Neue Masche Cyber-Krimineller aufgedeckt

[datensicherheit.de, 17.04.2020] Check Point® Software Technologies Ltd., Anbieter von Cyber-Sicherheitslösungen, ist einem neuen Vorgehen der Cyber-Kriminellen auf die Schliche gekommen. Diese ziehen eine zweite Ebene in ihre Ransomware-Attacken und machen aus der Lösegeldforderung eine doppelte Erpressung.

Bisher waren Geldforderungen üblich

Bislang war es üblich, die Systeme einer Firma, einer Behörde, eines Versorgers oder eines Krankenhauses mit einer Ransomware zu infiltrieren und alle wichtigen Dateien und Server zu verschlüsseln, um den Betrieb lahm zu legen. Zur Freigabe der Systeme wurde Geld gefordert. Wer nicht bezahlt, bekam den Schlüssel für die Verschlüsselung nicht ausgehändigt. Nun aber wurde eine zweite Ebene eingezogen: Die Angreifer stehlen vor der Verschlüsselung einige sensible Daten und drohen im Zuge der Lösegeldforderung mit deren Veröffentlichung. Manchmal folgt sogar ein kleiner Warnschuß. Es werden nämlich kleine Teile bereits im Dark Net preisgegeben. Daraus folgt also eine doppelte Erpressung.

Jüngst hat es ein sehr sensibles Unternehmen erwischt, einen US-Zulieferer, der auch im militärischen Bereich tätig ist. Die Firma weigerte sich zu zahlen, woraufhin Dokumente an die Öffentlichkeit gelangen, darunter wohl auch Spezifikationen für ein neues System zum Abfangen von Mörsergranaten. Die Hacker-Gruppe DoppelPaymer soll dahinterstecken. Der erste Fall dieser Art wurde im November 2019 bekannt.

Foto: Check Point Software Technologies

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies

„Doppelte Erpressung ist ein schnell wachsender Trend innerhalb der Ransomware-Angriffe. Davon haben wir im 1. Quartal des Jahres 2020 viele gesehen. Bei dieser Taktik treiben die Kriminellen ihre Opfer noch weiter in die Enge, weil sie vor dem Verschlüsseln der Daten eine große Menge von sensiblen Informationen extrahieren und damit drohen, diese im Dark Net preiszugeben. So untermauern die Cyber-Kriminellen ihre Lösegeldforderungen“, erläutert Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point Software Technologies, die Forschungsergebnisse des Reserach-Teams: „Wir sind besonders besorgt darüber, dass sich Krankenhäuser dieser Bedrohung stellen müssen. Da diese sich während der laufenden Pandemie verstärkt auf ihre Patienten konzentrieren müssen und im Rahmen ihrer Aufgaben die Kranken versorgen, wäre es für sie sehr schwierig, eine doppelte Erpressung zu bewältigen – es kann hierbei leicht sogar um Leben gehen.

Wir raten den Krankenhäusern und großen Organisationen daher zur Vorsicht und möchten darauf hinweisen, daß alle notwendigen Maßnahmen getroffen werden sollten, um sämtliche Daten zu sichern und das Personal zu schulen. Außerdem sollten sie dringend auf fortschrittliche Sicherheitslösungen von spezialisierten Herstellern innerhalb der IT-Sicherheit setzen, die in jedem Fall auch Zero-Day-Angriffe blockieren und eine umfangreiche Sicherheitsarchitektur mit zentraler Plattform bieten.“

Weitere Informationen zum Thema:

Check Point
Ransomware Evolved: Double Extortion

datensicherheit.de, 17.04.2020
Ransomware-Angriffe: Backups allein nicht ausreichend

datensicherheit.de, 12.04.2020
Hacker wählen vermehrt Apps und mobile Geräte als Ziele

datensicherheit.de, 24.02.2020
Ransomware-Angriffe bedrohen Pipeline-Betreiber

datensicherheit.de, 28.10.2019
Ransomware-Survival-Checkliste von Rubrik zur Verfügung gestellt

[datensicherheit.de, 20.09.2012] Insbesondere Urlaubsfotos werden gern in Soziale Netzwerken hochgeladen – schnell und unkompliziert kann man diese Freunden und Bekannten so zugänglich machen. Auch Bilder des eigenen Nachwuchses werden dabei gern veröffentlicht, aber nicht alle Fotos bleiben danach privat. Der Verein Deutschland sicher im Netz (DsiN) hat Tipps für Eltern zum Umgang mit Kinderfotos im Internet erstellt:
Bilder, die einmal online sind, könnten von Dritten für andere Zwecke kopiert und vervielfältig werden. Grundsätzlich sollten Eltern deshalb vorher überlegen, welche Konsequenzen die Veröffentlichung von Fotos ihres Babys oder Kindes in einem Sozialen Netzwerk haben könnte. Erst gut nachdenken – dann ggf. hochladen!
Auch Kinder haben ein eigenes Recht am Bild; und Freunde oder Urlaubsbekannte, die auf Fotos zu sehen sind, sollten vorab ihre Zustimmung zur Veröffentlichung geben.
DsiN empfiehlt grundsätzlich Datensparsamkeit – viele Eltern veröffentlichen daher nur Bilder, auf denen das Kind so abgebildet ist, dass das Gesicht nicht wirklich erkennbar ist.
Die hochgeladenen Fotos – also konkret die Bild-Dateien – sollten möglichst nicht mit Namen beschriftet werden, sondern eher mit unverfänglichen Bezeichnungen. Neutrale Dateinamen verhindern, dass die Bilder über die Textsuche im Netz gefunden werden.
Wer seine Fotos gern online zeigen möchte, sollte prinzipiell die virtuellen Fotoalben mittels Privatsphäre-Einstellungen nur ausgewählten Personen zugänglich machen oder direkte Links zu Fotoportalen nur an bestimmte Freunde versenden.

Weitere Informationen zum Thema:

Deutschland sicher im Netz e.V.
Gemeinsam für mehr IT-Sicherheit

internauten.de
Mach mit. Werde Internaut!

[datensicherheit.de, 11.09.2012] Die Verbraucherorganisation foodwatch fordert die Länder vor der Verbraucherschutzministerkonferenz am 13. September 2012 auf, die Ergebnisse der amtlichen Lebensmittelkontrollen verpflichtend an der Ladentür zu veröffentlichen:
Jetzt gebe es keine Ausreden mehr – die Verbraucher müssten endlich vor den „Schmuddelbetrieben“ geschützt werden statt diese wie bisher vor den Verbrauchern, so der stellvertretende foodwatch-Geschäftsführer Matthias Wolfschmidt. Bundesministerin Ilse Aigner hat bereits im Vorfeld der Konferenz angekündigt, das Lebensmittelrecht so ändern zu wollen, dass eine verpflichtende Information durch Aushänge möglich ist. Frau Aigners „Rolle vorwärts“ komme eineinhalb Jahre verspätet; völlig sinnlos habe die Ministerin den seit Jahren überfälligen Einstieg in eine transparente Lebensmittelüberwachung verzögert – gegen den ausdrücklichen Wunsch von mehr als 90 Prozent der Bevölkerung, sagt Wolfschmidt.
Bereits im Mai 2011 hatten sich die Länder darauf geeinigt, die Ergebnisse der amtlichen Lebensmittelkontrollen ab 1. Januar 2012 mittels einer „Hygiene-Ampel“ zu veröffentlichen und die Bundesministerin aufgefordert, eine Pflicht-Kennzeichnung durch Bundesrecht zu ermöglichen. Die aktuell diskutierte Version einer „Hygiene-Ampel“ ist aus Sicht von foodwatch nicht geeignet, um die Forderung der Verbraucher nach echter Transparenz zu erfüllen. Diese „Hygiene-Ampel“ belohne in ihrer jetzigen Form zu viele Betriebe trotz zahlreicher Mängel mit einem „grünen Licht“, kritisiert Wolfschmidt.
In Deutschland wird bei den amtlichen Lebensmittelkontrollen Jahr für Jahr etwa jeder vierte kontrollierte Betrieb beanstandet. Welche Betriebe in welcher Form gegen das Lebensmittelrecht verstoßen, erfahren die Verbraucher jedoch nicht. In Dänemark sind Betriebe bereits seit mehr als zehn Jahren verpflichtet, ihre Kunden direkt vor Ort mit Aushängen und einem Smiley-Symbol über das Ergebnis der letzten Lebensmittelkontrolle zu informieren. Seitdem ist die Quote der Beanstandungen dort um die Hälfte zurückgegangen. Bei einer repräsentativen Umfrage des Instituts TNS Emnid im Auftrag von foodwatch im Jahr 2010 sollen sich 93 Prozent der Bundesbürger für die Einführung des dänischen Smiley-Systems in Deutschland ausgesprochen haben.

Weitere Informationen zum Thema:

foodwatch, 28.04.2010
Bürger wollen Lebensmittel-Smileys

[datensicherheit.de, 18.01.2012] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das „Register aktueller Cyber-Gefährdungen und -Angriffsformen“ veröffentlicht:
Es zeigt in Form einer strukturierten Zusammenstellung auf, welchen Cyber-Gefährdungen Unternehmen und Institutionen ausgesetzt sein können.
Die Analyse des BSI orientiert sich dabei an den typischen Phasen eines Cyber-Angriffs und bietet neben Informationen zu potenziellen Angreifern auch Hinweise auf deren Methoden, Angriffsvektoren und mögliche Angriffsziele im Unternehmen. Das Register soll so „CIOs“, IT-Planern, IT-Architekten, IT-Sicherheitsbeauftragten und anderen professionellen Anwendern von Informationstechnologie sowohl als Einstieg in die Thematik „Cyber-Sicherheit“ als auch als Hilfsmittel bei der eigenen Analyse von IT-Risiken sowie der Einrichtung präventiver und reaktiver Schutz- und Gegenmaßnahmen dienen.
Ein wirksamer Schutz vor Cyber-Angriffen sei laut BSI nur möglich, wenn Gefährdungen im Cyber-Raum sowie die eigene tatsächliche Gefährdungslage zumindest im Überblick bekannt seien. Diesen Überblick ermögliche das Register des BSI im Hinblick auf die Vielzahl unterschiedlicher Cyber-Gefährdungen und Angriffsformen, die in der Praxis beobachtet werden. Da sich Cyber-Angriffe dynamisch weiterentwickelten, werde auch das Register in regelmäßigen Abständen fortgeschrieben.
Um ein möglichst vollständiges Bild über die Gefährdungen im Cyber-Raum zu gewinnen, hat das BSI Umfragen bei Verbänden, Unternehmen und Forschungseinrichtungen durchgeführt. Die Ergebnisse dieser Umfragen sind zusammen mit eigenen Erkenntnissen des BSI in das vorliegende Register eingeflossen. Es steht zum Download auf der BSI-Website zur Verfügung.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Cyber-Sicherheit

Bundesamt für Sicherheit in der Informationstechnik
Register aktueller Cyber-Gefährdungen und -Angriffsformen

[datensicherheit.de, 26.10.2011] Das Information Security Forum (ISF), eine nach eigenen Angaben unabhängige Non-Profit-Organisation für Informationssicherheit, hat eine neue Version seines „Standard of Good Practice“ (SoGP) veröffentlicht:
Dabei handele es sich um den umfangreichsten praxisorientierten Leitfaden der Branche zum Thema Informationssicherheit. Der SoGP 2011 beleuchte alle Aspekte der Informationssicherheit anhand der vier Hauptkategorien „Security Governance“, „Sicherheitsanforderungen“, „Kontrollmechanismen“ sowie „Monitoring und Optimierung“. In insgesamt 118 einzelnen Themen zeige das Dokument auf, wie Unternehmen den Leitfaden in der Praxis umsetzen könnten.
Der SoGP 2011 soll Unternehmen dabei unterstützen, die Anforderungen von weltweit anerkannten Informationssicherheits-Standards wie ISO, COBIT, NIST, PCI/DSS und ITIL zu erfüllen. Er enthält zudem eine Fülle von Informationen aus ISF-Projekten und aus „Best Practices“ von ISF-Mitgliedern. Im Gegensatz zu anderen Industriestandards behandelt der SoGP auch aktuelle Themen aus dem Informationssicherheitsbereich wie Cloud-Computing, Soziale Netzwerke, Datenspeicherung, digitales Rechtemanagement und Virtualisierung. Darüber hinaus bietet er Expertenwissen und Leitlinien zu bereits früher behandelten Thematiken wie Schutz vor Datenverlust, Lieferanten-Management, Mechanismen für Zugriffskontrolle, Business-Continuity-Strategien und Management von Sicherheitsaudits.

Abbildung: Information Security Forum Limited, (GB) Esher, Surrey

Information Security Forum: 1989 als unabhängige Non-Profit-Organisation gegründet

Im Mittelpunkt des SoGP 2011 stehen folgende sieben Hauptbereiche für eine verbesserte Informationssicherheit:

1. Compliance: Der SoGP bietet Unterstützung bei der Zertifizierung für ISO 27001 sowie bei der Erfüllung weiterer wichtiger Standards.
2. Lieferantenbewertung: Der Standard zeigt auf, warum eine starke Informationssicherheit auch im Hinblick auf externe Lieferanten unabdingbar ist.
3. Risikoanalyse: Der Leitfaden hilft, Hauptrisiken sowie deren potenzielle Auswirkungen auf das Unternehmen zu identifizieren, ohne dass Investitionen in mögliche Kontrollmechanismen nötig sind.
4. Konsistenz: Er bietet verbesserte, konsistente Standards und Richtlinien, die sich über die gesamte Unternehmensstruktur ausrollen lassen.
5. Sicherheitsbewusstsein: Teile des SoGP sind speziell einem verstärkten Sicherheitsbewusstsein gewidmet.
6. Analyse der Informationssicherheit: Mithilfe des SoGP können Unternehmen ihre Informationssicherheit bewerten.
7. Verbesserung: Der SoGP zeigt Wege auf, bestimmte unternehmensinterne Sicherheitskontrollen zu entwickeln und zu verbessern.

Der SoGP 2011 bilde das Herzstück ihres Angebots für ISF-Mitglieder und basiere auf ihrem Forschungsprogramm, so Michael de Crespigny, „CEO“ des ISF. Viele Unternehmen und Organisationen nutzten diesen Standard als Kernelement ihrer Geschäftsprozesse, um ihr Informationsrisiko zu verwalten. Sie verwendeten ihn beispielsweise als Grundlage für unternehmensweite Informationssicherheits-Richtlinien, um wichtige Compliance-Aktivitäten zu unterstützen und ihre Methoden mit denen von ähnlich strukturierten Unternehmen zu vergleichen. Eine der bedeutendsten Verbesserungen im SoGP 2011 sei laut De Crespigny die neue modulare Struktur basierend auf intuitiven, geschäftsrelevanten Themen aus dem Bereich der Informationssicherheit. Dadurch könnten die Nutzer die Leitlinien des SoGP leichter an ihren Bedarf anpassen, sie automatisieren und Querverweise zu anderen themenbezogenen Materialien erstellen.

Weitere Informationen zum Thema:

Information Security Forum (ISF)
Download the ISF’s 2011 Standard of Good Practice for Information Security Executive Summary

[datensicherheit.de, 09.09.2009] Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. begrüßt zwar die späte Einsicht des Bundesarbeitsministeriums, Datenschutzfragen im Beschäftigungsverhältnis in einem neuen Arbeitnehmerdatenschutzgesetz klären zu wollen. Leider gingen aber nach Meinung der Experten viele Ansätze in die falsche Richtung, so der BvD. Auch der Zeitpunkt der Veröffentlichung lasse an der Ernsthaftigkeit zweifeln:
Der BvD verfolgt die Entwicklung des Beschäftigtendatenschutzes besonders sorgfältig, da sein Arbeitskreis „Datenschutz in Recht und Praxis“ bereits im März 2008 einen viel beachteten Entwurf für ein „Gesetz zum Schutz der Persönlichkeitsrechte im Arbeitsverhältnis (GSPA)“ vorgelegt hat. Das Interesse in der Öffentlichkeit und den Medien im Sog diverser Skandale – wie etwa bei Lidl – habe das Thema wiederholt auf die Tagesordnung des Gesetzgebers gesetzt, aber letztendlich nicht zu zählbaren Ergebnissen geführt.
Im nun überraschend vorgelegten Entwurf fänden sich begrüßenswerte Konkretisierungen zur Videoüberwachung oder zur Verwendung von Gesundheitsdaten über Beschäftigte. Doch der Gesetzentwurf verfolge auch bedenkliche Tendenzen, die der BvD kritisch sieht – so lehnt er die im Gesetzentwurf neu geschaffene Funktion des „Beschäftigtendatenschutzbeauftragten“ ab. Die genannten Aufgaben würden bisher durch betriebliche Datenschutzbeauftragte abgedeckt. Deren Probleme würden nicht durch die Installierung eines weiteren Beauftragten gelöst; stattdessen sei ein Durcheinander der Beauftragtenfunktionen zu befürchten.

Weitere Informationen zum Thema:

BvD, 09.09.2009
Verpasste Chance: Last-Minute-Angebot zum Arbeitnehmerdatenschutz

datensicherheit.de, 04.09.2009
Arbeitnehmer-Datenschutz: Bundesarbeitsminister präsentiert Gesetzentwurf

[datensicherheit.de, 28.04.2009] Nachdem die Deutsche Telekom im Jahr 2008 einen Maßnahmenplan zur weiteren Verbesserung des Datenschutzes im Konzern vorgestellt hatte, löste sie heute ihre Selbstverpflichtung ein und veröffentlichte ihren ersten Datenschutzbericht. Dieser soll nun jährlich herausgegeben werden und über den Stand des Datenschutzes berichten.
Dr. Manfred Balz, Vorstand Datenschutz, Recht und Compliance, erklärte dazu: „Die Vorlage des Datenschutzberichts ist ein weiterer Schritt zur Einlösung unseres Versprechens, für mehr Transparenz zu sorgen.“ Dem Datenschutz müsse in der Gesellschaft vor dem Hintergrund aktueller Verletzunger des Datenschutzes eine größere Bedeutung eingeräumt werden.
Als beispielhafte Maßnahmen des Jahres 2008 wird nach dem mehrmaligen Diebstahl aus den Datenbanken des Konzerns die weitere Einschränkung der Speicherfunktionen von Arbeitsplatzrechnern genannt, um die Mitnahme von Daten zu unterbinden. Zudem sollen die Systeme bei Massendatenabfragen jetzt schneller Alarm geben und Zugriffe auf Datenbanken stärker dokumentiert werden.
Ferner lasse die Deutsche Telekom ihre Kundensysteme vom TÜV als anerkannter Prüfstelle zertifizieren.

Der erste Datenschutzbericht der Deutschen Telekom kann als PDF-Datei im Internet abgerufen werden.

Weitere Informationen zum Thema:

Deutsche Telekom, 28.04.2008
Deutsche Telekom veröffentlicht ersten Datenschutzbericht