Auf Opfer zugeschnittene Cactus-Angriffe laufen derzeit über Fortinet VPN-Server

[datensicherheit.de, 19.06.2023] Laut einer aktuellen Meldung der PSW GROUP treibt eine neue Ransomware-Bande namens „Cactus“ ihr Unwesen in der digitalen Welt: Diese Cyber-Kriminellen hätten es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. IT-Sicherheitsexpertin Patrycja Schrenk warnt: „Die ,Cactus’-Ransomware kann sich zudem offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig.“ Der Name „Cactus“ leitet sich demnach von dem angegebenen Dateinamen „cAcTuS.readme.txt“ und dem Namen in der Lösegeldforderung ab. Bislang sei noch nicht bekannt, wer hinter dieser neuen Ransomware-Bande steckt. „Die Ermittlungen laufen auf Hochtouren.“

Foto: PSW GROUP

Patrycja Schrenk rät, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten zu überwachen…

Im Fokus eines Cactus-Angriffs stehen Schwachstellen in bekannten VPN-Servern von Fortinet

„Was ,Cactus’, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen. Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet“, erläutert die Geschäftsführerin der PSW GROUP:

Über den VPN-Server griffen die Cyber-Kriminellen auf das Netzwerk zu und führten ein Batch-Script aus, durch welches die eigentliche Ransomware geladen werde. „Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert.“ Mithilfe eines speziellen Schlüssels in der Befehlszeile könnten die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr hätten.

Die Cactus-Ransomware-Bande erhält weiteres Druckmittel

„Doch damit nicht genug“, so Schrenk – sie führt weiter aus: „Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch erhält die Ransomware-Bande ein weiteres Druckmittel. Denn erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyber-Kriminellen damit drohen, die erbeuteten Daten zu veröffentlichen.“

„Cactus“ habe vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier. Laut verschiedener Berichte sollten die Forderungen bei bisherigen „Cactus“-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den „Cactus“-Angriffen betroffen sind, ist laut Schrenk noch nicht bekannt – „bisher wurden noch keine sensiblen Daten veröffentlicht“.

Ransomware Cactus äußerst gefährlich

„Die Ransomware ,Cactus’ ist äußerst gefährlich, da gängige Viren-Scanner diese aufgrund der verschlüsselten Angriffe nur schwer erkennen können“, unterstreicht Schrenk und rät: „Deshalb ist es umso wichtiger, sich vor Angriffen mit Präventivmaßnahmen zu schützen. Dazu gehört es, Anwendungen und öffentlich zugängliche Systeme stets auf dem neuesten Stand zu halten und Patches umgehend einzuspielen.“

Auch rät sie abschließend, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere „PowerShell“, zu überwachen und schnell zu reagieren, einen Passwort-Manager zu implementieren sowie eine Zwei-Faktor-Authentifizierung zum Standard zu machen. Ergänzend lohne sich die regelmäßige Überprüfung der Administrator- und Dienstkonten. Die Erstellung regelmäßiger Backups sollte obligatorisch sein.

Weitere Informationen zum Thema:

PSW GROUP, Juliane Groß, 13.06.2023
IT-Security / Ransomware Cactus: Angriffe auf VPN-Schwachstellen

Laut NETSCOUT Threat Intelligence Report im ersten Halbjahr 2021 rund 46.000 Angriffe auf die Konnektivitätskette

[datensicherheit.de, 25.10.2021] Im aktuellen „NETSCOUT Threat Intelligence Report“ werden nach eigenen Angaben im ersten Halbjahr 2021 rund 46.000 Angriffe auf die sogenannte Konnektivitätskette gemeldet: Cyber-Kriminelle konzentrierten ihre Aktivitäten auf wichtige Komponenten des Internetbetriebs wie DNS-Server, Konzentratoren und Dienste für VPNs sowie Internet-Exchanges.

Foto: NETSCOUT

Christian Syrbe: Wachsamkeit geboten, denn Angreifer könnten mit cleverer Innovation überraschen…

Eine Konnektivitätskette über das Internet hinweg

„Obwohl man in der Regel davon ausgeht, dass Cyber-Angriffe auf einzelne und ausgewählte Unternehmen, Dienstleister oder Organisationen in bestimmten öffentlichen Sektoren abzielen, deckt das nicht das gesamte Interesse der Angreifer ab. Mittlerweile werden vermehrt technologische Artefakte wie Cloud-Hosting Software-as-a-Service gezielt angegriffen, die beispielsweise erst online Cloud-Computing ermöglichen“, berichtet Christian Syrbe, „Chief Solutions Architect“ bei NETSCOUT. Das Ganze könne man sich also wie eine Konnektivitätskette über das Internet hinweg vorstellen. Werde nur ein Glied in der Kette angegriffen, sei die gesamte Kette in Gefahr.

Meistens Attacken im zweiten Glied der Konnektivitätskette

Die meisten Attacken würden im zweiten Glied der Kette – also den VPNs – festgestellt. „Gelingt ein Angriff, werden Nutzer gänzlich von ihren Online-Ressourcen getrennt und Sicherheitsteams werden gleichzeitig daran gehindert, überhaupt auf Angriffe zu reagieren. Selbst wenn der Angriff die Komponente nicht vollständig lahmlegt, betreffen diese Dienste Hunderttausende, wenn nicht Millionen von Verbrauchern und sind das Tor zu allem, was wir online tun.“ Glücklicherweise seien genau diese Dienste meist gut geschützt, wie aus den DDoS-Erpressungskampagnen von „LBA“ und „Fancy Lazarus“ zu entnehmen ist, welche auf VPNs von Unternehmen wie zum Beispiel DNS-Server von ISPs abgezielt hätten.

Ziele in der Konnektivitätskette lahmzulegen verursacht umfangreiche Kollateralschäden

Doch trotz der bisherigen Erfolge bei der Verteidigung dieser Dienste sei es wichtig zu berücksichtigen, dass Angreifer oft versuchten, Ziele lahmzulegen, welche umfangreiche Kollateralschäden verursachen könnten. Syrbe betont: „Deswegen ist Wachsamkeit geboten, denn eine clevere Innovation der Angreifer kann das Blatt schon wieder wenden.“

Weitere Informationen zum Thema:

NETSCOUT
Issue 7: Findings from 1H 2021 / NETSCOUT Threat Intelligence Report

Tenable mahnt zu schneller Reaktion auf Sicherheitslücken in Cisco VPN-Routern

[datensicherheit.de, 06.08.2021] Anlässlich der jüngsten Meldung von Cisco zu Sicherheitsschwachstellen in VPN-Routern bezieht Satnam Narang, „Staff Research Engineer“ bei Tenable, Stellung und rät entweder zu patchen oder die Remote-Management-Funktion zu deaktivieren.

Satnam Narang, Staff Research Engineer beim IT-Sicherheitsanbieter Tenable, Foto: Tenable

Satnam Narang warnt: Angreifer könnte beliebigen Code ausführen oder Reload des anfälligen Geräts erzwingen!

Schwachstellen in der Web-Management-Oberfläche der Small Business VPN-Router von Cisco

„Cisco hat soeben mehrere Schwachstellen in seinen VPN-Routern für kleine Unternehmen – RV340, RV340W, RV345 und RV345P – behoben. Die Schwachstellen befinden sich in der Web-Management-Oberfläche dieser ,Small Business VPN‘-Router“, berichtet Narang.
Die kritischste der beiden Schwachstellen, „CVE-2021-1609“, könnte es einem entfernten, nicht authentifizierten Angreifer ermöglichen, eine speziell gestaltete HTTP-Anfrage an ein anfälliges Gerät zu senden. Damit könnte er beliebigen Code ausführen oder einen „Reload“ des anfälligen Geräts erzwingen und damit einen „Denial-of-Service“ herbeiführen.

Unternehmen mit Small Business VPN-Routern von Cisco sollten umgehend patchen

„Ein wichtiger Unterschied ist, dass die Web-Management-Oberfläche standardmäßig lokal zugänglich ist und nicht deaktiviert werden kann, aber standardmäßig nicht für die Fernverwaltung aktiviert ist“, so Narang. Auf der Grundlage von Abfragen über „BinaryEdge“ hätten sie jedoch bestätigt, dass es mindestens 8.850 Geräte gebe, auf die aus der Ferne zugegriffen werden könne. Obwohl derzeit kein „Proof-of-Concept-Exploit“ für diese Schwachstellen verfügbar sei, wüssten sie aus der Vergangenheit, dass Angreifer bevorzugt auf Schwachstellen in VPN-Geräten wie „Pulse Secure“, „Citrix“ und „Fortinet“ abzielten.
„Unternehmen, welche diese ,Small Business VPN‘-Router von Cisco einsetzen und ihre Management-Oberfläche nach außen hin offengelegt haben, können diese Schwachstellen durch Patches für ihre Geräte beheben.“ Wenn ein Patching zu diesem Zeitpunkt nicht möglich sei, könne das Deaktivieren der Fernverwaltungsoption auf diesen Geräten die Schwachstellen entschärfen, „bis Patches angewendet werden können“, rät Narang.

Herkömmliche Patch-Management-Systeme sind in Zeiten von dezentralem Arbeiten deutlich veraltet / Patches müssen nicht über eine VPN-Verbindung versendet werden, sondern können direkt aus der Cloud heruntergeladen werden, bei bleibender zentraler Verwaltung.

Von unserem Gastautor Jörg Vollmer, General Manager, Field Operations, DACH bei Qualys

[datensicherheit.de, 31.07.2020] Ganz besonders in der heutigen Zeit ist Computerarbeit von zuhause in beinahe jeder Branche und jedem Unternehmen fester Bestandteil. Vor COVID-19 gab es einen geringeren Prozentsatz an Remotearbeitern. Nun ist davon auszugehen, dass auch in der Zukunft ein großer Anteil der Mitarbeiter an den verschiedensten Orten und nicht im eigenen Büro in der Firmenzentrale arbeiten wird. Doch gibt es ein Problem: Die meisten Organisationen verfügen über ein zentrales Patchmanagement-System. Natürlich war dies früher optimal, da ein Administrator die betroffenen Endpunkte sicher updaten konnte. Nun müssten die freigegebenen Patches jedoch via VPN versendet werden. Dadurch wird der gesamte Zugang zum Unternehmensnetzwerk stark belastet, eventuell sogar überlastet, war dieser in der Vergangenheit doch auf einen kleinen Anteil an externen Logins ausgelegt.

Eine Lösung wäre es, die Patchinformationen zentral auf einer Plattform zu verwalten und von dort aus zu entscheiden, welche Geräte zu welchem Zeitpunkt aktualisiert werden sollen. Die Patches selbst werden dann von dem mit dem Internet verbundenen Endpunkt selbst von der Herstellerseite heruntergeladen. Dazu ist kein Versenden großer Datenpakete nötig; ein simpler Befehl an einen auf dem Endpoint installierten Agenten reicht vollkommen aus.

Jörg Vollmer, General Manager Field Operations DACH, Bild: Qualys

Patching von Heimanwendern ohne VPN-Split-Tunneling

Eine Lösung zu finden, welche es ermöglicht, den plötzlichen Zustrom von Tele-Arbeit abzudecken, ohne das VPN zu überfordern, ist besonders in der Zeit von COVID-19 von zentraler Bedeutung. Als die ersten Artikel unter der Verwendung von CMG und Split-Tunneling erschienen, wirkte das für viele wie ein rettender Anker. Es wurden lediglich solche Verbindungen durch den VPN-Tunnel geleitet, die Systeme am anderen Ende des VPN-Tunnels als Ziel haben. Für alle anderen Verbindungen wird er ignoriert. Es liegt auf der Hand, dass diese Lösung lediglich eine kurzfristige war, bis zu dem Zeitpunkt, an dem auch diese eingeschränkte Kommunikation das VPN in ihrer Datenmenge überlastet. Dies ist nicht zuletzt mit Datenpaketen zum Patchen der Fall. Entweder es gibt sehr viele Geräte, welche auf der anderen Seite auf das Paket warten, oder aber der gesamte Vorgang braucht eine lange Zeit, sollten die Geräte nacheinander gepatcht werden. Office-365-Produkte zum Beispiel helfen bereits, bestimmte Vorgänge über einen Cloudzugang abzuwickeln. Dennoch ist auch dies keine langfristige Alternative. Doch auch, wenn man den Benutzern das Patchen direkt über Microsoft ermöglicht, wenngleich hier nicht alle Updates berücksichtigt werden, müssen diese die Berechtigung dazu über das VPN erfragen.

Lösungen zum Schutz von Remote-Benutzern

Krise hin oder her, das Patchen von Endpunkten gegen bekannte und neu auftretende Schwachstellen bleibt eine der größten Herausforderungen für IT-Administratoren. Mit der neuen „Work-from-Home“-Norm als Antwort auf COVID-19 klingt das Patch-Management für viele IT-Administratoren nahezu unmöglich. Wenn die Endpunkte nicht gepatcht werden, kann dies schwerwiegende Auswirkungen auf die Netzwerksicherheit haben, selbst wenn sich die Endpunkte innerhalb eines kontrollierten Unternehmensumfelds befinden. Nun, da die Remote-Benutzer bei der Remote-Arbeit auf das Internet angewiesen sind, ist das Patchen von Rechnern nicht so einfach, oder doch?

Zwangsläufig sollten sich Administratoren die folgenden Fragen stellen:

• Sind Sie in der Lage, einen vollständigen Überblick über eine über die ganze Welt verteilte Remote-Belegschaft zu behalten?
• Wie sieht die Strategie für das Scannen von Assets und Verteilen von Patches an entfernte Benutzer aus, die sich im Netzwerk an- und abmelden?
• Bietet das VPN genügend Bandbreite, um Patches an die Remote-Rechner zu verteilen?
• Was ist, wenn wichtige geschäftliche Anrufe und Besprechungen durch „zu frühe“ Patches behindert werden?
• Haben Sie sichergestellt, dass die Remote-Benutzererfahrung nicht durch wiederholte Warnmeldungen und zufällige Neustarts beeinträchtigt wird?
• Wie installieren Sie einen kritischen Patch, wenn ein Benutzer immer wieder Patch-Updates verweigert?
• Wie sicher ist Ihre Verbindung zwischen dem Patching-Server und Ihrem Remote-Client?

Das Remote-Patch-Management kann tatsächlich ein Kinderspiel sein, wenn die Organisation über die richtigen Werkzeuge verfügt.

Qualys bietet mit Vulnerability Management, Detection and Response (VMDR) eine Möglichkeit, Abhilfe zu schaffen.

Es handelt sich um einen Dienst, welcher in der Lage ist, den gesamten Patch-Management-Prozess von der Erkennung der Schwachstellen, über deren Priorisierung und dessen Patching abzuwickeln: Vom Scannen nach fehlenden Patches bis hin zum Herunterladen, Testen und Verteilen der Patches auf die Zielgeräte kann alles von einer zentralen Konsole aus orchestriert werden. Das Besondere ist, dass die Patches schlussendlich zwar über eine zentrale Plattform verwaltet, jedoch nicht auf den Endpunkt gespielt werden. Die Patches selber werden aus der Cloud durch den Agenten auf das Gerät geladen, sobald dieses eine Verbindung zum Internet besitzt.

Das hebt besonders Standortbeschränkungen auf. VMDR nutzt einen fortschrittlichen, vielseitig einsetzbaren Agenten und bietet die ununterbrochene Transparenz, welche für die Verwaltung von Remote-Laptops, Desktops, Servern und virtuellen Maschinen in der gesamten globalen hybriden IT-Umgebung benötigt wird. Vom Scannen bis zur Bereitstellung wird alles geräuschlos mit Hilfe des Agenten ausgeführt. Dies kann vollkommen automatisiert funktionieren, aber lässt jedoch auch manuelle Anpassungen zu. Die Priorisierung der zu patchenden Systeme könnte beispielsweise durch das Unternehmensziel beeinflusst sein. So sind beispielsweise Produktionsserver schneller zu patchen, als beispielsweise Druckernetzwerke. Durch den Cloud-Agenten stellt VMDR Patches überall dort zur Verfügung, wo dieser installiert wurde, einschließlich Remote-Systemen und öffentlichen Cloud-Ressourcen. Mit VMDR können Betriebssysteme und Anwendungen verschiedener Hersteller von einem zentralen Dashboard aus gepatcht werden. Auf diese Weise müssen die Patches nicht in Silos über mehrere herstellerspezifischen Konsolen verwaltet werden.

Eliminieren von VPN-Einschränkungen

Der Zugriff auf die begrenzte Bandbreite von VPN-Gateways für Remote-Patch-Management-Aktivitäten kann zu Engpässen führen. Stattdessen können Remote-Clients die wesentlichen Patches von vertrauenswürdigen Anbietern direkt herunterladen, unabhängig davon, wo sich das Endgerät befindet. Dies funktioniert rund um die Uhr. Das bedeutet, dass sich Remote-Arbeiter nicht innerhalb der gängigen Arbeitszeiten über VPN am Netzwerk anmelden müssen.

Weitere Informationen zum Thema:

datensicherheit.de, 17.02.2020
Industrie 4.0 braucht ganzheitliche IT-Sicherheit im Wertschöpfungsprozess

[datensicherheit.de, 15.04.2020] Nicht nur  im Zuge der Corona-Verbreitung haben Unternehmen einen Teil ihrer Mitarbeiter, soweit möglich, ins Home-Office verlagert. Trotz der gebotenen Eile haben sie sich dabei meist auch um eine sichere Anbindung der nun extern stationierten Mitarbeiter Gedanken gemacht. Die naheliegende Lösung war in vielen Fällen die Nutzung eines VPN (Virtual Private Network) . „Doch ist ein VPN wirklich sicher?“, fragt Veronym, ein Cloud Security Service Provider aus Berlin.

Bei Veronym ist man überzeugt: Ein verschlüsselte VPN-Verbindung allein reicht nicht aus, um einen durchgängigen Schutz vor Cyber-Gefahren zu gewährleisten. Unternehmen, beziehungsweise deren mobilen Mitarbeiter, benötigen zusätzlich zu der sicheren Verbindung weitere Sicherheitskontrollen an den Endpunkten und im Netzwerk. Auch weitere Aspekte müssen bei der Nutzung von konventionellen VPN-Lösung berücksichtigt werden.

Herausforderungen und Einschränkungen beim Einsatz von klassischen VPN-Lösungen

Home-Office bedeutet in vielen Fällen die Nutzung von privaten Endgeräten. Diese weisen meist ein deutlich schlechteres Sicherheitsniveau im Vergleich zur Unternehmens-IT auf. Weiterhin besteht eine große Gefahr darin, dass Mitarbeiter zu Hause auch ein Firmengerät nutzen, um im Internet zu surfen. Es ist daher unerlässlich, einen geeigneten Schutz auf den genutzten Endgeräten zu installieren. Ist ein Endgerät bei einem Mitarbeiter zu Hause infiziert, nützt auch das beste VPN nichts. Der Angreifer hat dann quasi schon Zugang zu dem Unternehmens-Netzwerk.

Gesamter Datenverkehr wird durch das Unternehmensnetzwerk geleitet

Die Einrichtung eines VPN für Ihr Heimbüro auf herkömmliche Weise bedeutet, dass der gesamte Datenverkehr durch Ihr Unternehmensnetzwerk geleitet wird, beispielsweise auch dann, wenn Ihr Unternehmen Cloud-Anwendungen wie Office 365, Salesforce etc. verwendet. So kann es zu einer hohen Auslastung oder gar Überlastung der verfügbaren Bandbreiten kommen; das ist vor allem – in Krisenzeiten, in denen die Anzahl der Home-Office-Nutzer sehr stark ansteigt, problematisch.

Eine VPN-Verbindung muss im Unternehmen von Experten eingerichtet und vor allem auch verwaltet werden. Andernfalls kann diese sogar zu zusätzlichen Sicherheitsproblemen führen, statt für eine sichere Anbindung der Belegschaft zu sorgen. Weltweit warnen staatliche Cybersicherheitsorganisationen wie die CISA des US-Heimatschutzministeriums bereits vor diesen Gefahren. Die CISA richtet explizit diese Warnung an Unternehmen, die VPNs für Telearbeit nutzen. Diese müssen sich bewusst sein, dass Hacker nach Schwachstellen suchen und diese gezielt ausnutzen.

Veronym-Lösung für Cybersicherheit im Home-Office

Eine praktikable Alternative sind nach Auffasung der Unternehmens Cloud-basierten Cyber-Security Dienste. Solche Services sind im Idealfall vollständig gemanagt, innerhalb von Minuten einsatzbereit und erfordern keine Integration mit der Infrastruktur der Unternehmen. Die Benutzerverwaltung erfolgt über Kundenportale. Flexibles Lizenzmodelle erlauben es Unternehmen, die Security-Dienste monatlich zu abonnieren und abzumelden. Zudem sind keine Vorab-Investitionen und Betriebspersonal erforderlich.

Für die Netzwerk-Sicherheit stellen die Anbieter eine VPN-Verbindung von den Endpunkten der Unternehmen direkt zu den Cloud-Lösung zur Verfügung. In der Cloud terminiert der Service Provider den Datenverkehr und führt eine Sicherheitsinspektion durch, um Gefahren zu erkennen und zu unterbinden. Für den Verkehr zwischen der Cloud-Lösung und dem Unternehmen wird dann eine zweite VPN Verbindung aufgesetzt. Hierfür müssen meist nur einige Konfigurationen an der Firewall durchgeführt werden.

Ein moderner Cloud-Dienst kann darüberhinaus auch als Security-Gateway für den direkten Zugang zum Internet genutzt werden. Dabei wird vermieden, dass der Verkehr zu Cloud- oder Internet-Anwendungen durch das Unternehmens-Netzwerk geleitet werden muss und es somit zu Engpässen bei der verfügbaren Bandbreite kommen könnte.

Ein zweiter wesentlicher Bestandteil eine Cloud Security Services ist der Schutz der Endpunkte im Home-Office. Dabei setzen Service-Anbieter meist auf marktführende Security-Technologie etablierter Hersteller, die alle gängigen Betriebssysteme wie Windows, macOS, Linux, iOS, und Android unterstützen.

Dieses ist besonders wichtig, wenn Mitarbeiter für das Arbeiten von zu Hause ihre privaten Rechner nutzen müssen. Cloud Security Service Provider können ohne großen Aufwand diese Rechner über ihre Kundenportale verwalten und ohne Integration in die Unternehmens-IT schützen.

„Mit unserem Cyber Defense Center überwachen wir automatisiert rund um die Uhr die Home-Office Arbeitsplätze der Mitarbeiter unserer Kunden und alarmieren diese sofort, wenn wir kritische Auffälligkeiten finden“, erklärt Michael Teschner, Marketingleiter bei Veronym. „Einmal pro Woche erhalten die Unternehmen übersichtliche Berichte per E-Mail über die Nutzung des Dienstes und Nutzer-Statistiken.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
Fünf unterschätzte Punkte beim Kampf gegen immer raffiniertere Cyber-Attacken 

datensicherheit.de, 14.04.2020
Home-Office: Vergrößerung der Angriffsfläche verlangt nach automatisierter Cybersicherheit

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen

Die aktuelle Situation durch COVID-19 verändert die Bedrohungslage / Das betrifft auch die Versicherungsbranche

Ein Gastkommentar von René Schoenauer, Director Product Marketing EMEA, Guidewire Software

[datensicherheit.de, 15.04.2020] Natürlich stehen in der aktuellen Situation rund um die rapide Ausbreitung des Coronavirus humanitäre und gesamtwirtschaftliche Belange im Vordergrund. COVID-19 und die neue Situation, vor allem wie und von wo aus gearbeitet wird, birgt jedoch auch veränderte Cyber-Risiken, die nicht unterschätzt werden dürfen. Welche das sind und wie die Versicherungsbranche damit umgehen sollte, kommentiert René Schoenauer, Director Product Marketing EMEA, Guidewire Software.

Foto: Guidewire Software (UK) Ltd

Gastkommentar zu Cyber-Risiken von René Schoenauer

Neue Arbeitsumgebung – veränderte Cyber-Risiken

Viele Firmen haben quasi in einer Ad-hoc-Aktion ihre Mitarbeiter für die Arbeit aus dem Home-Office ausgestattet. Für viele, Firmen wie Mitarbeiter, gleicht dies der Erkundung unentdeckten oder zumindest noch nicht lange bewohnten Neulandes. Diese relativ spontane Anpassung an die neue Wirklichkeit birgt eine ganze Reihe von digitalen Risiken: Angefangen von unzureichender IT-Kapazität bis hin zu inadäquaten VPNs (Virtual Private Networks), fehlenden Datenregulierungen und mangelhaftem Risikomanagement.

Diese Risiken stellen ein Einfallstor für Cyber-Kriminelle dar, die auch in angespannten Zeiten wie momentan auf ihre Chancen warten. Social Engineering, Überweisungsbetrug, DoS (Denial-of-service)-Attacken sowie Spam- und Phishing-Mails sind nur einige der Angriffsmethoden, vor denen sich IT-Sicherheitsverantwortliche von Unternehmen wappnen müssen.

Veränderte Cyber-Risiken – Neue Empfehlungen

Genauso wie Hygiene-Vorschriften in Bezug auf COVID-19 aktualisiert werden, so sollten auch Empfehlungen für die „Cyber-Hygiene“ von Mitarbeitern angepasst werden. Eine Mehrfach-Authentifizierung, eine robuste VPN-Verbindung und eine Verpflichtung zur Nutzung von ausschließlich privaten WLAN-Netzwerken sind dabei sinnvolle erste Schritte. Auch das Einhalten einer hohen Passwort-Sicherheit sollte sichergestellt werden. Zudem gilt es, die Mitarbeiter in diesem Bereich kontinuierlich weiterzubilden und für Risiken und Bedrohungen zu sensibilisieren.

Anpassungen von Cyber-Versicherungen – Risikotransfer und veränderte Deckungen

Auch wenn die Cyber-Risiken per se nicht neu sind, so ist doch die aktuelle Bedrohungslage durch die veränderte Arbeitssituation in vielen Bereichen erhöht. Deshalb müssen auch bestehende Deckungen im Bereich der Cyber-Versicherungen auf die veränderte Lage und ihre Anwendbarkeit hin geprüft werden. Dies gilt zum Beispiel bei Datenschutzverletzungen, der Haftpflicht gegenüber Dritten, Netzwerkunterbrechungen, Cyber-Erpressung und Datenbestands-Verlust.

Es sind jedoch auch Versicherungs-Bereiche außerhalb der Cyber-Versicherungen betroffen – weil sie entweder direkt oder indirekt mit der gleichen Bedrohungslage zusammenhängen: Hierbei geht es um die allgemeine Haftung, Ansprüche bei Sach- und Gebäudeschäden in Zusammenhang mit einem Netzwerkausfall oder Sachschäden, die auf Cyber-Angriffe zurückzuführen sind. Zudem kommen Haftungsfragen im Finanzbereich hinzu, beispielsweise durch Cyber-Wirtschaftskriminalität.

Akkumulationspotenzial von Cyber-Risiken

Für Versicherungs- und Finanzdienstleister ist eine der sekundären Auswirkungen von COVID-19 die Akkumulation von Cyberr-Risiken. Branchenübergreifend sind Unternehmen stärker auf Informations- und Telekommunikationsinfrastrukturen angewiesen. Es erfolgt zwar eine Effizienzsteigerung durch den Einsatz von Internet Access Points, Cloud-Infrastrukturen und Breitbandverbindungen, aber es werden ebenso Korrelationen und Abhängigkeiten erhöht und Risikopotenziale gebündelt. Dies hat zur Folge, dass systemische Schäden weitaus gravierendere Auswirkungen haben können.

Viele Versicherungspolicen decken sowohl böswillige als auch nicht böswillige Vorfälle bei Ausfällen in der Dienstleistungskette ab. Dies stellt angesichts der Globalisierung und der engen Kopplung von Lieferketten eine Herausforderung dar. Unternehmen können Schwierigkeiten haben, ihre kritischen Lieferanten, störende Auswirkungen auf die Lieferkette und mögliche alternative Lieferanten zu identifizieren. Die dadurch entstehende Informationsasymmetrie stellt eine Herausforderung für das Management des Akkumulationspotenzials dar.

Einschätzung, Erkennung, Diagnose, Prognose

Wie bei der Strategie zur Bekämpfung von COVID-19 liegt der Schlüssel zur Verringerung der Cyber-Risiken im Verständnis der Art, des Umfangs und der voraussichtlichen Auswirkungen des Problems. Für Versicherer ist dies von vergleichbarer Bedeutung für die Definition von Risiko-Segmenten und die Preisgestaltung sowie der Bestimmung von Risiken, die nicht gezeichnet werden sollten. Ebenso ist das Verständnis der Risikoexposition in einem Portfolio und der Bestimmung des richtig dosierten Einsatzes von Automatisierung in der Schadenbearbeitung wichtig. Die Fähigkeiten von Data Analytics and Data Science kann den Sachbearbeitern im Bestand, Underwritern und Risiko- und Schaden-Managern helfen, Cyberrisiken zu diagnostizieren, zu quantifizieren, genauer zu prognostizieren und zu beheben.

Während wir also in unserer analogen Antwort auf COVID-19 von der Prävention zur Minderung übergegangen sind, haben wir immer noch die Möglichkeit, die sekundären, risikoreichen Auswirkungen auf IT-Umgebungen und die veränderte digitale Arbeitswelt zu verhindern und zu bewältigen.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
Virus trifft Virus – IT-Sicherheit in Zeiten der Pandemie

datensicherheit.de, 19.10.2019
Guidewire: Neues Datenmodel für Cyber-Risikomanagement

datensicherheit.de, 30.05.201
Fünf Tipps für Cyber-Versicherungs-Policen

Remote-Arbeitsplätze für mobile Arbeitskräfte, die Verlagerung der Belegschaft ins Home-Office und die Nutzung von RDP, VPN und VDI vergrößern die Cyberangriffsfläche erheblich

[datensicherheit.de, 14.04.2020] Das Unternehmen Vectra AI, tätig im Bereich Network Detection and Response (NDR), warnt davor, dass Remote-Arbeitsplätze für mobile Arbeitskräfte, die Verlagerung der Belegschaft ins Home-Office und die Nutzung von RDP, VPN und VDI die Angriffsfläche ganz massiv vergrößern. Angemessene Sicherheitsmaßnahmen erfordern detaillierten Einblick in die Fernverbindung von Benutzern zu internen geschäftskritischen Systemen. Dies ist jedoch rein manuell nicht zu bewältigen. Deshalb ist die Automatisierung der IT-Sicherheit mithilfe von maschinellem Lernen und künstlicher Intelligenz dringender denn je.

In seinem Internet Exposure Dashboard für Deutschland zeigt Shodan auf, dass es derzeit über 5.400 dem Internet ausgesetzte Maschinen gibt, die die Remote-Code-Execution-Schwachstelle „BlueKeep“ in RDP (Remote Desktop Protocol) aufweisen. „Eine Vectra-Studie von 2019 belegte, dass RDP eine große und anfällige Angriffsfläche in vielen Netzwerken schafft. Laut dem Vectra 2019 Spotlight Report on RDP hat die KI-basierte Plattform Cognito 26.800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen im ersten Halbjahr 2019 erkannt. 90 Prozent dieser Implementierungen wiesen Verhaltenserkennungen von RDP-Angreifern auf“, berichtet Andreas Müller, Director DACH bei Vectra.

Foto: Vectra

Andreas Müller, Director DACH bei Vectra

Neben steigenden VPN- und VDI-Zugriffen auch unerwartete Zugriffsaktivitäten im Blick behalten

Die erhebliche Ausweitung der Telearbeit lässt sich an der seit Anfang 2020 beobachteten 41%igen Zunahme der Nutzung von Remote-Desktops und 33%igen Zunahme der VPN-Nutzung in Unternehmen ablesen.1 Dies wirft neue Fragen über die Sicherheit der Werkzeuge auf, die Menschen auf der ganzen Welt nutzen, um sich mit wichtigen Arbeitsplatzsystemen und geschäftskritischen Daten zu verbinden. Eine weiterhin deutliche Zunahme des VPN- und VDI-Zugriffs ist hierbei zu erwarten. Unternehmen sehen sich somit innerhalb kurzer Zeit mit einer Ausweitung der Cyberangriffsfläche konfrontiert. Umso wichtiger ist es daher, nach unerwarteten Zugriffsaktivitäten zu suchen. Dies könnte alles sein, vom Trend, dass Benutzer persönliche Cloud-Speicher nutzen, bis hin zu einem Server-Administrator, der Fernzugriffs-Tools einsetzt, um eine direkte Verbindung zu den Systemen herzustellen.

Überwachung der virtuellen Desktop-Infrastruktur (VDI)

Um die steigende Anzahl der Mitarbeiter an entfernten Standorten zu bewältigen, greifen Unternehmen zunehmend auf Cloud-basierte „Desktop as a Service“-VDI-Dienste zurück. Diese verfügen über eine verschlüsselte private Verbindung zurück in das Unternehmensnetzwerk. Mehrere gleichzeitige VDI-Sitzungen können durch zugehörige Kerberos- und NT-LAN-Manager (NTLM)-Authentifizierungssitzungen identifiziert werden und eine Überprüfung auf Anzeichen von kompromittierten Kontoanmeldeinformationen rechtfertigen. Jeglicher VDI-bezogener Verkehr außerhalb der gesicherten privaten Verbindung mit dem Cloud-VDI-Anbieter des Dienstes sollte identifiziert und kontrolliert werden.

Überwachung des Remote-Desktop-Protokolls (RDP)

Microsoft RDP wird von Remote-Clients zur Verbindung mit VDI-Diensten verwendet und ist ein verlockendes Ziel für Angreifer, da es ihnen die volle Kontrolle über die mit dem Netzwerk verbundenen Geräte geben kann. Im Laufe der Jahre sind immer wieder neuen RDP-Schwachstellen hinzugekommen, die eine Remote-Codeausführung und eine Eskalation von Privilegien ermöglichen. Normalerweise sollte RDP nicht dem Internet ausgesetzt sein, und wo VDI-Dienste lokal gehostet werden, sollte dies nur über VPN-Zugriff für entfernte Mitarbeiter geschehen. Einige Unternehmen geben der Bereitstellungsgeschwindigkeit jedoch gegenüber der Sicherheit den Vorrang. Sie stellen ihre RDP-Dienste hinter eine Web Application Firewall (WAF) und machen den Dienst öffentlich zugänglich. Die Exposition von RDP-Diensten gegenüber dem Internet ist normalerweise ein großes Risiko. In diesem Szenario ist es wichtig, dass eingehende RDP-Anforderungen ausschließlich auf die Verbindung mit dem legitimen RDP-Gateway beschränkt sind.

Identifizieren der unbefugten Nutzung von Cloud-Speicher

Die Verwendung von nicht genehmigten Cloud-Speicherdiensten kann zu Problemen bei der Einhaltung von Vorschriften und Richtlinien führen und es erschweren, Datenexfiltration zu erkennen. So ist davon auszugehen, dass für die gemeinsame Nutzung von Informationen verstärkt Cloud-basierte Speicher (OneDrive, Google Drive usw.) anstelle von firmeninternen Dateiservern verwendet werden. Dies bedeutet, dass mehr wertvolle Informationen in einem Cloud-Speicher abgelegt werden könnten, als dies unter gewöhnlichen Umständen der Fall wäre. Die Art und Weise, wie der Remote-Host verbunden ist, wirkt sich auf den Grad der Sichtbarkeit des Cloud-Speichers aus. Bei einer VPN-Verbindung mit geteiltem Tunnel werden nur die DNS-Anforderungen gesehen, die die IP-Adressen des Cloud-Speicherdienstes auflösen. Im Falle eines VPN mit vollem Tunnel wird iSession auch die nachfolgenden Verbindungen zum Cloud-Speicherdienst anzeigen.

Beobachtung von Server Message Block (SMB) mit externem Zugriff

SMB ist ein Protokoll auf Anwendungsebene, das den gemeinsamen Zugriff auf Dateifreigaben, Drucker und serielle Schnittstellen von Geräten in einem Netzwerk ermöglicht. SMB ist ein komplexes Protokoll mit vielen bekannten Schwachstellen, einschließlich EternalBlue, dem Exploit, der die Verbreitung von WannaCry, NotPetya und anderen verheerenden Ransomware-Angriffen ermöglicht. Normalerweise sollten SMB-Dienste nicht dem Internet ausgesetzt sein und nur über einen VPN-Zugang für Remote-Mitarbeiter erfolgen. Jede Exposition von SMB-Diensten geht mit einem erheblichen Datenverlustrisiko einher.

Überprüfung der Sicherheitslage an entfernten Endpunkten

Da die Arbeit an entfernte Standorte verlagert wird, ist es ratsam, sicherzustellen, dass über VPN verbundene Arbeitsplätze richtig konfiguriert sind, um auf die vom Unternehmen verwalteten Dienste wie DNS und NTP zuzugreifen. Wie verhalten sich die Endpunkte, die sich jetzt physisch außerhalb der Kontrolle befinden? Welche Hosts im Netzwerk initiieren zum Beispiel rekursive DNS-Anforderungen an externe DNS-Server? Bei VPN-Verbindungen mit vollem Tunnel wären die DNS-Auflösungen zu nicht firmeneigenen verwalteten DNS-Diensten sichtbar. Bei VPN-Verbindungen mit geteiltem Tunnel würde das DNS lokal aufgelöst und nicht sichtbar sein.

NDR-Plattform reduziert Arbeitsaufwand für Erkennung und Analyse

Versteckt im hohen Traffic-Volumen von Remote-Mitarbeitern, Unternehmensnetzwerken und Cloud-Instanzen gibt es kleine, aber wertvolle Hinweise, die für die Sicherheit relevant sind. „Durch den Einsatz einer automatisierten NDR-Plattform können Sicherheitsteams den mit solchen Erkennungen und Analysen verbundenen Arbeitsaufwand reduzieren und so ihre Effizienz und Effektivität erhöhen, worauf es gerade jetzt umso mehr ankommt“, rät Andreas Müller abschließend.

[1] Trends in Internet Exposure, Trends im Internet Exposure

Weitere Informationen zum Thema:

datensicherheit.de, 13.04.2020
VelvetSweatshop: Microsoft Office-Programme beliebtes Mittel zum Start von Cyberangriffen

datensicherheit.de, 10.04.2020
SANS Institute: Anstieg bei Angriffen auf das Remote Desktop Protocol

datensicherheit.de, 02.04.2020
Sicherheitspanne in Marriott-Hotels: Daten von 5.2 Millionen Kunden offengelegt

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

Mitarbeiter in der öffentlichen Verwaltung, im Gesundheitswesen und in kritischen Infrastrukturen benötigen Zugang zu Netzwerken.

[datensicherheit.de, 30.03.2020] Die Statistiken sind erstaunlich – 50 Prozent Steigerung bei der Internetnutzung, 37,5 Prozent neue Benutzerin Microsoft-Teams, 112 prozentigeZunahme der VPN-Nutzung – einige Zahlen, die die aktuelle Situation beschreiben, in der sich Mitarbeiter weltweit bereits befinden oder in einigen Wochen oder Monaten befinden werden. Trotz der Einführung von Cloud-basierten Diensten in den letzten Jahren laufen viele gängige und proprietäre Anwendungen immer noch im Hause. Mitarbeiter in der öffentlichen Verwaltung, im Gesundheitswesen und in kritischen Infrastrukturen benötigen Zugang zu Netzwerken.

Unternehmen verlassen sich auf VPNs

Viele Unternehmen aus allen Branchen verlassen sich auf VPN, um den Kommunikationsweg von Remote-Benutzern zu einem Unternehmensnetzwerk mit einem verschlüsselten End-to-End-Tunnel abzusichern. Ein VPN bietet keinen ganzheitlichen Ansatz und kann ein falsches Sicherheitsgefühl vermitteln. Es schützt zwar den Kommunikationsweg zum Unternehmensnetzwerk, aber sie erzwingt weder Sicherheit auf dem Gerät selbst, noch überwacht sie dessen Aktivität, wenn es mit dem Unternehmensnetzwerk verbunden ist.

Bild: Forescout

Chris Sherry, Regional Vice President EMEA bei Forescout

„Mit dieser massiven ‚Work-from-home‘-Community und potenziellen Sicherheitslücken gibt es bereits einige Beispielevon Bedrohungsakteuren, die auf diese neue Angriffsfläche abzielen. Wenn Unternehmen nicht über etablierte oder ausgereifte Endgeräte-Hygienepraktiken verfügen, könnten sie sich selbst in Gefahr bringen“, sagt Chris Sherry, Regional Vice President EMEA bei Forescout.

Es gibt mehrere Gründe dafür, dass die Arbeit von zu Hause aus ein hohes Maß an Endgeräte-Hygiene erfordert:

• Eingeschränkte Sichtbarkeit und Verwaltung.
  Wenn eine so große Anzahl von Unternehmensgeräten von der Vor-Ort- zur Außer-Haus-Umgebung wechseln, tragen sie alle Belastungen für IT-Aufgaben wie Patchen, Monitoring und Sicherheit mit sich. Im Laufe der Zeit haben Unternehmen somit trotz des Einsatzes von Management- und Sicherheitsagenten möglicherweise weniger Transparenz darüber, wie diese Geräte konfiguriert, gepatcht und abgesichert werden.
• Unzureichende Netzwerkkontrollen.
  Die meisten Wi-Fi-Heimnetzwerke verfügen nicht über die gleichen Netzwerkkontrollen wie Unternehmensnetzwerke (wie NGFW, IPS, ATD, NTA). Auf dem Firmengelände arbeiten Netzwerk- und Gerätesteuerungen zusammen, um die IT-Umgebung zu schützen und Zugriffsversuche zu erkennen. Bei unzureichenden Netzwerkkontrollen in Heimnetzwerken sind Endgerätesicherheit und -Hygiene die erste Verteidigungslinie.
• BYOD.
  Unternehmen haben wegen des plötzlichen Übergangs zu einer „Remote-Belegschaft“ und den Herausforderungen in der Lieferkette, die Beschränkungen für die Konnektivität der Fernmitarbeiter mittels eigenem Gerät mit dem Firmennetzwerk gelockert. Es ist wenig wahrscheinlich, dass diese Geräte regelmäßig gewartet werden. Darüber hinaus ist es wahrscheinlicher, dass sie ungepatcht, ungeschützt und unkontrolliert bleiben. Die einfache Installation von VPN-Clients auf diesen Geräten ist unzureichend, kann zu unerwünschten Ergebnissen führen und einen Bedrohungsvektor darstellen.
• Chaotische Umgebung mit mehr Einfallstoren.
  Anwender, die von zu Hause aus arbeiten, können kompromittierendes Verhalten, nicht genehmigte Anwendungen und risikoreichen Datenfluss in Unternehmensnetzwerke bringen. Darüber hinaus bieten IoT-Geräte in Heimnetzwerken Möglichkeiten für die seitliche Bewegung von Bedrohungen. In solchen Situationen sind eine kontinuierliche Schulung und Kommunikation der Endbenutzer unerlässlich.

Best Practices für den Schutz von Home Office-Mitarbeitern:

1. Verschaffen Sie sich einen vollständigen Überblick über alle mit Ihrem Netzwerk verbundenen Remote-Geräte.
   Dies sollte die Priorität Nr. 1 sein – man kann nicht absichern, was man nicht sehen kann. Über die Benutzer- und VPN-Authentifizierung hinaus ist es wichtig, Geräte zu identifizieren und sie auch als unternehmenseigene oder persönliche Geräte zu kategorisieren. Dadurch können spezifische Sicherheitsrichtlinien auf BYOD-Geräte angewendet werden und deren Verhalten und Netzwerkverkehr gemonitored werden. Darüber hinaus kann es riskant sein, sich ausschließlich auf installierte Agenten zu verlassen, um einen Einblick in die Unternehmensgeräte zu erhalten, da ein geringeres IT-Monitoring und -Governance dazu führen kann, dass Agenten falsch konfiguriert oder veraltet sind.
2. Setzen Sie das gleiche Sicherheitsniveau der Cyber-Hygiene für Remote-Geräte um.
   Heimnetzwerke sind weniger sicher, deshalb sind Endgeräte-Hygiene und Security Posture (Sicherheits-Status quo) von größter Bedeutung – sowohl für Firmen- als auch für BYOD-Geräte. Bevor Geräte im Unternehmensnetzwerk zugelassen werden, müssen grundlegende Überprüfungen durchgeführt werden, auch wenn sie sich über VPN korrekt authentifiziert haben. Laufen die vorgeschriebenen Sicherheitsagenten und sind sie auf dem neuesten Stand? Führen Remote-Benutzer nicht genehmigte oder anfällige Anwendungen aus? Sind die Remote-Geräte mit den neuesten Sicherheitsupdates gepatcht? Ein einzelnes anfälliges, nicht konformes oder kompromittiertes Remote-Gerät in Ihrem Netzwerk kann einen Einstiegspunkt für Bedrohungsakteure darstellen.
3. Durchsetzen von Zugriffskontrollen und Segmentierungsrichtlinien, um die durchschnittliche Reaktionszeit zu verkürzen.
   Bei einer so groß angelegten Verlagerung der Belegschaft ins Home Office arbeiten die Unternehmen bereits außerhalb der normalen Bedingungen. Während dieser Zeit ist eine kontinuierliche Überwachung und Durchsetzung von Richtlinien unerlässlich, um zu verhindern, dass Sicherheitsvorfälle außer Kontrolle geraten. Bewährte Praktiken wie der Zugang mit den geringsten Privilegien sollten durchgesetzt werden. Benutzer sollten automatisch über Probleme bei der Einhaltung von Richtlinien über ein firmeneigenes Webportal und Ballon-/Popup-Benachrichtigungen informiert werden. Außerdem sollten VPN-Verbindungen beendet werden, wenn die Nichteinhaltung weiterhin besteht. Am wichtigsten ist, dass die Netzwerkaktivität von Home Office-Geräten kontrolliert wird, um Normabweichungen zu erkennen und sicherzustellen, dass die Segmentierungs-Hygiene eingehalten wird.

Weitere Informationen zum Thema:

Forescout
The VPN is Back but Don’t Forget Device Hygiene

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 23.03.2020
Home-Office: TeleTrusT veröffentlicht Liste kostenfreier IT-Sicherheitslösungen

datensicherheit.de, 20.03.2020
digitronic stellt Gratis-Lizenzen für die sichere Arbeit im Home-Office bereit

datensicherheit.de, 20.03.2020
COVID-19: Kriminelle Verkäufer gewähren Rabatte auf Malware

datensicherheit.de, 18.03.2020
SANS Institute: Kostenloses „Securely Working from Home“ Deployment Kit veröffentlicht

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

[datensicherheit.de, 11.07.2019] Immer mehr Menschen arbeiten insbesondere im Sommer nicht nur im Büro, sondern auf dem Balkon, im Schwimmba oder an Urlaubsorten Einige verwandeln ihren gesamten Arbeitsplatz in eine Weltreise: Die Zahl der digitalen Nomaden beläuft sich laut Schätzungen auf eine halbe Million Menschen.

Das Arbeiten von unterwegs bietet zwar eine willkommene Ablenkung, aber auch ein erhöhtes Sicherheitsrisiko.

Deshalb hat die OTRS AG folgende Tipps zusammengestellt, wie das Sicherheitsrisiko beim Arbeiten außerhalb des Büros möglichst gering gehalten werden kann:

VPN Zugang nutzen

Wenn Mitarbeiter unterwegs – sei es im Urlaub an der Hotelbar oder im Café – öffentliches WiFi nutzen, sollten sie wissen, dass der Zugang in der Regel nicht verschlüsselt ist. Das heißt, Unbefugte können leicht Zugang zu persönlichen Daten erhalten. Im Ausland sind die WLAN´s (Wireless Local Area Networks) oft noch besser ausgebaut als in Deutschland, so dass der Reisende hier schnell mal ins Internet geht, ohne die Sicherheit zu beachten. Deshalb empfiehlt es sich, hier immer ein VPN (Virtual Private Network) zu benutzen.

Absichern gegen höhere Diebstahlwahrscheinlichkeit

Im Hotel, bestimmten Urlaubsregionen oder auch grundsätzlich in der Öffentlichkeit können PC und Handy schneller geklaut werden als im Büro. Deshalb gilt hier erhöhte Vorsicht: Alle Geräte sollten immer gesperrt werden – auch wenn der Anwender nur für einen Moment mal nicht daran arbeitet. Außerdem sollte die Festplatte verschlüsselt sein. Wer zusätzlich an eine „Remote Löschbarkeit“ denkt, kann im Fall der Fälle seine vertraulichen Daten auch noch von unterwegs eliminieren.

Auch Datenträger sollten immer verschlüsselt sein

Für die mobile Arbeit außerhalb des Büros ist es oft hilfreich, auch einen USB-Stick oder andere Datenträger bei sich zu haben. Aber auch hier besteht erhöhte Diebstahlwahrscheinlichkeit, so dass der Datenträger immer gut verschlüsselt sein sollte.

Vorsicht geboten bei USB Outlets

Wenn der Strom auf dem Handy oder PC unterwegs knapp wird, bieten USB-Power Outlets (zum Beispiel in Flughäfen) schnelle Abhilfe. Achtung: USB-Anschlüsse sind für den Datentransfer vorgesehen: Es kann passieren, dass der vermeintlich ausschließlich zum Laden gedachte Anschluss missbraucht wird, um unberechtigt auf Daten zuzugreifen. USB-Kondome schaffen Abhilfe. Sie aktivieren nur die Stromverbindung und kappen die Datenverbindung.

Social Engineering

Gerade im Urlaub ist die Stimmung locker und man unterhält sich mit vielen neuen Menschen. Hier ist auch Vorsicht geboten, denn manchmal versuchen Hacker auch in persönlichen Gesprächen an vertrauliche Daten zu kommen, bekannt unter dem Stichwort „Social Engineering“.

„Wenn Mitarbeiter nicht im Büro, sondern von Orten arbeiten, mit denen sie Urlaub verbinden, sind sie schneller unvorsichtig und übersehen auch mal den ein oder anderen Sicherheitshinweis“, sagt Jens Bothe, Sicherheitsexperte und Global Director Consulting bei der OTRS AG. „Deshalb ist es wichtig, hier ein Bewusstsein für Sicherheitsrisiken zu schaffen, die außerhalb des Büros noch größer sein können.“

Weitere Informationen zum Thema:

OTRSmag
Neuigkeiten und Wissenswertes rund um Corporate Security

datensicherheit.de, 30.07.2018
Datensicherheit im Urlaub und auf Reisen

datensicherheit.de, 06.07.2017
Mobile Sicherheit: Verbraucher gerade im Urlaub zu sorglos

datensicherheit.de, 20.07.2017
BITKOM gibt Sicherheitshinweise zur Handy-Nutzung im Sommerurlaub

Auch im Urlaub sicher surfen

Von unserem Gastautor Bogdan „Bob“ Botezatu, Leitender Analyst für digitale Bedrohungen, Bitdefender

[datensicherheit.de, 06.08.2018] Die Sonne scheint, die Ferienzeit ist in vollem Gange und es zieht uns an die Seen, Flüsse, Meere oder in die Berge. Doch leider ist uns die Büroarbeit häufig auf den Fersen. Von den Flughafen-Lounges bis hin zu Strandbars sind immer mehr Menschen auch im Urlaub per Smartphone und Laptop erreichbar und halten sich über Projekte oder dringende Deadlines auf dem Laufenden. Aber die Verbindung zu öffentlichen WLAN-Netzen an überfüllten Orten birgt ein ziemlich hohes Risiko, deshalb sollten Urlauber in diesem Jahr sowohl den Sonnen- als auch den Cyberschutz dabei haben.

Kostenlose öffentliche WLANs sind bequem

Die kostenlosen WLAN-Hotspots an Orten wie Flughäfen, Cafés, öffentlichen Verkehrsmitteln oder Hotelzimmern sind ein bequemer Weg, um mit dem Büro oder der Familie in Kontakt zu bleiben. Die offenen Netzwerke sind jedoch nicht ohne Risiko. Der sicherste Weg seine wertvollen Daten zu schützen, würde natürlich darin besteht, keine Verbindung mit öffentlichen Netzwerken herzustellen. Es gibt jedoch verschiedene Technologien, die es möglich machen, sich auch über solche Wi-Fi-Hotspots sicher und ohne Sorge zu verbinden.

1. VPN-Lösung zur Verschlüsselung des Datenverkehrs
   Eine VPN-Lösung (Virtual Private Network) sollte die erste Verteidigungslinie sein, wenn sich Anwender von einem öffentlichen Netzwerk aus mit dem Internet verbinden. Ein VPN bietet eine deutlich sicherere Verbindung über das Internet, da der Datenverkehr über das VPN-Netzwerk automatisch verschlüsselt wird. Sollte der Datenverkehr, der über ein öffentliches Netzwerk geht, abgefangen werden, sind diese Daten vor neugierigen Blicken sicher. VPNs bieten darüber hinaus die Möglichkeit, einen Ort für das Einwählen ins Internet auszuwählen. Das kann sehr praktisch sein, falls sich Inhalte wie Filme am Urlaubsort aufgrund lokal limitierter Rechte nicht abspielen lassen. Bei der Auswahl eines VPN-Anbieters ist jedoch Vorsicht geboten. Erst kürzlich deckten Spezialisten von Bitdefender mit Zacinlo ein über Jahre tätiges kriminelles Netzwerk für Anzeigenbetrug auf, das seine Malware als kostenlose VPN-Software getarnt hatte. Wer auf Nummer sicher gehen will, sollte auf ein VPN-Produkt eines reputablen Herstellers setzen. Einige Anbieter von Sicherheitssoftware haben eine VPN-Lösung in ihrem Angebot bereits inkludiert und bieten es ohne Aufpreis mit an.
2. Sandburgen bauen, aber die Firewall nicht vergessen
   Wann immer Anwender sich mit unbekannten Personen im Netzwerk befinden, und das geschieht jedes Mal, wenn man sich außerhalb des Heimnetzwerks bewegt, ist eine Firewall ein Muss. Firewalls verbieten es jedem Host im Netzwerk, den Computer auf Schwachstellen zu untersuchen oder in offenen Freigaben, die Nutzer auf ihrem Laptop haben könnten, herumzuschnüffeln. Eine gute Firewall-Lösung kann auch den Netzwerkverkehr überprüfen und nach verräterischen Anzeichen von Cyberkriminalität suchen, wodurch die Angriffsmöglichkeiten auf das Gerät eingeschränkt werden. Auch eine solche Firewall wird in der Regel als Teil eines umfassenden Schutzpakets von Herstellern von Cybersecurity mit angeboten.
3. Sichere Browser für Banksitzungen
   Wer flexibel reist, bucht Hotels, Flüge, Konzerte oder Ausflüge meist aus dem Hotelzimmer über das dortige kostenlose WLAN. Hier gilt besondere Vorsicht! Man sollte vermeiden, über solche WLAN-Netzwerke auf sein Bankkonto zuzugreifen, da Hacker den Datenverkehr überwachen könnten. Wer dennoch einen Blick auf das Konto werfen will oder Überweisungen machen muss, sollte einen speziellen, für diesen Zweck entwickelten Browser verwenden, beispielsweise Bitdefender Safepay.

Wir haben uns daran gewöhnt immer und überall online zu sein. Die Gefahr von Cyberkriminellen ausspioniert zu werden ist größer, wenn man sich auf Reisen in unbekannte Netzwerke einwählt. Mit den richtigen Werkzeugen lässt sich diese Bedrohung jedoch weitgehend umgehen. Firewall, VPN und spezielle Browser helfen dabei auch im Urlaub sorgenfrei und sicher zu surfen.

Bild: Bitdefender

Bogdan Botezatu ist leitender Analyst für digitale Bedrohungen bei Bitdefender. Er hat umfangreiche Erfahrung auf dem Gebiet der Computernetzwerke und Malware-Forschung und arbeitet bereits seit 2007 für den rumänischen Entwickler von innovativen Virenschutzlösungen. Seine Fachgebiete umfassen elektronische Kriegsführung sowie Malware auf mobilen Geräten und in sozialen Netzwerken.

Weitere Informationen zum Thema:

datensicherheit.de, 30.07.2018
Datensicherheit im Urlaub und auf Reisen

datensicherheit.de, 25.10.2016
WLAN-Sicherheit: Kosten durch kostenlose Zugänge auf Geschäftsreisen

datensicherheit.de, 06.07.2017
Mobile Sicherheit: Verbraucher gerade im Urlaub zu sorglos

datensicherheit.de, 20.07.2017
BITKOM gibt Sicherheitshinweise zur Handy-Nutzung im Sommerurlaub