[datensicherheit.de, 10.06.2021] Yubico, Anbieter hardwarebasierter Authentifizierungslösungen, veröffentlicht heute die Ergebnisse einer umfassenden Studie zur Anpassungsfähigkeit an die IT-Sicherheitserfordernisse in einer Zeit des weltweiten hybriden Arbeitens. Untersucht wurde, wie gut die Unternehmenssicherheit im Homeoffice beachtet wird und wie es um entsprechende Schulungen und Support für die Mitarbeiter bestellt ist. Für die Studie wurden 3.006 Mitarbeiter, Firmeninhaber und C-Level-Führungskräfte in großen Unternehmen (250+ Mitarbeiter) in Großbritannien, Frankreich und Deutschland befragt, die zu irgendeinem Zeitpunkt von zu Hause aus gearbeitet und dabei firmeneigene Geräte verwendet hatten.

Die Ergebnisse der Studie bieten Einblick in die Nutzung dienstlicher Geräte für private Zwecke, Passwort-Sharing, das Merken dienstlicher Passwörter, den Einsatz von Zwei-Faktor-Authentifizierung (2FA) und andere Sicherheitsaspekte. Zugleich demonstrieren die Resultate, wie die Unternehmen auf die aktuelle Situation reagieren.

Stina Ehrensvärd, CEO und Gründerin von Yubico, © Yubico

Die Daten machen deutlich, dass die Nutzer seit Beginn der Pandemie nur mangelhafte Sicherheitsvorkehrungen auf dienstlichen Geräten getroffen haben. Dabei erwiesen sich die Firmeninhaber und C-Level-Führungskräfte als die größten Missetäter. Gleichzeitig versäumen es die Unternehmen, die Best Practices für Cybersicherheit zu implementieren, die für Umgebungen außerhalb von Bürostandorten erforderlich sind. Weniger als ein Viertel der Befragten geben an, seit Beginn der Pandemie überhaupt 2FA implementiert zu haben. Und selbst wer es getan hat, verwendet häufig weniger sichere und weniger benutzerfreundliche Formen von 2FA wie mobile Authentifizierungs-Apps und Einmal-Passcodes per SMS.

„Die Studie zeigt, dass viele Unternehmen noch dabei sind, sich in diesen neuen, meist virtuellen Arbeitsumgebungen zurechtzufinden. Während diese Flexibilität neue Chancen für Unternehmen und Mitarbeiter bieten kann, sollten sie die damit einhergehenden wachsenden Cybersecurity-Risiken nicht ignorieren“, sagt Stina Ehrensvärd, CEO und Gründerin von Yubico. „Bedrohungsakteure finden immer neue und innovative Wege, um die Unternehmensabwehr zu durchbrechen, was moderne Sicherheitslösungen wie den YubiKey erfordert. Eine Studie zur Nutzerbereitstellung von Google unterstreicht die bemerkenswerten Vorteile und den ROI hardwarebasierter Authentifizierung mit dem YubiKey sowie die Standardisierungsarbeit, die wir vorangetrieben haben.“

Die wichtigsten Ergebnisse der Umfrage:

• 54 % aller Mitarbeiter verwenden die gleichen Passwörter für mehrere dienstliche Konten. 22 % der Befragten schreiben Passwörter immer noch auf, um den Überblick zu behalten – darunter 41 % der Firmeninhaber und 32 % der C-Level-Führungskräfte.
• 42 % der Befragten räumen ein, dass sie bei der Arbeit im Homeoffice täglich dienstliche Geräte für private Zwecke nutzen. Von diesen verwenden 29 % die Geräte für Bankgeschäfte und Einkäufe, und 7 % geben zu, auf ihnen Angebote illegaler Streaming-Dienste anzusehen.
  • Zu den größten Missetätern gehören dabei die Befragten in leitenden Funktionen: 44 % der Firmeninhaber und 39 % der C-Level-Führungskräfte geben zu, dass sie seit Beginn ihrer Tätigkeit im Homeoffice täglich private Aufgaben auf ihren dienstlichen Geräten erledigen. Fast ein Viertel (23 %) der Firmeninhaber und 15 % der C-Level-Führungskräfte nutzen die Geräte sogar für illegales Streaming/Fernsehen.
  • Ein Jahr nach dem Beginn der Pandemie und der Einführung von Homeoffice-Richtlinien haben 37 % aller Mitarbeiter aus allen Branchen noch immer kein Cybersecurity-Training für die Telearbeit erhalten. Das macht die Unternehmen stark anfällig für die sich wandelnden Risiken.
  • 43 % aller Mitarbeiter meinen, die Cybersicherheit sei nicht Sache der Belegschaft, und fast zwei Drittel (60 %) sind der Ansicht, dafür seien die IT-Teams zuständig. Die vorliegenden Daten lassen jedoch darauf schließen, dass die IT-Abteilungen die Erwartungen der Mitarbeiter nicht erfüllen. Nur 37 % der Mitarbeiter haben das Gefühl, von der IT-Abteilung jetzt besser unterstützt zu werden, als es bei der Arbeit im Büro der Fall war, wo sich das IT-Sicherheitsteam in unmittelbarer Nähe befand.
  • Gleichzeitig fehlt es auch an einer unterstützenden Top-Down-Sicherheitskultur. Das führt dazu, dass die Mitarbeiter bei IT- oder Sicherheitsproblemen mehr Angst oder Stress empfinden. 51 % der Befragten versuchen oft, ihre IT-Probleme selbst zu lösen, statt sich an die IT-Abteilung zu wenden. Und 40 % würden die IT-Abteilung nicht sofort informieren, wenn sie einen verdächtigen Link angeklickt haben.
  • Obwohl die 2FA-Technologie die beste Verteidigungsmaßnahme gegen das Kapern von Konten ist, geben nur 22 % der Befragten an, dass ihr Unternehmen seit Beginn der Pandemie Zwei-Faktor-Authentifizierung eingeführt hat.
  • Selbst von den Unternehmen, die 2FA implementiert haben, geben nur etwas mehr als ein Viertel (27 %) FIDO-konforme Hardware-Sicherheitsschlüssel aus, die die fortschrittlichste Form von Phishing-Schutz bieten. Die anderen setzen auf anfälligere und veraltete Lösungen wie mobile Authentifizierungs-Apps (54 %) und Einmal-Passcodes per SMS (47 %).

Deutschland

In Deutschland hat ein Teil der Mitarbeiter im Zuge der Pandemie einen strengeren Sicherheitsansatz verfolgt. Während die tägliche private Nutzung dienstlicher Geräte insgesamt zunahm, sank sie bei denjenigen, die bereits vor der Pandemie von zu Hause aus gearbeitet hatten, von 42 % auf 34 %. Das lässt darauf schließen, dass sich diese Gruppe des erhöhten Risikos stärker bewusst ist.

Genau wie bei den Gesamtantworten zeigt sich auch bei den Antworten aus Deutschland, dass es die Firmeninhaber an Sicherheit fehlen lassen: Ein Viertel der deutschen Firmeninhaber räumt ein, berufliche Geräte für illegales Streaming zu nutzen.

Nur 35 % der Befragten geben an, dass sie von ihrem Arbeitgeber ein Cybersecurity-Training erhalten haben. Bei der Hälfte aller C-Level-Führungskräfte war dies der Fall, jedoch nur bei einem Viertel der Mitarbeiter auf der Einstiegsebene.

Auch das Patchen ist ein Flickwerk: Wichtige Updates auf Arbeitsgeräten werden stark vernachlässigt. Im Durchschnitt halten nur 11 % der Befragten ihre dienstlichen Geräte auf dem neuesten Stand, neben weiteren 27 % der Heimarbeiter.

Außerdem sind sich die Befragten aus Deutschland übermäßig sicher, dass sie einen Phishing-Versuch erkennen würden: 71 % aller Mitarbeiter erklärten, sich dessen sehr sicher oder eher sicher zu sein.

Die wichtigsten Gewohnheiten der Mitarbeiter:

• Tägliche private Nutzung dienstlicher Geräte: vor Covid 21 %; seit Covid 30 %
• Die wichtigsten privaten Aktivitäten auf dienstlichen Geräten: Lesen von Artikeln 48 %; soziale Medien 40 %; Verwaltung 34 %; Bankgeschäfte 31 %; Shopping 31 %; Spielen 19 %
• Tägliche berufliche Nutzung privater Geräte: vor Covid 19 %; seit Covid 28 %
• Erlauben Dritten die Nutzung eines Geräts: Firmeninhaber 90 %; C-Level 65 %
• Fühlen sich bei der Arbeit im Homeoffice anfälliger für Cyberbedrohungen: 36 %
• Fühlen sich von der IT-Abteilung nicht unterstützt: 32 %
• Cybersecurity-Training für Telearbeit abgeschlossen: 35 % sagen ja
• Sofortige Reaktion auf das Anklicken eines verdächtigen Links während der Arbeit: 59 % informieren schnellstmöglich die IT-Abteilung; 18 % „fragen Google“
• Merken beruflicher Passwörter: 23 % schreiben sie auf; 21 % verwenden einen Passwort-Manager; 12 % speichern sie als Dokument auf dem Gerät; 8 % verwenden das gleiche Passwort für mehrere Konten
• Würden nach einer Sicherheitsverletzung wieder dasselbe Login für ein berufliches Konto verwenden: 21 %
  Würden niemals das Passwort für dienstliche E-Mails weitergeben: 69 %.
• Sind sich sicher, Phishing-Versuche zu erkennen: 71 %
• Fänden es weniger schlimm, wenn ihnen berufliche Anmeldedaten gestohlen würden als persönliche Daten: 63%

Weitere Informationen zum Thema:

datensicherheit.de, 20.03.2021
Menschenrecht freie Meinungsäußerung: Yubico spendet 25.000 YubiKeys

Yubico
Cybersecurity in the Work From Anywhere Era

Ein Kommentar von Julian Totzek-Hallhuber, Solution Architect bei Veracode

[datensicherheit.de, 05.05.2020] Cyber-Kriminelle können ein Passwort mit 7 Zeichen heutzutage in nur 0,29 Millisekunden knacken. Deshalb ist es höchste Zeit das Konzept ‚Passwort‘ zu überdenken und sich bei Anwendungen auf die Authentifizierungsprozesse zu fokussieren. Die meisten Unternehmen kennen die Herausforderungen rund um Passwortsicherheit, aber sind sich nicht darüber im Klaren, dass Sicherheit auch im Software-Entwicklungs-Prozess eine zentrale Rolle spielt. So ist einer der wichtigsten Aspekte von Web-Applikationen der Authentifizierungsmechanismus, der weit über ein Passwort hinausgeht um die Anwendungen abzusichern und gleichzeitig auch bestimmte Nutzerrechte definiert.

Simples Passwort nicht ausreichend

Ein simples, statisches Passwort reicht in unserem datengetriebenen Jahrzehnt einfach nicht mehr aus. Die meisten Unternehmen haben bereits ein Bewusstsein dafür entwickelt, wie wichtig Software-Sicherheit für Datenschutz ist. Aber leider übernehmen Banken und andere Industrien noch nicht genug Eigenverantwortung für die Authentifizierungsprozesse der eigenen Anwendungen, um beispielsweise betrügerische Kontozugriffe aufdecken zu können. Der diesjährige Welt-Passwort-Tag am 07. Mai 2020 ist also die perfekte Gelegenheit Entwicklern die nötigen Trainings und Sicherheits-Tools an die Hand zu geben. So können Entwickler beispielsweise durch Best Practices sicheres Coden lernen. Hacker werden jenseits der Passwörter weitere Sicherheitslücken im Anwendungs-Layer suchen und durch das richtige Training können Entwickler Nutzer vor entsprechenden Datenverlusten bestmöglich schützen.

Bild: Veracode

Julian Totzek-Hallhuber, Solution Architect bei Veracode

Dennoch sollten Nutzer auch selbst Verantwortung übernehmen und bestimmte Sicherheitsmaßnahmen in Bezug auf Passwörter und Authentifizierung befolgen:

1. Zwei-Faktor-Authentifizierung
   Dass die Nutzung einer Zwei-Faktor-Authentifizierung (2FA) die Sicherheit von Accounts und Konten stark verbessert ist heute kein Geheimnis mehr. Nichtsdestotrotz versäumen viele Nutzer, insofern sie nicht vorgeschrieben ist, eine 2FA einzusetzen – oftmals womöglich aus Bequemlichkeit. Dabei gibt es viele simple und schnelle Möglichkeiten eine 2FA zu benutzen. Am verbreiteten sind einmalig-generierte Codes, die nach der Eingabe von Nutzername und Passwort per SMS an eine hinterlegte Mobilnummer geschickt werden. Erst nach erfolgreicher Eingabe des Codes kann sich der Nutzer einloggen. Selbstverständlich garantiert eine 2FA auch keine absolute Sicherheit. Um sich noch mehr schützen, können Nutzer einen Schritt weitergehen und eine Multi-Faktor-Authentifizierung einsetzen, bei der eine Kombination vielzähliger Identifizierungsmerkmale eingesetzt wird.
2. Komplexe Passwörter einsetzen
   Hier gilt natürlich: je länger und komplexer das Passwort, desto besser. So empfiehlt sich der Einsatz von Ziffern, Sonderzeichen und Groß- und Kleinbuchstaben. Noch besser ist es ganze Sätze in bestimmte Phrasen umzuwandeln und damit zufällige Wortfolgen zu generieren. Besonders ratsam ist auch sein Passwort selbstständig in Abschnitten von mindestens 60-90 Tagen zu ändern. Für Personen, die mit besonders sensiblen Daten und Informationen arbeiten, empfiehlt es sich einen Passwort-Manager einzusetzen.
3. Recycling ist gut – aber nicht bei Passwörtern
   So verlockend es auch sein mag – es ist stark davon abzuraten das gleiche Passwort für mehrere Konten und Accounts zu nutzen. Sollten Hacker das Passwort geknackt haben, so können sie sich danach kinderleicht Zugang zu allen Accounts und Daten verschaffen. Auch eine Abwandlung des gleichen Passworts ist für Cyber-Kriminelle relativ leicht zu knacken und im Falle eines Lecks können Hacker dadurch prompt auf alle Daten zugreifen. Deshalb sollten Nutzer Passwörter niemals recyceln, sondern für jedes Konto ein eigenes Passwort einsetzen.

Weitere Informationen zum Thema:

Veracode
Use Veracode to secure the applications you build, buy & manage

datensicherheit.de, 18.12.2019
HPI veröffentlicht beliebteste deutsche Passwörter 2019

datensicherheit.de, 28.02.2019
Anwendungssicherheit: Finanzsektor auf dem vorletzten Platz

datensicherheit.de, 16.12.2018
IT-Sicherheit: Die Top Ten der deutschen Passwörter

[datensicherheit.de, 26.03.2020] Wie schon länger bekannt ist, nutzen Kriminelle die aktuelle Krise aus, um Angriffe auf Personen aber auch Unternehmen zu starten. Häufig gebrauchen sie Social-Engineering-Methoden, im Zuge derer sie sich etwa als Kollegen oder Vorgesetzte ausgeben, um ihre Opfer zur Herausgabe persönlicher oder geschäftskritischer Daten und teilweise gar Geldüberweisungen zu veranlassen.

Glaubhaft aussehende E-Mails

Im Zuge aktueller Eindämmungsmaßnahmen der Weltgesundheitsorganisation (WHO) nutzen Cyber-Kriminelle die Gelegenheit, um an wertvolle Daten heranzukommen. Wie Untersuchungen des E-Mail-Security- und Cyber-Resilience-Anbieters Mimecast ergeben haben, lassen Hacker Unternehmen genauso wie Privatnutzern glaubhaft aussehende Mails der WHO zukommen, in denen ein Link zu einem angeblichen Leitfaden für die Corona-Eindämmung enthalten ist. Absender, Sprache und Design der Mail sind bis ins Detail glaubhaft gestaltet, sodass es selbst Security-Profis schwerfallen dürfte, den Betrug auf den ersten Blick zu erkennen.

Geht der Empfänger auf die E-Mail ein und klickt auf den Link, wird er zu einer im gleichen Maße täuschend echt aussehenden Website der WHO weitergeleitet, auf der er aufgefordert wird, seine Zugangsdaten einzugeben bzw. zu bestätigen. Tut er dies, hat der Betrüger sein Ziel erreicht und ist an wertvolle Informationen gelangt, die er für weitere Aktionen wie beispielsweise Account-Übernahmen nutzen kann.

Ungewöhnlich für solche Phishing-Kampagnen ist, dass neben einer E-Mail-Adresse und einem Passwort zusätzlich nach einer Telefonnummer gefragt wird. Gibt der Empfänger seine Telefonnummer preis, hat er neben der Übernahme von Konten und weiteren Spam-Mails auch unerwünschte SMS und Scam-Anrufe zu erwarten.

Carl Wearn, Head of E-Crime bei Mimecast, hierzu:

„Jeder muss sich im Klaren darüber sein, dass Cyber-Kriminellen in der aktuellen Krisenzeit jedes Mittel recht und keine Methode zu schmutzig ist, um ihre Ziele zu erreichen. Hierbei bedienen sie sich der Verunsicherung und der Ängste der Menschen im gleichen Maße wie dem Durst nach Informationen zur Krise. Es ist deshalb für alle unerlässlich, bei der Informationssuche höchste Vorsicht und Besonnenheit walten zu lassen. Bitte suchen Sie nur auf offiziellen Nachrichtenportalen und Webseiten nach Informationen und gehen Sie nicht auf Mails ein, die Sie darum bitten, Ihre Zugangsdaten zu bestätigen. Sämtliche Gesundheitsorganisationen, seien sie global oder lokal, würden Ihnen wichtige Ratschläge und Infos zukommen lassen, ohne Sie nach persönlichen Daten zu fragen.“

Darüber hinaus sollte jeder User die gebotene Vorsicht an den Tag legen, wenn er Nachrichten von unbekannten Absendern erhält. Dazu gehört zum Beispiel, keine Anhänge oder Links zu öffnen, wenn nicht hundertprozentig sichergestellt ist, dass diese unbedenklich sind. Komprimierte Anhänge und Dokumente mit Makros sind hier genauso verdächtig wie weiterführende Links zu unbekannten Webseiten. Zusätzlichen Schutz vor Identitäts- und Datendiebstahl bieten Zwei-Faktor-Authentifizierungen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 23.03.2020
Home-Office: TeleTrusT veröffentlicht Liste kostenfreier IT-Sicherheitslösungen

datensicherheit.de, 20.03.2020
digitronic stellt Gratis-Lizenzen für die sichere Arbeit im Home-Office bereit

datensicherheit.de, 20.03.2020
COVID-19: Kriminelle Verkäufer gewähren Rabatte auf Malware

datensicherheit.de, 18.03.2020
SANS Institute: Kostenloses „Securely Working from Home“ Deployment Kit veröffentlicht

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

[datensicherheit.de, 21.08.2019] Die Spieleplattform Steam wird derzeit von Kriminellen als lukratives Jagdgebiet für ahnungslose Anwender genutzt. Laut BleepingComputer hacken sich Kriminelle über die Chat-Funktion der Steam-Plattform in Konten ein. Im Verlauf des Chats teilen sie dem Opfer einen Link mit, der es zu einer betrügerischen Webseite führt. Auf dieser Seite kann der Spieler angeblich an einem Gewinnspiel teilnehmen, um kostenlos ein Steam-Spiel zu gewinnen. Er muss sich dafür aber zuerst in seinem Steam-Konto anmelden, um den vollständigen Gewinn-Code zu erhalten – im Chat ist nämlich nur ein Teil davon sichtbar.

Foto: KnowBe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Angriff über infizierte Seite

Nach der Anmeldung im Steam-Konto über die infizierte Seite erhalten die Angreifer Zugriff darauf und übernehmen die Kontrolle. Da der ahnungslose Anwender nichts davon merkt, kopiert er nun zur Zwei-Faktor-Authentifizierung von Steam den Code, der an seine E-Mail-Adresse ging. Dieser landet nun natürlich ebenfalls bei den Betrügern. Auf diese Weise knacken die Angreifer den sehr sicheren Steam-Login und das Konto des Opfers wird nunmehr zum Angriff missbraucht, weil von ihm ausgehend nun die Freundesliste attackiert wird.

91 Prozent der erfolgreichen Datenschutzverletzungen begannen mit einem Spear-Phishing-Angriff

An diesem Vorfall sieht man ein gutes Beispiel für einen Spear-Phishing-Angriff. Eine Spear-Phishing-E-Mail ist dabei in der Regel nur der Anfang, da die Verbrecher versuchen, Zugang zum größeren Netzwerk hinter dem einzelnen Benutzer zu erhalten. Es gilt zu beachten, dass 91 Prozent der erfolgreichen Datenschutzverletzungen mit einem Spear-Phishing-Angriff begannen. Das verdeutlicht, dass ungeschulte Anwender tatsächlich das schwache Glied in der IT-Sicherheit sind. Es gibt keine technische Möglichkeit, gegen solche Angriffe derart vorzugehen, dass sich die Sicherheit auf der Benutzerseite erhöht. Allerdings ist das Security Awareness Training einer der effektivsten Wege, um solche Angriffe doch abzuwehren, denn geschulte Anwender können als die letzte Verteidigungslinie betrachtet werden. Durch kontinuierliches New School Security Awareness-Training erhalten diese beispielsweise simulierte Phishing-E-Mails im Rahmen eines simulierten Phishing-Tests. Auf diese Weise lernen Mitarbeiter, wie sie Anomalien in E-Mails und Nachrichten leicht erkennen und Betrug vermeiden können.

Weitere Informationen zum Thema:

datensicherheit.de, 26.06.2019
Schwachstelle in Electronic Arts’ Origin Gaming Client entdeckt

datensicherheit.de, 28.01.2019
Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar

datensicherheit.de, 02.06.2016
Erfolgreiches Audit dank Zwei-Faktor Authentifizierung

[datensicherheit.de, 26.06.2019] Check Point Research, der Threat Intelligence Arm von Check Point® Software Technologies Ltd. und CyberInt identifizierten eine Schwachstelle im von Electronic Arts (EA) entwickelten Origin Gaming Client. Einmal ausgenutzt, hätten die Schwachstellen zu einer Übernahme eines Spielerkontos und zum Identitätsdiebstahl geführt. Die Schwachstelle ist bereits gepatcht.

Bedeutende Spieletitel im Portfolio

EA hat Spiele wie FIFA, Madden NFL, NBA Live, UFC, The Sims, Battlefield, Command and Conquer und Medal of Honor im Portfolio. Die Spiele nutzen die Origin Client-Gaming-Plattform, die es den Benutzern ermöglicht, EAs Spiele über PC und Handy zu kaufen und zu spielen. Origin enthält soziale Funktionen wie Profilverwaltung, Networking mit Freunden über den Chat und die direkte Teilnahme am Spiel. Es beinhaltet auch die Integration von Communities mit Websites wie Facebook, Xbox Live, PlayStation Network und Nintendo Network.

Schwachstelle wurde gegenüber dem Spielehersteller offengelegt

Die Sicherheitsforscher von CyberInt und Check Point haben die Schwachstellen gegenüber EA gemäß den koordinierten Praktiken der Offenlegung von Schwachstellen verantwortungsbewusst offengelegt. EA sollte die Schwachstellen beheben und ein Update durchführen, bevor die Cyberkriminellen sie ausnutzen konnten. Die beiden Unternehmen bündelten ihre Expertise, um EA bei der Entwicklung von Lösungen zum weiteren Schutz der Gaming-Community zu unterstützen. Die Schwachstelle, die EA geschlossen hat, hätte es einem Bedrohungsakteur ermöglichen können, die Sitzung eines Spielers zu überfallen, was zu einem Kompromiss und einer Übernahme des Kontos führte.

„Der Schutz unserer Spieler ist unsere oberste Priorität“, sagt Adrian Stone, Senior Director, Game and Platform Security bei Electronic Arts. „Als Ergebnis des Berichts von CyberInt und Check Point haben wir Maßnahmen eingeleitet, um die gemeldete Schwachstelle zu beheben.“

Die in der EA-Plattform gefundene Schwachstelle erforderte nicht, dass der Benutzer irgendwelche Zugangsdaten herausgibt. Stattdessen nutzte es die Vorteile der aufgegebenen Subdomains und die Verwendung von Authentifizierungstoken durch EA Games in Verbindung mit der im Benutzeranmeldeprozess integrierten Authentifizierung per Single Sign-On (SSO) und des TRUST-Mechanismus.

Bild: Check Point

Oded Vanunu, Head of Products Vulnerability Research bei Check Point

„EAs Origin-Plattform ist sehr beliebt; und wenn sie nicht gepatcht wäre, hätte diese Schwachstelle Angreifern ermöglicht, Millionen von Benutzerkonten zu entführen und auszunutzen“, erklärt Oded Vanunu, Head of Products Vulnerability Research bei Check Point. „Zusammen mit den Schwachstellen, die wir kürzlich in der Plattform von Epic Games bwz. dem Fortnite-Spiel gefunden haben, zeigt dies, wie anfällig Online- und Cloud-Anwendungen für Angriffe und Datenschutzverletzungen sind. Diese Plattformen werden zunehmend angegriffen, da sie eine große Menge an sensiblen Kundendaten und Kreditkarteninformationen enthalten. Außerdem besteht die Möglichkeit mit den hinterlegten Daten weitere Einkäufe bei EA Games zu tätigen.“

„CyberInt bietet eine kontinuierliche, automatisierte Früherkennung aus der Sicht des Angreifers, damit Unternehmen ihre Kunden und ihr Geschäft proaktiv schützen können“, sagt Itay Yanovski, Mitbegründer und SVP Strategy bei CyberInt Technologies. „Gaming-Waren werden auf offiziellen und inoffiziellen Marktplätzen im Darknet gehandelt, was Angriffe auf Gaming-Studios sehr lukrativ macht. Wir glauben, dass die Cybersicherheitsindustrie die Verantwortung für den Schutz der Nutzer trägt, deshalb stellen wir sicher, dass die Industrie mit bedrohungszentrierter Sicherheitsforschung über neu entdeckte Cybercrime-Kampagnen, wie beispielsweise die jüngste TA505, informiert wird, um sicherzustellen, dass die effektivsten Erkennungs- und Minderungsmaßnahmen ergriffen werden“.

Empfehlung: Aktivierung der Zwei-Faktor-Authentifizierung

Check Point und CyberInt raten den Nutzern dringend, eine Zwei-Faktor-Authentifizierung zu aktivieren und beim Herunterladen oder Kauf von Spielen nur die offizielle Website zu nutzen. Eltern sollten bei ihren Kindern ein Bewusstsein für die Bedrohung durch Online-Betrug schaffen. Denn Cyberkriminelle werden alles tun, um Zugang zu persönlichen Daten und Kreditkarteninformationen zu erhalten, die im Online-Konto eines Spielers gespeichert werden können. Check Point und CyberInt weisen die Spieler darauf hin, immer wachsam zu sein, wenn sie Nachrichten mit Links von und zu unbekannten Absendern und Webseiten in ihren Posteingängen finden.

Weitere Informationen zum Thema:

Check Point Research
Komplette technische Analyse der Schwachstelle

CyberInt auf YouTube, 25.06.2019

CyberInt Researchers Help EA Secure its 300 Million Gamers

datensicherheit.de, 28.01.2019
Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung

datensicherheit.de, 02.06.2016
Erfolgreiches Audit dank Zwei-Faktor Authentifizierung

[datensicherheit.de, 21.02.2019] Laut einer Meldung von ESET hält der Trend seit Jahren an, dass harmlose Webseiten von Sportvereinen, kleinen Unternehmen oder Tageszeitungen „urplötzlich zu Virenschleudern“ werden. Das Unternehmen hat nach eigenen Angaben einen Ratgeber erstellt, was Betreiber von Webseiten und Anwender tun können, um sich und andere zu schützen.

Die schmutzige Seite scheinbar sauberer Webpräsenzen

„Gestern waren diese Webseiten noch sauber und heute infizieren sie den Rechner, während sie gleichzeitig die gewünschten Inhalte bereitzustellen scheinen, die man gesucht hat“, umreißt Juraj Malcho, „CTO“ bei ESET, die Gefahr:
Schon ein Klick genüge, um sich beim Besuch einer scheinbar harmlosen Internetseite zu infizieren und unbemerkt Schadsoftware auf den eigenen Rechner zu laden. Das Perfide: „Viele dieser Webseiten waren kurz zuvor noch sicher und galten als ungefährlich“, warnt Malcho.

Attacken über gezielt manipulierte Webseiten

Um Schadsoftware auf die Computer ihrer Opfer zu schleusen, wendeten Cyber-Kriminelle heute immer geschicktere Methoden an. Für die Anwender werde es zunehmend schwieriger, den im Internet aufgestellten Fallen zu entgehen.
Denn viele der Attacken liefen über gezielt manipulierte Webseiten. Die Anwender bemerkten davon in der Regel nichts und wüssten nicht, „dass die zuvor noch sichere Webseite ,umgedreht‘ wurde und ihren Rechner längst mit gefährlicher Schadsoftware verseucht hat“.

Betreiber als unfreiwillige Komplizen

Dabei spiele es den Kriminellen in die Hände, dass manche Webseiten-Bbetreiber ihre Internetauftritte oft monate- oder sogar jahrelang nicht aktualisierten und dadurch versäumten, wichtige Sicherheits-Updates aufzuspielen.
„Deshalb werden immer öfter Sportvereine und kleine Unternehmen mit eigener Seite zum Angriffsziel der Cyber-Kriminellen.“ Diese infiltrierten oder kaperten die Webseite und infizierten sie mit Schadcode. Der reine Besuch einer solchen Website könne bei nur unzureichend geschützten PCs dann bereits zu einer Infektion mit Schadcode führen.

Updates: Software auf dem aktuellen Stand halten

„Surfer können also nicht vorsichtig genug sein, um sich keine Schadsoftware einzufangen. Dabei bestehen gute Chancen, nicht in die Falle zu tappen.“ Elementar sei es, kein Betriebssystem-Update zu verpassen, betont Malcho. Das Gleiche gelte auch für die Updates wichtiger Programme, also etwa des benutzten „Office“-Pakets oder des Internetbrowsers. Kein User sollte außerdem darauf verzichten, eine Sicherheitslösung zu installieren, die manipulierte Seiten sofort beim Aufrufen erkennt.
Wer selbst eine Website pflegt, könne mit einigen Sicherheitsmaßnahmen dafür sorgen, dass deren Seiten nicht gekapert werden. „Die meisten Attacken auf Websites werden durch die so genannte ,Brute Force‘-Methode durchgeführt: Mit einer entsprechenden Software starten die Angreifer zahllose Login-Versuche, bei denen nach einem Muster von gebräuchlichen Logins und Passwörtern hin zu ungebräuchlichen Kombinationen durchgeprüft werden.“ Aus diesem Grund sei es hochgefährlich, als Login für das Backend der Site leicht zu erratene Begriffe wie den eigenen Namen, „Admin“ oder Ähnliches zu verwenden. Gleiches gelte für Passwörter: „123456“, Namen, Geburtsdaten oder Prominente erleichterten es Hackern ungemein, eine Webseite mittels „Brute Force“-Attacke zu kapern. Der Zugang zum Webseiten-Backend sollte deshalb durch ein sicheres, starkes Passwort erschwert werden, das regelmäßig ausgewechselt werden müsse. Malcho: „Hier empfiehlt sich der Einsatz eines Passwortmanagers, der hochsichere Eingabecodes erzeugt.“

Empfehlung: Login-Limiter und Zwei-Faktor-Authentifizierung

Darüber hinaus schütze die Verwendung von Login-Limitern Websites vor zu vielen, falschen Login-Versuchen. „Wenn dann ein Krimineller mit der ,Brute Force‘-Methode in die Website einbrechen will, wird er nach einer definierten Zahl nicht erfolgreicher Logins blockiert“, so Malcho.
Wer immer von derselben IP auf sein Web-Backend der Website zugreift, sollte zudem sogenanntes Whitelisting nutzen, d.h. alle IPs außer der eigenen zu blockieren, so dass Unbefugte nicht ins Backend gelangen können. Zusätzliche Sicherheit biete die Zwei-Faktor-Authentifizierung: „Bei jedem Login ins Backend der Website wird ein Code aufs Smartphone gesendet, mit dem man den Login-Vorgang abschließen muss.“ Eine hochwertige IT-Security-Lösung zähle ebenso zu den wichtigen Schutzmaßnahmen, unterstreicht Malcho.

Eigenverantwortung bei Anbietern und Nutzern gefordert

Für Internetnutzer gelte: „Wenn direkt beim Anklicken von Webseiten die Installation von Schadsoftware unterbunden wird, hat man im Vergleich zu unbedarften Opfern deutliche Vorteile.“ Neben der Verwendung einer entsprechend leistungsstarken Sicherheitslösung sei auch hier die Eigenverantwortung wichtig.
„Wer schwache Passwörter verwendet, Betriebssystem-Updates auslässt und sensible Daten nicht verschlüsselt, handelt grob fahrlässig“, betont ESET Security-Spezialist Thomas Uhlemann. „Ebenso, wie man selbst auf ein regelmäßiges Check-up beim Hausarzt nicht verzichten sollte, müssen auch PC, Smartphone und Co. gepflegt werden.“ Das gelte insbesondere auch für Webseiten-Betreiber, deren infizierte Internetauftritte sonst täglich Tausende Webnutzer schädigten.

Weitere Informationen zum Thema:

ESET DACH auf YouTube, 20.02.2019

Gefährliche Webseiten: Wenn ein Klick den Computer verseucht

datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert

Von unserem Gastautor Stu Sjouwerman, CEO bei KnowBe4

[datensicherheit.de, 28.01.2019] IoT-Geräte machen unser alltägliches Leben einfacher und komfortabler, zum Beispiel in der Medizintechnik, aber auch auf der Arbeit und zu Hause. Ohne angemessene Sicherheitsmechanismen kann ein IoT-Gerät jedoch leicht gehackt werden und Hacker erhalten möglicherweise Zugang zu mehr als nur dem Gerät selbst. Um sich das Ausmaß der Schäden bei Sicherheitsvorfällen mit IoT-Geräten vor Augen zu führen, eignet sich ein Blick auf den Fall von Daniel Kaye.

Befehl zum DDoS-Angriff von einem Mobiltelefon

Kaye verdient seinen Lebensunterhalt als Cyberkrimineller und wurde dadurch bekannt, dass er im Oktober 2015 einen massiven und verheerenden Angriff auf den größten Mobilfunk- und Internet-Anbieter in Liberia, Lonestar, durchgeführt hat. Der Angreifer hat von Zypern aus mit Hilfe seines Mobiltelefons den Befehl für einen DDOS-Angriff gegeben, der als Grundlage für den Angriff mehrere IoT-Geräte aus dem Botnetz Mirai nutzte. Mirai bestand aus einer großen Anzahl von Internet-Routern und Webcams, die von Firmen in China hergestellt werden. Diese gehackten Geräte werden typischerweise für Sicherheits- und Internetdienste in Privathaushalten und Unternehmen verwendet, so dass die Fremdnutzung der CPU-Leistung zumeist nicht weiter auffällt. Das Botnetz konnte das Netzwerk des liberianischen Telekommunikationsanbieters sofort lahmlegen, in der Folge konnten die Nutzer keine Mobilfunk-Services mehr nutzen. Zeitweise gab es sogar in ganz Liberia kein stabiles Mobilfunknetz.

Bild: KnowBe4

Stu Sjouweman, CEO von KnowBe4

Angriff auf die Deutsche Telekom

Im November 2016 führte Kaye dann einen ähnlichen Angriff auf die Deutsche Telekom durch. Obwohl der Angriff nicht ganz so erfolgreich war, waren bundesweit fast eine Million Telekom-Nutzer zeitweise ohne Internet. Nachdem er verhaftet worden war, sagte Kaye, dass er die Sicherheitslücke an den billigen Kameras und Routern ausgenutzt hatte, um seinen Angriff auf die Router ohne das Wissen der Eigentümer und der betroffenen Dienstleister durchzuführen.

In einem anderen Fall wurde die Überwachungskamera einer Familie, die zur Überwachung ihres Babys verwendet wurde, gehackt. Der Hacker erschreckte die Familie, indem er Ihnen sagte, dass er bereits im Kinderzimmer gewesen wäre und ihr Baby entführen wollte. In einem anderen Fall kompromittierte ein White Hat Hacker eine Überwachungskamera und sprach dabei mit dem Besitzer der Kamera. Natürlich warnte er ihn davor, wie unsicher das Gerät war.

In den Nachrichten wurde im letzten Jahr ein Sicherheitsvorfall publik, bei dem Casino-Daten durch ein smartes Gerät zur Regelung der Temperatur in einem Aquarium über eine Schwachstelle angriffen und kompromittiert wurde. Da viele kleinere IT-Abteilungen auf einfach zu implementierende und zu verwaltende Sicherheitskameras angewiesen sind, sind diese internetfähigen Geräte der perfekte Einstiegspunkt für externe Angreifer.

Verbraucher und Unternehmen sollten deshalb beim Anschluss dieser Geräte – sowohl zu Hause als auch im Büro – die folgenden Hinweise sorgfältig lesen und beachten:

• Einschränkung des externen Zugangs – In allen oben genannten Fällen waren die smarten Geräte frei über das Internet angreifbar, denn sie waren nicht abgesichert. Die intelligenten Geräte sollten mit dem Netzwerk verbunden werden und der Zugriff auf das Netzwerk über eine VPN-Verbindung abgesichert werden.
• Zwei-Faktor-Authentifizierung verwenden – Viele IoT-Geräte unterstützen eine Zwei-Faktor-Authentifizierung. Durch die Verwendung einer Mehrfaktor-Authentifizierung wird die Möglichkeit für erfolgreiche Hackerangriffe auf die Geräte limitiert. In allen beschriebenen Fällen hätte eine aktivierte Mehrfaktor-Authentifizierung die Angreifer daran gehindert, die Kontrolle über die Geräte zu erlangen.
• Unterschiedliche Passwörter verwenden – In einem der oben genannten Szenarien wurden die Informationen des Benutzers im Web kompromittiert, einschließlich des Passworts, das er auf mehreren Websites und seiner Kamera verwendet hat. Verbraucher sollten für jeden Standort, jedes Gerät, jede Anwendung usw. unterschiedliche Passwörter verwenden. Es gibt eine Vielzahl von webbasierten oder hardware-basierten Passwort-Speichern, die beim Schutz der Passwörter helfen.
• Die Wiederverwendung von Passwörtern ist keine Seltenheit – nach den Angaben des Herstellers Last Pass in der Studie „State of the Password 2018“ verwendet die Hälfte aller befragten Mitarbeiter Passwörter sowohl für Privat- als auch für Geschäftskonten. Diese Doppelverwendung stellt eine Gefahr für die Unternehmen dar. Benutzer müssen durch ein Security Awareness-Training auf folgende Maßnahmen geschult werden: die richtige Passwort-Etikette, die einfache Verwendung von Passwörtern, die Erstellung sicherer Passwörter und anderer damit zusammenhängender Maßnahmen.

Fazit

In der nahen Zukunft werden wir alle noch weitaus mehr IoT-Geräte am Arbeitsplatz und zu Hause nutzen und viele dieser Geräte werden Daten über uns erheben, von denen wir nicht einmal wussten, dass wir diese erzeugen. Deshalb ist bereits heute ein guter Zeitpunkt, um über die richtige Absicherung dieser Geräte nachzudenken, unabhängig davon, wo und wofür sie verwendet werden. Darüber hinaus sollten die Mitarbeiter ein Security Awareness-Training absolvieren, um über die Risiken von Phishing-E-Mails und schwachen Passwörtern aufgeklärt zu werden. Nur dann können in Zukunft Vorfälle ähnlich denen bei der Telekom oder Lonestar gänzlich verhindert werden. Oder zumindest abgemildert und den Hackern das Leben schwerer gemacht werden.

Weitere Informationen zum Thema:

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

Ein Gastbeitrag von Stina Ehrensvärd, CEO von Yubico

[datensicherheit.de, 24.01.2019] Das Thema Datenschutz ist besonders wegen immer wieder in Erscheinung tretender Datenskandale ein zentrales Thema. Oft steht jedoch einem ausreichenden Schutz der eigenen Daten ein erhöhter Aufwand entgegen, etwa durch längere und komplexere Passwörter oder durch die Nutzung temporärer Zugangsdaten. Eine Hardware-Authentifizierung kann hierbei den Mittelweg zwischen hoher Sicherheit und Komfort darstellen.

Erst kürzlich kamen durch ein weitreichendes Datenleck viele mitunter private Informationen an die Öffentlichkeit. Der mittlerweile gefasste Hacker konnte mithilfe gestohlener Zugangsdaten auf Privat-Clouds sowie auf E-Mail-Verläufe mehr oder weniger prominenter Personen und Politikern zugreifen. Diese Daten kamen dann nach und nach an die Öffentlichkeit.

Wie aus den Daten ersichtlich wurde, stellt auch die erforderliche Komplexität von Passwörtern Nutzer vor Herausforderungen. Viele Nutzer sichern ihre Daten immer noch mit zu einfachen Passwörtern wie dem eigenen Geburtsdatum oder „12345“. Diese sind auch für technisch nicht versierte Angreifer leicht zu erraten, wodurch Daten unnötig in Gefahr gebracht werden.

Um sich zukünftig vor solchen Angriffen in Zukunft zu schützen sollten sich Privatpersonen, aber auch Unternehmen über ihren Datenschutz und ihre Passwortpolitik Gedanken machen und beides gegebenenfalls verbessern.

Besserer Datenschutz mit Hilfe von Zwei-Faktor-Authentifizierung

Neben komplexeren Passwörtern kann eine Zwei-Faktor-Authentifizierung (2FA) den Schutz der eigenen Daten erheblich verbessern.

Bei einer 2FA handelt es sich um eine Sicherung, die zusätzlich zu Anmeldedaten wie Benutzernamen und Passwort für Sicherheit sorgt. Dabei kann es sich beispielsweise um einen mobilen Authentikator handeln, wie er bereits beim Online-Banking Verwendung findet oder einen USB-Security-Token. Letztere sind von verschiedenen Herstellern erhältlich, z. B. Google und Yubico.

Ist eine Zwei-Faktor-Authentifizierung eingerichtet, wird der Nutzer beim Login zusätzlich zu seinen gewohnten Nutzerdaten, wie Username und Passwort, nach dem zweiten Faktor gefragt. Im Beispiel des SecurityTokens muss der Nutzer diesen dann mit seinem Rechner verbinden. Erst dann kann er auf sein Konto zugreifen.

Sollte ein Krimineller in den Besitz der Nutzerdaten gelangt sein, kann er ohne diesen zweiten Faktor nicht auf die Daten zugreifen.

Bild: Yubico

Stina Ehrensvärd, CEO von Yubico

Erhöhte Nutzerfreundlichkeit durch Passwordless-Login

Neben der Zwei-Faktor-Authentifizierung gibt es noch die Möglichkeit, Accounts und Geräte per passwortlosem Login zu schützen. Hierfür können Security Tokens genutzt werden, die im Gegensatz zu 2FA-Tokens keine weiteren Daten erfordern.

Bei der Anmeldung muss der Nutzer nur seinen Token mit dem jeweiligen Rechner bzw. Smartphone verbinden, um auf sein Konto zugreifen zu können.

Der Vorteil liegt auf der Hand: Anstatt sich lange Passwörter für jedes Online-Konto merken zu müssen reicht es aus, den Passwordless-Login-Token mit seinem Gerät zu verbinden, um das gewünschte Konto zu entsperren. Einige der Tokens können nicht nur zur Sicherung von Online-Konten genutzt werden, sondern auch Computer und Smartphones schützen, letztere durch Near Field Control (NFC).

Will der Nutzer beispielsweise seinen normalerweise passwortgeschützten Rechner mit Windows 10 entsperren, muss er nur seinen Token per USB verbinden und gegebenenfalls einen Knopf auf dem Token drücken.

Worauf Nutzer bei 2FA und Passwordless-Login achten sollten

Wer überlegt, seine Passwortsicherheit per 2FA oder Passwordless-Login zu verbessern, sollte folgende Ratschläge bei der Auswahl berücksichtigen:

• Herkuftsland: Hier gibt es mitunter große Unterschiede. Vor allem sollten Interessierte darauf achten, wo die Geräte hergestellt wurden. Wenn diese in Ländern hergestellt werden, die bereits vorher durch Industriespionage aufgefallen sind, sollte man eher davon absehen. Stammen die Tokens von einem europäischen Anbieter, lässt sich das Risiko der Industriespionage reduzieren.
• Energieversorgung: Während einige Sicherheitsschlüssel per Batterie oder Akku mit Energie versorgt werden, nutzen andere nur die anliegende Spannung der USB-Ports. Per NFC agierende, akkulose Tokens werden nahe ans Smartphone gehalten und drahtlos mit Energie versorgt. Geräte ohne interne Stromversorgung haben den Vorteil, dass sie nicht aufgeladen werden müssen und immer einsatzbereit sind. Man kann somit das Problem umgehen, dass bei leeren Tokens nicht auf Daten zugegriffen werden kann.
• Unterstützte Dienste: Je nachdem welche Online-Dienste und Programme man nutzt, sollten diese auch vom Sicherheitstoken unterstützt werden. Besonders Windows-Nutzer können sich für Modelle entscheiden, die sich auch zur Entsperrung von Windows-PCs oder Microsoft-Konten eignen. Gängige Anwendungen wie Dropbox, Facebook oder YouTube werden von einigen Tokens unterstützt.
• Einfache Einrichtung und Nutzung: Um eine möglichst hohe Nutzerfreundlichkeit zu gewährleisten, müssen Handbücher, die von Herstellern bereitgestellt werden, verständlich und, im besten Falle, auf deutsch vorhanden sein. Bei der Nutzung selbst dürfen keine Fehler auftreten. Interessierte sollten sich deshalb vorher auf Testportalen über die Keys informieren, die ihren Bedürfnissen entsprechen.

Fazit

Immer wieder kommt es zu Datenlecks, in deren Folge große Mengen an Nutzerdaten veröffentlicht werden. Mit der richtigen Zwei-Faktor-Authentifizierung oder passwortlosem Login können Unternehmen und Privatpersonen ihre Daten effektiv vor unberechtigtem Zugriff schützen, selbst wenn sie direkt von einem Leak betroffen waren.

Password-less-Login-Schlüssel bieten neben der verbesserten Sicherheit auch einen erhöhten Komfort für Anwender: Anstatt sich Passwörter merken zu müssen, reicht es aus, den Token zu nutzen, um auf seine Daten zuzugreifen.

Weitere Informationen zum Thema:

datensicherheit.de, 09.01.2019
orbit-Datenleak kein Einzelfall: Politik muss folgerichtig handeln

Von unserem Gastautor Bryan Simon, Trainer für SEC401, SEC501 und SEC511, beim SANS Institute

[datensicherheit.de, 28.03.2017] Mit Windows 10 hat der internationale Hard- und Softwarehersteller Microsoft eines der sichersten Betriebssysteme weltweit auf den Markt gebracht. Eines vorweg: Das Unternehmen hat viel Zeit und Mühe in modernste Sicherheitsvorkehrungen gesteckt, um den Kampf gegen die Cyberkriminalität zum Positiven zu wenden.

Windows 10 arbeitet beispielsweise mit der Zwei-Faktor-Authentifizierung, das sogenannte „Windows Hello“. Diese Funktion leistet biometrische Gesichtserkennung und soll das An- und Abmelden auf dem Betriebssystem sicherer und einfacher gestalten. Damit bietet Microsoft eine kluge Unterstützung zum herkömmlichen Passwort an und kommt dem Wunsch der Kunden nach lückenloser Sicherheit nach. Darüber hinaus wurde auch in Bitlocker investiert. Damit will Microsoft den unautorisierten Zugriff auf verschlüsselte Festplatten unterbinden und empfindliche Daten schützen. Die wohl wichtigste Neuerung stellt aber der Virtual Secure Mode (VSM) dar, bei dem spezielle Microkernels, welche parallel zum gesamten System laufen, isoliert werden. Hier sollte man sich auf jeden Fall das LSASS-Verfahren (Local Security and Authentication Sub System) näher anschauen, das für die Cyberkriminalität besonders attraktiv ist. Normalerweise schleusen die Angreifer mit Hilfe einer DLL (Dynamic Link Library)-Injektion heimlich einen Code ein, der in das Verfahren eingesetzt wird und damit ungefilterten Zugang zu empfindlichen Authentifizierungs-Informationen freigibt. Auf dieses Problem hat Microsoft reagiert und das LSASS-Verfahren auf der Hardware sichtbar gemacht, um das unbemerkte Einschleichen von Angreifern und dem damit verbundenen Diebstahl einzudämmen.

Bild: Sans Institut

Bryan Simon: „Microsoft hat viel Zeit und Mühe in modernste Sicherheitsvorkehrungen gesteckt …“

Updates nicht aus dem Auge verlieren

Doch die besten Sicherheitsprogramme helfen dem Nutzer nichts, wenn sie am Ende durch nicht durchgeführte Updates nicht in der Lage sind, ihre Aufgabe zu vollführen. Das aktuelle Problem liegt wohl darin, dass der User das Updaten bzw. Upgraden vor sich herschiebt und von den aufkommenden Erinnerungsfenstern leicht genervt ist. Diese wahrzunehmen wäre aber ein immens wichtiger Schritt, um das System ausreichend schützen zu können. Auf diesen Umstand hat Microsoft in Form von „Windows-as-a-Service“ reagiert. Dieses Programm soll die direkte Verfügbarkeit von Updates und Upgrades für den Endnutzer garantieren, indem diese im Hintergrund automatisch ablaufen, nur mit einer einmaligen Zustimmung direkt beim Kauf des Systems. Der Nutzer erklärt sich also von Anfang an mit den automatischen Updates einverstanden, kann diese Entscheidung aber wie auch die übrigen Einstellungen eines Betriebssystems jederzeit rückgängig machen und eine manuelle Aufforderung verlangen. Dabei bewegt sich Microsoft hin zu einer Cloud, um die parallel laufenden Prozesse von Drittherstellern nicht zu gefährden. Heraus kommen die sogenannten Updates-on-the-fly. Diese Idee kann so umgesetzt werden, da Windows 10 auf Grundlage eines bindenden Abonnements basiert, was jedoch keine Bezahlung voraussetzt. Es gehe lediglich darum, dass die Updates automatisch im Hintergrund mitlaufen und so jeder Nutzer geschützt wird, ganz gleich, ob dieser aktiv oder passiv mitwirkt.

Anti-Malware-Lösungen weiterhin sinnvoll

Zum Abschluss noch einige Überlegungen, wie man die Sicherheit von Windows 10 durch die Benutzung von Microsoft-Tools verbessern könnte. Zum Beispiel sollten keine Sicherheitsupdates deaktiviert oder Upgrades des Betriebssystems aufgeschoben werden. Das ist wohl der grundlegendste Ratschlag, da man die störenden Erinnerungsnachrichten gerne wegklickt. Microsoft entwickelt laufend neue Updates, man müsse nur die Chance beim Schopf packen und auf sie zugreifen. Immer noch eine gute Strategie ist die Installation einer Anti-Malware-Lösung, auch wenn viele böse Zungen behaupten, sie würde nicht den erhofften Schutz bringen. Ohne Anti-Malware-Programme erleichtert man dagegen die Arbeit der Cyberangreifer erheblich. Die Hardwareanbieter sollten außerdem eigene Sicherheits-Hardwarefeatures erstellen, die komplett mit den neuen Entwicklungen von Microsoft kompatibel sind. Das wird zukünftig immense Kosten sparen und erfolgreich gegen die neuesten Attacken der internationalen Cyberkriminalität schützen.

Es ist weiterhin davon auszugehen, daß Microsoft auch in Zukunft seine Betriebssysteme laufend verbessern wird. Aber: Cyberkriminelle schlafen nicht und werden auch weitehin Sicherheitslücken in Betriebssystemen suchen, um Geld zu erpressen, Daten zu verschlüsseln, zu kopieren oder aber Hosts in Botnetze zu verwandeln.

Weitere Informationen zum Thema:

datensicherheit.de, 13.07.2016
Sicherheitslücke in Windows ermöglicht Malware-Ausbreitung via Netzwerkdrucker

datensicherheit.de, 29.03.2016
Noch immer Geldautomaten auf Basis von Windows XP in Betrieb

[datensicherheit.de, 02.06.2016]  In Fulda wird das Aussehen der Autos der Zukunft geplant. Als spezialisierter Dienstleister für die Entwicklung von modernen Produktionslösungen in der Automobilindustrie 2010 gestartet, konnte sich das Unternehmen über die Jahre hinweg weiter entwickeln und ein fundiertes Know-how in der Anlagenentwicklung erarbeiten. Automobilbauer beauftragen das 60 Mitarbeiter umfassende Ingenieurbüro mit der Planung, Ausschreibung von Projekten und Beratung von Karosserie-Anlagenbauern, um CAD-Daten in Fahrzeugteile für die Produktion zu verwandeln. Alle Mitarbeiter wurden dafür in den Werkzeugen, Methoden und Prozessen des digitalen Engineerings geschult. „Bis aus Daten echte Bauteile werden, vergeht viel Entwicklungszeit. Wir begleiten und gestalten für unsere Auftraggeber den gesamten Prozess von der Entwurfsphase für die erste Anlage auf dem Papier bis hin zur Produktion. Am Ende muss die Anlage so funktionieren, dass in 60 Sekunden ein Auto produziert wird“, erklärt Daniel Auerbach, Geschäftsführender Gesellschafter bei der A&S Engineering und Gründer zusammen mit dem geschäftsführenden Gesellschafter Wolfgang Sieckel.

Bild: A+S Engineering

Das Thema Sicherheit spielt hier eine große Rolle, denn dem Unternehmen werden Prototypen-Daten anvertraut, aus denen die Fahrzeuge für die Zukunft entwickelt werden. Die Entwicklungsinformationen sind ihrer Zeit zwischen vier und fünf Jahre voraus und dadurch hochinteressant für die Konkurrenz. Damit diese geschäftskritischen Daten überhaupt von einem Server auf den anderen übertragen werden können, haben die Auftraggeber der Karosserie-Experten bereits hochsichere Zugänge geschaffen, auf die nur mit entsprechenden Berechtigungen zugegriffen werden kann. Doch nicht nur die Übertragungsleitung wird entsprechend dem Wert der Informationen abgesichert.

Auditierung für Dienstleister und Zulieferer

Seit 2015 hat einer der größten Auftraggeber aus der Automobilbranche darüber hinaus auch eine Auditierung aller Dienstleister eingeführt, um die Sicherheit der Daten über das eigene Netzwerk hinaus zu garantieren. Von dieser Änderung war auch die A&S Engineering betroffen. Neben einem Alarmsystem zum Schutz vor Einbrechern, einer Technologie zur Festplatten-Verschlüsselung sowie Maßnahmen zur Erhöhung der Server-Sicherheit stand dabei auch die Absicherung des täglichen Authentifizierungsprozesses und des Fernzugriffs auf der Anforderungsliste. Dieser Zugriff sollte über einen zweiten Faktor erfolgen. „Es gab zwei K.O.-Kriterien für das Audit: die Alarmanlage und die Zwei-Faktor Authentifizierung“, erinnert sich Auerbach. „Unsere Auftraggeber müssen dafür sorgen, dass nicht nur die Fahrzeuge sicher sind, sondern auch die Informationen geheim bleiben, die für die Entwicklung notwendig sind. Hier leisten wir natürlich gerne unseren Beitrag und sind uns außerdem bewusst, dass auch wir ins Visier von Cyber-Kriminellen geraten können.“ Darüber hinaus bringt das neue IT-Sicherheitsgesetz Unruhe in die Branche und immer mehr Unternehmen suchen nach Möglichkeiten, sensible Informationen vor fremden Zugriffen zu schützen.

Authentifizierung mit dem eigenen Smartphone

Um diese Anforderung zu erfüllen, sucht das Unternehmen nach einer sicheren aber auch praktikablen Lösung. „Als Know-how und Geheimnisträger ist es natürlich für uns wichtig, nicht nur die geforderten Standards einzuhalten, sondern uns darüber hinaus auch als vertrauensvoller Ansprechpartner zu präsentieren. Allerdings wollten wir die Komplexität möglichst geringhalten. Unsere Mitarbeiter müssen schnell und sicher auf unser Netzwerk und die dort liegenden Daten zugreifen. Deshalb haben wir uns über unsere interne IT-Abteilung und unseren Ansprechpartner bei der Bucher Netzwerke in Weingarten über die im Markt verfügbaren Lösungen zur Zwei-Faktor Authentifizierung informiert“, sagt Auerbach. Interessant war eine Lösung, die im Zusammenspiel mit dem Smartphone des Mitarbeiters für eine sichere Authentifizierung sorgt: SecurAccess von SecurEnvoy.

Verschlüsselung und geteilte Übertragung für mehr Sicherheit

Die Zwei-Faktor Authentifizierung funktioniert über eine App, die sogenannte SoftToken App. Über diese für iOS und Android, Windows Phone und Blackberry erhältliche App wird ein alle 30 Sekunden wechselnder, sechsstelliger Passcode generiert, der wiederum auf dem PC oder Laptop zur Anmeldung am Netzwerk genutzt wird. Der Server überprüft bei der Anmeldung die Gültigkeit des eingegebenen Passcodes für diesen Benutzer und diesen Zeitpunkt. Die Daten selbst werden auf dem Server der Fuldaer Ingenieure verschlüsselt abgelegt, wobei die hochsichere 256-bit AES Verschlüsselung eingesetzt wird, um auch im Fall eines kompromittierten Netzwerks für die Sicherheit der Daten in alle Richtungen hin sorgen zu können. Auerbach erläutert die Installation aus seiner Sicht: „Die Einrichtung war sehr einfach: Wir mussten nur die passende App herunterladen, dann am SecurAccess Sicherheits-Server anmelden und einen QRCode mit der Handy-Kamera abscannen. Schon hatten wir die Einrichtung geschafft und bekamen einen Passcode auf dem Smartphone angezeigt, mit dem wir uns mit PC oder Laptop am Firmennetzwerk einloggen konnten.“
Bei der Einrichtung mittels QR Code wird der erste Teil des Benutzer-individuellen Schlüssels („Seed Record“) vom Server auf das Smartphone übertragen, ohne dass dafür eine Netzwerkverbindung nötig ist. Im zweiten Schritt erzeugt das Smartphone den zweiten Teil des Schlüssels, den der Benutzer dann in Form eines acht-Zeichen langen Wertes auf der Registrierungsseite eingibt. Mit diesem einmaligen Vorgang stellt der Hersteller sicher, dass auch nur dieses eine Gerät gültige Passcodes generieren kann. Eine Doppelregistrierung oder Übertragung des Schlüssels z.B. mittels eines Backups des Telefonspeichers wird durch diese „Split-Seed-Technologie“ wirksam unterbunden.

Überzeugende und kurze Testphase sorgt für erfolgreiches Audit

Nach der Installation einer Test-Lizenz und einer Testphase, in der beide Geschäftsführer die App auf ihren Smartphones selbst ausprobierten, war klar, dass wir die richtige Lösung gefunden hatten. Nun musste nur noch mit dem Auditor geklärt werden, ob die Zwei-Faktor Authentifizierung auch dem entspricht, was der Auftrag gebende Automobilkonzern in seinen Richtlinien definiert hatte. Als schnellster Weg stellte sich die Übermittlung der Spezifikation heraus, die an den Auditor übersendet wurde und der nach einem Telefonat mit der Geschäftsführung seine Zustimmung zum Einsatz der Lösung erteilte. Die Geschäftsleitung entschied sich dann dazu, gleich für alle Mitarbeiter Lizenzen der Zwei-Faktor Authentifizierung anzuschaffen. „Es macht für uns keinen Sinn, die Lösung nur für den einen Kunden einzusetzen. Deshalb haben wir uns entschieden, die Authentifizierung für alle unsere Login-Prozesse einzuführen“, sagt Auerbach. Inzwischen nutzen alle Mitarbeiter – egal mit in welcher Funktion – die Zwei-Faktor Authentifizierung. Dass sie dafür das eigene Smartphone nutzen können und nicht noch ein weiteres externes Gerät mit sich herumtragen müssen, hat für eine schnelle Akzeptanz gesorgt. Sollte einer der Mitarbeiter Probleme bei der Anmeldung haben, gibt es noch zwei weitere Möglichkeiten zur erfolgreichen Authentifizierung: Ein sogenannter Voice-CallBack sowie eine Übertragung des Passcodes per E-Mail. Diese beiden Optionen dienen im Einzelfall für den schnellen Zugang zum Netzwerk auch ohne Smartphone App.

Skalierung möglich

„Bei SecurEnvoy gab es die Lösungen im Bundle zu 50 Lizenzen. Wir wollen in Zukunft weiterwachsen und weitere Mitarbeiter einstellen. Diese Mitarbeiter brauchen dann natürlich auch eine Lizenz, um sich auf unserem Server anzumelden. Daher ist es nur logisch, dass wir dann gleich Lizenzen im Haus haben und nicht jedes Mal wieder neue anfordern müssen “, führt Auerbach aus. Die Investition in mehr Sicherheit war für A&S Engineering eine Investition in die Zukunft, denn immer mehr Auftraggeber fordern durch das neue IT-Sicherheitsgesetz eine Auditierung an. „Dass wir hier schon vorgesorgt haben, ist auf jeden Fall ein gutes Gefühl“, schließt Auerbach.