Mit fortschrittlichen Techniken gefälschte E-Mails machen es nahezu unmöglich, sie von echten zu unterscheiden

[datensicherheit.de, 04.10.2024] Die Check Point® Software Technologies Ltd. warnt in einer aktuellen Stellungnahme „vor einem alarmierenden Anstieg von gefälschten Microsoft-E-Mails, die Unternehmen ins Visier nehmen“. In nur einem Monat entdeckte wurden demnach mehr als 5.000 betrügerische E-Mails entdeckt – „die sich als offizielle Microsoft-Benachrichtigungen ausgaben“. Diese gefälschten E-Mails setzten fortschrittliche Techniken ein, welche es den meisten Nutzern nahezu unmöglich machten, sie von legitimen Mitteilungen zu unterscheiden. Die potenziellen Folgen dieser Angriffe reichten von E-Mail-Kontenübernahmen über Ransomware-Infektionen bis hin zu Informationsdiebstahl.

Abbildung: Check Point Software Technologies Ltd.

Beispiel einer gefälschten Microsoft-E-Mail

Gefälschte E-Mails enthalten oft Links zu scheinbar seriösen Anmeldeportalen

„Phishing-Mails, die vorgeben, von Microsoft zu stammen, kommen nicht von unbekannten Domains, sondern imitieren vertrauenswürdige Unternehmensadministratoren.“

Diese gefälschten E-Mails enthielten oft Links zu scheinbar legitimen Anmeldeportalen, welche darauf ausgelegt seien, vertrauliche Informationen – wie Passwörter und Zugangsdaten – zu stehlen.

Dabei setzten die Hacker auf fortgeschrittene „Obfuscation“-Techniken, denn so werde der bösartige Inhalt der E-Mails so gut getarnt, dass sogar erfahrene Nutzer kaum in der Lage seien, den Betrug zu erkennen.

Gefahr durch Phishing- und Fake-E-Mails nimmt ständig zu

Um dieser wachsenden Bedrohung zu begegnen, empfiehlt Check Point die Implementierung umfassender Sicherheitsmaßnahmen, darunter:

Nutzeraufklärung
Schulungen seien entscheidend, um Mitarbeiter über die Gefahren von Phishing-Angriffen aufzuklären. „Doch mit der Entwicklung von KI-generiertem Phishing ist es unerlässlich, dass auch stilistisch perfekte E-Mails kritisch hinterfragt werden.“

KI-gestützte E-Mail-Sicherheitslösungen
Mithilfe von Verhaltensanalyse und Maschinellem Lernen könnten KI-basierte Sicherheitslösungen solche Phishing-E-Mails und Business-E-Mail-Compromise-Bedrohungen (BEC) frühzeitig erkennen und verhindern.

Updates und Patches
Regelmäßige Aktualisierungen könnten von Cyber-Kriminellen auszunutzender Sicherheitslücken schließen.

Die Gefahr durch Phishing- und Fake-E-Mails wachse ständig. „Die Herausforderung besteht darin, bösartige E-Mails zu erkennen, bevor sie Schaden anrichten!“ Unternehmen seien gut beraten, ihre IT-Sicherheitsmaßnahmen auf den neuesten Stand zu bringen und ihre Mitarbeiter zu schulen, um ihre Daten und Netzwerke gegen diese Bedrohungen abzusichern.

Weitere Informationen zum Thema:

CHECK POINT, Check Point Team, 02.10.2024
5,000 Fake Microsoft Emails that Your Employees Could Fall For

CHECK POINT, Check Point Team, 24.07.2024
Check Point Research Reveals Q2 2024 Brand Phishing Trends: Microsoft Tops List While New Entries Signal Shifting Threat Landscape

[datensicherheit.de, 19.07.2024] Chris Dimitriadis, „Chief Global Strategy Officer“ bei ISACA (ein globaler Berufsverband für IT-Revisoren, Informationssicherheitsmanager und IT-Governance-Experten), berichtet in seiner aktuellen Stellungnahme über die Vorkommnisse vom 19. Juli 2024: „Eine massive, weltweite IT-Störung bei Microsoft verursacht seit Stunden Chaos in zahlreichen Branchen. Unter anderem Fluggesellschaften, Banken, Behörden und Medienorganisationen sind betroffen. Länder in Europa, die USA, Neuseeland und Australien melden Pannen bei ihren substanziell wichtigen Computersystemen.“ Dimitriadis gibt eine persönliche Einschätzung der Situation ab, welche er als eine „Digitale Pandemie“ bezeichnet.

Sobald ein IT-Dienstleister der digitalen Lieferkette betroffen ist, kann diese zusammenbrechen

„Dies ist eine ausgewachsene Krise. Sobald ein Dienstleister in der digitalen Lieferkette betroffen ist, kann die gesamte Kette zusammenbrechen und großflächige Ausfälle verursachen“, warnt Dimitriadis. Dieser Vorfall sei ein klares Beispiel dafür, was man eine „Digitale Pandemie“ nennen könnte – „ein einzelner Ausfallpunkt, der sich auf Millionen von Menschen weltweit auswirkt“: Ärzte könnten Kranke nicht behandeln, Medien könnten keine Nachrichten senden und Reisende säßen auf den Flughäfen fest… „Es geht nicht nur um Betriebsabläufe, sondern um Menschen!“

Dieser Ausfall sei das Ergebnis einer zunehmend komplexen und vernetzten digitalen Welt. Aus eben diesem Grund sei die Cyber-Resilienz von entscheidender Bedeutung für die Gewährleistung der Sicherheit und des Wohlergehens der Bürger sowie für die globale Wirtschaft. „Auch wenn wir noch auf weitere Details zu dem Vorfall warten, wissen wir, dass die Kosten und Auswirkungen dieses Vorfalls noch monatelang zu spüren sein werden“, so Dimitriadis.

Auch Unternehmen der Cyber-Sicherheit sind Teil der fragilen IT-Lieferkette

Manchmal würden solche Vorfälle durch unbeabsichtigte Fehler bei Software-Updates verursacht, manchmal seien sie das Ergebnis eines Cyber-Angriffs. „Die Ironie dabei ist, dass auch Unternehmen, die sich für Cyber-Sicherheit einsetzen, Teil der Lieferkette sind, und dass dieselben Unternehmen, die sich für den Aufbau von Cyber-Resilienz engagieren, selbst zu Opfern werden und die kontinuierliche Durchführung der Dienstleistungen beeinträchtigen können“, kommentiert Dimitriadis.

Dieser Vorfall unterstreicht laut Dimitriadis „die dringende Notwendigkeit einer robusten Cyber-Resilienz und -Vorbereitung, um ähnliche Krisen in Zukunft zu verhindern“. Bei der Cyber-Sicherheit seien das Erkennen und die Reaktion im Fall einer Krise ebenso wichtig wie Schutz und Prävention. „Die richtigen Protokolle für den Krisenfall müssen vorzeitig erstellt werden, damit Betroffene bei Angriffen und Ausfällen umgehend handeln können, um den Schaden und die Beeinträchtigung zu minimieren.“ Dies sei aber nur möglich, wenn es Mitarbeiter mit den notwendigen Fähigkeiten gibt, um maßgeschneiderte Sicherheitsrahmen für die Unternehmen zu schaffen. Zudem müsse sichergestellt sein, dass alle Beteiligten darin geschult wurden, diese Protokolle zu befolgen. „Wenn wir nicht vorbereitet sind, wird sich so etwas nur wiederholen“, gibt Dimitriadis zu bedenken.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 19.07.2024
Weltweite IT-Ausfälle

datensicherheit.de, 20.07.2024
Software-Problem vom 19. Juli 2024 als Warnung: Großflächiger Cyber-Angriff könnte Welt ins Chaos stürzen / Im Falle eines böswilligen Cyber-Angriffs wäre laut Dennis Weyel die Situation für die Menschheit noch weitaus ernster

datensicherheit.de, 19.07.2024
CrowdStrike: Ein IT-Update und es wackelt die ganze Welt / Alain Blaes kommentiert globale IT-Ausfälle vom 19. Juli 2024

datensicherheit.de, 19.07.2024
IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024 / Grund dafür soll ein Update einer IT-Sicherheitssoftware sein, welches offenbar zahlreiche Rechner lahmgelegt hat

[datensicherheit.de, 18.05.2024] Die Kaspersky-Forscher Boris Larin und Mert Degirmenci haben nach eigenen Angaben eine neue Zero-Day-Schwachstelle in „Windows“ mit der Bezeichnung „CVE-2024-30051“ gefunden. Diese Entdeckung wurde demnach im Zuge der Untersuchung der „Windows DWM Core Library Elevation of Privilege“-Schwachstelle („CVE-2023-36033“) Anfang April 2024 gemacht. Ein Patch sei am 14. Mai 2024 im Rahmen des „May Patch Tuesday“ von Microsoft veröffentlicht worden.

Auf VirusTotal aufgetaucht: Hinweis auf potenzielle Windows-Sicherheitslücke

„Am 1. April 2024 erregte ein auf ,VirusTotal’ hochgeladenes Dokument die Aufmerksamkeit der Kaspersky-Forscher. Das Dokument mit einem aussagekräftigen Dateinamen wies auf eine potenzielle Sicherheitslücke im ,Windows’-Betriebssystem hin.“ Trotz gebrochenen Englischs und der fehlenden Details (wie die Schwachstelle ausgelöst werden kann), habe das Dokument einen Exploit-Prozess beschrieben, der jenem vom Zero-Day-Exploit für „CVE-2023-36033“ geglichen habe, obwohl sich diese Schwachstellen voneinander unterschieden.

Das Team habe vermutete, die Sicherheitslücke sei entweder erfunden oder nicht ausnutzbar; trotzdem habe es seine Untersuchung fortgesetzt. „Eine schnelle Überprüfung ergab jedoch, dass es sich tatsächlich um eine Zero-Day-Schwachstelle handelt, die zu einer Ausweitung der Systemprivilegien führen kann.“

Kaspersky habe seine Erkenntnisse umgehend an Microsoft gemeldet – anschließend sei die Schwachstelle verifiziert und als „CVE-2024-30051“ bezeichnet worden.

Global Research & Analysis Team untersuchte Zero-Day-Schwachstelle in Windows

Nach dieser Meldung hätten die Kaspersky-Experten begonnen, „die Exploits und Angriffe, die diese Zero-Day-Schwachstelle nutzen, näher unter die Lupe zu nehmen“. Mitte April 2024 habe das Team einen Exploit für „CVE-2024-30051“ entdeckt und seine Verwendung in Verbindung mit „QakBot“ sowie anderer Malware beobachtet. Dies deute darauf hin, dass mehrere Bedrohungsakteure Zugriff auf diesen Exploit hätten.

„Wir fanden das Dokument auf ,VirusTotal’ aufgrund seines aussagekräftigen Charakters sehr interessant und haben es deshalb näher untersucht. So konnten wir diese kritische Zero-Day-Schwachstelle entdecken“, berichtet Boris Larin, „Principal Security Researcher“ im „Global Research & Analysis Team“ (GReAT) bei Kaspersky.

Er kommentiert: „Die Geschwindigkeit, mit der Bedrohungsakteure diesen Exploit in ihr Arsenal integrieren, unterstreicht wie wichtig es ist, rechtzeitig Updates vorzunehmen und insgesamt immer wachsam zu bleiben, was die Cyber-Sicherheit betrifft.“

Nutzer sollten nun ihre Windows-Systeme aktualisieren

Kaspersky plane, technische Details zu „CVE-2024-30051“ zu veröffentlichen, „sobald genügend Zeit vergangen ist, damit die meisten Nutzer ihre ,Windows’-Systeme aktualisieren konnten“. Kaspersky habe sich bei Microsoft für die „prompte Analyse und Veröffentlichung von Patches“ bedankt.

Die Kaspersky-Produkte seien aktualisiert worden, um die Ausnutzung von „CVE-2024-30051“ und damit verbundener Malware mit den folgenden Ergebnissen zu erkennen:

• „PDM:Exploit.Win32.Generic“
• „PDM:Trojan.Win32.Generic“
• „UDS:DangerousObject.Multi.Generic“
• „Trojan.Win32.Agent.gen“
• „Trojan.Win32.CobaltStrike.gen“

Kaspersky verfolge den fortschrittlichen Banking-Trojaner „QakBot“ seit seiner Entdeckung im Jahr 2007. Ursprünglich für den Diebstahl von Bankdaten konzipiert, habe sich „QakBot“ erheblich weiterentwickelt und neue Funktionen erworben, wie E-Mail-Diebstahl, Keylogging und die Fähigkeit, sich selbst zu verbreiten sowie Ransomware zu installieren. Diese Malware sei für ihre häufigen Updates und Verbesserungen bekannt – dies mache sie zu einer ständigen Bedrohung in der Cyber-Sicherheitslandschaft. In den vergangenen Jahren sei beobachtet worden, dass „QakBot“ andere Botnets, wie beispielsweise „Emotet“, für die Verbreitung nutze.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 14.05.2024
QakBot attacks with Windows zero-day (CVE-2024-30051)

NIST, 25.04.2024
National Vulnerability Database: CVE-2024-30551 Detail

NIST, 25.04.2024
National Vulnerability Database: CVE-2023-36033 Detail

MICROSOFT, 14.04.2024
Windows DWM Core Library Elevation of Privilege Vulnerability / CVE-2024-30051 / Security Vulnerability

[datensicherheit.de, 14.08.2023] Moderne Rechenzentren gelten als „Dreh- und Angelpunkt der Digitalisierung“. Damit geraten diese zunehmend in den Fokus Cyber-Krimineller: „Von kleinen Server-Häusern bei Unternehmen bis hin zu riesigen Co-Location-Rechenzentren, die von Amazon, Google, Microsoft oder einem anderen großen Unternehmen betrieben werden, sind die heutigen Data Center ein kritischer Angriffsvektor für Cyber-Kriminelle“, warnt Trellix in einer aktuellen Stellungnahme. Denn diese könnten Malware verbreiten, Lösegeld von Unternehmen erpressen, Unternehmens- oder Auslandsspionage betreiben oder auch große Teile des Internets lahmlegen.

„CyberThreat Report“ des Trellix-ARC beschreibt Bedrohung für Rechenzentren und das gesamte digitalen Ökosystem

Das „Trellix Advanced Research Center“ (ARC) identifiziert demnach regelmäßig kritische Schwachstellen, „um Angriffsflächen aufzudecken und zu eliminieren“. Die Anzahl der Angriffe auf Cloud-Infrastrukturen sei in den letzten Monaten stark gestiegen – dies habe nicht zuletzt die Juni-Ausgabe 2023 des „CyberThreat Report“ des ARC ergeben.

Aufgrund der zunehmenden Digitalisierung und hybriden Arbeitsmodelle erweiterten immer mehr Unternehmen ihre IT-Infrastruktur und setzten dabei auf Anbieter wie Amazon, Microsoft oder Google. „Durch diese Veränderung wächst auch ihre Angriffsfläche!“

In Übereinstimmung mit der kürzlich angekündigten „2023 National Cybersecurity Strategy“ habe das ARC-Team nun verschiedene Software-Plattformen und Hardware-Technologien untersucht, um den Schutz Kritischer Infrastrukturen (Kritis) und die Sicherheit im gesamten „digitalen Ökosystem“ zu erhöhen.

Verbreitung von Malware über miteinander verbundene Rechenzentren und Unternehmenssysteme möglich

Bei der Untersuchung identifizierte das ARC-Team nach eigenen Angaben „vier Schwachstellen in der DCIM-Plattform (Data Center Infrastructure Management) von CyberPower und fünf Schwachstellen in der ,iBoot Power Distribution Unit’ (PDU) von Dataprobe“.

Ein Angreifer könnte diese Sicherheitslücken miteinander verknüpfen, um einen vollständigen Zugriff auf die Systeme zu erhalten. Dies würde es ihm ermöglichen, die Stromversorgung für die Hardware zu manipulieren (was diese physisch beschädigen könnte) und die kompromittierten Geräte als Ausgangspunkt für die Verbreitung von Malware in einem breiteren Netzwerk miteinander verbundener Rechenzentren und Unternehmenssysteme zu nutzen.

„Mit der Stromversorgungssteuerung könnte ein krimineller Akteur durch einfaches Umlegen eines Schalters in kompromittierten Systemen tagelang erhebliche Unterbrechungen verursachen.“ Websites, Geschäftsanwendungen, Verbrauchertechnologien und Kritis seien alle auf die Verfügbarkeit dieser Rechenzentren angewiesen – ein Stromausfall würde Kosten in Millionenhöhe verursachen. Mit einer Reihe kompromittierter Geräten innerhalb des Rechenzentrums könnte ein Bedrohungsakteur sogenannte Spyware für Ransomware oder Spionagezwecke einrichten. Darüber hinaus könnte er die Hardware selbst nutzen, um weit verbreitete DDoS- oder Bot-Angriffe ähnlich wie „StuxNet“ oder „Mirai“ zu wiederholen.

Sicherheitslücken und Gefährdung behoben – vorerst

„Die größte Sorge besteht darin, dass diese Schwachstellen Angreifern Zugang zu hochentwickelter Hardware in großem Maßstab verschaffen.“ Es drohe eine Vielzahl von äußerst wirkungsvollen und schädlichen Cyber-Angriffen.

Nach den Entdeckungen des ARC-Teams von Trellix hätten sowohl Dataprobe als auch CyberPower reagiert: „Mit der Verfügbarkeit von CyberPower DCIM Version 2.6.9 ihrer PowerPanel Enterprise-Software und der neuesten Version 1.44.08042023 der Dataprobe iBoot PDU-Firmware, können die Sicherheitslücken behoben werden.“

Trellix empfiehlt abschließend betroffenen Unternehmen außerdem, die Passwörter aller Benutzerkonten zu ändern und damit alle sensiblen Daten, die auf den beiden „Appliances“ gespeichert sind und möglicherweise nach außen gelangt sein könnten, zu löschen.

Weitere Informationen zum Thema:

Trellix, Sam Quinn & Jesse Chick & Philippe Laulhere, 12.08.2023
The Threat Lurking in Data Centers – Hack Power Management Systems, Take All the Power

Trellix, Juni 2023
CYBERTHREAT REPORT / Insights Gleaned from a Global Network of Experts, Sensors, Telemetry, and Intelligence

THE WHITE HOUSE, März 2023
NATIONAL CYBERSECURITY STRATEGY

Satnam Narang kommentiert Null-Klick-Schwachstelle in Microsoft Outlook

[datensicherheit.de, 17.03.2023] Die jüngste Berichterstattung über die „Outlook“-Schwachstelle „CVE-2023-23397“ hat Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, nach eigenen Angaben dazu veranlasst, dieses Thema nachfolgend etwas fundierter zu beleuchten.

Foto: Tenable

Satnam Narang: Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht!

Outlook-Terminerinnerung kann missbraucht werden

„Innerhalb von 24 Stunden nach Veröffentlichung haben Forscher von MDSec bereits einen funktionalen Proof-of-Concept-Exploit für ,CVE-2023-23397‘ entwickelt, der verdeutlicht, wie einfach es ist, ihn auszunutzen“, berichtet Narang.

In diesem Beispiel hätten sie die Schwachstelle durch eine „Outlook“-Terminerinnerung ausnutzen können – „die auf dem Bildschirm erschien, nachdem die speziell gestaltete Nachricht vom E-Mail-Server empfangen und vom ,Outlook’-Client heruntergeladen wurde“.

CVE-2023-23397 in Outlook eine der Top-Schwachstellen des Jahres 2023

Narang betont: „Es erforderte keine Benutzerinteraktion, was dies zu einer Null-Klick-Schwachstelle macht.“ Darüber hinaus habe Microsoft bestätigt, dass dieser Fehler als „Zero Day“ im Rahmen begrenzter Angriffe eines in Russland ansässigen Bedrohungsakteurs auf Regierungs-, Transport-, Energie- und militärische Zielorganisationen in Europa ausgenutzt worden sei.

„Aufgrund der Einfachheit, mit der diese Schwachstelle ausgenutzt werden kann, glauben wir, dass es nur eine Frage der Zeit ist, bis sie in die Playbooks anderer Bedrohungsakteure, einschließlich Ransomware-Gruppen, aufgenommen wird“, so Narang. Bei Tenable gehen sie demnach davon aus, „dass ,CVE-2023-23397‘ eine der Top-Schwachstellen des Jahres 2023 wird“.

Outlook-Nutzer sollten das Patchen dieses Fehlers eher früher als später priorisieren

Wie in ihrem aktuellen „Threat Landscape Report 2022“ hervorgehoben, stellten bekannte Schwachstellen heute das größte Risiko für Unternehmen dar. Abschließend rät Narang:

„Jetzt, da ,CVE-2023-23397‘ von einem Zero-Day zu einer bekannten Schwachstelle geworden ist, empfehlen wir allen Organisationen, die Microsoft verwenden – vor allem ,Outlook’ – das Patchen dieses Fehlers eher früher als später zu priorisieren.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik, 16.03.2023
Aktive Ausnutzung einer Schwachstelle in Microsoft Outlook

Microsoft, 16.03.2023
Microsoft Outlook Elevation of Privilege Vulnerability / CVE-2023-23397 / Sicherheitsanfälligkeit

Tenable rät zur Vorsicht und warnt vor Missbrauch dieser Schwachstelle durch Cyber-Kriminelle

[datensicherheit.de, 04.06.2022] Am letzten Mai-Wochenende 2022 soll eine sogenannte Zero-Click-Schwachstelle in „Microsoft Office“ entdeckt worden sein. Diese Sicherheitslücke sei Microsoft bereits im April 2022 von einem Forscher gemeldet worden.

Foto: Tenable

Claire Tills: Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein!

Schwachstelle offenbar bereits im April 2022 ausgenutzt worden

„Am Wochenende begannen Security-Forscher, über eine Zero-Day-Schwachstelle für die Remote-Codeausführung (RCE) zu diskutieren, die über ,Microsoft Office‘-Dokumente ausgenutzt werden kann, einem bevorzugten Angriffsvektor“, berichtet Claire Tills, „Senior Research Engineer“ bei Tenable, in ihrer aktuellen Stellungnahme.

Am 30. Mai 2022 habe Microsoft einige offizielle Details zu „CVE-2022-30190“ veröffentlicht und darauf hingewiesen, dass diese RCE-Schwachstelle „Microsoft Windows Diagnostic Tools“ betreffe, habe aber keine Patches veröffentlicht. Indes habe Microsoft eine Empfehlung zur Schadensbegrenzung gegeben.

Diese RCE scheine bereits im April 2022 ausgenutzt worden zu sein und habe erst kürzlich breite öffentliche Aufmerksamkeit erlangt, nachdem ein Forscher begonnen habe, ein schädliches Sample auf „VirusTotal“ zu untersuchen.

Schwachstelle ein Zero-Click-Exploit – keine Benutzerinteraktion erforderlich

Tills führt aus: „Im Laufe des Wochenendes reproduzierten mehrere Forscher das Problem und stellten fest, dass es sich um einen ‚Zero-Click‘-Exploit handelt, was bedeutet, dass keine Benutzerinteraktion erforderlich ist.“

In Anbetracht der Ähnlichkeiten zwischen „CVE-2022-30190“ und „CVE-2021-40444“ sowie der Vermutung, dass auch andere „Protokoll-Handler“ anfällig sein könnten, erwarte man weitere Entwicklungen und Ausnutzungsversuche dieser Schwachstelle.

„Da es sich um einen ,Zero-Click‘-Exploit handelt, kann der einzelne Benutzer nicht viel tun, aber eine gesunde Portion Skepsis ist sehr hilfreich“, empfiehlt Tills. Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein, so ihr Rat.

Weitere Informationen zum Thema:

Microsoft
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability / CVE-2022-30190

Landesbeauftragte für Datenschutz und Informationsfreiheit setzen DSGVO und Schrems-II-Urteil um

[datensicherheit.de, 18.05.2022] Schulen in Deutschland könnte ein Datenschutznotstand drohen: Jedenfalls hat laut Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, verordnet, „die Nutzung von ,MS 365‘ an Schulen zu beenden“ oder den datenschutzkonformen Betrieb eindeutig nachzuweisen. Er erwartet demnach von Schulen, dass sie den Schülern bis zu den Sommerferien 2022 Alternativen zum „Cloud“-Dienst „MS 365“ für den Schulbetrieb anbieten oder aber diesen Dienst mit geeigneten Mitteln absichern. Damit ziehe er Konsequenzen aus der Datenschutzgrundverordnung (DSGVO) und dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), welche schließlich eine Einhaltung ihrer Vorgaben nicht ins Belieben von Unternehmen oder Behörden stellen, sondern eindeutig verlangen.

Foto: eperi

Elmar Eperiesi-Beck: Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden!

Datenschutzbeauftragte hörten nun auf, ein Auge zuzudrücken

Ähnliche Situationen kämen auch auf Schulen in anderen Bundesländern zu, denn die dortigen Datenschutzbeauftragten hörten ebenfalls auf, „ein Auge zuzudrücken“, was sie vor allem wegen der „Pandemie“ getan hätten, und wendeten nunmehr schlicht geltendes Recht an. In der Vergangenheit habe Dr. Brink schon häufiger eine Vorreiterrolle gespielt.

Das Problem sei, dass einerseits die meisten Nutzer mit den Alternativen zu „MS 365“ unzufrieden seien. So habe ein zuständiger Lehrer berichtet, er kenne keinen an seiner Schule, der den Umstieg weg von „Microsoft Teams“ nicht bedauere. Andererseits scheine gar nicht ernsthaft über die zweite von DSGVO und vom Schrems-II-Urteil vorgesehene Lösung nachgedacht zu werden, nämlich die Nutzung von „MS 365“ datenschutzrechtkonform abzusichern.

In einer aktuellen Stellungnahme des Kultusministeriums Baden-Württemberg finde sich die Feststellung, dass es bislang nicht gelungen sei, „eine Lösung vor Ort zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“. Diesen Beschwerden nachzugehen sei indes die Pflicht des LfDI [Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg]. Mittlerweile seien 40 Schulen angeschrieben und eine Lösung angemahnt worden. Der Datenschutzexperte Elmar Eperiesi-Beck, Gründer und „CEO“ von eperi, zeigt sich in seiner Stellungnahme hierzu alles andere als begeistert.

Seit Beginn der Pandemie Tools und Lösungen weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt

Eperiesi-Beck kommentiert: „Die Initiative von Dr. Stefan Brink ist eindeutig zu begrüßen. Er zieht die von der EU geforderten Konsequenzen aus DSGVO und Schrems-II-Urteil und schafft zweifelsfrei Klarheit für alle Beteiligte.“ Seit dem Beginn der „Pandemie“ vor über zwei Jahren würden Tools und Lösungen wie „MS 365“ weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt.

Die Tatsache, dass es den Kultusministerien in mehr als zwei Jahren nicht gelungen sei, „eine Lösung […] zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird“ sei einer der schlechteren Witze in der behördlichen Nutzung von IT. „Das ärgert mich auch als Vater schulpflichtiger Kinder“, betont Eperiesi-Beck.

Dabei sei die Lösung, welche von der Europäischen Datenschutzbehörde vorgegeben werde, „ganz einfach“ und die zuständigen Stellen müssten „keinesfalls das Rad neu erfinden“. Privatunternehmen machten seit Jahren vor, wie sich US-amerikanische „Cloud“-Dienste DSGVO-konform nutzen ließen – durch den Einsatz von Verschlüsselungstechnologien.

Über ein Gateway Cloud-Dienste auch US-amerikanischer Anbieter datenschutzkonform nutzen

Es biete sich vor allem der Einsatz eines „Cloud“-Verschlüsselungs-Gateways an. Ein solches Gateway sei ein Tool, das zwischen einem „Cloud“-System und einem In-House-System platziert sei und die Verschlüsselung oder Anonymisierung von Daten vor der Übertragung durchführe. „Wenn das Gateway von der Schule selbst betrieben oder in einem deutschen Rechenzentrum gehostet wird, ist die Einhaltung der DSVGO gewährleistet, weil niemals unverschlüsselte oder personenbezogene Daten in die ,MS-Cloud‘ geraten“, erläutert Eperiesi-Beck.

Über ein derartiges Gateway lasse sich prinzipiell jeder „Cloud“-Dienst auch US-amerikanischer Anbieter datenschutzkonform nutzen (gewisse Anpassungen an den jeweiligen Dienst am Gateway seien allerdings notwendig). Verschlüsselungs-Gateways böten genau den Schutz personenbezogener Daten „auf dem Stand der Technik“, den die DSGVO und das Schrems-II-Urteil forderten.

„Viele Schulen verfügen zugegebenermaßen nicht über die Ressourcen, ein solches Verschlüsselungs-Gateway selbst zu betreiben, oder sie wollen sich nicht mit der erforderlichen Technik auseinandersetzen. Für diesen Fall gibt es IT-Dienstleister, welche die Verschlüsselung als ,Managed Service‘ anbieten.“ Dazu gehöre z.B. T-Systems mit seinem „Cloud Privacy Service“. Eperiesi-Beck abschließend: „Technische Gründe, weshalb der Datenschutz an deutschen Schulen noch immer weitgehend vernachlässigt wird, bestehen jedenfalls nicht. Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden.“

Weitere Informationen zum Thema:

Ministerium für Kultus, Jugend und Sport Baden-Württemberg, 11.05.2022
Schulleitungen der Öffentlichen Schulen in Baden-Württemberg / MS365 im Einsatz an öffentlichen Schulen in Baden-Württemberg

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, 25.04.2022
Nutzung von MS 365 an Schulen

Lookout-Stellungnahme zu Hacker-Taktiken und möglichen Gegenmaßnahmen

[datensicherheit.de, 01.03.2022] „Jüngste Berichte zeigen, dass Hacker ,Microsoft Teams‘ nutzen, um Malware zu verbreiten“, warnt Hank Schless, „Senior Manager of Security Solutions“ bei Lookout, in seiner aktuellen Stellungnahme. Die Angriffe erfolgten durch das Anhängen von „.exe“-Dateien an „Teams“-Chats, um einen Trojaner auf dem Computer des Endbenutzers zu installieren – dieser werde dann zur Installation von Malware verwendet. Schless benennt mögliche Taktiken und Gegenmaßnahmen.

Foto: Lookout

Hank Schless: Angreifer greifen vor allem über mobile Kanäle wie SMS, Social-Media-Plattformen, Messaging-Apps von Drittanbietern, Spiele und sogar Dating-Apps auf die Nutzer zu…

Mir Microsoft 365 als weit verbreiteter Plattform können Hacker leicht Social-Engineering-Kampagnen erstellen

„Die erste Taktik der Hacker besteht darin, sich Zugangsdaten von Mitarbeitern für ,Microsoft 365‘ zu erschleichen, die ihnen Zugriff auf alle Anwendungen der Microsoft-Suite geben würden, berichtet Schless. Die Daten von Lookout zeigten, dass die Angreifer vor allem über mobile Kanäle wie SMS, Social-Media-Plattformen, Messaging-Apps von Drittanbietern, Spiele und sogar Dating-Apps auf die Nutzer zugriffen. „Daten von Lookout zufolge waren im Jahr 2021 durchschnittlich pro Quartal 15,5 Prozent der Unternehmensanwender Phishing-Angriffen ausgesetzt. Zum Vergleich: Im Jahr 2020 lag die Zahl bei 10,25 Prozent. Phishing ist eindeutig ein wachsendes Problem für jedes Unternehmen.“

Da „Microsoft 365“ eine so weit verbreitete Plattform sei, „ist es für Angreifer nicht sehr schwierig, Social-Engineering-Kampagnen zu erstellen, die Benutzer mittels bösartigen ,Word‘-Dateien und gefälschten Anmeldeseiten ansprechen“. Die zweite Taktik bestehe darin, eine dritte Partei, z.B. einen Auftragnehmer, zu kompromittieren, um Zugriff auf die „Teams“-Plattform des Unternehmens zu erhalten. Dies zeige, „wie wichtig es ist, jede Software von Drittanbietern, jede Person und jedes Team einer detaillierten Sicherheitsüberprüfung zu unterziehen, um deren Sicherheit zu gewährleisten“.

Erfolgreicher Hacker-Angriff kann zur vollständigen Übernahme des Geräts führen

Laut der aktuellen Studie von Lookout könnte ein erfolgreicher Angriff zu einer vollständigen Übernahme des Geräts führen. „Da die Wahrscheinlichkeit hoch ist, dass sich ein Angreifer zunächst durch Phishing Zugang verschafft hat, könnte er schließlich in den Besitz eines vertrauenswürdigen Geräts und vertrauenswürdiger Zugangsdaten gelangen. Dies ist eine bösartige Kombination, die es einem Angreifer ermöglichen könnte, auf alle Daten zuzugreifen, auf die der Benutzer und das Gerät Zugriff haben“, erläutert Schless und führt weiter aus:

„Sobald der Angreifer in die Infrastruktur eingedrungen ist, kann er sich seitlich bewegen und herausfinden, wo die wertvollsten Datenbestände versteckt sind. Von dort aus könnte er diese Daten verschlüsseln, um einen Ransomware-Angriff durchzuführen oder sie zum Verkauf im ,Darkweb‘ zu exfiltrieren. Diese Angriffskette ist der Grund, warum Unternehmen Sichtbarkeit und Zugriffskontrolle für Benutzer, ihre Geräte, die Anwendungen, auf die sie zugreifen wollen, und die darin gespeicherten Daten benötigen.“

Empfohlene Schutzmaßnahmen gegen Hacker-Attacken

Die Art dieses Angriffs zeige, wie wichtig es sei, alle Endpunkte, Cloud-Ressourcen sowie lokalen oder privaten Anwendungen in der gesamten Unternehmensinfrastruktur zu schützen. Es werde immer schwieriger, den Überblick darüber zu behalten, wie Benutzer und Geräte mit Anwendungen und Daten interagieren, „je mehr der Netzwerkperimeter als traditionelle Grenze der Unternehmensumgebung verschwindet“. Daher sei der Einsatz einer einheitlichen Plattform, „die sowohl mobile als auch PC-Endpunkte sowie Cloud-Dienste und privaten oder On-Prem-installierten Anwendungen berücksichtigt“, erforderlich. Dies sei die einzige Möglichkeit, das erforderliche Maß an Sichtbarkeit und Schutz vor der modernen Bedrohungslandschaft von heute zu gewährleisten.

„Um Angreifern, die diese Angriffskette ausnutzen wollen, einen Schritt voraus zu sein, sollten Unternehmen überall Sicherheit für mobile Geräte mit ,Mobile Threat Defense‘ (MTD) implementieren und Cloud-Dienste mit ,Cloud Access Security Broker‘ (CASB) schützen“, rät Schless. Zudem gelte es, den Webverkehr mit einem „Secure Web Gateway“ (SWG) zu überwachen und moderne Sicherheitsrichtlinien für ihre „On-Prem“- oder privaten Anwendungen mit „Zero Trust Network Access“ (ZTNA) zu implementieren.

Hacker-Angriffe auf Plattformen weisen ähnliche Taktiken auf

Die auf bestimmte Plattformen abzielenden Angriffe hätten ihre Nuancen, aber die generellen Taktiken seien offensichtlich sehr ähnlich. In „Slack“ und „Teams“ ließen sich auch öffentliche Kanäle betreiben, an denen man nicht unbedingt Teil des Unternehmens sein müsse, um daran teilzunehmen. Dies stelle ein massives Risiko für das Unternehmen dar – sowohl für unbefugten Zugriff als auch für den Verlust von Daten. Die Taktiken, um Zugang zu diesen beiden Plattformen sowie zu Kollaborations-Plattformen und anderen Anwendungen zu erhalten, seien im Allgemeinen recht ähnlich.

Schless unterstreicht: „Tatsache ist, dass Phishing heutzutage für Bedrohungsakteure die praktikabelste Option ist. Wenn ein Angreifer über legitime Zugangsdaten verfügt, um sich bei Unternehmensanwendungen anzumelden, ist die Wahrscheinlichkeit geringer, dass er bemerkt und aufgehalten wird.“ Unternehmen benötigten daher eine modernisierte Sicherheitsstrategie, welche in der Lage sein müsse, „anomale Anmeldungen, Dateiaktivitäten und Benutzerverhalten zu erkennen“.

Weitere Informationen zum Thema:

AVANAN, Jeremy Fuchs, 17.02.2022
Hackers Attach Malicious .exe Files to Teams Conversations

[datensicherheit.de, 11.01.2022] „Die Rolle der Datenschutzbeauftragten in den Unternehmen wird im neuen Jahr schwieriger werden“, prognostiziert Detlef Schmuck, Geschäftsführer des deutschen Datendienstes TeamDrive GmbH. Vor allem die breitflächige Nutzung von Software des US-Anbieters Microsoft in der deutschen Wirtschaft stelle ein zunehmendes Problem dar, weil dadurch die Gefahr bestehe, dass personenbezogene Daten in die USA gelangten. Seitdem der Europäische Gerichtshof (EuGH) das transatlantische Datenschutzabkommen „EU-US Privacy Shield“ 2020 für ungültig erklärt hatte, stehe der Datenschutz in weiten Teilen der deutschen Wirtschaft auf „tönernen Füßen“, warnt der TeamDrive-Chef.

Gesetzeskonformer Einsatz gängiger Microsoft-Programme nur möglich, wenn Datenhaltung konsequent nicht in den USA erfolgt

Schmuck erläutert: „Die gängigen Microsoft-Programme wie ,Windows‘, ,Teams‘, ,Office‘ und ,365‘ lassen sich hierzulande nur gesetzeskonform verwenden, wenn die Datenhaltung konsequent aus den USA herausgehalten wird.“
Doch genau dies sei schwierig, weil es hierzu detaillierter Einstellungen bedürfe, insbesondere um den Microsoft-eigenen US-Datendienst „OneCloud“ von den Installationen fernzuhalten.

Microsoft hat bei jedem Update von Programmen Gelegenheit zum Einschleusen von OneCloud

Zudem lasse sich eine dauerhaft gesetzeskonforme Installation nur schwer aufrechterhalten, weil Microsoft mit jedem Update bei jedem Programm die Gelegenheit erhalte, „OneCloud“ neu einzuschleusen oder sonstige Einstellungen zu ändern. So gebe es beispielsweise konkrete Hinweise darauf, dass Microsoft bei Updates von „Windows“ seinen US-Clouddienst immer wieder automatisch einspiele.

Die Datenschutzbeauftragten müssten also kontinuierlich überprüfen, „ob ihre Unternehmen noch gesetzeskonform zur Datenschutz-Grundverordnung arbeiten oder sich möglicherweise durch ein Update oder eine sonstige Änderung ungewollt in die Illegalität begeben haben“ – dies sei kein leichter Job für 2022, so Schmuck.

Sicherheitsforscher von Check Point Research beobachten zunehmende Hacker-Aktivitäten mit Malware Zloader

[datensicherheit.de, 05.01.2022] „Zloader“, ein Banking-Trojaner, ist nach aktuellen Erkenntnissen der Sicherheitsexperten von Check Point Research (CPR), der Forschungsabteilung der Check Point® Software Technologies Ltd., „erneut auf dem Vormarsch“ – sie vermuten demnach, dass Hacker der Gruppe „MalSmoke“ dahinterstecken.

Abbildung: CPR

Aktuelle Hacker-Kampagne zielt auf über 2.100 Opfer in 111 Ländern

Hacker-Gruppe MalSmoke missbrauchte Google-Keyword-Anzeigen, um Malware zu verbreiten

Die Sicherheitsforscher hätten „steigende Aktivitäten der Malware ,Zloader‘“ beobachtet. Das Besondere dabei sei: Diese Schad-Software nutze Microsofts Dateisignaturen aus, um den Anschein von Legitimität zu erwecken. Allerdings sei das digitale Wasserzeichen verändert worden.

2021 sei „ZLoader“ besonders in den Sommermonaten aufgefallen, denn damals hätten die Betreiber hinter dieser Malware, die Gruppe „MalSmoke“, einige Google-Keyword-Anzeigen gekauft, um verschiedene Malware-Stämme zu verbreiten, darunter die berüchtigte „Ryuk“-Ransomware.

„Im Zuge der aktuellen Kampagne konnten die Sicherheitsexperten von Check Point bisher über 2.100 Opfer in 111 Ländern identifizieren. Deutschland liegt auf dem sechsten Platz.“

Hacker entwickeln Malware-Kampagne weiter, um effektive Gegenwehr zu erschweren

Die Infektionskette lt. CPR:

• Der Angriff beginne mit der Installation eines legitimen Fernverwaltungsprogramms, „das vorgibt, eine ,Java‘-Installation zu sein“.
• Nach dieser Installation habe der Angreifer vollen Zugriff auf das System und sei in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. „Der Angreifer lädt einige Skripte hoch und führt sie aus.“ Diese würden weitere Skripte herunterladen, welche eine „mshta.exe“ mit der Datei „appContast.dll“ als Parameter ausführten.
• Die Datei „appContast.dll“ wirke tatsächlich wie von Microsoft signiert, „obwohl am Ende der Datei weitere Informationen hinzugefügt wurden“.
• Die hinzugefügten Informationen würden die endgültige „ZLoader“-Nutzlast herunterladen und sie ausführen, „wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden“.

Zudem entwickelten die Verantwortlichen diese Malware-Kampagne wöchentlich weiter, um eine effektive Gegenwehr zu erschweren.

Basierend auf der Analyse der Methodik der aktuellen Kampagne, im Vergleich zu bisherigen Malware-Attacken, sei davon auszugehen, dass es sich bei den Köpfen dahinter um die Verantwortlichen von „MalSmoke“ handele.

Erste Hinweise auf neue Hacker-Kampagne im November 2021 entdeckt

„Die Menschen müssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen können. Wir haben eine neue ,ZLoader‘-Kampagne gefunden, die Microsofts digitale Signaturprüfung ausnutzt, um sensible Informationen von Nutzern zu stehlen“, warnt Kobi Eisenkraft, Malware-Forscher bei Check Point, in seiner Stellungnahme. Die ersten Hinweise auf diese neue Kampagne seien im November 2021 entdeckt worden.

Eisenkraft führt aus: „Die Angreifer, die wir ,MalSmoke‘ zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen der Opfer abgesehen. Bisher haben wir mehr als 2.000 Opfer in 111 Ländern gezählt, Tendenz steigend. Alles in allem scheinen die Operatoren der ,Zloader‘-Kampagne große Anstrengungen in die Umgehung der Verteidigung zu stecken und aktualisieren ihre Methoden wöchentlich.“

Eisenkraft empfiehlt den Anwendern dringend, „das Microsoft-Update für die strenge Authenticode-Verifizierung zu installieren, da es standardmäßig nicht angewendet wird“. Im Rahmen seiner Verantwortung habr Check Point bereits Microsoft und Atera umgehend über die Ergebnisse der Nachforschungen informiert.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, Golan Cohen, 05.03.2021
Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s Signature Verification putting users at risk