[datensicherheit.de, 03/29/2025] As the basis of all life, water is undisputedly one of the most valuable resources of all – and as such is increasingly at risk: „So it’s no wonder that the water supply is also increasingly becoming the target of criminal activity,“ warns Marco Eggerling, Global CISO at Check Point Software. Water treatment plants and distribution systems are dependent on remote control – if they are compromised, the results could be catastrophic: „The consequences are contamination, supply interruptions and risks to public health!“

Foto: Check Point Software

Marco Eggerling: Governments, water utilities and cyber security experts must work together to protect these vital systems!

Realise the economic impact of vulnerabilities in water supply IT systems

For example, an assessment by the US Environmental Protection Agency (EPA) from 2024 found „that 97 drinking water systems serving approximately 26.6 million people have critical or high-risk cyber security vulnerabilities“. Figures from Check Point Research speak a similar language: According to them, there has been an average of 1,872 weekly attack attempts per company in the energy and utilities sector (including water) in 2025. This corresponds to an increase of 53 per cent compared to the same period in the previous year, 2024.

„Europe recorded the second largest change with a huge 82 per cent increase in attacks compared to the same period last year, behind North America with 89 per cent.“ This makes it all the more important to bear in mind the economic impact of vulnerabilities in IT systems for water supply and to take a look at the most important security measures.

A compromised system can lead to contaminated drinking water, among other things

In addition to public health, cyber attacks on water infrastructure would also have a massive economic impact. However, the risks go beyond mere business interruptions: „A compromised system could lead to contaminated drinking water, which poses a serious threat to the public health and safety of potentially hundreds of thousands of people.“

In addition to private households, numerous industries are also dependent on a steady and safe water supply – „including manufacturing companies and data centres that need water for their cooling systems“. A cyber attack on these supply companies could lead to far-reaching disruptions with serious consequences. Eggerling points out: „Disruptions to the water supply can bring industry to a standstill, affect agriculture and destabilise the local economy.“

Even a one-day interruption to the water supply can jeopardise billions in economic activity

He reports: „In the USA, such a disaster has already been simulated: According to the US Water Alliance, a one-day interruption to the water supply could jeopardise economic activity to the tune of 43.5 billion US dollars. A simulated example of a cyber-attack on Charlotte Water in North Carolina resulted in daily revenue losses of at least 132 million USD with replacement costs of more than 5 billion USD, according to a review of the agency’s cybersecurity initiatives.“

Eggerling also makes it clear that Europe is also being targeted: „In Italy, Alto Calore Servizi SpA, an Italian company that supplies 125 municipalities in southern Italy with drinking water, was hit by a ransomware attack in 2023. The state-owned company also manages wastewater and sewage treatment services for both provinces.“ Although this cyber attack did not lead to an interruption in the water supply, the company’s database was compromised, „rendering all IT systems unusable“.

Water supply systems with often outdated infrastructures suddenly exposed to internet-based threats

Water supply systems in particular are highly vulnerable, as often outdated infrastructure is suddenly exposed to internet-based threats and the potential for disruption makes these facilities a prime target. In reality, a compromised facility goes beyond a mere cyber incident, as it affects the entire country, makes headlines and, more importantly, poses a direct threat to public safety.

The economic toll of a successful cyber-attack on water utilities is so great that this risk cannot be ignored. Critical infrastructure operators must therefore prioritise the digital resilience of their systems and consider investments in cyber security as investments in economic stability.

Tips for strengthening the cyber defence of water suppliers

Water utilities need to „take a proactive approach to cyber security“, according to Eggerling’s recommendation. Some notes on key steps to improve security:

• Invest in endpoint and network security
  Water utilities should utilise AI-powered threat detection systems to monitor network activity and fend off intruders.
• Gaps in legislation leave utilities unprotected
  Cyber regulations for water utilities are not as strict as those for the electricity or financial sectors, so more needs to be done in this area.
• Cyber security training
  Training should be a top priority for improving cyber readiness, as there is a severe lack of cyber security training among water utility operators and many organisations do not have dedicated cyber security staff.
• Enforcement of multi-factor authentication (MFA)
  Unsecured remote access to OT (Operational Technology) systems is often a major vulnerability because attackers usually exploit weak remote access protocols. „MFA can remedy this by requiring every access attempt to first be verified according to the zero trust principle and using biological characteristics such as fingerprint/face recognition or consent via other paired devices.“
• Development of incident response plans
  Water suppliers should have contingency plans in place to minimise the damage caused by potential attacks.

With cyber threats to water infrastructure on the rise, the need for proactive security measures has clearly never been greater. Eggerling concludes: „Governments, water utilities and cyber security experts must work together to protect these vital systems before further attacks seriously impact this important industry and put lives at risk.“

Further information on the topic:

The Record, Jonathan Greig, 11/19/2024
Many US water systems exposed to ‘high-risk’ vulnerabilities, watchdog finds

Industrial Cyber, 11/15/2024
US EPA report cites cybersecurity flaws in drinking water systems, flags disruption risks and lack of incident reporting

U.S. ENVIRONMENTAL PROTECTION AGENCY, 11/13/2024
Management Implication / Report: Cybersecurity Concerns Related to Drinking Water Systems

THE CYBER EXPRESS, Ashish Khaitan, 05/02/2023
Medusa Ransomware Group Claims Alto Calore Cyber Attack / Alto Calore Servizi SpA is a joint-stock company consisting of 126 shareholders, including 125 municipalities in the province of Avellino and Benevento

datensicherheit.de, 02/10/2021
Am 5. Februar 2021 griffen Hacker Wasseraufbereitungsanlage in Oldsmar an / Vermeidung von Fernzugriffen aber keine Lösung gegen Hacker-Attacken in der zunehmend digitalisierten Welt

datensicherheit.de, 02/10/2021
Nochmals Glück gehabt: Hacker-Attacke auf Wasseraufbereitungsanlage in Florida / Hacker-Angriffe zeigen, dass Cyber-Sicherheit für Kritische Infrastruktur wichtiger denn je ist

datensicherheit.de, 02/10/2021
Über Teamviewer-Fernzugriff: Hacker vergiften Wasser in Florida / Nächste Hacker-Opfer womöglich „Microsoft 365“- und „Azure“- sowie „SAP“-Module

datensicherheit.de, 04/28/2020
Wasserversorgung: Cyberangriff auf kritische Infrastruktur in Israel / Kombination aus Altsystemen, wachsender Konnektivität und föderalistischem Management erfordert hohe Priorität der Cybersicherheit

datensicherheit.de, 10/30/2018
Untersuchung zeigt Potential von Cyberangriffen auf Wasser- und Energieversorger / Viele Systeme in kritischen Infrastrukturen sind anfällig für digitale Bedrohungen

datensicherheit.de, 08/08/2018
Städtische Wasserversorgung bedroht: Botnetze aus intelligenten Rasensprengern / Wissenschaftler der Ben-Gurion-Universität haben Hersteller über kritische Anfälligkeiten in ihren Produkten informiert

datensicherheit.de, 07/21/2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen / „BSI-KritisV“ sollte dringend umgesetzt werden, um Zugriffe zu überwachen und zu beschränken

[datensicherheit.de, 29.03.2025] Wasser ist unbestritten als Grundlage allen Lebens eine der wertvollsten Ressourcen überhaupt – und als solche zunehmend gefährdet: „Kein Wunder also, dass auch die Wasserversorgung zunehmend zum Ziel krimineller Aktivität wird“, warnt daher Marco Eggerling, „Global CISO“ bei Check Point Software. Wasseraufbereitungsanlagen und -verteilungssysteme seien auf Fernsteuerungen angewiesen – wenn sie kompromittiert werden, drohten katastrophale Konsequenzen: „Folgen sind Verunreinigungen, Versorgungsunterbrechungen und Gefahren für die öffentliche Gesundheit!“

Foto: Check Point Software

Marco Eggerling: Regierungen, Wasserversorger und Cyber-Sicherheitsexperten müssen zusammenarbeiten, um diese lebenswichtigen Systeme zu schützen!

Wirtschaftliche Auswirkungen von Schwachstellen in IT-Systemen zur Wasserversorgung vor Augen zu halten

So habe eine Bewertung der US-Umweltschutzbehörde (EPA) aus dem Jahr 2024 ergeben, „dass 97 Trinkwassersysteme, die etwa 26,6 Millionen Menschen versorgen, kritische oder hochriskante Cyber-Sicherheitsschwachstellen aufweisen“. Zahlen von Check Point Research sprechen eine ähnliche Sprache: Demnach gab es im Jahr 2025 in der Energie- und Versorgungsbranche (einschließlich Wasser) bisher durchschnittlich 1.872 wöchentliche Angriffsversuche pro Unternehmen. Dies entspreche einem Anstieg von 53 Prozent gegenüber dem gleichen Zeitraum des Vorjahres, 2024.

„Europa verzeichnete mit einem immensen Anstieg der Angriffe um 82 Prozent im Vergleich zum Vorjahreszeitraum die zweitgrößte Veränderung, hinter Nordamerika mit 89 Prozent.“ Umso wichtiger sei es, sich die wirtschaftlichen Auswirkungen von Schwachstellen in IT-Systemen zur Wasserversorgung vor Augen zu halten und einen Blick auf die wichtigsten Sicherheitsmaßnahmen zu werfen.

Ein kompromittiertes System kann u.a. zu verunreinigtem Trinkwasser führen

Neben der Öffentlichen Gesundheit hätten Cyber-Angriffe auf die Wasserinfrastruktur auch massive wirtschaftliche Auswirkungen. Die Risiken gingen jedoch über bloße Betriebsunterbrechungen hinaus: „Ein kompromittiertes System könnte zu verunreinigtem Trinkwasser führen, was eine ernsthafte Bedrohung für die Öffentliche Gesundheit und Sicherheit von potenziell Hunderttausenden Menschen darstellt.“

Neben den Privathaushalten seien auch zahlreiche Industriezweige auf eine stetige und sichere Wasserversorgung angewiesen – „darunter Produktionsbetriebe und Rechenzentren, die Wasser für ihre Kühlsysteme benötigen“. Ein Cyber-Angriff auf diese Versorgungsunternehmen könnte zu weitreichenden Unterbrechungen mit schwerwiegenden Folgen führen. Eggerling führt vor Augen: „Unterbrechungen der Wasserversorgung können die Industrie zum Erliegen bringen, die Landwirtschaft beeinträchtigen und die lokale Wirtschaft destabilisieren.“

Bereits eine eintägige Unterbrechung der Wasserversorgung kann wirtschaftliche Aktivitäten in Milliarden-Höhe gefährden

Er berichtet: „In den USA wurde so ein Katastrophenfall bereits durchgespielt: So könnte eine eintägige Unterbrechung der Wasserversorgung nach Angaben der US Water Alliance wirtschaftliche Aktivitäten in Höhe von 43,5 Milliarden US-Dollar gefährden. Ein simuliertes Beispiel eines Cyber-Angriffs auf Charlotte Water in North Carolina führte zu täglichen Einnahmeverlusten in Höhe von mindestens 132 Millionen US-Dollar mit Wiederbeschaffungskosten von mehr als fünf Milliarden US-Dollar, wie aus einer Überprüfung der Cyber-Sicherheitsinitiativen der Behörde hervorgeht.“

Eggerling macht auch deutlich, dass auch Europa ins Visier genommen wird: „In Italien wurde Alto Calore Servizi SpA, ein italienisches Unternehmen, das 125 Gemeinden in Süditalien mit Trinkwasser versorgt, im Jahr 2023 von einem Ransomware-Angriff getroffen. Das staatliche Unternehmen verwaltet auch die Abwasser- und Klärdienste für beide Provinzen.“ Dieser Cyber-Angriff habe zwar nicht zu einer Unterbrechung der Wasserversorgung geführt, aber die Datenbank des Unternehmens sei kompromittiert worden, „so dass alle IT-Systeme unbrauchbar wurden“.

Wasserversorgungssysteme mit oftmals veralteten Infrastrukturen plötzlich internetbasierten Bedrohungen ausgesetzt

Vor allem Wasserversorgungssysteme seien sehr anfällig, da oftmals veraltete Infrastrukturen plötzlich internetbasierten Bedrohungen ausgesetzt seien und das Potenzial für Störungen diese Einrichtungen zu einem Hauptziel mache. In der Realität gehe eine kompromittierte Anlage über einen reinen Cyber-Vorfall hinaus, da sie das ganze Land betreffe, für Schlagzeilen sorge und – was noch wichtiger sei – eine direkte Bedrohung für die Öffentliche Sicherheit darstelle.

Der wirtschaftliche Tribut eines erfolgreichen Cyber-Angriffs auf Wasserversorgungsunternehmen sei so groß, dass dieses Risiko nicht ignoriert werden dürfe. KRITIS-Betreiber müssten der digitalen Widerstandsfähigkeit ihrer Systeme daher Priorität einräumen und Investitionen in die Cyber-Sicherheit als Investitionen in die wirtschaftliche Stabilität betrachten.

Hinweise zur Stärkung der Cyber-Abwehr bei Wasserversorgern

Wasserversorger müssen laut Eggerlings Empfehlung „einen proaktiven Ansatz für die Cyber-Sicherheit wählen“. Einige Anmerkungen zu wichtigen Schritten zur Verbesserung der Sicherheit:

• Investitionen in Endpunkt- und Netzwerksicherheit
  Wasserversorgungsunternehmen sollten KI-gestützte Systeme zur Erkennung von Bedrohungen einsetzen, um Netzwerkaktivitäten zu überwachen und Eindringlinge abzuwehren.
• Lücken in der Gesetzgebung lassen Versorgungsunternehmen ungeschützt
  Die Cyber-Vorschriften für Wasserversorgungsunternehmen seien nicht so streng wie die für den Strom- oder Finanzsektor, so dass in diesem Bereich mehr getan werden müsse.
• Cyber-Sicherheitstraining
  Schulungen sollte oberste Priorität für die Verbesserung der Cyber-Bereitschaft eingeräumt werden, da es bei den Betreibern von Wasserversorgungsunternehmen einen gravierenden Mangel eben an Cyber-Sicherheitsschulungen gebe und viele Einrichtungen kein spezielles Cyber-Sicherheitspersonal hätten.
• Durchsetzung der Multi-Faktor-Authentifizierung (MFA)
  Ungesicherter Fernzugriff auf OT-Systeme (Operational Technology) stelle häufig eine große Schwachstelle dar, weil Angreifer meist schwache Fernzugriffsprotokolle ausnutzten. „MFA kann hier Abhilfe schaffen, indem jeder Zugriffsversuch nach dem Zero Trust-Prinzip und anhand biologischer Merkmale wie Fingerabdruck/Gesichtserkennung oder per Zustimmung über andere gekoppelte Geräte zunächst verifiziert werden muss.“
• Entwicklung von Plänen zur Vorfallsreaktion
  Wasserversorger sollten über Notfallpläne verfügen, um den Schaden durch mögliche Angriffe zu minimieren.

Angesichts der zunehmenden Cyber-Bedrohungen für die Wasserinfrastruktur war der Bedarf an proaktiven Sicherheitsmaßnahmen offenkundig noch nie so groß wie heute. Eggerling abschließender Kommentar: „Regierungen, Wasserversorger und Cyber-Sicherheitsexperten müssen zusammenarbeiten, um diese lebenswichtigen Systeme zu schützen, bevor weitere Angriffe diese wichtige Branche ernsthaft beeinträchtigen und Menschenleben gefährden.“

Weitere Informationen zum Thema:

The Record, Jonathan Greig, 19.11.2024
Many US water systems exposed to ‘high-risk’ vulnerabilities, watchdog finds

Industrial Cyber, 15.11.2024
US EPA report cites cybersecurity flaws in drinking water systems, flags disruption risks and lack of incident reporting

U.S. ENVIRONMENTAL PROTECTION AGENCY, OFFICE OF INSPECTOR GENERAL, 13.11.2024
Management Implication / Report: Cybersecurity Concerns Related to Drinking Water Systems

THE CYBER EXPRESS, Ashish Khaitan, 02.05.2023
Medusa Ransomware Group Claims Alto Calore Cyber Attack / Alto Calore Servizi SpA is a joint-stock company consisting of 126 shareholders, including 125 municipalities in the province of Avellino and Benevento

datensicherheit.de, 10.02.2021
Am 5. Februar 2021 griffen Hacker Wasseraufbereitungsanlage in Oldsmar an / Vermeidung von Fernzugriffen aber keine Lösung gegen Hacker-Attacken in der zunehmend digitalisierten Welt

datensicherheit.de, 10.02.2021
Nochmals Glück gehabt: Hacker-Attacke auf Wasseraufbereitungsanlage in Florida / Hacker-Angriffe zeigen, dass Cyber-Sicherheit für Kritische Infrastruktur wichtiger denn je ist

datensicherheit.de, 10.02.2021
Über Teamviewer-Fernzugriff: Hacker vergiften Wasser in Florida / Nächste Hacker-Opfer womöglich „Microsoft 365“- und „Azure“- sowie „SAP“-Module

datensicherheit.de, 28.04.2020
Wasserversorgung: Cyberangriff auf kritische Infrastruktur in Israel / Kombination aus Altsystemen, wachsender Konnektivität und föderalistischem Management erfordert hohe Priorität der Cybersicherheit

datensicherheit.de, 30.10.2018
Untersuchung zeigt Potential von Cyberangriffen auf Wasser- und Energieversorger / Viele Systeme in kritischen Infrastrukturen sind anfällig für digitale Bedrohungen

datensicherheit.de, 08.08.2018
Städtische Wasserversorgung bedroht: Botnetze aus intelligenten Rasensprengern / Wissenschaftler der Ben-Gurion-Universität haben Hersteller über kritische Anfälligkeiten in ihren Produkten informiert

datensicherheit.de, 21.07.2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen / „BSI-KritisV“ sollte dringend umgesetzt werden, um Zugriffe zu überwachen und zu beschränken

[datensicherheit.de, 28.03.2025] Die Check Point Software Technologies Ltd. hat weitere Informationen über die „Medusa“-Ransomware veröffentlicht. Seit Februar 2025 haben die Operationen dieser Gruppe demnach zugenommen und sich mehr als 300 Opfer bei den US-Behörden gemeldet. Die betroffenen Branchen reichten von Technologie über die Fertigung bis hin zum Bildungs- und Versicherungswesen. Die CISA hat hierzu eine Liste von Empfehlungen veröffentlicht, die Sicherheitsverantwortliche bei der Erkennung unterstützen soll.

Foto: Check Point Software

Marco Eggerling zur Ransomware-Bedrohung: E-Mail-Sicherheitsmaßnahmen sollten nicht länger optional sein, denn sie sind unerlässlich geworden!

Ransomware-Hacker wenden Taktik der Doppelten Erpressung an

Der Hauptinfektionsvektor sind laut Check Point Phishing-Kampagnen, die darauf abzielen, Anmeldedaten von Benutzern zu sammeln. „Sobald diese Anmeldedaten vorliegen, erhalten die Angreifer den Zugriff auf das System und beginnen mit der Übernahme der Systeme.“

In den bekanntgewordenen Fällen hätten die Hacker die Taktik der sogenannten Doppelten Erpressung verwendet: „Dafür haben sie eine Website für Datenlecks eingerichtet, auf der die Opfer neben Countdown-Timern aufgelistet sind.“ Diese Timer gäben an, wann die gestohlenen Informationen veröffentlicht werden sollten.

Diese Website enthalte auch Informationen über spezifische Lösegeldforderungen und direkte Links zu sogenannten Crypto-Wallets. „Für Unternehmen, die bereits angegriffen werden, bietet ,Medusa’ die Möglichkeit für 10.000 US-Dollar in ,Krypto-Währung’ die Zahlungsfrist zu verlängern, droht aber auch mit dem Verkauf der Daten an Dritte.“

Tipps zum Schutz vor „Medusa“-Ransomware und ähnlichen Bedrohungen

Um sich gegen die „Medusa“-Ransomware und ähnliche Bedrohungen zu schützen, sollten Unternehmen laut Check Point die folgenden vier Maßnahmen ergreifen:

1. Fortschrittlicher Schutz vor Phishing
   Fortschrittliche E-Mail-Security-Lösungen identifizierten und blockierten automatisch verdächtige E-Mails, bevor sie Mitarbeiter erreichen und neutralisierten damit die Hauptinfektionsmethode.
2. Zero-Day-Schutz
   Einsatz KI-basierter „Engines“, um bisher unbekannte Phishing-Versuche und bösartige Anhänge zu erkennen.
3. E-Mail-Authentifizierung
   Diese helfe bei der Verifizierung der Identität des Absenders, um E-Mail-Spoofing zu verhindern (diese Taktik werde häufig bei Kampagnen zum Sammeln von Zugangsdaten angewendet).
4. „Security Awareness“
   Unternehmen sollten die Widerstandsfähigkeit der Mitarbeiter durch automatisierte Phishing-Simulationen und Schulungen zum Sicherheitsbewusstsein stärken.

Bedrohung durch Ransomware vor allem im Phishing-Kontext

Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, kommentiert: „Die Erfahrung zeigt, dass in den USA aktive Malware auch früher oder später bei europäischen Unternehmen in den Systemen gefunden wird. Das Teilen der Informationen von Unternehmen mit den zuständigen Behörden und dieser wiederum mit der Öffentlichkeit ist deshalb umso wichtiger.“

Für Firmen gelte einmal mehr, dass die Bedrohung durch Ransomware vor allem eine Bedrohung durch Phishing sei. „E-Mail-Sicherheitsmaßnahmen sollten deshalb nicht länger optional sein, denn sie sind unerlässlich geworden“, betont Eggerling abschließend.

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY CISA, 12.03.2025
#StopRansomware: Medusa Ransomware

datensicherheit.de, 27.03.2025
Ransomware-Gruppe RansomHub übernimmt kriminelles Erbe von LockBit & Co. / ESET Forscher decken Verbindungen zwischen rivalisierenden Gruppen auf / Neue Angriffs-Werkzeuge im Umlauf

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 13.03.2025] Check Point® Software Technologies Ltd. hat seinen Global Threat Index für Februar 2025 veröffentlicht. Abermals zeigt sich eine drastische Veränderung in der deutschen Malware-Landschaft. War im Januar noch Formbook mit 16,5 Prozent der dominierende Schädling, ist nun nicht nur der Infostealer aus der Top 3 verschwunden – auch die nachfolgenden Plätze wurden durch FakeUpdates und AsyncRat neu besetzt. Bei letzterem handelt es sich um einem Remote Access Trojaner, der auch international zunehmend Systeme kompromittiert. Auf dem Spitzenplatz in Deutschland stand im Februar Androxgh0st, eine Python-basierte Malware, die Backdoor-Verbindungen herstellen und auch als Krypto-Miner verwendet werden kann.

Sicherheitsforscher von Check Point Research (CPR) haben beobachtet, dass der aufstrebende Trojaner AsyncRAT in professionellen Kampagnen eingesetzt wird, die Plattformen wie TryCloudflare und Dropbox zur Verbreitung von Malware nutzen. Dies spiegelt den zunehmenden Trend wider, legitime Plattformen auszunutzen, um Sicherheitsvorkehrungen zu umgehen und im Zielsystem unentdeckt zu bleiben. Die Angriffe beginnen in der Regel mit Phishing-E-Mails mit Dropbox-URLs und führen zu einem mehrstufigen Infektionsprozess mit LNK-, JavaScript- und BAT-Dateien.

Maya Horowitz, VP of Research bei Check Point Software, kommentiert: „Cyberkriminelle nutzen legitime Plattformen, um Malware zu verbreiten und einer Entdeckung zu entgehen. Unternehmen müssen wachsam bleiben und proaktive Sicherheitsmaßnahmen implementieren, um die Risiken solcher sich entwickelnden Bedrohungen zu mindern.“

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat.

1. ↑ Androxgh0st (2,07 %) – AndroxGh0st ist eine Python-basierte Malware, die auf Anwendungen abzielt, die das Laravel PHP-Framework verwenden. Sie sucht nach ungeschützten .env-Dateien, die sensible Informationen wie Anmeldedaten für Dienste wie AWS, Twilio, Office 365 und SendGrid enthalten. Zusätzlich nutzt sie ein Botnetz, um Websites zu identifizieren, auf denen Laravel ausgeführt wird, und um vertrauliche Daten zu extrahieren. Sobald der Zugriff erfolgt ist, können Angreifer zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für Aktivitäten wie das Mining von Kryptowährungen nutzen.
2. ↑ FakeUpdates (2,04 %) – Fakeupdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals 2018 entdeckt wurde. Sie wird über Drive-by-Downloads auf kompromittierten oder bösartigen Websites verbreitet und fordert Benutzer auf, ein gefälschtes Browser-Update zu installieren. Die Fakeupdates-Malware wird mit einer russischen Hackergruppe namens Evil Corp in Verbindung gebracht und dient dazu, nach der Erstinfektion verschiedene sekundäre Nutzlasten zu übertragen.
3. ↑ AsyncRat (1,83 %) – AsyncRAT ist ein Trojaner für den Fernzugriff (Remote Access Trojan, RAT), der auf Windows-Systeme abzielt und erstmals 2019 identifiziert wurde. Er leitet Systeminformationen an einen Command-and-Control-Server weiter und führt Befehle aus, wie das Herunterladen von Plugins, das Beenden von Prozessen, das Aufnehmen von Screenshots und die Aktualisierung seiner selbst. Er wird häufig über Phishing-Kampagnen verbreitet und für Datendiebstahl und Systemkompromittierung eingesetzt.

Meist angegriffene Branchen und Sektoren in Deutschland:

1. Bildung
2. ↑ Gesundheitswesen und Medizintechnik
3. Biotechnologie und Pharmazeutik

Top Mobile Malware

1. Anubis – Anubis steht weiterhin an der Spitze der mobilen Malware. Er ist nach wie vor ein wichtiger Banking-Trojaner, der in der Lage ist, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, Keylogging zu betreiben und Ransomware-Funktionen auszuführen.
2. ↑ Necro – Necro, ein bösartiger Android-Downloader, ist im Rang aufgestiegen. Er ermöglicht es Cyberkriminellen, schädliche Komponenten auf der Grundlage von Befehlen seiner Schöpfer auszuführen und so eine Reihe von bösartigen Aktionen auf infizierten Geräten zu ermöglichen.
3. ↓ AhMyth – AhMyth, ein Remote-Access-Trojaner (RAT), der auf Android-Geräte abzielt, hat leicht an Verbreitung verloren. Er stellt jedoch nach wie vor eine erhebliche Bedrohung dar, da er in der Lage ist, sensible Informationen wie Bankdaten und MFA-Codes auszuspionieren.

Wichtigste Ransomware-Gruppen

Clop bleibt die am weitesten verbreitete Ransomware-Gruppe und ist für 35 Prozent der identifizierten Angriffe verantwortlich. Es folgen RansomHub und Akira auf den Plätzen 2 und 3.

1. Clop – Clop ist nach wie vor ein wichtiger Akteur im Bereich der Ransomware und nutzt die Taktik der „doppelten Erpressung“, um den Opfern mit der Veröffentlichung gestohlener Daten zu drohen, wenn kein Lösegeld gezahlt wird.
2. ↑ RansomHub – RansomHub ist eine bekannte Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der Ransomware Knight entstanden ist. Es hat schnell Berühmtheit erlangt für seine ausgeklügelten und weit verbreiteten Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS und Linux.
3. ↑ Akira – Akira zielt auf Windows- und Linux-Systeme ab. Die Gruppe wurde mit Phishing-Kampagnen und Exploits in VPN-Endpunkten in Verbindung gebracht, was sie zu einer ernsthaften Bedrohung für Unternehmen macht.

Weitere Information zum Thema:

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung

Check Point Blog
February 2025’s Malware Spotlight: AsyncRAT Emerges, Targeting Trusted Platforms

[datensicherheit.de, 04.02.2025] Im Gesundheitswesen habe die Integration von Geräten aus dem sogenannten Internet der medizinischen Dinge (Internet of Medical Things / IoMT) die Patientenversorgung verändert und die Effizienz sowie Zugänglichkeit verbessert. „Diese technologischen Fortschritte sind jedoch mit erheblichen Sicherheitsherausforderungen verbunden“, warnt Melanie Eschbach, „Sales Team Managerin“ bei Check Point Software Technologies, in ihrer aktuellen Stellungnahme. Erfahrungen aus der Praxis unterstrichen, wie wichtig es sei, IoMT-Geräte abzusichern, um Patientendaten zu schützen und einen unterbrechungsfreien medizinischen Betrieb zu gewährleisten.

Abbildung: Check Point Software Technologies

Melanie Eschbach: IoMT-Sicherheit wichtiger denn je, da jüngste Berichte zeigen, dass das Gesundheitswesen zu einem der am meisten angegriffenen Sektoren geworden ist

Zunahme des Bedarfs an IoMT-Sicherheit

Eschbach führt aus: „Laut unserem ,State of Cyber Security Report 2025‘ war das Gesundheitswesen im Jahr 2024 der am zweithäufigsten angegriffene Sektor, mit einem Anstieg der Cyber-Attacken um 47 Prozent im Vergleich zum Vorjahr.“ Dieser Bericht hebe hervor, „wie sich Schwachstellen in der Lieferkette und Ransomware-Taktiken entwickeln“, wodurch die IoMT-Sicherheit wichtiger denn je werde. Jüngste Berichte zur Cyber-Sicherheit zeigten, dass das Gesundheitswesen zu einem der am meisten angegriffenen Sektoren geworden sei. Die zunehmende Häufigkeit von Ransomware-Angriffen, Schwachstellen in der Lieferkette und die Ausnutzung von IoT-Geräten zeigten, dass medizinische Einrichtungen entschlossene Maßnahmen ergreifen müssten, um ihre digitale Infrastruktur zu schützen. „Vielen IoT-Geräten mangelt es an integrierten Sicherheitsmaßnahmen, was sie zu attraktiven Zielen für Cyber-Kriminelle macht.“

Ein geknacktes IoMT-Gerät könne schwerwiegende Folgen haben, einschließlich Datenverletzung, Geräteausfall und Unterbrechung der Patientenversorgung. Beispielsweise könne ein fehlerhafter Patientenmonitor dazu führen, dass Entscheidungen auf der Grundlage ungenauer Daten getroffen würden, wodurch die Patientensicherheit gefährdet sei. Eschbach berichtet: „Das jüngste Beispiel, ist die kürzlich veröffentlichte Schwachstelle, die in den Patientenüberwachungsgeräten ,CMS8000‘ von Contec gefunden worden ist. Laut einem Bericht der US-Behörde für Cyber- und Infrastruktursicherheit (CISA) enthielten diese Geräte eine ,Hintertür‘, über die sie Patientendaten an eine externe IP-Adresse übertragen und unbefugte Fernzugriffe ermöglichten.“

IoMT-Schutz: Empfehlungen für grundlegende Sicherheitsmaßnahmen

Um o.g. Gefahr wirksam zu begegnen, sollten sich Organisationen des Gesundheitswesens laut Eschbach auf die folgenden Punkte konzentrieren:

Risiko-Bewertung der Firmware
Gründliche Firmware-Scans identifizierten verschiedene Schwachstellen wie nicht autorisierte Zugriffspunkte, offengelegte Anmeldeinformationen und versteckte „Hintertüren“. Dies helfe bei der Risiko-Bewertung vor der Integration neuer Geräte in Netzwerke.

Autonome Geräte-Erkennung und Risikoanalyse
Der Blick über alle angeschlossenen IoMT-Geräte müsse bewahrt werden, um unautorisierte oder riskante Endpunkte zu erkennen und eine kontinuierliche Überwachung möglicher Bedrohungen zu gewährleisten.

Zero-Trust-Segmentierung
Implementierung strikter Zugriffskontrollen stellten sicher, „dass jedes Gerät innerhalb definierter Parameter arbeitet und unbefugte Zugriffe verhindert werden“. Sogar dann, wenn ein Gerät attackiert wird, verhindere die Zero-Trust-Segmentierung „seitliche Bewegungen“ im Netzwerk und schränke potenzielle Bedrohungen ein.

Echtzeit-Bedrohungsdaten und virtuelles Patching
Die Nutzung aktueller Bedrohungsdaten zur Abwehr bekannter und neuer Cyber-Bedrohungen sei unumgänglich. Durch sogenanntes virtuelles Patching könnten Sicherheitskräfte die Risiken mindern, ohne die umgehende Einspeisung von Firmware-Updates zu erfordern, „was bei Geräten mit Schwachstellen, die ab Werk enthalten sind, von entscheidender Bedeutung ist“.

Security-by-Design bei der Geräteherstellung
Die Hersteller sollten ermutigt werden, Sicherheitsfunktionen direkt in ihre Geräte zu integrieren, um die Einhaltung gesetzlicher Normen zu gewährleisten und Schwachstellen vor der Markteinführung zu verringern.

Abhängigkeit von IoMT-Geräten erfordert Wechsel von reaktiven zu aktiven Cyber-Sicherheitsmaßnahmen

Die zunehmende Abhängigkeit von IoMT-Geräten im modernen Gesundheitswesen erfordere einen Wechsel von reaktiven zu aktiven Cyber-Sicherheitsmaßnahmen. „Wenn die Sicherheit von Patienten auf dem Spiel steht, ist es nicht mehr möglich, sich ausschließlich auf Reaktionen nach einem Vorfall zu verlassen!“, stellt Eschbach klar. Durch die Implementierung robuster Sicherheitslösungen könnten Organisationen im Gesundheitswesen die Risiken der vernetzten Geräte minimieren, die betriebliche Integrität aufrechterhalten und sicherstellen, „dass Patientendaten geschützt bleiben“.

Durch die Einführung einer umfassenden Cyber-Sicherheitsarchitektur mit einer zentralen Plattform als Ansatz könnten sich Krankenhäuser vor den neuen Bedrohungen besser schützen und weiterhin eine qualitativ hochwertige, unterbrechungsfreie Versorgung anbieten. Eschbach gibt abschließend zu bedenken: „Investitionen in sichere Infrastrukturen und bewährte Verfahren stärken die Widerstandsfähigkeit gegen Cyber-Bedrohungen und schützen wichtige Prozesse im Gesundheitswesen.“ Erst eine vorausschauende Cyber-Sicherheitsstrategie sei der Garant für eine moderne Gesundheitsversorgung durch vernetzte Geräte. „Sie sorgt dafür, dass die Vorteile dieser IoMT-Geräte sorgenfrei genossen werden können und den Patienten zugutekommen!“

Weitere Informationen zum Thema:

CHECK POINT, 2025
THE STATE OF CYBER SECURITY 2025 / Top threats, emerging trends and CISO recommendations

CISA CYBERSECURITY & INFRASTRUCTURE SEURITY AGENCY, 30.01.2025
Contec CMS8000 Contains a Backdoor

[datensicherheit.de, 04.02.2025] „Mit der zunehmenden Verbreitung von IoT-Geräten, die tief in das tägliche Leben eingebunden werden, steigt der Bedarf an fortschrittlichen, beliebig skalierbaren Sicherheitslösungen in allen Unternehmen und Branchen enorm“, betont Thomas Boele, „Regional Director Sales Engineering CER/DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Herkömmliche Sicherheitsansätze hätten oft mit der begrenzten Leistung von IoT-Geräten zu kämpfen, was die Fähigkeit zur Durchführung umfassender Sicherheitskontrollen einschränke. Diese Herausforderung habe nun den Weg für sogenanntes Eingebettetes Maschinelles Lernen („Embedded ML“ oder „TinyML“ / EML) geebnet – „eine einzigartige Lösung, um die Sicherheitsanforderungen an moderne IoT-Geräte zu erfüllen“.

Foto: Check Point Software Technologies

Thomas Boele erläutert die EML-Rolle als leistungsstarkes Werkzeug für Innovationen im Bereich der IoT-Sicherheit

Neben den Vorteilen intelligenterer und anpassungsfähigerer IoT-Geräte beseitigt EML Sicherheitsbeschränkungen von Systeme mit geringer Leistung

EML verändere das IoT und eingebettete Systeme, „indem es Geräten ermöglicht, Datenanalysen und Entscheidungsfindungen direkt auf dem Gerät durchzuführen“. Diese lokale Verarbeitung verringere die Latenz erheblich und verbessere den Datenschutz, da die Informationen nicht in eine „Cloud“ übertragen werden müssten. Neben den Vorteilen intelligenterer und anpassungsfähigerer IoT-Geräte beseitige EML die Sicherheitsbeschränkungen von Systeme mit geringer Leistung, da es eine maßgeschneiderte, unabhängig arbeitende Intelligenz auf Geräteebene biete.

Boele führt aus: „Da IoT-Geräte jedoch immer intelligenter werden, sind sie auch komplexer und potenziell anfälliger für ausgeklügelte Cyber-Bedrohungen. Cyber-Kriminelle nutzen daher ML-Techniken zur subtilen Manipulation von Eingabedaten, wodurch IoT-Geräte falsch klassifiziert werden oder Fehlfunktionen aufweisen, ohne sie Alarm zu schlagen.“

Darüber hinaus könnte dies zu falschen IoT-Aktionen führen, z.B. zur Fehlinterpretation von Messwerten oder gar zur Abschaltung. Besonders gefährlich sei dies in OT-Umgebungen und Kritischen Infrastrukturen (KRITIS). „Ein Ausfall bedeutet eine teure Unterbrechung des Betriebes. Im schlimmsten Fall drohen Angriffe auf die Energie-Infrastruktur infolge der Anforderungen aus dem ,Solarspitzen-Gesetz’.“

EML quasi als geheime und unsichtbare Sicherheitswaffe

EML nutze die Leistung des Maschinellen Lernens direkt in kleinen IoT-Geräten mit geringem elektrischen Energieverbrauch und ermögliche es ihnen, Bedrohungen lokal auf dem Gerät zu erkennen und zu verhindern. Durch die Einbettung von dieser Sicherheits-Intelligenz direkt in IoT-Geräte meistere EML die wichtigsten Sicherheitsherausforderungen und bietee erhebliche Vorteile für eine Vielzahl von Branchen.

„Eine der überzeugendsten Eigenschaften von EML ist die Fähigkeit, eine unsichtbare Sicherheitsebene zu schaffen, auf der sich IoT-Geräte autonom und ohne menschliches Eingreifen selbst überwachen und vor neuen, aufkommenden Bedrohungen schützen können.“ Dieser unsichtbare Ansatz bedeutet demnach, dass die Sicherheitsmaßnahmen unauffällig im Hintergrund ablaufen, ohne sichtbare Kameras oder aufdringliche Hardware erforderlich zu machen. Dies mache die Lösung ideal für sensible Umgebungen, wie Krankenhäuser bzw. KRITIS, in denen offensichtliche Sicherheitsvorrichtungen unpraktisch oder sogar störend sein könnten.

Für Branchen und Unternehmen biete diese sich selbst überwachende, wartungsarme Verteidigungsarchitektur einen großen Vorteil, da sie den Bedarf an häufigen manuellen Updates oder aktiver Überwachung reduziere. „Die Fähigkeit von EML, unsichtbar zu bleiben, beruht auf seiner nahtlosen Integration in den Gerätebetrieb. Es analysiert leise Daten und passt sich an Bedrohungen an, sobald diese auftauchen“, so Boele.

Mit EML die IoT-Compliance verbessern

Nationale Vorschriften, wie der „Cyber Resilience Act“ (CRA) der EU, schrieben vor, dass sensible Daten sicher und unter strengem Schutz der Privatsphäre verarbeitet werden müssten. EML ermögliche eine lokale Verarbeitung und stelle sicher, dass die Daten zur Analyse nicht an zentrale „Cloud“-Server übertragen werden müssten. Im Falle einer Datenschutzverletzung sähen weitere Vorschriften, wie die DSGVO, strenge Bußen vor, die davon abhingen, „wie ein Unternehmen mit der Sicherheit umgegangen ist“.

EML verbessere die lokale Erkennung und Vorbeugung, d.h.: „Es kann einen Verstoß oder verdächtige Aktivitäten identifizieren, bevor sensible Daten übertragen oder gefährdet werden.“ Diese Sicherheitsmaßnahme verringere das Risiko eines Verstoßes und helfe Unternehmen, die Vorschriften einzuhalten und Geldbußen zu vermeiden.

„Die Einhaltung von Vorschriften in IoT-Umgebungen kann komplex sein, insbesondere wenn die Anzahl der angeschlossenen Geräte steigt. Die schlanke EML-Lösung lässt sich dagegen ohne großen Aufwand in eine große Anzahl von Geräten integrieren und ermöglicht es Unternehmen, die Einhaltung von Vorschriften in großen IoT-Netzwerken effizient zu verwalten.“ Es stelle sicher, dass die Sicherheitsprotokolle auf allen Geräten einheitlich angewandt würden, so dass umfangreiche Compliance-Maßnahmen leichter zu bewältigen seien.

EML-Vorteile auf einen Blick

Die wichtigsten Vorteile des Eingebetteten Maschinellen Lernens lt. Boele:

Lokale Verarbeitung zur Erkennung von Bedrohungen
EML-Modelle könnten Bedrohungen in Echtzeit erkennen, indem sie direkt auf den Geräten ausgeführt würden, wodurch die Verzögerung bei der Erkennung und Reaktion auf potenzielle Angriffe verringert werde. Dies sei von entscheidender Bedeutung für Anwendungen, die eine schnelle Erkennung von und Reaktion auf Bedrohungen erforderten, wie „Smart Home Security“ und industrielle Überwachung, wo Latenz ein Sicherheitsrisiko darstellen könne.

Kostengünstige Möglichkeit zur Skalierung der IoT-Sicherheit für ältere Geräte
Viele Branchen hätten stark in veraltete Geräte investiert, denen es an harten Sicherheitsvorkehrungen mangele und die nur schwer zu aktualisieren seien. Die minimalen Verarbeitungs- und Speicheranforderungen von EML bedeuteten, dass selbst ältere IoT-Geräte mit einer zusätzlichen Sicherheitsschicht ausgestattet werden könnten, ohne eine vollständige Aufrüstung der Hardware erforderlich zu machen. Dies senke die Kosten und verbessere gleichzeitig die netzwerkweite Sicherheit – ein besonders wertvoller Punkt für CISOs, die mit Budget-Beschränkungen oder der Skalierung in großen IoT-Ökosystemen zu kämpfen hätten.

Geringere „Cloud“-Abhängigkeit
Aufgrund seiner Fähigkeit, Aufgaben lokal auszuführen, minimiere EML die Abhängigkeit von der „Cloud“, was den Bandbreiten- und Verbrauch elektrischer Energie reduziere. Dieser lokalisierte Ansatz sei in Szenarien mit eingeschränkter Konnektivität von Vorteil. Diese netzunabhängige Einrichtung sei ideal für die Überwachung in der Landwirtschaft oder beim Schutz der Tierwelt, bei Autonomen Fahrzeugen oder im Untertagebau, da viele dieser Bereiche normalerweise nicht geschützt seien. Außerdem werde der Datenschutz verbessert, da sensible Informationen das Gerät nicht verlassen müssten.

Geringere Bandbreitennutzung
Durch die lokale Verarbeitung von Daten werde die über das Netzwerk übertragene Datenmenge reduziert, was die Bandbreite weniger beanspruche und EML für netzwerkbeschränkte Umgebungen geeignet mache.

Nachhaltigkeit und Energieeffizienz
EML-Modelle seien auf minimalen Energieverbrauch optimiert, so dass batteriebetriebene IoT-Geräte auch bei der Durchführung von Sicherheitsaufgaben eine lange Lebensdauer hätten. Dies sei in Bereichen wie der Umweltüberwachung, in denen Geräte über Monate oder Jahre hinweg ohne menschliches Eingreifen arbeiten soltlen, von entscheidender Bedeutung. Dies unterstütze Nachhaltigkeitsziele, indem die Lebensdauer von IoT-Geräten verlängert und der Energiebedarf gesenkt werde.

Autonomer Betrieb und Ausfallsicherheit
In Kritischen Anwendungen wie dem Industriellen IoT (IIoT) ermögliche EML den autonomen Betrieb von Geräten, „die Unregelmäßigkeiten ohne externe Eingriffe erkennen und behandeln“. Diese Autarkie sei für abgelegene oder gefährliche Umgebungen, in denen menschliches Eingreifen nur begrenzt möglich sei, von entscheidender Bedeutung, da IoT-Geräte auch dann weiter funktionierten, „wenn sie von zentralen Systemen getrennt sind“.

Erleichtert adaptives Lernen
EML-Modelle könnten auf dem Gerät trainiert und feinabgestimmt werden, so dass sich IoT-Geräte an veränderte Umgebungsbedingungen anpassen könnten. In der Intelligenten Landwirtschaft könnten sich die Modelle beispielsweise an unterschiedliche Bodenbedingungen oder Wettermuster anpassen, so dass die Geräte besser auf Veränderungen in der Umwelt reagieren könnten, ohne eine ständige Neuprogrammierung von einem zentralen Server erforderlich zu machen.

Das menschliche Element der IoT-Sicherheit – EML lernt menschliche Verhaltensmuster
Es könne auch menschliche Verhaltensmuster erlernen und analysieren und so die Sicherheit durch das Aufspüren von Anomalien verbessern. „Das mag futuristisch klingen, ist aber sehr praktisch: Zum Beispiel können intelligente Schlösser verdächtige Bewegungen an einer Tür erkennen, oder industrielle Systeme merken, wenn die Anwesenheit von Menschen unüblich erscheint.“ Dies füge der IoT-Sicherheit eine Ebene der Verhaltensanalyse hinzu und verdeutliche, wie sie mit dem Null-Toleranz-Sicherheitsmodell in Einklang gebracht werden könne, „indem sichergestellt wird, dass nur geprüftes und erwartetes Verhalten zugelassen wird“.

Die Zukunft autarker IoT-Sicherheit mittels EML

„EML-Sicherheitsanwendungen bergen ein enormes Potenzial für die Schaffung eines sichereren, widerstandsfähigeren IoT-Ökosystems, indem sie schnelle, energieeffiziente und datenschutzfreundliche Sicherheitslösungen direkt auf der Geräteebene bereitstellen“, unterstreicht Boele. Doch wie bei jeder neuen Technologie, so gebe es auch hier Herausforderungen: Hacker könnten EML-Modelle missbrauchen, um eine Entdeckung zu vermeiden, „was ein Risiko darstellt“. Um diese Bedrohungen einzudämmen, seien kontinuierliche Forschungs- und Entwicklungsanstrengungen erforderlich, um die Integrität und Robustheit der Daten zu gewährleisten und sie vor Angriffen und Manipulationen zu schützen.

Auf Maschinellem Lernen basierte IoT-Bedrohungen könnten grob in zwei Kategorien eingeteilt werden: Sicherheitsangriffe und Verletzungen der Privatsphäre. „Sicherheitsangriffe konzentrieren sich auf die Beeinträchtigung der Datenintegrität und -verfügbarkeit, während Verletzungen der Privatsphäre auf die Vertraulichkeit und den Schutz der personenbezogenen Daten zielen.“ Zu den wichtigsten Beispielen für diese Bedrohungen gehörten die folgenden drei Angriffsarten:

Angriffe auf die Integrität
Integritätsangriffe zielten darauf ab, das Verhalten oder die Ausgabe eines Maschinellen Lernsystems zu manipulieren, indem seine Trainingsdaten oder sein Modell verändert würden. Durch die Einspeisung falscher Daten könnten Angreifer die Genauigkeit des Modells beeinträchtigen und das Vertrauen der Benutzer untergraben, ähnlich wie die Vermischung von minderwertigen Produkten mit hochwertigen Produkten bei Inspektionen die Glaubwürdigkeit insgesamt beeinträchtige. Im Internet der Dinge könne die Manipulation von Sensordaten für die vorausschauende Wartung das Modell in die Irre führen, was zu falschen Vorhersagen oder unsachgemäßen Wartungsmaßnahmen führe, welche die Funktionalität und Zuverlässigkeit der Geräte beeinträchtigten.

Angriffe auf die Verfügbarkeit
Verfügbarkeitsangriffe zielten auf das normale Funktionieren von auf ML basierenden IoT-Systemen, indem sie Unterbrechungen verursachten oder ungenaue Ergebnisse erzeugten, die zu Abstürzen, Dienstunterbrechungen oder fehlerhaften Ergebnissen führten. Ähnlich wie bei Verkehrsstaus oder Kommunikationsstörungen, so überforderten diese Angriffe die Systeme und verhinderten legitime Reaktionen. Auf diese Weise könnten Denial-of-Service-Angriffe auf ein Smart-Home-System dieses mit Befehlen überlasten, „so dass es nicht mehr reagiert, während die Überflutung von Sensornetzwerken mit übermäßigen oder fehlerhaften Daten eine rechtzeitige Entscheidungsfindung verzögern oder verhindern kann“.

Angriffe auf die Vertraulichkeit
„Vertraulichkeitsangriffe zielen auf ML-Systeme ab, um an sensible oder private Daten zu gelangen. Im Internet der Dinge können solche Angriffe zu unbefugtem Zugriff und zur Preisgabe sensibler Daten führen und so die Privatsphäre, Geschäftsgeheimnisse oder sogar die nationale Sicherheit gefährden.“ Angreifer könnten Seitenkanalangriffe nutzen, um Details aus elektrischen Energieverbrauchsmustern aufzudecken, oder Modellinversionstechniken verwenden, um persönliche Informationen zu rekonstruieren, wie Gesichtsmerkmale aus der Ausgabe eines Gesichtserkennungssystems.

Investition in EML kosteneffizienter als herkömmliche „Cloud“-IoT-Sicherheitsmethoden – zudem werden „Cloud-“Abhängigkeit und Bandbreitenanforderungen reduziert

Außerdem gebe es die Angriffe auf die Trainingsdaten von IoT-Szenarien, also Angriffe auf das Modell selbst. In Zukunft würden vielleicht EML-Modelle mit adaptiven, selbstheilenden Fähigkeiten versehen werden, welche sich nach Angriffsversuchen automatisch neu kalibrierten und so die IoT-Sicherheit weiter stärkten.

Die Auswirkung von EML auf das „Smart Edge Computing“ liege in der Fähigkeit, Intelligente Verarbeitung direkt an den „Edge“ zu bringen, so dass IoT-Geräte autonom, effizient und sicher arbeiten könnten. Diese Erweiterung verbessere die Reaktionsfähigkeit, Nachhaltigkeit und Skalierbarkeit von „IoT-Ökosystemen“. Mit der Entwicklung von EML werde sich dessen Rolle im „Smart Edge Computing“ ausweiten und die Innovation in Bereichen fördern, „in denen intelligente IoT-Lösungen mit geringer Latenz und hohem Datenschutzbedarf gefragt sind“.

Die Investition in EML sei nicht nur kosteneffizienter als herkömmliche „Cloud“-IoT-Sicherheitsmethoden, sondern reduziere auch die „Cloud-“Abhängigkeit und die Bandbreitenanforderungen, was zu erheblichen Kosteneinsparungen führe und den ROI erhöhe, insbesondere in großen IoT-Netzwerken, in denen sich die „Cloud“-Kosten schnell summieren könnten. Für Unternehmen stärke die Einführung von EML die IoT-Sicherheit und biete gleichzeitig betriebliche Effizienz und Nachhaltigkeitsvorteile, welche mit den sich entwickelnden Anforderungen an die IoT-Sicherheit übereinstimmten.

EML für Unternehmen mit komplexen IoT-Compliance-Standards von großer Bedeutung

„EML ist für Unternehmen, die mit komplexen IoT-Compliance-Standards zu tun haben, von großer Bedeutung, da es eine lokale Datenverarbeitung ermöglicht, die Datenübertragung reduziert und eine Echtzeit-Bedrohungserkennung bietet“, gibt Boele zu bedenken. Diese Technologie versetze Unternehmen in die Lage, die wichtigsten regulatorischen Anforderungen in Bezug auf Datenschutz, Cyber-Sicherheit und Auditing zu erfüllen, was sie zu einer skalierbaren und effizienten Lösung zur Sicherung von IoT-Systemen unter strengen regulatorischen Anforderungen mache.

„Zusammenfassend lässt sich sagen, dass Eingebettetes Maschinelles Lernen (EML) ein leistungsstarkes Werkzeug für Innovationen im Bereich der IoT-Sicherheit darstellt, das Kosteneinsparungen, die Einhaltung von Vorschriften und einen verbesserten Schutz der Unternehmen bietet.“

Bei der Einführung dieser Technologie sei es jedoch unerlässlich, die ihr zugrundeliegenden Grundsätze der Sicherheit, Integrität und Transparenz zu überdenken. „Die Zukunft der IoT-Sicherheit liegt im ,Edge’-Bereich, und Investitionen in EML sind neben kontinuierlicher Forschung der Schlüssel zu einer verantwortungsvollen und effektiven Umsetzung dieser Strategie!“, kommentiert Boele abschließend.

Weitere Informationen zum Thema:

Spectrum.de SciLogs, Ulrich Greveler, 18.01.2025
BSI hat recht: Unsichere Solar-Steuerungen nicht akzeptabel!

[datensicherheit.de, 17.01.2025] Die Check Point Software Technologies Ltd. beleuchtet in ihrer aktuellen Stellungnahme die jüngste Phishing-Kampagne, welche demnach über 7.300 Unternehmen und 40.000 Einzelpersonen weltweit betroffen hat: Besonders stark betroffen seien die USA (75%) und die Europäische Union (10%).

Abbildung: Check Point Software Technologies Inc.

WARNUNG: In dieser Phishing-E-Mail wird der Benutzer aufgefordert, die sogenannte Krypto-Währung „Bitrock“ zu benutzen

Phishing-Kampagne zielt darauf ab, Malware zu installieren oder Zugangsdaten zu stehlen

Diese jüngste Phishing-Kampagne zeige, „wie gefährlich die Imitation von Marken sein kann“. Die Angreifer verwendeten dabei kompromittierte Konten einer bekannten Reiseagentur, um gefälschte E-Mail-Angebote zu verbreiten. Diese E-Mails zielten darauf ab, Malware zu installieren oder Zugangsdaten zu stehlen. Besonders tückisch sei die Nutzung populärer Trends und bekannter Marken, um das Vertrauen der Empfänger zu gewinnen.

Ein Großteil der Nachrichten (75%) verweise auf die sogenannte Krypto-Währung „Bitrock“, während zehn Prozent auf die Handelsplattform „ApolloX“ (APX) zielten. Zusätzlich gäben sich etwa zehn bis 15 Prozent der Betrüger über E-Mail als große Einzelhandelsketten aus. Diese gezielte Ansprache steigere die Erfolgsquote der Angriffe erheblich.

Besonders in der Hochsaison erhöhte Phishing-Bedrohung

Die Auswirkungen solcher Kampagnen seien gravierend: Im Jahr 2024 seien weltweit über 1,1 Milliarden US-Dollar (1,07 Milliarden Euro) durch Betrugsfälle verloren gegangen, welche auf Marken- und Behörden-Imitationen basiert hätten.

Besonders in der Hochsaison, wie der Weihnachtszeit, steige das Risiko solcher Angriffe deutlich. Unternehmen und Einzelpersonen seien daher gut beraten, präventive Schutzmaßnahmen zu ergreifen.

Check Point gibt Sicherheits-Tipps zur Vorbereitung auf Phishing-Kampagnen

Empfehlungen von Check Point für Unternehmen:

Nutzung von Marken-Management-Tools
Implementierung von Schutzmechanismen, welche Marken-Imitationen über verschiedene Angriffsvektoren hinweg verhindern. Solche Technologien könnten gefälschte Links effektiv blockieren.

KI-gestützte Bedrohungsprävention
Einsatz fortschrittlicher E-Mail-Filter, darunter „Sandboxen“, Verhaltensanalysen und KI-basierte Bedrohungserkennung.

Domain-Monitoring und Authentifizierung
Verwendung von Protokollen, wie SPF, DKIM und DMARC, um gefälschte Absender zu identifizieren und zu blockieren.

Schulung des Sicherheitsbewusstseins
Schaffung eines kontinuierlichen Lernumfeldes, welches Angestellten ermögliche, Phishing-Versuche zu erkennen.

Phishing-Notfallplan
Entwurf eines Konzepts, um Angriffe zu minimieren und deren Auswirkungen effektiv zu begrenzen.

Empfehlungen für Einzelpersonen:

Vorsicht bei E-Mails unbekannter Absender
Prüfen Sie die Absenderadresse sorgfältig und klicken Sie nicht auf verdächtige Links!

Schutz persönlicher Informationen
Teilen Sie keine Anmeldedaten oder finanziellen Informationen per E-Mail!

Prüfung der Markenkommunikation
Kontaktieren Sie Unternehmen direkt über offizielle Kanäle, wenn Sie unsicher sind!

Meldung verdächtiger E-Mails
Leiten Sie Phishing-Versuche an Ihren Postfach-Anbieter weiter und melden Sie diese über die offiziellen Betrugskanäle der betroffenen Marke!

Weitere Informationen zum Thema:

CHECK POINT,07.01.2025
Email Security / Brand Impersonation Scam Hijacks Travel Agency Accounts

datensicherheit.de, 15.01.2025
Apple iMessage: ESET warnt vor Phishing-Falle / Neue SMS-Phishing-Methode macht Nutzer laut ESET anfällig für Online-Betrug

datensicherheit.de, 14.01.2024
Neue Angriffskampagne per E-Mail: Youtube-Influencer im Visier Cyber-Krimineller / In den Köder-E-Mails geben sich Angreifer als Mitarbeiter bekannter, angeblich an einer Kooperation interessierter Marken aus

datensicherheit.de, 09.01.2025
E-Mail-Sicherheitslösungen mit Doppelnutzen: Minimierung der Risiken und Maximierung der Effizienz / Täglich verbringen Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – höchste Zeit zum Handeln

[datensicherheit.de, 09.01.2025] Die Check Point Software Technologies Ltd. erläutert in einer aktuellen Stellungnahme, wie fortschrittliche E-Mail-Sicherheitslösungen nicht nur Unternehmen helfen können, sich vor Cyber-Bedrohungen zu schützen, sondern auch die Produktivität der Mitarbeiter zu steigern und IT-Ressourcen zu optimieren. Die Auswahl der richtigen Sicherheitslösung sei dabei entscheidend. Unternehmen sollten auf Anbieter setzen, welche kontinuierlich neue Funktionen entwickelten und benutzerfreundliche Systeme anböten, um sowohl Mitarbeiter als auch IT-Teams zu entlasten.

[chck-point-pete-nicoletti.jpg]

Unangenehme Folgen schwacher E-Mail-Sicherheitsmaßnahmen

Täglich verbrächten Mitarbeiter unzählige Stunden mit der Bearbeitung von E-Mails – einem gleichwohl unverzichtbaren Kommunikationsmittel, welches jedoch auch eine erhebliche Schwachstelle darstelle. Schwache E-Mail-Sicherheitsmaßnahmen führten nicht nur zu einer höheren Anfälligkeit für Phishing-Angriffe und Malware, sondern auch zu:

Zeitverlust
Mitarbeiter würden durch verdächtige Nachrichten abgelenkt und müssten diese manuell melden.

Erhöhtem Risiko
Verzögerungen beim Erkennen schädlicher Nachrichten könnten zu Datenverlust oder Compliance-Verstößen führen.

Überlastung der IT
Sicherheitsabteilungen verbrächten wertvolle Zeit mit der Analyse von falschem Alarm und der Behebung von Sicherheitsvorfällen.

Bösartige E-Mails: Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhinden

„Keine noch so gute Mitarbeiterschulung kann Phishing-Klicks verhindern. Es gibt über 300 Merkmale, die vor der Zustellung überprüft werden müssen, und die Mitarbeiter haben weder das Wissen noch die Fähigkeiten oder die Zeit, diese zu analysieren“, führt Pete Nicoletti, „CISO“ von Check Point Software Technologies, aus.

Er ergänzt: „Außerdem hat Ihr Sicherheitsprogramm versagt, wenn Sie bösartige E-Mails versenden oder Ihre Endpunkt-Tools nicht verhindern können, dass eine bösartige Datei von einer angeklickten URL heruntergeladen wird!“ Zudem seien Mitarbeiterschulungen bloß ein „Sicherheitstheater“ – „und wenn Sie sich darauf verlassen, dass sie eine Verteidigungslinie darstellen, sollten Sie Ihr ,Incident Response Team’ und Ihren Anwalt auf der Kurzwahl haben.“

Dringende Empfehlung zur Nutzung fortschrittlicher E-Mail-Sicherheitslösungen

Fortschrittliche E-Mail-Sicherheitslösungen nutzten Künstliche Intelligenz (KI) und Maschinelles Lernen (ML), um Bedrohungen in Echtzeit zu erkennen und unschädlich zu machen. Mit verschiedenen Funktionen, wie dem automatisierten Entfernen schädlicher Links oder dem Verschieben verdächtiger Nachrichten in Quarantäne, schützten solche Lösungen nicht nur die Organisation, sondern verbesserten auch die Effizienz der Arbeitsabläufe.

Unternehmen, welche in bewährte E-Mail-Sicherheitslösungen investierten, profitierten von:

Gesteigerter Produktivität
Mitarbeiter könnten sich auf ihre Kernaufgaben konzentrieren, ohne durch Sicherheitsrisiken abgelenkt zu werden.

Erhöhtem Schutz
KI-gestützte Systeme verhinderten das Eindringen schädlicher Inhalte.

Optimierter IT-Nutzung
Automatisierte Prozesse reduzierten den manuellen Aufwand der Sicherheits-Teams.

Weitere Informationen zum Thema:

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 25.11.2024
Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit / Klassische E-Mail bleibt primärer Bedrohungsvektor im Cyberspace

datensicherheit.de, 11.09.2024
NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung / NIS-2-Richtlinie von EU-Mitgliedsstaaten bis 17. Oktober 2024 in nationales Recht umzusetzen

datensicherheit.de, 06.09.2024
Unterschätztes Problem: Datenverluste durch fehlgeleitete E-Mails / Irrläufer legitimer E-Mails in Großbritannien die am häufigsten gemeldeten Vorfälle im Zusammenhang mit der DSGVO

[datensicherheit.de, 08.01.2025] Der Schutz der Privatsphäre werde im Allgemeinen als ein Grundrecht angesehen und die Bürger hätten oft hohe Erwartungen an den Schutz ihrer personenbezogenen Daten. Lothar Geuenich, „VP Central Europe“ bei Check Point Software Technologies, hebt in seiner aktuellen Stellungnahme indes hervor: „Sie protestieren, wenn sie befürchten, dass sich die Regierungen immer stärker in ihr privates Leben einmischen. Sie machen sich jedoch keine Gedanken darüber, wie viele intime und sensible Daten sie über jeder Anwendung, die sie auf ihrem Smartphone installieren, oder über intelligente Geräte in ihren Wohnungen preisgeben.“

Foto: Check Point

Lothar Geuenich: Datenschutzverletzungen machen deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen sind!

Sogenannte Wearables sammeln intime Details über Nutzer – z.B. erfassen sie Gesundheitsdaten

Große Technologie-Unternehmen und Anbieter von tragbaren Geräten wie „Wearables“, Smartphones und Sprachassistenten sammelten intime Details über ihre Nutzer – oft weit mehr als jeder Gesundheitsdienstleister oder jede Regierungsbehörde. Diese Geräte erfassten Daten über die körperliche Gesundheit (z.B. Herzfrequenz, Schlafverhalten und körperliche Aktivität), das geistige Wohlbefinden (durch Analyse von Sprache, Mimik und Online-Aktivitäten) und persönliche Vorlieben, „z.B. wonach wir suchen, was wir kaufen oder was wir hören“. Sprachassistenten lernten kontinuierlich aus den Interaktionen der Nutzer und erstellen Profile, welche Details über Routinen, Beziehungen und sogar die Stimmung enthalten könnten, welche aus dem Tonfall und der Sprache abgeleitet würden.

Diese Daten gingen über das hinaus, was ein einzelner Arzt wissen könnte, und stellten einen „digitalen Fingerabdruck“ der persönlichen Gesundheit und des Verhaltens dar. So zeichneten „Wearables“ beispielsweise die Herzfrequenz, den Stresspegel und die zurückgelegten Schritte auf und erstellten so eine umfassende Aufzeichnung des körperlichen und geistigen Zustands des Trägers. Online-Plattformen nutzten ausgeklügelte Algorithmen, um die Interessen und das Verhalten der Nutzer besser zu verstehen, als es viele Freunde oder Familienmitglieder könnten, und erfassten so alles – von den Kaufgewohnheiten bis zu den politischen Ansichten.

Zusammenfassung von Daten über Geräte, Apps und digitale Umgebungen hinweg

Diese Unternehmen erreichten eine solche Tiefe, weil sie Daten über Geräte, Apps und digitale Umgebungen hinweg zusammenfassten. „Die gewonnenen Erkenntnisse dienen nicht nur der Bereitstellung von Diensten, sondern werden auch für gezielte Werbung verwendet und können unter bestimmten Bedingungen an Dritte oder staatliche Stellen weitergegeben werden, manchmal ohne das ausdrückliche Wissen der Nutzer“, gibt Geuenich zu bedenken.

Anwendungen müssten die Nutzer zwar um ihre Zustimmung und Erlaubnis bitten, Sensoren in ihrem Gerät zu befragen, aber in der Regel gäben die Nutzer diese Zustimmung schnell und ohne weiteres Überlegen. Diese Daten hätten zwar einen immensen Wert für die Verbesserung von Produkten und die Personalisierung von Diensten, „werfen aber auch erhebliche Bedenken hinsichtlich des Datenschutzes auf, da sie weitgehend unkontrolliert verarbeitet werden und es Technologie-Unternehmen ermöglichen, einen beispiellosen Einblick in die intimen Details von Milliarden von Menschenleben zu erlangen“.

Öffentliche Debatte um Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen

Geuenich blickt zurück: „Im Jahr 2018 erfuhren wir vom Skandal um ,facebook’ und ,Cambridge Analytica’. Kurz gesagt: Ein Beratungsunternehmen sammelte personenbezogene Daten von Millionen von Nutzern ohne deren Zustimmung. Die Daten wurden verwendet, um psychologische Profile von Nutzern zu erstellen, die dann genutzt wurden, um gezielte politische Werbung zu schalten.“ Die Hauptsorge habe der Monetarisierung von Daten, der Erstellung von Werbeprofilen und gezielten Kampagnen gegolten.

Seitdem sei die Diskussion eskaliert und drehe sich nun um Innere Sicherheit, Beeinflussungskampagnen und Spionage durch ausländische Regierungen. So drehe sich eine aktuelle öffentliche Debatte um die Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen. Untersuchungen hätten ergeben, dass solche Apps umfangreiche Nutzerdaten sammelten, darunter Standort-, Kontakt- und Verhaltensdaten, was Bedenken hinsichtlich des Datenschutzes und des möglichen Zugriffs ausländischer Regierungen wecke. Während diese Unternehmen jeglichen unrechtmäßigen Zugriff abstritten, hätten die Regierungen strenge Überwachungsmaßnahmen eingeführt, um sicherzustellen, dass sensible Nutzerdaten nicht gefährdet würden. Dies habe weltweit Maßnahmen ausgelöst, da die Länder der Datensicherheit für ihre Bürger Vorrang einräumten.

Bedenken, dass ausländische Regierungen durch „Hintertüren“ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten

„Auch die Hersteller von Smartphones und IoT-Geräten aus verschiedenen Regionen stehen auf dem Prüfstand. Es wurden Bedenken geäußert, dass ausländische Regierungen durch ,Hintertüren’ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten.“ Dieses Problem trete besonders in Ländern mit unterschiedlichen Ansätzen zum Datenschutz auf, so Geuenich, „insbesondere in autoritären Regierungen, die der staatlichen Kontrolle Vorrang gegenüber der Privatsphäre des Einzelnen einräumen“. Diese Praktiken hätten zu einer verstärkten Besorgnis über den möglichen Missbrauch von Geräten für Spionage oder Überwachung geführt.

Die Datenschutzgesetze in den europäischen Ländern veranschaulichten das Engagement für den Datenschutz, indem sie dem Einzelnen die Kontrolle über seine Daten gäben und von den Unternehmen Transparenz bei der Datenerfassung und -weitergabe verlangten. Solche Rahmenwerke seien von kulturellen Werten beeinflusst, die individuelle Freiheiten und eine tief verwurzelte Abneigung gegen Überwachung, insbesondere im privaten Bereich der eigenen Wohnung, in den Vordergrund stellten.

Divergierende Datenschutzstandards mit Auswirkungen auf internationale Beziehungen und globalen IoT-Markt

Diese Divergenz präge nicht nur lokale Datenschutzstandards, sondern habe auch Auswirkungen auf internationale Beziehungen und den globalen IoT-Markt: „Viele Länder führen zunehmend Maßnahmen ein, um im Ausland hergestellte Geräte einzuschränken, die im Verdacht stehen, für staatliche Eingriffe anfällig zu sein, und verstärken damit den breiteren geopolitischen Wettbewerb zwischen offenen und geschlossenen Datenverwaltungsmodellen.“

Wie diese Fälle zeigten, sei die Bedrohung keine hypothetische Angelegenheit. Regierungen auf der ganzen Welt setzten sich mit den Auswirkungen von IoT-Geräten auf die Sicherheit und den Datenschutz auseinander, insbesondere von Anbietern mit potenziellen Verbindungen zur staatlichen Überwachung.

3 wesentliche Ansätze für mehr Datensicherheit

Als Reaktion darauf seien mehrere regulatorische und rechtliche Maßnahmen im Gange:

Verbote und Beschränkungen für „Hochrisiko-Lieferanten“
Einige Regierungen hätten Maßnahmen ergriffen, indem sie bestimmte, im Ausland hergestellte Geräte aus Kritischen Infrastrukturen verbannt hätten, insbesondere in Regierungsgebäuden und anderen sensiblen Bereichen. Dieser Ansatz sei zwar umstritten, werde aber als notwendiger Schritt zur Verringerung des Spionagerisikos angesehen.

Gesetze zum Schutz von Daten und Privatsphäre
Die europäische DSGVO und ähnliche Gesetze auf der ganzen Welt sollten den Verbrauchern mehr Kontrolle über ihre Daten geben. Diese Vorschriften verlangten, dass Unternehmen klare Zustimmungsoptionen anböten, die Datennutzung offenlegten und den Nutzern die Möglichkeit gäben, die von ihren Geräten erfassten Daten zu verwalten.
Die Durchsetzung dieser Gesetze gegenüber ausländischen Unternehmen bleibe jedoch eine Herausforderung. Aus diesem Grund habe die Europäische Kommission das neue Gesetz über die Widerstandsfähigkeit gegen Cyber-Angriffe (Cyber Resilience Act, CRA) verabschiedet, welches von den Herstellern verlange, bei allen vernetzten Geräten sowohl die Datenschutz- als auch die Sicherheitsanforderungen beim Vertrieb auf dem europäischen Markt einzuhalten.

Sicherheitsstandards für Geräte
Mehrere Länder hätten Gesetze erlassen, die Mindest-Sicherheitsstandards für von Behörden verwendete Geräte vorschreiben. Diese Gesetze förderten grundlegende Sicherheitsmaßnahmen – wie das Verbot von Standard-Passwörtern – und verringerten so das Risiko eines unbefugten Zugriffs.

IoT-Sicherheit als eigener Aspekt der Cyber- bzw. Datensicherheit

Die in den Zeitungen landenden Datenschutzverletzungen machten deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen seien. Geuenich betont abschließend: „Es geht darum, wie diese ,Smart Devices’ in den falschen Händen die Privatsphäre und Sicherheit von jedem gefährden könnten.“

„Wenn Regierungen, Aufsichtsbehörden und Verbraucher beginnen, sich mit dieser Tatsache zu befassen, werden Zusammenarbeit und Wachsamkeit der Schlüssel sein, um die Unantastbarkeit der Privatsphäre zu bewahren.“ Zudem werde dann das Bewusstsein für die IoT-Sicherheit als eigener Aspekt der Cyber-Sicherheit gestärkt werden, „damit die Geräte ab Werk und im Einsatz umfassend geschützt sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 29.08.2024
IoT: Wenn das Internet der Dinge zum Internet of Threats zu werden droht / Vorteile der IoT-Technologie dürfen nicht durch Gefahr von Cyber-Angriffen überschattet werden

datensicherheit.de, 05.12.2016
Gesundheits-Apps und Wearables: Datenschutz ungenügend / Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf

[datensicherheit.de, 04.01.2025] Die Check Point Software Technologies Ltd. geht in einer aktuellen Stellungnahme auf eine schwere Cyber-Attacke gegen das US-Finanzministerium (US Treasury) ein. US-Amerikanische Behörden haben demnach bekanntgegeben, dass mit China in Verbindung stehende Hacker Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt hätten, um Dokumente zu stehlen – Beamte des US-Finanzministeriums hätten in einem Schreiben diese Attacke als „großen Vorfall“ („major incident“) bezeichnet. Die Untersuchung sei noch im Gange, aber Check Point kann nach eigenen Angaben bereits jetzt einige wichtige Details, Erkenntnisse und Abhilfemaßnahmen auf der Grundlage der verfügbaren Fakten skizzieren. Diese Sicherheitsverletzung werfe außerdem ein Schlaglicht auf die zunehmende Häufigkeit von Cyber-Angriffen. Nach Erkenntnissen von Check Point Research (CPR) seien Organisationen in den USA im November 2024 durchschnittlich 1.345 Cyber-Angriffen pro Woche ausgesetzt gewesen. Regierungsbehörden gehörten zu den drei Branchen, welche am häufigsten das Ziel von Ransomware gewesen seien.

2 spezifische Schwachstellen bei Cyber-Angriff auf US Treasury ausgenutzt

Berichten zufolge seien bei diesem Angriff zwei spezifische Schwachstellen in der Remote-Support-Software von BeyondTrust ausgenutzt worden:

CVE-2024-12356 (CVSS 9.8)
Eine Kritische Sicherheitslücke in der „BeyondTrust Privileged Remote Access (PRA) und Remote Support (RS)“-Software, welche es Angreifern ermögliche, sich über nicht ordnungsgemäß validierte API-Endpunkte einen Zugang zu verschaffen.

CVE-2024-12686 (CVSS 6.6)
Ein zusätzlicher Fehler im Zusammenhang mit der Token-Verwaltung, den Angreifer zur Aufrechterhaltung der Persistenz nutzten.

Zugriff auf Arbeitsstationen und Dokumente in den Systemen des US-Finanzministeriums

„Es wird berichtet, dass die Angreifer einen digitalen Signierschlüssel für die Software erworben haben, der es ihnen ermöglichte, sich als legitime Benutzer mit privilegiertem Zugang auszugeben.“ Auf diese Weise hätten sie auf nicht als geheim klassifizierte Arbeitsstationen und Dokumente in den Systemen des US-Finanzministeriums zugreifen und sensible, aber nicht als geheim klassifizierte Daten kompromittieren können.

Organisationen überall auf der Welt, welche dieselbe Software einsetzen, seien dem Risiko ähnlicher oder noch schwerwiegenderer Sicherheitsverletzungen ausgesetzt.

Check Point empfiehlt, „sofort Maßnahmen zu ergreifen, um die relevanten Schwachstellen zu schließen und eine widerstandsfähige Cyber-Abwehr zu gewährleisten, um weitere Angriffe abzuwehren, wobei der Schwerpunkt auf der Prävention liegt“.

Lehren aus Cyber-Angriff auf US-Finanzministerium

Sicherheitsfachleute könnten sich auf das folgende Defense-in-Depth-Framework stützen, um kurzfristig einen Reaktionsplan für die BeyondTrust-Schwachstellen zu erstellen und gleichzeitig langfristig eine präventiv ausgerichtete, umfassende und effektive Cyber-Position aufzubauen:

Patch-Verwaltung und Behebung von Sicherheitslücken

• Umgehende Maßnahmen: Sicherstellen, dass jede Software und Tools von Drittanbietern regelmäßig aktualisiert werden. Auf Updates und Hinweise der Anbieter achten!
• Verwendung eines Systems zur Verwaltung von Sicherheitslücken, um Kritische CVEs zu identifizieren und zu priorisieren.
• Implementierung eines Programms zur Verwaltung externer Angriffssysteme (EASM), um relevante Schwachstellen zu priorisieren und zu beheben, bevor sie von Angreifern entdeckt werden.

Zero-Trust-Architektur

• Begrenzung der Vertrauensstufen für Software-Integrationen.
• Kontinuierliche Überprüfung von Benutzern und Geräten und Einschränkung des Zugriffs, auch nach der ersten Authentifizierung.
• Implementierung einer Multi-Faktor-Authentifizierung (MFA), auch von bekannten Geräten für interne und externe Anwendungen und Portale.

Privileged Access Management (PAM)

• Verwendung robuster PAM-Lösungen, um strenge Kontrollen für den Zugriff auf Kritische Systeme durchzusetzen.
• Häufiges Rotieren, Überwachen und Prüfen der Verwendung privilegierter Berechtigungsnachweise.

Sicherheit der Daten

• Verschlüsselung der Unternehmensdokumente, so dass die darin enthaltenen Daten nicht zugänglich sind, wenn sie kompromittiert werden oder durchsickern.

Sicherheit digitaler Zertifikate

• Schutz von Signierschlüsseln und anderem sensiblen kryptografischen Material sicherstellen.
• Implementierung von Hardware-Sicherheitsmodulen (HSMs) für die Schlüsselspeicherung, um Diebstahl oder Missbrauch zu verhindern.

Endpunkt-Erkennung und -Reaktion (EDR)

• Einsatz von EDR-Tools zur Überwachung ungewöhnlicher Aktivitäten auf Endgeräten.
• Untersuchung von und Reaktion auf Anomalien, insbesondere auf Systemen mit privilegierter Software.

Verhaltensanalyse und Bedrohungsanalyse

• Durchführung einer Bewertung des Security Information and Events Management-Security Operations Center (SIEM-SOC) zur Erkennung und Behebung von Risiken.
• Implementierung einer Verhaltensüberwachung, um ungewöhnliche API-Aufrufe oder unerwartetes Benutzerverhalten zu erkennen.
• Nutzen von Threat-Intelligence-Feeds, um sich über aktive Exploits zu informieren, die auf ähnliche Software zielen.

Sicherheit der Lieferkette

• Wahl eines Sicherheitsanbieters, der digitales Vertrauen und eine umgehende Reaktion auf schwerwiegende Schwachstellen (über Kritikalität 8,5) nachweisen kann.
• Durchführung regelmäßiger Sicherheitsbewertungen von Drittanbietern.
• Aufnahme von Klauseln in Anbieterverträge, die eine rechtzeitige Offenlegung von Schwachstellen vorschreiben, um die Gefahr der Dritten und Vierten Partei zu mindern.

Pläne für die Reaktion auf Zwischenfälle

• Führung eines umfassenden „Playbooks“ für die Reaktion auf Vorfälle, welches auf die mögliche Kompromittierung durch Dritte und die Anforderungen des Unternehmens zugeschnitten ist.
• Durchführung von „Tabletop“-Übungen zur Simulation von Angriffen auf „Tools“ von Drittanbietern.

Grundsätzlicher Rat nach Vorfall beim US-Finanzministerium

Der erste Schritt nach diesen Angriffen auf das US-Finanzministerium müsse nun darin bestehen, die spezifischen Schwachstellen zu beseitigen, welche den unbefugten Zugang zu den Systemen ermöglicht hätten.

In der Regel seien es jedoch nicht die sichtbaren Schwachstellen, sondern die bislang unbekannten, welche eine Attacke verschuldet hätten.

Durch eine Kombination aus vorausschauendem Schwachstellen-Management, einer Echtzeit-Überwachung und Defense-in-Depth-Strategie könnten Unternehmen die Risiken ähnlicher Angriffe aber kontinuierlich mindern.

Weitere Informationen zum Thema:

CHECK POINT, 31.12.2024
What You Need to Know about the US Treasury Breach – and How to Protect Your Organization from a “Major Incident”

BLEEPINGCOMPUTER, Lawrence Abrams, 30.12.204
US Treasury Department breached through remote support platform

CVE, 18.12.2024
CVE-2024-12686

CVE, 17.12.2024
CVE-2024-12356