-Exploit“

Diese neue Variante habe offensichtlich immer noch Erfolg. Dies sei umso überraschender, als die Ransomware zur Verbreitung dabei wieder den „EternalBlue-Exploit“ nutze.
Rowan: „Viele Leute haben ihre Systeme trotz der vergangenen Vorfälle offensichtlich nicht gepatcht. Darüber hinaus verlassen sie sich weiterhin auf die alten AV-Produkte, die dieser Art von Malware aber nicht standhalten.“

„Bad Rabbit“-Code hat zu 13 Prozent Übereinstimmung mit dem von „Petya“

Patrice Puichaud, „Senior Director EMEA“ bei SentinelOne, ergänzt: „Wie unsere Analyse ergeben hat, ist ,Bad Rabbit‘ eine neue und unbekannte Ransomware, deren Code aber zu 13 Prozent mit dem ,Petya‘-Code übereinstimmt. Der Dropper wird dabei von Nutzern beim Besuch infizierter Websites heruntergeladen und erscheint als ,Flash Player‘-Installer“.
Einmal ausgeführt, verhalte sich „Bad Rabbit“ wie eine herkömmliche Ransomware, verschlüssele Dateien und verlange ein Lösegeld, um sie zu entschlüsseln. Darüber hinaus werde wie bei „Petya/NotPetya“ auch der Bootloader modifiziert.

65 Prozent der Opfer bisher in Russland

Die neue Ransomware habe es dabei besonders auf Russland und die Ukraine abgesehen: Laut ESET stammten 65 Prozent der Opfer aus Russland, 12,2 Prozent aus der Ukraine – und auch andere Länder in Osteuropa sowie die Türkei und Japan seien im Visier.
Da der Ursprung des Angriffs in Russland liege, dürfte „Bad Rabbit“ bis zum Erreichen der USA jedoch bekannt sein und sowohl von signaturbasierten Antivirenprogrammen als natürlich auch von Signatur-unabhängigen Lösungen erkannt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

datensicherheit.de, 25.10.2017
Neue Ransomware-Kampagne: Bad Rabbit tarnt sich als Flash-Update

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

datensicherheit.de, 25.10.2017
Netzwerk-Überwachung: Unregelmäßige Muster bei Ransomware-Angriff

[datensicherheit.de, 17.01.2017] 30 Prozent der staatlichen britischen Krankenhausorganisationen, sog. NHS Trusts, sollten laut einer aktuellen Befragung von SentinelOne bereits Opfer eines Ransomware-Angriffs geworden sein. Sowohl sensible Patientendaten als auch die Gesundheit der Patienten seien damit in Gefahr. Ein Krankenhausverbund – der Imperial College Healthcare NHS Trust – habe sich dabei als besonders beliebte Zielscheibe für Ransomware-Erpresser erwiesen und sei innerhalb eines Jahres von 19 Attacken heimgesucht worden.

Antivirus-Software nur unzureichender Schutz

91 der insgesamt 129 von SentinelOne kontaktierten NHS Trusts hätten bezüglich erlittener Ransomware-Angriffe Auskunft gegeben, drei Trusts eine Antwort abgelehnt, da sie wirtschaftliche Nachteile befürchteten.
Obwohl fast alle befragten Krankenhäuser Antivirus-Software installiert hätten, um ihre Endgeräte vor Malware zu schützen, sei der Großteil von ihnen nicht von Ransomware verschont geblieben. So sei das Leeds Teaching Hospital innerhalb von zwölf Monaten fünfmal attackiert worden.
Laut Befragung habe jedoch keiner der NHS Trusts das geforderte Lösegeld bezahlt und auch die Polizei sei in keinem Fall informiert worden. Vielmehr hätten es die Betroffenen vorgezogen, den Ransomware-Angriff intern zu bewältigen.

Zugang häufig über vernetztes unternehmenseigenes Gerät

15 der betroffenen Krankenhausorganisationen seien in der Lage gewesen, nähere Informationen zum Ursprung der Ransomware-Infektion zu geben. So hätten sich die Angreifer in 87 Prozent der Fälle über ein vernetztes unternehmenseigenes Gerät Zugang verschafft, wobei 80 Prozent der Opfer Ziel eines Phishing-Angriffs gewesen seien.
Die Mehrheit der betroffenen Krankenhäuser sei dabei nicht in der Lage gewesen, die Ransomware-Angreifer zu identifizieren. Einzig ein Opfer habe bestätigen können, von organisierten Cyber-Kriminellen attackiert worden zu sein.

Auch deutsche Krankenhäuser im Fokus

Ransomware-Angriffe auf Krankenhäuser, bei denen die Dateien auf der Festplatte ihrer Opfer verschlüsselt und nur gegen Zahlung von Lösegeld wieder freigeben werden, sorgten seit einigen Monaten weltweit für Aufregung.
Nach der Infizierung mit dem aggressiven Krypto-Trojaner „Locky“ im Februar 2016 habe etwa das Hollywood Presbyterian Medical Center in Los Angeles 12.000 US-Dollar Lösegeld bezahlt. Aber auch Gesundheitseinrichtungen in Deutschland stünden im Fokus der Ransomware-Hacker, wie das Lukaskrankenhaus in Neuss 2016 habe erfahren müssen.

Mangelnde Sicherheit erleichtert lebensgefährliche Manipulationen

Tony Rowan, „Chief Security Consultant“ bei SentinelOne: „Die Ergebnisse unserer Befragung sind wenig überraschend.“ Der Öffentliche Sektor stehe bei Hackern und Betrügern ganz hoch im Kurs, denn knappe Budgets und Ressourcen sorgten für Sicherheitslücken und machten diese Einrichtungen angreifbar. Die Ergebnisse bestätigten auch wieder einmal, dass herkömmliche AV-Technologien im Kampf gegen bösartige und mutierende Malware-Formen „ohnmächtig“ seien und in Sachen Endgeräteschutz ein neuer dynamischer Ansatz unumgänglich sei, betont Rowan.
In der Vergangenheit habe die britische Datenschutzbehörde einige NHS Trusts bereits wegen ihrer schlechten Bilanz bei Datenpannen und Datenschutzverletzungen gerügt.
„Und mit der stetig steigenden Zahl vernetzter Medizingeräte – von Dialysegeräten bis zu Herzfrequenzmonitoren – steigt schließlich auch das Risiko, dass mangelnde Sicherheitspraktiken zu lebensgefährlichen Manipulationen führen“, warnt Rowan.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2012
Sachsen-Anhalt: Patientendaten auf USB-Stick an externen Berater geschickt

datensicherheit.de, 01.10.2011
Datenretter Attingo findet Patientendaten auf gebrauchten Festplatten