[datensicherheit.de, 30.11.2023] Tenable® betont heute, dass 44 % der Cyberangriffe, denen deutsche Unternehmen in den vergangenen zwei Jahren ausgesetzt waren, erfolgreich verliefen. Sicherheitsteams sind daher gezwungen, Arbeitszeit und Maßnahmen auf eine reaktive Eindämmung von Cyberangriffen zu fokussieren, anstatt diese schon im Vorfeld zu verhindern. Da weniger als die Hälfte (48 %) der deutschen Unternehmen davon überzeugt ist, die eigene Risikoexposition mithilfe ihrer Cybersecurity-Verfahren erfolgreich reduzieren zu können, besteht offenkundig Handlungsbedarf. Diese Ergebnisse basieren auf einer Studie unter 102 deutschen Cybersecurity- und IT-Führungskräften, die Forrester Consulting 2023 im Auftrag von Tenable durchgeführt hat.

Faktor Zeit spielt Sicherheitsteams nicht in die Karten

Aus der Studie wurde deutlich, dass der Faktor Zeit Sicherheitsteams nicht in die Karten spielt. Nahezu drei Viertel der Befragten (73 %) sind der Ansicht, dass ihr Unternehmen bei der Abwehr von Cyberangriffen erfolgreicher wäre, wenn es mehr Ressourcen für präventive Cybersecurity aufbringen würde. Doch die Hälfte der Befragten (50 %) gibt an, dass das Cybersecurity-Team zu sehr mit der Bekämpfung kritischer Vorfälle beschäftigt ist, als dass es einen präventiven Ansatz verfolgen könnte, um die Exposure des Unternehmens zu reduzieren.

Besonderte Risiken im Zusammenhang mit Cloud-Infrastrukturen

Besonders besorgt zeigten sich die Befragten über Risiken in Zusammenhang mit Cloud-Infrastrukturen, da dort die Korrelation von Nutzer- und Systemidentitäten, Zugang und Berechtigungsdaten äußerst komplex ist. Deutschland wurde bei der Nutzung von Cloud Computing als eines der wachstumsstärksten Länder Europas identifiziert, was sich auch in der Studie zeigt: Sieben von zehn Unternehmen (77 %) geben an, Multi-Cloud- und/oder Hybrid Cloud-Umgebungen einzusetzen. Dennoch führen 60 % der Befragten Cloud-Infrastruktur als einen der Bereiche mit dem größten Cyberrisiko in ihrem Unternehmen an. Der Reihe nach geordnet entstehen die größten wahrgenommenen Risiken aus der Nutzung von Multi-Cloud- und/oder Hybrid Cloud-Infrastruktur (24 %), Public Cloud-Infrastruktur (22 %) und Private Cloud-Infrastruktur (15 %).

Genaues Bild der Angriffsoberfläche fehlt

Cyber-Experten zufolge ist eine reaktive Haltung zum größten Teil darauf zurückzuführen, dass ihre Teams Schwierigkeiten haben, sich ein genaues Bild von ihrer Angriffsoberfläche zu machen, inklusive Einblick in unbekannte Assets, Cloud-Ressourcen, Code-Schwachstellen und Systeme für Benutzerberechtigungen. Die Komplexität von Infrastruktur – und die damit verbundene Abhängigkeit von mehreren Cloud-Systemen, zahlreichen Tools zur Verwaltung von Identitäten und Berechtigungen sowie verschiedenen Assets mit Internetanbindung – hat zur Folge, dass es an diversen Stellen zu Fehlkonfigurationen und übersehenen Assets kommen kann. Mehr als die Hälfte der Befragten (62 %) führen an, dass mangelnde Datenhygiene sie daran hindert, hochwertige Daten aus Systemen für Benutzer- und Zugriffsmanagement sowie aus Schwachstellen-Management-Systemen zu gewinnen. Die meisten Befragten (71 %) geben zwar an, Benutzeridentitäten und Zugriffsrechte zu berücksichtigen, wenn sie Schwachstellen für Patching- und Behebungsmaßnahmen priorisieren. Doch 52 % erklären, dass es ihrem Team an einer effektiven Möglichkeit fehlt, solche Daten in ihre präventiven Cybersecurity- und Exposure-Management-Verfahren einzubinden.

Cybersecurity – Mangelnde Kommunikation verschäft die Situation

Ein Mangel an Kommunikation auf höchster Ebene verkompliziert und verschärft das Cybersecurity-Problem in Unternehmen. Während Angreifer Umgebungen fortlaufend unter die Lupe nehmen, finden Meetings zu geschäftskritischen Systemen bestenfalls in monatlichen Abständen statt. Knapp über die Hälfte der Befragten (54 %) trifft sich eigenen Angaben zufolge monatlich mit Geschäftsverantwortlichen, um zu erörtern, welche Systeme geschäftskritisch sind. Bei 17 % finden solche Besprechungen jedoch nur einmal im Jahr und bei 2 % überhaupt nicht statt.

„Deutsche Unternehmen standen der Nutzung von Cloud-Technologie in der Vergangenheit eher zurückhaltend gegenüber. Doch dies hat sich in den letzten Jahren drastisch geändert, wie unsere Studie bestätigt. Angesichts der immer komplexer werdenden Angriffsoberfläche muss sich etwas ändern, um die Flut an erfolgreichen Angriffen aufzuhalten“, so Roger Scheer, Regional Vice President of Central Europe. „Sicherheitsteams haben erkannt, dass ein präventiver Sicherheitsansatz weitaus effektiver ist als ein reaktiver. Doch sie sind überfordert von der schieren Menge an Cyberangriffen, die es für einen solchen Fokuswechsel zu bewältigen gilt. Der deutsche Digitalverband Bitkom gab vor kurzem bekannt, dass Cyberkriminalität die deutsche Wirtschaft im Jahr 2023 insgesamt 206 Milliarden € kosten wird. Um den Ansturm erfolgreicher Cyberangriffe aufzuhalten, sind Veränderungen notwendig. Sicherheitsverantwortliche müssen frühzeitiger in unternehmerische Entscheidungen auf höchster Ebene eingebunden werden, wie etwa in Strategien der Cloud-Bereitstellung, damit das Team nicht überrumpelt wird. Funktionsübergreifende Zusammenarbeit verbunden mit ganzheitlicher Transparenz über die Infrastruktur des Unternehmens ist notwendig, um auftretende Risiken effektiv und effizient zu reduzieren und Cyberangriffe schon im Vorfeld zu unterbinden.“

Ein Whitepaper mit weiteren Ergebnissen aus der Studie ist verfügbar. Es zeigt unter anderem auf, wie Unternehmen die Herausforderungen bewältigen und von einer reaktiven Sicherheitsaufstellung zu einem präventiven Ansatz übergehen können.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2023
Große Risiken für Unternehmen: Tenable warnt vor Patch-Müdigkeit

Kostenloses Angebot zur Unterstützung von IT-Administratoren bei der Stärkung ihrer Schulungen zum Sicherheitsbewusstsein

[datensicherheit.de, 23.08.2021] KnowBe4, Anbieter einer weltweit verfügbaren Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, hat anlässlich des Cybersecurity Awareness Month im Oktober ein Ressourcenpaket veröffentlicht.

Kostenlose Schulungsvideos

Das KnowBe4-Ressourcenpaket für den Cybersecurity Awareness Month enthält einen Leitfaden für das Paket und Kampagnenideen, die IT-Administratoren den Einstieg erleichtern. Zudem einen wöchentlichen Schulungsplan, zwei kostenlose Schulungsvideos, Infografiken, Tippblätter und Desktop-Hintergründe. Die beiden kostenlosen Schulungsvideos – „Your Role: Internet Security and You“ und „2021 Social Engineering Red Flags“ – sind in verschiedenen Sprachen verfügbar.

Foto: KnowBe4

„Diese Cybersecurity-Ressourcen, die wir IT-Administratoren anbieten, sollen sie bei ihren Schulungsplänen und anderen Initiativen zur Förderung des Sicherheitsbewusstseins im Oktober unterstützen“, sagt Stu Sjouwerman, CEO von KnowBe4. „Böswillige Akteure lassen bei ihren Angriffen auf alle Bereiche – von kritischen Infrastrukturen bis hin zu kleinen Unternehmen – nicht nach. Daher müssen Unternehmen ihre Mitarbeiter schulen, indem sie sie über die neuesten Bedrohungen und Angriffsvektoren aufklären. Der Cybersecurity Awareness Month ist eine Initiative, bei der wir unsere Bemühungen auf den Monat Oktober konzentrieren können, während wir gleichzeitig das ganze Jahr über unsere Organisationen besser schützen.“

Motto des Cybersecurity Awareness Month 2021: „Do Your Part. #BeCyberSmart“

Das Thema des diesjährigen Cybersecurity Awareness Month 2021 der National Cybersecurity Alliance lautet „Do Your Part. #BeCyberSmart“. Das Thema soll Einzelpersonen und Organisationen ermutigen, eine entscheidende Rolle beim Schutz ihres Teils des Cyberspace zu spielen. Jeder kann seinen Teil dazu beitragen, unsere vernetzte Welt für alle sicherer und widerstandsfähiger zu machen, indem er stärkere Sicherheitspraktiken einführt, das Bewusstsein der Gemeinschaft schärft, gefährdete Zielgruppen aufklärt oder Mitarbeiter schult.

Weitere Informationen zum Thema:

KnowBe4
Ressourcenpaket für den Cybersecurity Awareness Month 2021

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt

Ein Kommentar von Christoph Volkmer, VP DACH bei Tanium

[datensicherheit.de, 22.01.2021] Den Ermittlungsergebnissen von NSA und FBI zufolge lässt sich der gezielte Angriff auf den texanischen IT-Dienstleister Solarwinds auf russische Urheber zurückverfolgen. Diese haben ein Update einer Netzwerk-Management-Software von SolarWinds manipuliert, welches weltweit von vielen staatlichen Behörden und Betreibern kritischer Infrastruktur genutzt wird. Auch deutsche Behörden, darunter 16 Ministerien und Bundesämter, sind einer Untersuchung zufolge davon betroffen. Der Digitalexperte der FDP Manuel Höferlin, der die Anfrage an die Bundesregierung stellte, die zur erwähnten Untersuchung geführt hatte, spricht daher auch vom „massivsten Angriff auf die westliche Welt seit Jahrzehnten“.

Lessons learned für Unternehmen und Behörden aus dem Solarwinds-Hack

Die Ermittlungen sind derzeit noch in vollem Gange. Es ist jedoch davon auszugehen, dass es sich bei dem Hack um eine Spionageaktion handelt, die nicht auf Manipulation oder Vernichtung von Daten abzielte. Vielmehr sollte ein Zugang zu Geheiminformationen erlangt werden, möglichst unentdeckt und lange beständig. Bei einer solchen Vorgehensweise ist es besonders schwierig, die Eindringlinge zu entdecken, da sie sich äußerst vorsichtig und unauffällig im System bewegen und darauf bedacht sind, keinen Alarm auszulösen. Auf diese Weise kann die Hintertür einer Schwachstelle lange Zeit verschleiert werden, was einen längeren Zugriff auf interne Daten der Opfer verspricht. Ist die Sicherheitslücke nämlich erst einmal entdeckt worden, kann sich der Softwarehersteller umgehend um die Behebung kümmern und einen Hotfix an alle Kunden ausspielen, um somit die Datenspione wieder vor die Tür zu setzen.

Christoph Volkmer, VP DACH bei Tanium, © Tanium

Für Firmen ist es von existenzieller Bedeutung, alle im Unternehmen genutzten Applikationen und digitalen Dienstleistungen im Blick zu behalten und stets zu wissen, auf welchen Endgeräten möglicherweise veraltete Versionen oder Sicherheitsupdates installiert sind. Veraltete Endgeräte sind das Haupteinfallstor für Cyberkriminelle, um sich einen nachhaltigen Zugang zur IT-Infrastruktur zu sichern.

Ist das Ziel der Hacker, wie im Fall von Solarwinds, sich unbemerkt und langfristig im Netzwerk von Behörden und Unternehmen einzunisten, so ist es ohne lückenlose Sichtbarkeit aller IT-Assets nahezu unmöglich den Eindringling zu entdecken.

Denn es reicht schon ein einzelner Firmenlaptop mit veralteten Softwareversionen, um die Integrität der IT-Sicherheit in der gesamten Organisation zu kompromittieren.

Lückenloses Update-Management ist die beste Waffe im Kampf gegen Schwachstellen

Um Lückenlosigkeit in der firmeninternen IT-Sicherheitsstrategie zu gewährleisten, ist es von äußerster Wichtigkeit, alle Endpunkte und deren Update-Status jederzeit überblicken zu können. Eine agentenbasierte Lösung ist hierbei die beste Wahl, da sie zum einen jeden Endpunkt in Echtzeit kontrollieren kann und zum anderen eine signifikante Steigerung der Reaktionsgeschwindigkeit und Agilität im Vergleich zu zentralisierten Update-Strategien bietet. Nur ein Rechner, der sichtbar ist, kann auch auf veraltete Software hin kontrolliert werden. Nur ein Laptop, der wenige Minuten nach Launch eines Sicherheitsupdates gepatcht wird, verhindert eine unbemerkt klaffende Sicherheitslücke, die im schlimmsten Fall existenzbedrohende Ausmaße annehmen kann – für die eigene Organisation sowie auch deren Kunden und Partner gleichermaßen.

Besonders wenn öffentliche Einrichtungen und Unternehmen der kritischen Infrastruktur eines Landes betroffen sind, dürfen bei der IT-Sicherheit keine Kompromisse eingegangen und keine notwendigen Kosten gescheut werden. Bei der Reaktion auf solche Cyberangriffe ist Entschlossenheit und Geschwindigkeit oberstes Gebot. Man spielt kein Russisch Roulette, wenn es möglicherweise um die Sicherheit eines ganzen Landes und die Gesundheit seiner Bevölkerung geht.

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2020
EMA: Europäische Arzneimittelagentur gehackt

Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

[datensicherheit.de, 07.01.2021] Check Point Research maß die Zunahme von Cyberangriffe gegen Krankenhäuser in den letzten zwei Monaten in Prozent. Stärker als in Deutschland mit 220 Prozent war der Anstieg nur in Kanada mit 250 Prozent zu verzeichnen. Bereits der dritte Platz, Spanien, liegt weit dahinter mit einem Anstieg um 100 Prozent.

Abbildung 1: Anstieg der Attacken im Gesundheitsbereich nach Ländern, Bild: Check Point Software Technologies Ltd.

Außerdem war Zentraleuropa von allen gemessenen Regionen mit 145 Prozent am stärksten betroffen. Weltweit stieg die Zahl der Angriffe gegen Krankenhäuser um 45 Prozent. Alle anderen Sektoren der Weltwirtschaft zusammen ergeben dagegen nur einen Anstieg um 22 Prozent.

Abbildung 2: Anstieg der Attacken im Gesundheitsbereich nach Regionen der Welt, Bild: Check Point Software Technologies Ltd.

Hauptsächlich sahen die Sicherheitsforscher verschiedene Ransomware als Waffe im Einsatz, darunter Ryuk und Sodinokibi. Hinzu kommen Angriffe durch Bot-Netze, Remote Code Execution (Ausführung von Schad-Code über Fernzugriff) und DDoS-Attacken, um Systeme lahm zu legen.

Anzeichen bevorstehender Cyberangriffe erkennen

Aufgrund der vielen Ransomware raten die Sicherheitsforscher allen Unternehmen danach, die ersten Anzeichen für eine bevorstehende Attacke zu erkennen und daher nach Trojaner im Netzwerk zu suchen. Diese können das Unternehmen aushorchen und Hintertüren öffnen, um den Angriffsweg zu ebenen. Sie weisen weiter darauf hin, dass Ransomware-Attacken im vergangenen Jahr vornehmlich am Wochenende und während der Ferien durchgeführt wurden. Entsprechend muss die Sicherheitsstrategie angepasst sein. Zusätzlich gibt es mittlerweile spezialisierte Anti-Ransomware-Sicherheitslösungen und ganze IT-Sicherheitsarchitekturen, die eine Reihe von Gegenmaßnahmen zentral steuern. Die Schulung der Mitarbeiter und Fachkräfte durch spezielle Kurse an Akademien darf außerdem nicht vernachlässigt werden. Schließlich hilft es gerade Krankenhäusern, die auf ihre Systeme oft keinen Patch einspielen können, weil sonst alle Maschinen angehalten werden müssten, ein sogenanntes Intrusion Prevention System (IPS) zu nutzen, wodurch Patches sich virtuell einspielen lassen. Auf diese Weise kommen die Einrichtungen doch in den Genuß der Verbesserungen durch das Update.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH, führt zu den Ergebnissen aus: „Es ist kein Wunder, dass derzeit die Angriffe gegen und Erpressungen von Krankenhäusern so stark zunehmen: In vielen Fällen können Kriminelle so schnelles Geld verdienen. Den Einrichtungen kommt nicht nur eine wichtige Rolle an sich zu, sondern, wegen der Corona-Krise, auch viel Aufmerksamkeit. Wird eine Lösegeldforderung durch eine Ransomware, die kritische Systeme des Krankenhauses lahm legt, gestellt, so können Leben von Patienten auf dem Spiel stehen. Darum neigen diese Einrichtungen natürlich stärker dazu, den Forderungen nachzugeben und zu bezahlen. Der vermehrte Einsatz der Ransomware Ryuk lässt außerdem darauf schließen, dass gezielte Attacken beliebter sind, als breit angelegte Spam-Kampagnen.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2020
Android: Völlig neuartige Malware bedroht Anwender

Check Point Software
Attacks targeting healthcare organizations spike globally as COVID-19 cases rise again

In dem Bericht „2020 What keeps you up at Night“ wurden 300 B2B-IT-Entscheidungsträger in Deutschland zu den wichtigsten Risiken im Cyberspace befragt / Ransomware, Einhaltung von Compliance (DSGVO, etc.), Insider-Angriffe und der Nutzer selbst wurden als die vier größten Risiken genannt

[datensicherheit.de, 14.07.2020] KnowBe4, Anbieter einer Plattform für Security Awareness Trainings und simuliertes Phishing, veröffentlicht die Ergebnisse seiner Umfrage „2020 What keeps you up at Night“. Die Studie wurde vom Marktforschungsinstitut Innofact AG im Februar 2020 mit 300 B2B-IT-Entscheidern durchgeführt. Die Zahlen zeigen, dass es innerhalb deutscher Unternehmen eine Reihe gemeinsamer Themen gibt, die mit dem Wandel von Cyberangriffen, der Verfügbarkeit von Sicherheitslösungen und dem wachsenden Druck zur Einhaltung von Compliance-Vorschriften zusammenhängen. Im Durchschnitt waren 51 Prozent der Unternehmen in gewissem Maße besorgt über ein im Fragebogen angesprochenes Sicherheitsproblem. Trotz dieser Tatsachen antwortete nur etwa die Hälfte (47 Prozent) der Befragten, dass ihr Unternehmen ein Security Awareness Training anbietet.

Die wichtigsten Eckdaten der Umfrage sind:

• Unachtsame Nutzer spielen eine entscheidende Rolle bei der Frage, ob deutsche Unternehmen im Bereich IT-Security besorgt sind. Die Sorge vor Cyberangriffen in diesem Zusammenhang ist um durchschnittlich 206 Prozent angestiegen.
• Ransomware führt die Liste der Angriffstypen an, wobei 63 Prozent der deutschen Unternehmen eine gewisse Besorgnis zu dieser Angriffsart zum Ausdruck bringen.
• Trotz der Problematik „unachtsame Benutzer“ haben lediglich 47 Prozent der befragten Unternehmen Security Awareness Trainings im Einsatz.
  Dreizehn verschiedene Arten von Cyberangriffen bereiten durchschnittlich 59 Prozent der deutschen Unternehmen Sorgen.
• Die Einhaltung der Compliance-Vorgaben ist für 48 Prozent der Unternehmen nach wie vor eine Herausforderung, obwohl die Einzelheiten der Richtlinien schon seit geraumer Zeit bekannt sind.
• Die Personalbeschaffung in den Bereichen Sicherheit und IT scheint für 60 Prozent der Unternehmen eine Herausforderung zu bleiben, herbeigeführt durch unzureichende Budgets und mangelnde Unterstützung der Unternehmensführung.
  Sicherheitsstrategie und Sicherheitskultur

Sicherheitsstrategie und Sicherheitskultur sind zwar vorhanden, aber es bedarf noch weiterer Bemühungen. Durchschnittlich 49 Prozent der Befragten gaben an, dass sie an Sicherheitsinitiativen arbeiten oder damit beginnen müssen, und 59 Prozent von ihnen verfügen noch gar nicht über eine ausgereifte Sicherheitsstrategie.

Die mit Abstand größte Sorge von IT-Führungskräften stellt der Benutzer selbst dar. 71 Prozent der IT-Entscheidungsträger sind besonders besorgt über das Risiko, dass Benutzer Passwörter mehrfach nutzen, und 67 Prozent sind besorgt über unachtsame Benutzer im Allgemeinen. Die Benutzer müssen zunächst ihre Rolle in der Sicherheitsstrategie des Unternehmens verstehen und dann lernen, Phishing-Angriffe, das Klicken auf unsichere Links, die Angabe von Zugangsdaten für gefälschte Websites und die mehrfache Nutzung von Passwörtern zu unterlassen. Das alles beginnt mit dem Etablieren einer Sicherheitskultur.

Detlev Weise, Senior Adviser, Bild: KnowBe4

„Unternehmen können die neuesten Sicherheitslösungen einführen und Millionen für das IT-Budget ausgeben, aber wenn ihre Mitarbeiter immer noch auf jeden Link klicken, der in ihren Posteingang kommt, dann bringt das alles nichts. Da nur 47 Prozent der Befragten angeben, dass sie ein Security Awareness Training im Einsatz haben, wird diese Situation nicht rechtzeitig bewältigt werden können. Unternehmen aller Größen müssen Security Awareness Trainings einführen und sollten ihre Benutzer regelmäßig auf die Erkennung von Phishing-Mails schulen, um das Gefahrenbewusstsein der Mitarbeiter zu schärfen und Sicherheit als Teil ihrer Arbeitsaufgaben und Unternehmenskultur zu integrieren. Nicht oder nicht ausreichend geschulte Anwender stellen eine potenzielle Bedrohung für ihr Unternehmen dar. Das muss sich ändern: Die Mitarbeiter sollten die erste und stärkste Verteidigungslinie im Unternehmen darstellen“, erläutert Detlev Weise, Senior Adviser bei KnowBe4.

Weitere Informationen zum Thema:

KnowBe4
WHAT KEEPS YOU UP AT NIGHT – REPORT 2020

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

Serie von Cyberangriffen in Deutschland

[datensicherheit.de, 26.06.2020] Die Serie von Ransomware-Angriffen, die auf deutsche Unternehmen und Endanwender gleichermaßen abzielen, reißt nicht ab. Bereits in den vergangenen Wochen kam es nach Erkenntnissen von Proofpoint zu mehreren Cyberangriffen in Deutschland, bei denen als Schadsoftware Ransomware zum Einsatz kam. Die Experten bei Proofpoint waren nun in der Lage, eine neue Ransomware-Kampagne in Deutschland zu identifizieren, die als Köder auf eine gefälschte E-Mail im Namen der Bundesregierung setzt. Dabei kommt die Ransomware „Philadelphia“ zum Einsatz. Darüber hinaus gab Proofpoint heute bekannt, dass neben der aktuellen Angriffswelle in Deutschland auch andere Länder und Regionen derzeit mit Ransomware-Kampagnen zu kämpfen haben – im Unterschied zu den Attacken hierzulande werden dabei jedoch Verschlüsselungstrojaner der Ransomware-Familien Avaddon und Mr. Robot verbreitet.

Zahlreiche Ransomware-Kampagnen in Deutschland

Erst Anfang dieser Woche teilte das US-Cybersicherheitsunternehmen Proofpoint mit, dass es eine Ransomware-Attacke auf deutsche Unternehmen und Verbraucher entdeckt hatte. Die Ransomware Hakbit sollte mittels vermeintlicher Rechnungen von 1&1 die PCs der potenziellen Opfer bei der Attacke in Deutschland verschlüsseln. Jetzt konnten die IT-Sicherheitsspezialisten hierzulande eine neue Kampagne von Ransomware-Angriffen aufdecken, bei der Cyberkriminelle versuchen, die Philadelphia-Ransomware zu verbreiten.

Cyberkriminelle mit gefälschter E-Mail

In der aktuellen Kampagne fälschen die Cyberkriminellen eine E-Mail, die angeblich im Namen der Bundesregierung an deutsche Unternehmen versendet wurde. Am Kopf der E-Mail prangt ein gefälschtes Logo der Bundesregierung in englischer Sprache und als Absender nutzten die Hintermänner die Adresse „state [at] germany-government [dot] eu“, um ihrer E-Mail einen offiziellen Anschein zu geben. Die Kampagne adressiert vor allem deutsche Unternehmen aus dem verarbeitenden Gewerbe sowie die Lebensmittel- und Getränkeindustrie.

Aufmerksamkeit gefragt

Aufmerksame Empfänger können durchaus erkennen, dass es sich bei der E-Mail nicht um eine offizielle Nachricht der Bundesregierung handelt. Allerdings kann der Betreff der Mail dennoch den ein oder anderen durch die COVID-19-Pandemie besorgten Unternehmer zu einem vorschnellen Klick auf den enthaltenen Link verleiten. Denn als Betreff wählten die Angreifer: „Die Entscheidung, Ihr Unternehmen aufgrund von COVID-19 zu schließen“ (siehe Abbildung).

Gefälschte E-Mail der Bundesregierung, Bild: Proofpoint

Wer nun aus Sorge oder Neugier auf den Link klickt, unter dem angeblich weitere Dokumente zum Vorgang heruntergeladen werden können, der erhält statt weiterführenden Informationen direkt den Verschlüsselungstrojaner Philadelphia. Sobald der PC des Opfers damit verschlüsselt wurde, wird der betroffene Nutzer aufgefordert, ein Lösegeld in Höhe von 200 Euro in Bitcoin zu entrichten, um seine Daten wieder freizugeben (siehe Abbildung 2). Interessant an der Entscheidung der Cyberkriminellen für den Verschlüsselungstrojaner Philadelphia ist insbesondere, dass dieser Ransomware-Typ seit fast drei Jahren in keiner Kampagne mehr zum Einsatz kam.

Lösegeldforderung der aktuellen Philadelphia-Ransomware, Bild Proofpoint

Laut Proofpoint illustriert aber auch ein weiterer Aspekt dieser Kampagne einen Paradigmenwechsel auf Seiten der Angreifer: Im Gegensatz zu Angriffen der vergangenen Jahre, bei denen Ransomware verwendet wurde, wird die Schadsoftware hier direkt als so genannte „First-Stage Payload“ eingesetzt. Seit 2018 war es unter Cyberkriminellen hingegen üblich, zunächst einen Downloader als initiale Payload zu verbreiten, die dann wiederum die Ransomware nachlud. Es wurden in der Folge kaum Angriffe beobachtet, bei denen Verschlüsselungstrojaner als direkte Payload Verwendung fanden.

Damit scheint es nun jedoch vorerst vorbei zu sein, denn diesen Trend konnte das Sicherheitsunternehmen auch bei aktuellen Ransomware-Kampagnen in anderen Ländern beobachten.

So war Proofpoint in der Lage, eine Ransomware-Kampagne zu identifizieren, bei der der Verschlüsselungstrojaner Avaddon vorwiegend in den USA verbreitet werden sollte. Auch hierbei lädt der ausgeführte Dateianhang mittels Powershell die Schadsoftware herunter und führt sie direkt aus. Im Rahmen der Angriffswelle mit Avaddon wurden zwischen dem 4. und 10. Juni dieses Jahres über eine Million E-Mails verschickt, davon allein 750.000 Nachrichten an einem Tag (6. Juni).

Darüber hinaus deckte Proofpoint eine weitere Kampagne auf, bei der ebenfalls ein Verschlüsselungstrojaner als initiale Payload diente. Hier handelte es sich um die Ransomware Mr. Robot, die zwischen dem 19. Mai und dem 1. Juni 2020 vorwiegend an US-Unternehmen aus den Bereichen Entertainment, dem produzierenden Gewerbe sowie dem Baugewerbe verschickt wurde. Als Köder dienten dabei Themen, die einen Bezug zu COVID-19 aufwiesen.

Die aktuellen Ransomware-Kampagnen verdeutlichen einmal mehr die Wandlungsfähigkeit von Cyberkriminellen. Während in den vergangenen Jahren vorwiegend andere Arten von Schadsoftware Verwendung fanden, scheint es nun unter den Angreifern wieder eine Rückbesinnung auf alte Angriffswerkzeuge zu geben. Auch die Art und Weise, wie die Opfer mit Malware infiziert werden sollen, befindet sich durch die Nutzung von Ransomware als First-Stage Payload offenbar im Wandel.

Weitere Informationen zum Thema:

Poofpoint
Ransomware as an Initial Payload Reemerges: Avaddon, Philadelphia, Mr. Robot, and More

datensicherheit.de, 24.05.2020
ZLoader: Malwareanalyse von Proofpoint belegt neue Variante

Ein Kommentar von Tim Wellsmore, Director, Mandiant Government Solutions, Asia Pacific bei FireEye

[datensicherheit.de, 21.06.2020] Die Meldung über die Cyberangriffe auf australische Institutionen ist eine besorgniserregende, aber nicht unerwartete Erinnerung an das Ausmaß der ernsthaften Cyberbedrohungen, die in diesem Land und in dieser Region auftreten. In Australien gab es in jüngster Zeit eine beträchtliche Anzahl aufsehenerregender Vorfälle. Dies ist ein weiterer Bericht über schwerwiegende Cyberbedrohungen.

Thema im Fokus nationaler Sicherheit

Der australische Premierminister sowie der Verteidigungsminister gehen mit dieser Art von Information nicht leichtfertig um. Die einheitliche Botschaft von ihnen lautet, dass es sich um staatlich geförderte Aktivitäten handelt, wodurch das Thema in den Fokus der nationalen Sicherheit rückt. Gegenwärtig gibt es beträchtliche geopolitische Spannungen, in die Australien verwickelt ist. Wir wissen, dass staatlich geförderte Cyber-Bedrohungsaktivitäten geopolitische Spannungen direkt abbilden. Daher ist es wahrscheinlich, dass die gemeldeten Aktivitäten und der Bericht der Regierung miteinander in Zusammenhang stehen.

FireEye kennt die gemeldeten Vorfälle und die Art der Ausnutzung von Systemen, die derzeit stattfinden. Wir haben aber nur wenige damit zusammenhängende Auswirkungen auf unseren Kundenstamm gesehen. Was wir jedoch sehen, ist, dass sich sowohl staatlich geförderte als auch kriminelle Cyber-Bedrohungsakteure immer mehr darauf konzentrieren, Common Vulnerabilities and Exposures (CVE’s) auszunutzen, und zwar kurz nachdem sie öffentlich bekannt gegeben wurden. Die Systeme der Opfer werden häufig nicht schnell genug gepatcht. Wir haben quasi täglich mit staatlich geförderten Bedrohungen gegen unsere Kunden zu tun.

Die im Bericht des Australian Cyber Security Centre der australischen Regierung zu diesem Thema enthaltenen Informationen sind sehr detailliert und bieten eine gute Orientierungshilfe. Sie dienen als rechtzeitige Mahnung für Unternehmen, damit diese bei ihren Cyber-Sicherheitsprogrammen – einschließlich der Verwendung von Patches und Multi-Faktor-Authentifizierung in ihren Netzwerken – Wachsamkeit walten lassen. Es ist leider zu erwarten, dass wir weiterhin eine Zunahme der Aktivitäten im Bereich der Cyberbedrohungen auch in Australien feststellen werden, da unsere Welt technologisch immer abhängiger wird.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2020
FireEye Insights: Aktuelle Ransomware-Trends 2020

Zahl der Cyberangriffe und Raffinesse der Angreifer steigen

Ein Gastbeitrag von unserem Gastautor Christoph Volkmer, VP DACH bei Tanium

[datensicherheit.de, 05.06.2020] Die Zahl der Cyberangriffe steigt, ebenso wie die Raffinesse der Angreifer. Hinzu kommt die Sorge der IT-Verantwortlichen, den Überblick über die zunehmende Zahl an Endgeräten in ihrem Unternehmensnetzwerk, wie Laptops, Servern, virtuellen Maschinen, Container oder Cloud-Infrastrukturen zu verlieren, so dass bei weitem nicht alle Systeme ausreichend geschützt werden können. Zieht man außerdem in Betracht, dass die Methodenvielfalt der Cyberattacken nahezu täglich steigt, menschliche Fehler aufgrund erfolgreicher Phishing-Kampagnen hinzukommen und die Verwaltung der physischen und virtuellen Unternehmensinfrastruktur immer komplexer wird, stehen IT-Verantwortliche vor großen Herausforderungen. Dreh- und Angelpunkt, diese zu meistern, ist die Sichtbarkeit und Kontrolle der Endpoints.

Christoph Volkmer, VP DACH bei Tanium, © Tanium

Ganzheitliche IT-Sicherheitsstrategie empfohlen

Wenn ein Unternehmen nicht ausreichend Einblick in seine IT-Infrastruktur und damit auch keine Kontrolle über die potenziellen Schwachstellen ihrer IT-Umgebung hat, ist es von Natur aus anfällig für Angriffe. Um optimal gegen jede Art von Bedrohung gerüstet zu sein oder sich im Fall der Fälle von unerwarteten Angriffen schützen zu können, müssen sie sicherstellen, dass sie über eine ganzheitliche IT-Sicherheitsstrategie verfügen. Diese Punkte gilt es dabei zu beachten:

• Bewertung der organisatorischen Hindernisse: Arbeiten die Sicherheits- und IT-Betriebsteams zusammen oder herrscht Unklarheit darüber, welche Abteilung für die Gewährleistung der Widerstandsfähigkeit gegen Cyberangriffe zuständig ist? 42 Prozent der deutschen Unternehmen klagen über Unstimmigkeiten zwischen IT-, Betriebs- und Sicherheitsteams. Jedoch ist es nur über eine erfolgreiche Verzahnung der verschiedenen Kompetenzen in den Abteilungen möglich, das Netzwerk sowie Unternehmens- und Kundendaten zu schützen. Denn ohne diese Zusammenarbeit lässt sich keine echte Transparenz der Umgebung und Endpunkte erreichen, was das Risiko, Opfer von Cyberangriffen zu werden, erhöht.
• Die IT-Umgebung kennen: Zu verstehen, welche Komponenten sich in einer IT-Umgebung befinden, ist ein entscheidender Schritt. Wenn ein CISO beim IT-Team vorbeischaut und fragt, wie viele nicht gepatchte Geräte sich in einem Netzwerk befinden, kann diese Frage dann detailliert beantwortet werden? Für den Aufbau einer erfolgreichen Sicherheitskultur ist es von entscheidender Bedeutung, dass alle IT-Verantwortlichen auf zuverlässige und exakte Daten zurückgreifen können, um Überblick und Kontrolle über alle Endpoints zu erlangen. Dies ermöglicht es ihnen, präventiv auf technische Störungen oder Bedrohungen zu reagieren, sich darauf einzustellen und umgehend zu reagieren.
• Die Infrastruktur entrümpeln: Bei Sicherheitsdebakeln wie WannaCry berichten viele IT-Verantwortliche, dass insbesondere die Aktualisierung der Betriebssysteme in einer Umgebung voller überholter Anwendung eine große Herausforderung darstellte. Wenn ein Unternehmen eine kritische Anwendung ausführt, die es erfordert, sich auf ein veraltetes Betriebssystem zu verlassen, ist es an der Zeit, diese Strukturen zu überdenken. Die Nutzung veralteter Systeme geht mit immensen Risiken einher – dies sollten alle Mitarbeiter verstehen, sodass sie sich vor Augen halten können, wie verhältnismäßig einfach es für Cyberkriminelle ist, überholte Software als Einfallstor ins Unternehmensnetzwerk zu missbrauchen.
• Beseitigung der Fragmentierung: Die meisten IT-Sicherheits- und Betriebsteams arbeiten mit einem Wildwuchs an Insellösungen – schwer zu verwalten, unmöglich vollständig zu integrieren. Um allen Teams einen klaren Überblick über ihre gesamte IT-Umgebung zu ermöglichen, müssen Informationssilos und isolierte Arbeitsweisen beseitigt werden. Stattdessen sollten Unternehmen in eine einheitliche Endpunktverwaltungs- und Sicherheitsplattform investieren.
• Schulung der Mitarbeiter: Prognosen zufolge erfolgen bis zu 83 Prozent der Ransomware-Attacken über infizierte Links oder E-Mail-Anhänge. Die Gefahr, dass Mitarbeiter auf diese Weise in eine Falle tappen, ist groß. Zum einen werden die Angriffe mithilfe künstlicher Intelligenz und maschinellem Lernen immer ausgefeilter. Und zum anderen sind viele Stand heute nicht in der Lage, solche gefälschten E-Mails zu erkennen. Umso wichtiger ist es, in die kontinuierliche Schulung von Mitarbeitern zum Schutz vor Phishing-Angriffen zu investieren. Diese Trainings sollten ein wichtiger Bestandteil der IT-Sicherheitsstrategie darstellen.

Eine effektive IT-Sicherheitsstrategie sollte daher nicht nur die physische und virtuelle Infrastruktur umfassen, sondern auch den Mitarbeiter nicht aus den Augen verlieren. Entscheidend für die Bekämpfung jeder Art von Bedrohung – sei es ein raffinierter Angriff, ein Mitarbeiter, der auf einen infizierten Link klickt, oder einer, der überholte Software nutzt – ist die Sichtbarkeit aller Endpunkte im gesamten Netzwerk und die Fähigkeit, umgehend auf Netzwerkunterbrechungen reagieren zu können.

Weitere Informationen zum Thema:

datensicherheit.de, 14.05.2020
Samsung: Sicherheitslücke bei Smartphones potentielle Gefahr für Firmennetzwerke

Verschiedene europäischen Universitäten betroffen

[datensicherheit.de, 15.05.2020] Nach Meldungen verschiedener Medien wurden beginnend im Januar bis heute zahlreiche Supercomputer in europäischen Universitäten über Cyberangriffe infiltriert (Der Spiegel berichtet von 9). Nicht wenige wie Golem berichten, dass die Angreifer externe SSH-Zugänge gekapert haben, um sich Zugriff zu verschaffen. Was sie dort mit der Rechenkapazität tun und anstellen wollen, ist bislang noch unklar. Bislang wurden anscheinende nur Zugangsdaten abgefangen. Interessant ist aber, dass diese spektakuläre Angriffskampagne nur die jüngste in einer ganzen Reihe ist, die SSH als Angriffsvektor nutzen. Hierzu eine kurze Liste der jüngsten Malware, die sich SSH bedient, darunter Crimeware, Kryptominer, ein Wurm und Rootkits:

• TrickBot: Ursprünglich ein Banking-Trojaner, der 2016 erstmals auftauchte, wurde TrickBot zu einer flexiblen, universellen, modulbasierten Crimeware-Lösung, die sich im Laufe der Jahre auf Unternehmensumgebungen verlagert hat. TrickBot wird Cyberkriminellen als Dienst für verschiedene Zwecke angeboten, und seine Module sind auf die Bedürfnisse einer bestimmten kriminellen Aktivität ausgerichtet. Es umfasst viele Funktionen, von der Erstellung von Netzwerkprofilen, der Sammlung von Massendaten und der Einbindung von seitlich durchlaufenden Exploits. Im letzten Jahr hat TrickBot die Möglichkeit hinzugefügt, Berechtigungsnachweise sowohl für PuTTY (SSH-Client für Microsoft) als auch für OpenSSH zu erfassen. Zusätzlich zu den Berechtigungsnachweisen ist die Malware so konzipiert, dass sie nach Informationen über den Hostnamen und den Benutzernamen sucht, um sich seitlich (lateral) zu bewegen.
• KryptoSink: Diese Kryptomining-Kampagne nutzt eine fünf Jahre alte Schwachstelle (CVE-2014-3120) in Elasticsearch-Systemen auf Windows- und Linux-Plattformen aus, um die XMR-Kryptowährung abzubauen. CryptoSink erzeugt eine Hintertür zum Zielserver, indem der öffentliche Schlüssel des Angreifers der autorisierten Schlüsseldatei auf dem Rechner des Opfers hinzugefügt wird.
  Linux-Wurm: Dieser Wurm zielt auf anfällige Exim-Mail-Server auf Unix-Link-Systemen, um Monero-Kryptowährungs-Miner zu liefern. Der Wurm erstellt eine Hintertür zum Server, indem er seinen eigenen öffentlichen SSH-Schlüssel hinzufügt und den SSH-Server aktiviert, falls dieser deaktiviert ist.
• Skidmap: Hierbei handelt es sich um ein Kernel-Modus-Rootkit, das durch Hinzufügen des öffentlichen SSH-Schlüssels des Angreifers zu der autorisierten Schlüsseldatei Zugriff auf eine Hintertür zu einem Zielrechner erhält. Skidmap nutzt Ausnutzungen, Fehlkonfigurationen oder die Exposition gegenüber dem Internet, um Root- oder administrativen Zugriff auf das System zu erhalten und Kryptomining-Malware abzuwerfen.

Yana Blachman, Threat Intelligence Forscherin und Expertin für SSH bei Venafi, Bild: Venafi

Yana Blachman, Threat Intelligence Forscherin und Expertin für SSH bei Venafi kommentiert diese Entwicklungen wie folgt:

„Der Angriff auf die Supercomputer in Europa ist Teil einer wachsenden Zahl von Angriffskampagnen, die in jüngster Zeit weltweit auf SSH-Maschinenidentitäten abzielen. Diese werden zur Automatisierung von Kontrolle und Arbeitslasten verwendet und können den Zugriff auf die kritischsten Systeme und Informationen der Organisation ermöglichen und daher für Angreifer sehr wertvoll werden.

Die Gültigkeit von SSH-Maschinenidentitäten laufen nie ab, und die meisten Organisationen welchseln sie nicht rotierend aus. Deshalb ist es nicht überraschend, dass sie ein begehrtes Ziel für Angreifer sind, um möglichst lange im Netzwerk zu bleiben, sich darin zu bewegen und weitere Ziele zu infiltrieren.

Die Angriffskette, zu der die Supercomputer in Europa gehören, zeigt wie sehr die SSH-Maschinenidentitäten für Angreifer im Verlauf ihres Angriffs zugänglich sind und von Unternehmen nicht sicher verwaltet werden. Solange Unternehmen keine vollständige Sichtbarkeit und Inventarisierung über Rechenzentren und die Cloud hinweg haben und nicht über Richtlinien und automatisierte Rotationsprozesse verfügen, werden die Angreifer sie weiterhin ins Visier nehmen und ausnutzen, wenn sie schlecht verwaltet werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

Bitdefenders Telemetrie zeigt Spitzen seit Ausbruch der Pandemie

[datensicherheit.de, 14.05.2020] Inmitten der Covid-19-Pandemie stehen die Gesundheitssysteme weltweit unter Druck – leider auch im Hinblick auf Cybersecurity. Krankenhäuser und Gesundheitseinrichtungen auf der ganzen Welt wurden von einer Welle von Cyberangriffen und Ransomware-Attacken heimgesucht. Bitdefenders Telemetrie zeigt in den letzten Monaten einen deutlichen Anstieg der Angriffe, die gezielt das Gesundheitswesen ins Visier nehmen.

Blockierte Ransomware-Angriffe auf Krankenhäuser, © Bitdefender

Deutlicher Anstieg in den Monaten Februar, März und April 2020

Wie die Auswertung zeigt, ist die Zahl der erfolgreich blockierten Ransomware-Angriffe auf Krankenhäuser in den Monaten Februar, März und April deutlich angestiegen. Im August 2019 wurde die bis dahin höchste Anzahl solcher Ransomware-Angriffe registriert. Im Vergleich dazu stieg die Zahl der Meldungen über diese Attacken im März 2020 um fast 73 Prozent. Die Zahl der gesamten Cyberangriffe, die im März 2020 in Krankenhäusern entdeckt wurden, stieg im Vergleich zum Februar um fast 60 Prozent.

Dedizierte Kampagnen von Cyberkriminellen während der Pandemie

Man sieht sehr deutlich, dass Cyberkriminelle die Pandemie dazu genutzt haben, um dedizierte Kampagnen zu starten. Die Angriffe nutzen hierfür oft populäre Medienthemen als Aufhänger und schalten ihre Angriffe mit der Coronawelle gleich. Frühere Telemetriedaten von Bitdefender zeigen: Als das Virus Europa in den ersten Märzwochen am härtesten traf, konzentrierten sich die Angreifer bei der Verbreitung von Bedrohungen auf Europa. Nur wenige Wochen später, als sich das SARS-CoV-2-Virus in den Vereinigten Staaten ausbreitete, begann auch dort die Malware-Telemetrie anzusteigen.

Weitere Informationen zum Thema:

Bitdefender Labs Blog
Global Ransomware and Cyberattacks on Healthcare Spike during Pandemic

datensicherheit.de, 05.05.2020
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen

datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung

datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend

datensicherheit.de, 03.12.2012
Datenschutzexperte Christian Volkmer warnt vor Datensammelwut der Krankenkassen