[datensicherheit.de, 23.04.2020] Aktuell werden verschiedene Zero-Day-Schwachstellen in der Apple iOS Mail-App ausgenutzt. Eine dieser Sicherheitslücken kann sogar ohne Interaktion der Anwender („Zero Click“) auf iOS 13 Schaden anrichten. Die Schwachstelle betrifft auch iOS 12, bei diesem Betriebssystem ist in den meisten Fällen allerdings Interaktion der Anwender nötig.

Bild: Tenable

Satnam Narang, Principal Research Engineer, Tenable

Dazu ein Kommentar von Satnam Narang, Principal Research Engineer, Tenable: „Über diese Schwachstelle ist es Angreifern möglich, innerhalb der Mail App Nachrichten zu ändern, zu löschen oder zu stehlen. Manche Sicherheitsforscher vermuten sogar, dass Angreifer diese Sicherheitslücke mit einer bekannten Schwachstelle im Kernel kombinieren könnten, um so die Geräte vollständig zu kontrollieren. Dafür gibt es allerdings noch keine Belege.

Apple hat in der Beta Version von iOS 13.4.5 die Schwachstellen bereits behoben. Bis zur finalen Version von iOS 13.4.5. sind iOS-Geräte aber noch angreifbar. Bis diese verfügbar ist, sollten Anwender alle Mail-Accounts deaktivieren, die mit der iOS Mail-App verbunden sind und auf alternative Apps wie Microsoft Outlook oder Google GMail ausweichen.“

Weitere Informationen zum Thema:

Tenable
Multiple Zero-Day Vulnerabilities in iOS Mail App Exploited in the Wild

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

Von unserem Gastautor Armin Simon, Regional Director DACH bei Gemalto

[datensicherheit.de, 02.10.2017] Vor wenigen Tagen musste die US-Börsenaufsicht SEC [1] eingestehen, dass sie 2016 Opfer einer Cyberattacke wurde. Dabei gingen vertrauliche Informationen, die für den Insiderhandel genutzt werden können, verloren. Angeblich hatte die Behörde das volle Ausmaß erst im letzten August erkannt.

Spätestens seit dem Angriff auf den Bundestag im Jahr 2015 wissen IT-Verantwortliche, dass sich die Gefahrenlage geändert hat. Durch Zero-Day-Schwachstellen und ausgeklügelte Malware ist es nur eine Frage der Zeit, bis Sicherheitsmechanismen umgangen und Netzwerke kompromittiert werden können. Cybercrime hat sich zu einem organisierten Geschäftsfeld entwickelt und mit Malware-as-a-Service-Angeboten braucht es kein technisches Know-how mehr, um Attacken zu starten.

In der Praxis geschieht zu wenig

Trotzdem geschieht in der Praxis zu wenig und SEC ist nur eines der Beispiele für Fahrlässigkeit und mangelnde Vorbereitung. Als wichtigste Aufsichtsbehörde steht man natürlich im Fadenkreuz, trotzdem war man nicht in der Lage die Daten richtig zu schützen oder den Sicherheitseinbruch umgehend zu erkennen. Zudem kann die SEC keine Angaben über die betroffenen Datensätze machen. Leider wird schnell klar, dass es in den meisten Unternehmen ähnlich aussieht und interne Prozesse nicht an die Bedrohungslage angepasst worden sind.

Eigentlich sollte man aus Fehlern lernen

Die schlechte Informationslage und die verspätete Erkenntnis sind exemplarisch für die mangelhafte Sicherung von Informationen. Eine Analyse aller bekannten Datenverluste weltweit im Breach Level Index [2] verdeutlicht, dass die Anzahl der Sicherheitseinbrüche immer weiterwächst und Unternehmen sich nicht richtig auf die Situation eingestellt haben. In den ersten sechs Monaten dieses Jahres wurden 918 Breaches gemeldet, dies sind 13 Prozent mehr als im zweiten Halbjahr 2016. Erschreckend ist dabei die Explosion der gestohlenen Datensätze: Insgesamt wurden bei den Vorfällen 1.9 Milliarden Datensätze illegal kopiert, dies entspricht einer Steigerung um 164 Prozent in sechs Monaten.

Bild: Gemalto

Armin Simon, Regional Director DACH bei Gemalto

Da in der Untersuchung nur öffentlich bekannte Datenlecks untersucht werden, dürfte die Dunkelziffer nochmals höher liegen. Viele Organisationen besitzen keine ausreichenden Mechanismen zum Schutz ihrer Informationen. In 59 Prozent aller gemeldeten Incidents ist die Anzahl der betroffenen Datensätze nicht bekannt. Dies deutet darauf hin, dass die Angreifer nach der Überwindung des Netzwerks- und Perimeterschutzes ungesehen auf Informationen zugreifen konnten. Die SEC ist also keine Ausnahme, IT-Abteilungen stehen nach Datenverlusten vor einem Scherbenhaufen: Obwohl Angriffe fast schon zum Alltag gehören, sind sie nicht in der Lage Datenschutz zu gewährleisten.

Überraschend ist die große Anzahl an versehentlichen Verlusten, denn 86 Prozent aller entwendeten Datensätze wurden infolge von Fahrlässigkeit verloren. Zwar sind Außentäter immer noch die Hauptursache für Sicherheitseinbrüche, allerdings kommen immer wieder große Mengen an Daten durch mangelnde Sorgfalt abhanden.

IT-Verantwortliche sollten nicht in Panik verfallen, trotzdem müssen Sicherheitsstrategien umgehend angepasst werden. Deshalb ist der Einsatz von starker Verschlüsselung wichtig, trotzdem wird nicht ausreichend auf entsprechende Mechanismen zurückgegriffen. Nur fünf Prozent aller gehackten Datensätze in Deutschland waren entsprechend geschützt, obwohl unter IT-Entscheidern ein breiter Konsens über die Wirksamkeit von Kryptografie herrscht.

Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das BSI sprechen sich für ihren Einsatz aus. Verschlüsselte Daten sind ohne den Schlüssel erst mal nutzlos und geschützt, auch wenn sie sich außerhalb der Reichweite der Administratoren befinden oder umliegende Systeme Opfer einer Cyberattacke wurden.

Die Zahlen sind erdrückend und dies geht zulasten der Wirtschaft und der Bürger, deren persönliche Daten entwendet wurden – ohne das sie darüber informiert wurden. Ab März 2018 wird die DSGVO anwendbar und wird dies grundlegend ändern. Beispielsweise gibt es eine Meldepflicht für Sicherheitseinbrüche, falls persönliche Daten entwendet wurden. Ansonsten drohen hohe Bußgelder.

Der Breach Level Index befasst sich seit 2013 mit Incidents und erscheint mittlerweile halbjährlich. Es ist wahrscheinlich, dass sich aufgrund der neuen Verpflichtungen die Datengrundlage für die Analyse ab 2018 deutlich erweitern. Unternehmen sollten bis dahin den Empfehlungen folgen und persönliche Informationen durch starke Verschlüsselung schützen.

Fazit

Vorfälle wie beim SEC sind leider alltäglich geworden und genau deshalb sollte ein Ruck durch IT-Abteilungen von Unternehmen gehen. Natürlich werden Daten immer wieder durch Cyberkriminelle gestohlen, aber genau deshalb sollte man sich sorgfältig auf den Fall der Fälle vorbereiten. Leider zeigen aktuelle Analysen, dass genau das Gegenteil der Fall ist.

Trotz der nahenden Anwendbarkeit der DSGVO steigt die Anzahl der Incidents. Vor allem versehentliche Datenverluste nehmen stark zu und immer häufiger können die betroffenen Unternehmen keine genauen Opferzahlen nennen, obwohl persönliche Informationen entwendet wurden.

Starke Verschlüsselung durch Key-Management und der Einsatz von HSMs sind eine gute Möglichkeit, wichtige Grundlagen für mehr Datenschutz zu schaffen. Sie erlauben eine praktische Umsetzung von Behörden- und die EU-Empfehlungen. Zudem eignet sich eine durchgängige Verschlüsselung als nachhaltige Sicherheitsstrategie.

[1] Spiegel online 2017: „Hacker klauen Daten von SEC“

[2] Gemalto 2017: „Breach Level Index H1 2017“

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt

[datensicherheit.de, 11.11.2014] Als der berühmt-berüchtigte Stuxnet-Wurm vor mehr als vier Jahren entdeckt wurde, galt das komplexe Schadprogramm als erste Cyberwaffe der Welt. Seitdem ranken sich viele Geschichten und offene Fragen um den Schädling. Nach einer Analyse von über zweitausend Stuxnet-Dateien können die Mitarbeiter von Kaspersky Lab nun die ersten fünf Opfer von Stuxnet identifizieren und neue Erkenntnisse zum „Patient Zero“ sowie zur mutmaßlichen Infizierung präsentieren [1].

Von Beginn war klar, dass es sich bei der gesamten Attacke um eine zielgerichtete Operation handelte. Der Code des Stuxnet-Wurms erschien professionell programmiert und exklusiv zu sein. Zudem gab es Hinweise darauf, dass sehr teure Zero-Day-Schwachstellen zum Einsatz kamen. Allerdings war bis heute unbekannt, welche Art von Organisationen zuerst infiziert wurde und wie es der Schädling bis zu den Uran anreichernden Zentrifugen innerhalb streng geheimer Einrichtungen schaffen konnte.

Nach Erkenntnissen von Kaspersky Lab waren alle fünf Organisationen, die zu Beginn der Stuxnet-Kampagne attackiert wurden – also zwischen den Jahren 2009 und 2010 –, im ICS-Bereich (Industrial Control Systems) im Iran tätig, entweder um industrielle Steuerungssysteme (ICS) zu entwickeln oder um hierfür Materialien beziehungsweise Teile zu liefern. Die fünfte von Stuxnet infizierte Organisation ist besonders interessant, weil diese neben anderen Produkten für die industrielle Automation auch Uran anreichernde Zentrifugen herstellt. Das ist genau die Art von Anlagenteil, welche vermutlich das Hauptziel von Stuxnet war.

Offenbar gingen die Angreifer davon aus, dass diese Organisationen im Datenaustausch mit ihren Kunden stehen und somit der Schädling über die Zulieferer in die anvisierten Zieleobjekte eingeschleust werden kann. Ein offensichtlich erfolgreicher Plan.

„Wenn man sich die Geschäftsfelder der ersten Opferorganisationen von Stuxnet genauer ansieht, erkennt man, wie die gesamte Operation geplant wurde“, so Alexander Gostev, Chief Security Expert bei Kaspersky Lab. „Es handelt sich um ein klassisches Beispiel eines Angriffs auf eine Lieferkette, bei dem das Schadprogramm indirekt in die anvisierte Organisation, nämlich über das Partnernetzwerk eingeschleust wurde.“

Bild: Kaspersky Lab

Stuxnet-Wurm: Inforgraphik

Allererste Stuxnet-Attacke vermutlich nicht über USB-Stick

Darüber hinaus hat sich nach Erkenntnissen von Kaspersky Lab der Stuxnet-Wurm nicht ausschließlich über infizierte USB-Sticks verbreitet, die an PCs angeschlossen wurden. Diese bisher vermutete Theorie erklärte, wie Malware in eine Einrichtung eingeschleust werden konnte, die keine direkte Verbindung mit dem Internet hatte. Allerdings zeigt eine nähere Untersuchung der allerersten Attacke von Stuxnet, dass das erste Sample (Stuxnet.a) nur wenige Stunden jung war, als es auf einem PC der angegriffenen Organisation landete. Nach diesem straffen Zeitrahmen ist es nur schwer vorstellbar, dass ein Angreifer den Schadcode erstellt, ihn auf einen USB-Stick gepackt und innerhalb weniger Stunden in der anvisierten Organisation eingeschleust hat. In diesem Fall ist eine Infizierung über andere Techniken als die via USB wahrscheinlich.

Weitere Informationen zum Thema:

[1] https://securelist.com/analysis/publications/67483/stuxnet-zero-victims/

datensicherheit.de, 11.06.2012
Entwickler von Stuxnet und Flame sollen in Verbindung stehen

datensicherheit.de, 27.11.2011
Stuxnet-Nachfolger Duqu attackiert Objekte im Iran und Sudan