[datensicherheit.de, 25.10.2017] „Um gegen Wellen von Schadsoftware gewappnet zu sein, sollten Unternehmen die Aktivitäten ihrer gesamten IT-Infrastruktur überwachen. So kennen sie dann den Normalzustand und es lassen sich schnell unregelmäßige Muster, die auf böswillige Akteure hindeuten, erkennen“, rät Matthias Maier, „Security Evangelist“ bei Splunk.

IT-Sicherheitsteams sind jetzt herausgefordert

Da immer mehr Details minütlich über Bad Rabbit online bekannt würden, sollten Firmen genau beobachten, welche Einschätzungen Sicherheitsexperten weltweit zur aktuellen Bedrohungslage abgeben.
Es gehe darum zu verstehen, was die Infektionsvektoren sind, wie die Ransomware funktioniert und welche Schwachstellen es der Schadsoftware erlauben, sich in einem Netzwerk schnell auszubreiten, so Maier.
Sicherheitsteams müssten in der Lage sein, zu analysieren, ob ihre Umgebung potenziell gefährdet ist, ob sie erste Anzeichen einer Infektion sehen und sie angemessen sowie schnell darauf reagieren können.

Nach speziellen Mustern in überwachten Protokolldaten suchen!

„Bad Rabbit“ scheine beispielsweise drei neue „Geplante Tasks“ auf einem System zu erstellen, einschließlich eines erzwungenen Neustarts.
Wenn die IT-Sicherheit nach diesen speziellen Mustern in überwachten Protokolldaten von Systemen sucht, könne sie die Erstinfektion früher ausmachen. Maier: „Das hilft, um die Auswirkungen zu minimieren und einen Ausbruch komplett zu verhindern.“

Robuste Sicherheitsstrategie als Wettbewerbsvorteil!

Die aktuelle Bedrohung durch „Bad Rabbit“ zeige einmal mehr, wie wichtig es für Unternehmen im Digitalen Zeitalter sei, ein erfahrenes Sicherheitsteam bereitstehen zu haben sowie die geeigneten Technologien zur Verfügung zu stellen, um auf relevante Informationen schnell und umfassend zugreifen zu können.
„Erst dadurch lassen sich die richtigen Entscheidungen zügig treffen, um Auswirkungen auf den Geschäftsbetrieb zu minimieren“, so Maier. Vor diesem Hintergrund zahle sich eine „robuste Sicherheitsstrategie als Wettbewerbsvorteil“ aus.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware-Kampagne: Bad Rabbit tarnt sich als Flash-Update

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

[datensicherheit.de, 26.10.2016] Eine europäische Studie des Analystenhauses Quocirca, beauftragt von Splunk, habe herausgefunden, dass kritische IT-Ereignisse (Critical IT Event, CIE) Unternehmen teuer zu stehen kämen. So koste ein CIE im Schnitt 115.034 Euro. Kein Wunder sei es daher, dass das Thema „Ausfallzeiten“ die meisten Sorgen bei europäischen IT-Managern hervorrufe. Aber auch Bedenken zur Sicherheit seien stark ausgeprägt und belegen Platz 2. Um die Ursachen von Ausfällen schnell zu erkennen und Services zügig wieder herzustellen, benötigten Unternehmen eine robuste „Operational Intelligence“. Zu dieser Fähigkeit gelangten sie mit transparenten Maschinendaten und intelligenten Lernmechanismen.

Studie „Masters of Machines III vorgestellt

Am 25. Oktober 2016 hat Splunk Inc. die Ergebnisse der neuen Studie mit dem Titel „Masters of Machines III – Schadensbegrenzung bei kritischen IT Ereignissen“ des Analystenhauses Quocirca bekanntgegeben.
Europäische Unternehmen verlieren demnach im Schnitt mehrere Millionen Euro im Jahr. Die Ursache für die Verluste lasse sich auf durchschnittlich drei kritische IT-Ereignisse (CIEs) pro Monat zurückführen (36 pro Jahr). Dabei koste jedes CIE durchschnittlich 115.034 Euro. Als kritisches IT-Event gelte ein Vorfall, wenn eine Geschäftsanwendung oder Infrastruktur ausfällt oder eine Fehlfunktion auftritt. Das führe dazu, dass Geschäftsprozesse zum Stillstand kämen beziehungsweise Anwender keine Aufgaben oder Transaktionen mehr ausführen könnten.

Gefahren bezüglich IT-Sicherheit weiter das größte „Sorgenkind“

Laut der Studie „Masters of Machines III – Mitigating the impact of critical IT events” kosteten Ausfälle und Fehlfunktionen ein deutsches Unternehmen durchschnittlich 112.415 Euro.
Auf europäischer Ebene träten im Schnitt drei CIEs pro Monat auf – bei einer solchen Frequenz wären das für ein deutsches Unternehmen pro Jahr 4.046.940 Euro.
Für die Befragten aus deutschen Unternehmen seien Gefahren bezüglich der IT-Sicherheit weiter das größte „Sorgenkind“, gefolgt von unvorhersehbaren Ausfallzeiten. Dem stimmten Manager in Frankreich und Großbritannien zu.

Reputation und Marke in Gefahr

IT-Ausfälle und Störungen griffen die Reputation und die Marke einer Firma an. Nahezu jedes zweite Unternehmen in Deutschland gebe an, dass sich noch kein kritisches IT-Ereignis negativ auf ihr Image ausgewirkt habe – allerdings sei dies bei der anderen Hälfte mindestens einmal der Fall gewesen.
Besonders auffallend: 93 Prozent aller schwedischen Unternehmen gäben an, dass sie durch einen CIE einen Imageschaden davongetragen hätten. Ein ähnlich erschreckendes Bild gäben die Niederlande ab: Dort habe die Reputation bei 91 Prozent der Unternehmen mindestens einmal Schaden genommen.

Zum Teil lange Reaktionszeiten

Über 60 Prozent deutscher Unternehmen gäben für CIEs eine durchschnittliche Reparaturzeit von bis zu fünf Stunden an. Gerade einmal drei Prozent schafften es in unter einer Stunde, einen Ausfall oder eine Störung zu beseitigen. Auffallend im europäischen Gesamtbild: Über 90 Prozent der schwedischen und niederländischen Firmen benötigten mindestens drei Stunden, um einen CIE zu lösen.
Eine Fehler-Ursachen-Analyse könnten fast ein Drittel der Befragten aus Deutschland innerhalb von zwei Stunden durchführen. Bei den europäischen Nachbarn kämen an diese Zeiten weit weniger Unternehmen heran.
Fast die Hälfte der deutschen Firmen gäben einen Zeitraum von drei bis zehn Stunden an. Schlusslicht in Europa – oder besser: am langsamsten – seien unsere niederländischen Nachbarn: Ganze 80 Prozent der Befragten benötigten elf Stunden oder mehr, um eine solche Analyse durchzuführen.

Deutschland führend beim Einsatz moderner Technologien

Beim Einsatz moderner Technologien wie Cloud, Virtualisierung und Datenmanagement liege Deutschland im europäischen Vergleich im Spitzenfeld, und immer über dem Durchschnitt. Fast jeder zweite der Befragten setze „Software as a Service” (SaaS) als primäres System ein – ebenso sehe es in Frankreich und Schweden aus.
Bei Virtualisierungstechnologien lägen die Unternehmen hierzulande mit einer primären Nutzung von 51,5 Prozent klar vorne. Ihnen folgten die Niederlande mit 46,7 Prozent. Mit 42,3 Prozent stehe Großbritannien bei den Intensivanwendern auf Platz 3.
Besonders deutlich führe Deutschland mit 66 Prozent beim primären Einsatz von Datenmanagement-Technologien. Platz 2 belege Großbritannien (52,6 Prozent), Platz 3 die Niederlande (44,4 Prozent).

Europaweit seien bei Imageschäden die CIEs für diese drei Branchen am kostspieligsten:

1. Telekommunikation (167.270 Euro),
2. Spieleindustrie (140.634 Euro),
3. Finanzsektor (100.853 Euro).

Schäden minimieren!

Die IT-Komplexität steige. Daraus ergäben sich in allen Unternehmen unweigerlich kritische IT-Events, so Bob Tarzey, Analyst bei Quocirca. Wichtig sei, dass IT-Teams die nötigen Einblicke besäßen, um mögliche Ursachen ausfindig zu machen und Services so schnell wie möglich wieder online zu stellen, um potenziellen Schaden so gering wie möglich zu halten.
Mit einer effektiven „Operational Intelligence“ erhielten solche Teams mehr Transparenz, könnten besser untereinander koordinieren sowie produktiver arbeiten. Je eher IT-Teams CIEs angingen und daraus lernten, desto eher könnten sie vom „Feuerwehr-Modus“ wieder dazu übergehen, einen echten Mehrwert zu liefern.

[datensicherheit.de, 29.06.2016] Naive Mitarbeiter stellen laut einer Studie von Splunk und IDC eine größere IT-Sicherheitsbedrohung für Unternehmen dar als böswillige. Diese Studie zeigt demnach, dass die meisten europäischen Unternehmen durch Insider verursachte Sicherheitsverstöße kaum wahrnehmen, da sie nicht wissen, woran sie diese erkennen.

Europäische Unternehmen blind gegenüber Bedrohungen aus eigenen Reihen

Splunk hat gemeinsam mit IDC eine europäische Studie mit dem Titel “Detecting and Responding to the Accidental Breach: The Impact of the Hapless User” („Unbeabsichtigte Sicherheitsverstöße erkennen und mit Gegenmaßnahmen reagieren: Die Auswirkungen unbeabsichtigter Handlungen von Benutzern“) veröffentlicht.
Die von Splunk in Auftrag gegebene Erhebung zeige, dass europäische Unternehmen Bedrohungen aus den eigenen Reihen nicht wirklich begriffen. Sie seien einer der Hauptgründe für Sicherheitsverstöße und könnten sowohl von böswilligen Mitarbeitern als auch von unbedachten Nutzern stammen.

Mangelhafte Früherkennung

Acht von zehn Unternehmen verließen sich zu sehr auf Sicherheitsmaßnahmen, die auf Systemschutz ausgelegt seien. Die Technologien würden allerdings keine zu einem Sicherheitsverstoß führenden Nutzeraktivitäten erkennen. Dementsprechend könnten Unternehmen nicht reagieren.
Fast ein Drittel der Befragten nutze keine grundlegenden Methoden der Bedrohungserkennung, und weniger als ein Fünftel verlasse sich auf eine Security-Analytics-Lösung.

Falscher Gefahren-Fokus

Unbedachte Nutzer stellten eine größere Bedrohung dar als böswillige Mitarbeiter. Nur zwölf Prozent der Befragten stuften sogenannte „Insider Threats“ als sehr besorgniserregend ein. Die meisten Unternehmen sähen ein größeres Risiko in Viren (67 Prozent), hochentwickelten, andauernden Bedrohungen (Advanced Persistent Threats) (42 Prozent), Phishing-Attacken (28 Prozent) und fahrlässig handelnden Nutzern (27 Prozent).
Die meisten dieser Attacken könnten auch von einer anderen Art der unternehmensinternen Bedrohung stammen – dem „naiven“ Nutzer, dessen persönliche Zugangsdaten entwendet würden. Dadurch, dass Unternehmen diese Art von Nutzer nicht im Blick hätten, hielten sie an den falschen Stellen Ausschau nach Attacken und Datenschutzverletzungen.

Durch Insider verursachte Sicherheitsverstöße kaum erkannt

Unternehmen würden durch Insider verursachte Sicherheitsverstöße kaum erkennen. Die Umfrageteilnehmer nennen demnach drei Hürden bei der Untersuchung von Sicherheitsverletzungen im eigenen Unternehmen:

• Unwissenheit darüber, wonach Ausschau gehalten werden muss (40 Prozent),
• mangelndes Training (39 Prozent) und
• fehlende Kenntnis, was in den verschiedenen Abteilungen des

Unternehmens als „normales Nutzerverhalten“ erachtet wird (36 Prozent).
Den meisten Unternehmen fehlten die Technologien, das Verständnis und die Konzepte dafür, Sicherheitsverstöße rechtzeitig zu erkennen. Ein Großteil der europäischen Unternehmen verlasse sich noch auf für den traditionellen Netzwerk-Perimeterschutz entwickelte Technologien. Fast alle Befragten würden den Mehrwert von Firewalls (98 Prozent) und Antiviren-Software (96 Prozent) erkennen – jedoch halte es kaum jemand für nötig, diese durch „Security Analytics“ (15 Prozent) oder „User Behavior Analytics“ und Anomalieerkennung (12 Prozent) abzusichern. Damit würden sich Sicherheitsverletzungen jedoch erkennen lassen, sobald sie stattfinden. Hinzu komme, dass weniger als die Hälfte der Teilnehmer ein internes „Computer Emergency Reponse Team“ (CERT) (41 Prozent) oder ein „Security Operations Center“ (SOC) (34 Prozent) habe.

Datenschutzverletzungen unvermeidbar

Europäische Unternehmen müssten sich eine „Detect-and-Respond“-Mentalität aneignen, betont Haiyan Song, „Senior Vice President of Security Markets“ bei Splunk. Da sich Bedrohungsmuster stets änderten, sollten Sicherheitsteams datengetriebenes „Security Information and Event Management“ (SIEM) sowie maschinelles Lernen nutzen, um verdächtige und böswillige Nutzeraktivitäten frühzeitig zu identifizieren. „Mit diesen Lösungen erkennen, erforschen und reagieren Unternehmen automatisiert und angemessen auf Datenschutzverstöße“, erläutert Song. So vermieden sie einen Reputationsverlust und finanzielle Schäden durch solche Vorfälle.
Sicherheitsverstöße ließen sich auf Dauer nie ganz vermeiden – Sicherheitsexperten falle es allerdings schwer, das zu akzeptieren. Nicht umsonst verwendeten sie große Budgets dafür, Verstöße zu verhindern, so Duncan Brown, „Research Director, European Security Practice“ bei IDC. Der Großteil der Unternehmen habe in den vergangenen zwei Jahren einen Sicherheitsverstoß erlebt. Im Durchschnitt brauchten Firmen aber acht Monate, um solche Sicherheitslecks überhaupt zu erkennen. „Es ist aber wichtig, dass Unternehmen Sicherheitsverletzungen genau dann bemerken, wenn sie passieren“, unterstreicht Brown. Mit einem datengetriebenen Ansatz könnten sie Bedrohungen frühzeitig erkennen und angemessen darauf reagieren. So könnten Unternehmen mit allen Arten von Bedrohungen umgehen – vom Hacker über den Unbedachten bis hin zum böswilligen Mitarbeiter.

Weitere Informationen zum Thema:

IDC
DETECTING AND RESPONDING TO THE ACCIDENTAL BREACH: THE IMPACT OF THE HAPLESS USER

[datensicherheit.de, 13.05.2016] Das internationale Zahlungsverkehrssystem SWIFT soll laut einer aktuellen Meldung von Splunk erneut Ziel eines Hacker-Angriffs geworden sein.

Weckruf für die gesamte Branche

„Das sollte ein Weckruf für die gesamte Branche sein“, betont Matthias Maier, „Security-Evangelist“ bei Splunk, in seinem Kommentar zu dem aktuellen Vorfall. Innerhalb weniger Wochen sei es jetzt zur nächsten Attacke auf die SWIFT-Systeme gekommen, ein weiteres Geldhaus sei zum Ziel eines Cyber-Bankraubs geworden. Erst im Februar 2016 sei auf ähnliche Weise die Zentralbank von Bangladesch um 81 Millionen Dollar erleichtert worden.

Speziell für Attacken entwickelte Schadsoftware

Anscheinend handele es sich nicht um isolierte Vorfälle, sondern um speziell für diese Attacken entwickelte Schadsoftware. Erfahrungsgemäß könnten solche Betrügereien nur mit Insiderwissen durchgeführt werden – schließlich bedürfe es einer genauen Kenntnis der Funktion der SWIFT-Software und des Ablaufs der damit verbundenen Prozesse, betont Maier.

Monitoring des Datenverkehrs erforderlich

Ein einfaches System-Monitoring bei der Bank hätte normalerweise bereits die Attacke am Server-Endpoint stoppen müssen, sagt Maier. Solche Systeme beobachteten abweichende Systemveränderungen in Echtzeit und schlügen Alarm. Andere, an das SWIFT-Netzwerk angeschlossene Banken wären gut beraten, die entsprechen Indikatoren des Überfalls mit den Daten ihres eigenen Netzwerks abzugleichen. „Mit dem Monitoring des Datenverkehrs können Banken mit wenig Aufwand sicherstellen, ob sie betroffen sind und wie sie am besten reagieren sollten“, sagt Maier.

[datensicherheit.de, 27.04.2016] Dieser Vorfall müsse Banken auf der ganzen Welt wachrütteln, sagt Matthias Maier, „Security-Evangelist“ bei Splunk. Es seien umfassende Untersuchungen nötig, da die Malware speziell für diesen Angriff entwickelt worden sei.

Umfassendes Wissen über Funktionsweise der SWIFT-Software

Der Entwickler der Schadsoftware scheine über umfassendes Wissen über die Funktionsweise der SWIFT-Software sowie über die dazugehörigen Geschäftsprozesse zu verfügen. Dies sei Grund zur Sorge, betont Maier.

Monitoring des IT-Systems hätte Angriff stoppen können

Allerdings hätte ein grundlegendes Monitoring des IT-Systems die Attacke am Server-Endpunkt stoppen können, denn Veränderungen im System wären in Echtzeit erfasst worden und hätten einen Alarm an die IT-Administratoren ausgelöst.

Gefahren-Indikatoren beachten

Laut Maier hat BAE Systems bekanntgegeben, welche Indikatoren im aktuellen Fall auf eine Gefahr hindeuten. Andere Banken, die ebenfalls Mitglied des SWIFT-Netzwerks sind, sollten nun diese Indikatoren mit Daten aus ihrer eigenen Umgebung vergleichen. So könnten diese herausfinden, ob sie ebenfalls betroffen sind und angemessen darauf reagieren.

[datensicherheit.de, 26.04.2016] Im Kernkraftwerk Gundremmingen (KGG) ist nach eigenen Angaben ein Computervirus entdeckt worden. Dieser Vorfall zeigt laut Matthias Maier, „Security-Evangelist“ bei Splunk, wie wichtig es ist, jegliche Aktivitäten in den Systemen und im Netzwerk für jedes einzelne Gerät zu überwachen.

Hacker suchen nach Schwachstellen

Das betroffene IT-System habe keine sicherheitsrelevanten Systeme im Kraftwerk gesteuert – dennoch sei es alarmierend, dass jemand ein externes Speichermedium habe mitbringen und unbekannte Dateien ausführen können.
Obwohl die Malware mehrere Jahre alt sei, habe sie von keiner Sicherheitslösung entdeckt oder gestoppt werden können. Maier: „Bei Systemen, die veraltet sind oder keine neuen Patches erhalten haben, werden Hacker solche Möglichkeiten ausnutzen – gezielt oder wenn sich spontan eine entsprechende Gelegenheit bietet. Gerade kritische Infrastruktursysteme werden zunehmend interessant für Hacker. Betroffene IT-Verantwortliche wiegen sich immer noch häufig in der trügerischen Sicherheit, dass ihre Systeme nicht mit dem Internet verbunden sind.“ Dennoch gebe es die Gefahr angegriffen zu werden.

Potenzial von Informationen über eigenes Netzwerk nutzen

Das IT-Sicherheitsgesetz in Deutschland verpflichtet viele Unternehmen und Behörden dazu, „Cyberhacks“ offiziell zu melden. Dies sei wichtig, denn so rückten mögliche Bedrohungen stärker ins Bewusstsein der Öffentlichkeit und der IT-Verantwortlichen.
Viele Firmen würden möglicherweise ihre Sicherheitsstrategie aufgrund neuer Vorfälle überdenken. Sie müssten das Potenzial von Informationen über ihr Netzwerk nutzen, um „Advanced Threats“ besser entdecken, verhindern und auf sie reagieren zu können, betont Maier.

Weitere Informationen zum Thema:

KGG Kernkraftwerk Gundremmingen, 25.04.2016
Detektion von Büro-Schadsoftware an mehreren Rechnern